Am Ende jedes Monats stellt das SAFE Regulatory Radar eine Auswahl wichtiger Neuigkeiten und Entwicklungen im Bereich der Finanzregulierung auf nationaler und EU-Ebene zusammen.
DORA: Mehr digitale operationale Widerstandsfähigkeit durch ergänzende Standards
Neue Vorschriften sollen den europäischen Finanzsektor digital widerstandsfähiger machen. Am 17. Januar 2024 veröffentlichten die Europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA - die ESAs) mehrere Entwürfe technischer Standards, darunter technische Regulierungsstandards (RTS) zum Risikomanagementrahmen der Informations- und Kommunikationstechnologien (IKT) der Finanzunternehmen, Kriterien zur Klassifizierung von IKT-bezogenen Vorfällen, Regulierungsstandards zu Vorschriften in Bezug auf die Nutzung von IKT-Dienstleistungen, die kritische Funktionen von Drittanbietern unterstützen, sowie technische Implementierungsstandards mit einer Vorlage für das Informationsregister.
Die Standards bezüglich des Risikomanagementrahmens ergänzen die Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, DORA) durch harmonisierte Anforderungen an das IKT-Risikomanagement von Finanzunternehmen in den verschiedenen Sektoren. Sie befassen sich insbesondere mit IKT-Sicherheitsrichtlinien, -verfahren, -protokollen und -werkzeugen, Personalpolitik und Zugangskontrolle, Erkennung von und Reaktion auf IKT-bezogene Vorfälle sowie das IKT-Geschäftskontinuitätsmanagements. Sie enthalten außerdem vereinfachte Meldepflichten für Finanzunternehmen mit geringerem Umfang, Risiko, Größe und Komplexität.
Die Regulierungsstandards zu Einstufungskriterien legen unter anderem Wesentlichkeitsschwellen für die Bestimmung schwerwiegender IKT-bezogener Vorfälle oder gegebenenfalls operationeller oder sicherheitsrelevanter Vorfälle fest. Darüber hinaus werden Kriterien für die Einstufung von Cyber-Bedrohungen als erheblich festgelegt, einschließlich der Schwellen für die Bestimmung erheblicher Cyber-Bedrohungen. Die ESAs geben den zuständigen Behörden auch Kriterien für die Bewertung der Relevanz von Vorfällen an die Hand und legen fest, wie Berichte über größere IKT-Vorfälle mit anderen zuständigen Behörden auszutauschen sind.
Wie in DORA gefordert, müssen Finanzinstitute eine Strategie für Risiken durch IKT-Drittparteien einführen und regelmäßig überprüfen. Die technischen Standards enthalten Anforderungen an die Finanzinstitute bezüglich ihrer Nutzung kritischer IKT-Drittdienstleistungen. Sie spezifizieren insbesondere Teile der Governance-Regelungen, des Risikomanagements und des internen Kontrollrahmens, über die Finanzinstitute verfügen sollten.
Um es den zuständigen Behörden und den ESAs zu ermöglichen, die Einhaltung von DORA durch die Finanzinstitute wirksam zu überwachen und kritische Drittdienstleister zu identifizieren, enthalten die Implementierungsstandards Vorlagen für vertragliche Vereinbarungen mit IKT-Drittdienstleistern, die von den Finanzinstituten zu pflegen und zu aktualisieren sind.
Die finalen Entwürfe der technischen Standards wurden der Europäischen Kommission zur Annahme vorgelegt.
MiFID II/MIFIR: Verbesserungen zum Abbau von Informationsasymmetrien und zur Steigerung der Attraktivität für Investitionen
Das Europäische Parlament hat den Hauptteil von Rechtsvorschriften über Wertpapierdienstleistungen und Tätigkeiten von Handelsplätzen in der EU verabschiedet. Am 16. Januar 2024 hat es die Änderungen der Verordnung über Märkte für Finanzinstrumente (MIFIR) und der Richtlinie über Märkte für Finanzinstrumente II (MiFID II) angenommen. Eine der wichtigsten Anpassungen ist die Schaffung eines konsolidierten Datentickers auf EU-Ebene, eines elektronischen Systems, das Echtzeitdaten über Preise und Volumina von Aktien und börsengehandelten Fonds von verschiedenen Börsen ohne Angabe von Handelsplätzen sammeln wird. Bis Juni 2026 soll die ESMA evaluieren, ob dadurch Informationsasymmetrien abgebaut wurden und die Attraktivität der EU als Investitionsstandort erhöht wurde. Außerdem entschied das Parlament Entgelte für die Weiterleitung von Aufträgen an Dritte im Börsenhandel ("payment for order flows") zu verbieten. Die verabschiedeten Regeln bauen auf der vorläufigen Einigung zwischen dem Europäischen Parlament und dem Europäischen Rat auf, die im SAFE Regulatory Radar vom Juli 2023 näher beschrieben wird.
Um eine kohärente Anwendung der in der MIFID II festgelegten Regeln für den Einsatz von Vorhandelskontrollen zu gewährleisten, kündigte die ESMA am 11. Januar 2024 den Start einer gemeinsamen Aufsichtsmaßnahme (Common Supervisory Action) mit den zuständigen nationalen Behörden an. Dazu werden sie von Wertpapierfirmen beispielsweise Informationen über den Aufsichts- und Governance-Rahmen für Vorhandelskontrollen einholen und wie sie Vorhandelskontrollen kalibrieren und ausgestalten.
AML/CFT: Strengere und harmonisierte Regeln für nationale Behörden
Neue Vorschriften sollen den EU-Binnenmarkt vor Geldwäsche und Terrorismusfinanzierung schützen. Am 17. Januar 2024 haben das Europäische Parlament und der Rat eine vorläufige Einigung über eine Verordnung mit Regeln für den Privatsektor und eine Richtlinie über die Organisation der nationalen Systeme zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung erzielt.
Die EU-Verordnung über ein "einheitliches Regelwerk" erweitert die Liste der Verpflichteten um Anbieter von Kryptodienstleistungen und verpflichtet sie zu Sorgfaltspflichten bei Transaktionen im Wert von 1.000 Euro oder mehr sowie zu verstärkten Sorgfaltspflichten bei grenzüberschreitenden Korrespondenzbeziehungen. Während die Mitgliedstaaten niedrigere Obergrenzen für Barzahlungen festlegen können, gilt EU-weit eine Obergrenze von 10.000 Euro. Die nationalen zentralen Meldestellen zur Entgegennahme von Geldwäscheverdachtsanzeigen und andere zuständige Behörden erhalten außerdem Zugang zu zusätzlichen und vereinheitlichten Informationen zum wirtschaftlichen Eigentum der Verpflichteten. Darüber hinaus müssen Unternehmen bei Geschäften mit Drittländern, die in den Listen der Arbeitsgruppe „Bekämpfung der Geldwäsche und der Terrorismusfinanzierung“ (Financial Action Task Force) als Hochrisikoländer aufgeführt sind, verstärkte Sorgfaltspflichten erfüllen.
Gemäß der sechsten Richtlinie zur Bekämpfung der Geldwäsche müssen die Mitgliedstaaten eine angemessene Aufsicht der Verpflichteten gewährleisten. Sie müssen sicherstellen, dass die Unternehmen die Anforderungen erfüllen und strengere Sanktionen gegen Unternehmen verhängen, die den Verpflichtungen nicht nachkommen. Die zentralen Meldestellen werden außerdem besser zusammenarbeiten, Fälle von Geldwäsche und Terrorismusfinanzierung aufdecken und verdächtige Transaktionen, Konten oder Geschäftsbeziehungen aussetzen können.
Am 18. Dezember 2023 gab der Rat bekannt, dass er sich mit dem Europäischen Parlament auf das Verfahren zur Auswahl des Sitzes der künftigen Europäischen Behörde für die Bekämpfung von Geldwäsche und Terrorismusfinanzierung geeinigt hat, die mit direkten und indirekten Aufsichtsbefugnissen und der Befugnis zur Verhängung von Sanktionen und Maßnahmen ausgestattet sein wird. Nach der öffentlichen Anhörung am 30. Januar 2024 entscheiden die Mitgesetzgeber in einer informellen Sitzung über den Sitz, bei der die Vertreterinnen und Vertreter des Parlaments und des Rates gleichzeitig abstimmen werden, wobei jeder Mitgesetzgeber die gleiche Anzahl von Stimmen erhält.
Öffentliche Konsultationen
|
Dr. Angelina Hackmann ist Co-Head des SAFE Policy Center.
