Der Jahreswechsel markiert im Bereich Governance, Risk und Compliance traditionell den Startpunkt für neue regulatorische Anforderungen. Während das Jahr 2025 stark von der finalen Umsetzung grosser EU-Rahmenwerke wie DORA und NIS 2 geprägt war, steht das Jahr 2026 im Zeichen der Ausweitung und der technologischen Vertiefung. Für Unternehmen in der DACH-Region bedeutet der 1. Januar 2026 konkret: Die Schonfristen sind vorbei, neue Meldestandards im Krypto-Bereich greifen und die Nachhaltigkeitsberichterstattung erreicht die nächste Eskalationsstufe in der Breite der betroffenen Unternehmen.
Das Wichtigste in Kürze
- In der Schweiz tritt zum 1. Januar 2026 der automatische Informationsaustausch über Krypto-Vermögenswerte (CARF) in Kraft.
- Die CSRD-Berichtspflicht weitet sich ab dem Geschäftsjahr 2026 auf grosse, nicht kapitalmarktorientierte Unternehmen aus.
- Für DORA und NIS 2 endet die Phase der Implementierung; ab 2026 liegt der Fokus der Aufsichtsbehörden auf Prüfung und Sanktionierung.
- Der EU AI Act nähert sich entscheidenden Fristen, weshalb 2026 als das zentrale Jahr für die AI-Governance-Implementierung gilt.
Schweiz: Transparenzoffensive durch CARF und erweiterten AIA
Ein zentraler Fokus zum Jahresstart 2026 liegt auf der Schweiz. Der Bundesrat setzt per 1. Januar 2026 das Crypto-Asset Reporting Framework (CARF) sowie Änderungen am gemeinsamen Meldestandard (AIA) in Kraft. Dies ist ein entscheidender Schritt für die steuerliche Transparenz im Bereich digitaler Vermögenswerte.
Das CARF-Regelwerk verpflichtet schweizerische Krypto-Dienstleister dazu, Transaktionsdaten ihrer Kunden und Informationen über die gehaltenen Krypto-Vermögenswerte zu erfassen. Diese Daten müssen an die Eidgenössische Steuerverwaltung (ESTV) gemeldet werden, welche sie wiederum mit Partnerstaaten austauscht. Ziel ist die Schliessung von Steuerschlupflöchern, die durch die bisherige Nicht-Erfassung von Krypto-Assets im klassischen AIA bestanden. Für GRC-Verantwortliche bei Schweizer Finanzinstituten und Krypto-Dienstleistern bedeutet dies, dass die Due-Diligence-Prozesse und KYC-Verfahren (Know Your Customer) per Stichtag Januar 2026 vollständig auf die neuen Asset-Klassen und Meldestandards angepasst sein müssen.
Parallel dazu treten Änderungen im AIA-Gesetz in Kraft, die Empfehlungen des Global Forum on Transparency and Exchange of Information for Tax Purposes umsetzen. Dies betrifft unter anderem die präziseren Sorgfaltspflichten für Non-Reporting Financial Institutions.
CSRD: Die zweite Welle rollt an
Auf europäischer Ebene ist der 1. Januar 2026 ein entscheidendes Datum für die Corporate Sustainability Reporting Directive (CSRD). Während bisher vor allem kapitalmarktorientierte Unternehmen berichtspflichtig waren, beginnt mit dem Geschäftsjahr 2026 die Pflicht für grosse haftungsbeschränkte Unternehmen, die nicht kapitalmarktorientiert sind.
Unternehmen fallen unter diese zweite Welle, wenn sie mindestens zwei der drei folgenden Kriterien überschreiten: mehr als 250 Mitarbeiter, mehr als 50 Millionen Euro Nettoumsatz oder mehr als 25 Millionen Euro Bilanzsumme (unter Berücksichtigung der inflationsbedingten Schwellenwertanpassungen). Für Compliance-Abteilungen in diesen Unternehmen bedeutet der Start des Geschäftsjahres 2026, dass die Datenerhebung für den 2027 zu veröffentlichenden Bericht nun operativ laufen muss. Die Zeit der Vorbereitung ist beendet; ab jetzt müssen ESG-Daten revisionssicher erfasst werden. Dies erfordert funktionierende interne Kontrollsysteme (IKS) für Nachhaltigkeitsinformationen.
DORA und NIS 2: Vom Projektmodus in den Regelbetrieb
Sowohl der Digital Operational Resilience Act (DORA) als auch die NIS-2-Richtlinie sind formal bereits vor 2026 in Kraft getreten. Dennoch markiert der Januar 2026 eine Zäsur. Die Phase der „Day 1 Compliance“, die oft noch von Übergangslösungen geprägt war, ist vorüber.
Ab 2026 ist damit zu rechnen, dass die nationalen Aufsichtsbehörden – wie die BaFin in Deutschland oder die FMA in Österreich – ihre Prüfungstätigkeit intensivieren. Für DORA bedeutet dies, dass das IKT-Drittparteienrisikomanagement nicht nur auf dem Papier existieren darf, sondern vertragliche Anpassungen mit IT-Dienstleistern abgeschlossen sein müssen. Register über Informationsbeziehungen müssen aktuell und vollständig sein. GRC-Experten sollten das Jahr 2026 nutzen, um die im Vorjahr implementierten Prozesse auf ihre operative Wirksamkeit zu testen (z. B. durch TLPT – Threat Led Penetration Testing), da nun echte Sanktionen drohen.
Ausblick: Lieferkettengesetze und CSDDD
In Deutschland bleibt das Lieferkettensorgfaltspflichtengesetz (LkSG) relevant, jedoch verschiebt sich der Fokus zunehmend auf die Harmonisierung mit der europäischen Corporate Sustainability Due Diligence Directive (CSDDD). Zwar treten die nationalen Umsetzungsgesetze der CSDDD erst später vollständig in Kraft, doch müssen Unternehmen ihre Risikoanalysen ab 2026 bereits strategisch auf die weitreichenderen Anforderungen der EU-Richtlinie ausrichten, um doppelte Arbeit zu vermeiden. Insbesondere die Klimatransformationspläne, die Teil der CSDDD sind, erfordern eine Vorlaufzeit, die im Januar 2026 beginnen sollte.
FAQ
Wen betrifft das neue CARF-Gesetz in der Schweiz ab Januar 2026?
Es betrifft primär Anbieter von Krypto-Dienstleistungen (VASP), die in der Schweiz ansässig sind. Diese müssen Kundendaten und Transaktionen erfassen und an die Steuerbehörden melden.
Muss mein Unternehmen ab 2026 einen CSRD-Bericht erstellen?
Wenn Ihr Unternehmen nicht kapitalmarktorientiert ist, aber zwei der drei Kriterien erfüllt (Bilanzsumme > 25 Mio. Euro, Umsatz > 50 Mio. Euro, > 250 Mitarbeiter), beginnt für das Geschäftsjahr 2026 die Pflicht zur Datenerfassung. Der Bericht selbst erscheint dann 2027.
Was ändert sich 2026 bei DORA?
Regulatorisch ändert sich nichts Neues, aber die Schonzeit ist vorbei. Ab 2026 finden voraussichtlich die ersten tiefergehenden Prüfungen der Aufsichtsbehörden statt, und die Prozesse müssen „lived and tested“ sein.
Welche Rolle spielt der EU AI Act im Januar 2026?
Der AI Act ist bereits in Kraft, aber viele Pflichten für Hochrisiko-KI-Systeme werden erst Mitte 2026 scharf. Der Januar 2026 ist daher der Startschuss für die finale Implementierungsphase dieser Anforderungen.
Related posts
Drittparteirisiken: Herausforderungen und Lösungen mittels GRC Software
In einer zunehmend vernetzten Welt verlassen sich Unternehmen immer mehr auf Drittanbieter, um ihre Geschäftsprozesse zu optimieren und wettbewerbsfähig zu bleiben. Ob es sich um Lieferanten, Dienstleister oder IT-Anbieter handelt, die Einbindung von Drittparteien birgt nicht nur Vorteile, sondern auch erhebliche Risiken. Diese sogenannten Drittparteirisiken können von finanziellen Verlusten bis hin zu Reputationsschäden reichen und<a href="https://zazoon.com/de/drittparteirisiken-herausforderungen-und-losungen-mittels-grc-software/">Continue reading <span class="sr-only">"Drittparteirisiken: Herausforderungen und Lösungen mittels GRC Software"</span></a>
LkSG und CSDDD: Ein Vergleich und was Unternehmen beachten müssen
In den letzten Jahren hat das Thema Nachhaltigkeit und Verantwortung in der Lieferkette zunehmend an Bedeutung gewonnen. Zwei zentrale rechtliche Rahmenwerke, die Unternehmen in Europa betreffen, sind das deutsche Lieferkettensorgfaltspflichtengesetz (LkSG) und die europäische Corporate Sustainability Due Diligence Directive (CSDDD). Beide zielen darauf ab, Menschenrechte und Umweltstandards in globalen Lieferketten zu stärken. Doch es gibt<a href="https://zazoon.com/de/lksg-und-csddd-ein-vergleich-und-was-unternehmen-beachten-muessen/">Continue reading <span class="sr-only">"LkSG und CSDDD: Ein Vergleich und was Unternehmen beachten müssen"</span></a>