SAFE Finance Blog
30 Nov 2022

Das SAFE Regulatory Radar im November

Erste Vorgaben für Unternehmen zu ihren Nachhaltigkeitsberichten, aktualisierte Vorschriften für Anbieter von kritischen Dienstleistungen in der Informations- und Kommunikationstechnologie und neue Liquiditätsanforderungen für Investmentfirmen

Am Ende jedes Monats stellt das SAFE Regulatory Radar eine Auswahl wichtiger Neuigkeiten und Entwicklungen im Bereich der Finanzregulierung auf nationaler und EU-Ebene zusammen.

CSRD: Berichtsstandards zu unternehmerischer Nachhaltigkeit

Unternehmen, die in den Anwendungsbereich der Richtlinie über die Nachhaltigkeitsberichterstattung von Unternehmen („Corporate Sustainability Reporting Directive“, CSRD) fallen, erhalten erste Vorgaben dazu, wie sie bei gesellschaftlichen und Umweltbelangen Bericht erstatten sollen. Der Entwurf der Europäischen Normen für die Nachhaltigkeitsberichterstattung („European Sustainability Reporting Standards“, ESRS), den die „European Financial Reporting Advisory Group“ (EFRAG) am 23. November veröffentlicht hat, stellt erste Offenlegungsstandards vor, die die Nachhaltigkeitsbelange von Unternehmen von außen und von innen heraus betrachtet abdecken. Der ESRS-Entwurf legt demnach dar, wie nachhaltigkeitsbezogene (finanzielle) Risiken und Möglichkeiten sowie Auswirkungen von Wirtschaftsaktivitäten identifiziert, bewertet und offengelegt werden können. Laut EFRAG wurden die im ESRS-Entwurf enthaltenen Offenlegungspflichten, wenn möglich, an die Struktur und den Inhalt anderer internationaler Standards zur Nachhaltigkeitsberichterstattung angeglichen und im Vergleich zu den Exposure Drafts fast um die Hälfte reduziert. Die Entwürfe der EFRAG beziehen sich auf die folgenden drei Bereiche der Nachhaltigkeitsberichterstattung von Unternehmen:

  1. Berichterstattung von Umweltbelangen: Fünf ESRS legen fest, wie Unternehmen Informationen zum Klima (z. B. Maßnahmen zu Eindämmung des und Anpassung an den Klimawandel, Energieaufwand und Treibhausgasemissionen), Wasser- und Meeresressourcen (z. B. Wasserverbrauch), Artenvielfalt und Ökosystemen (z. B. die räumliche Anordnung von Land- und Meeresnutzung), Ressourcenverbrauch und Kreislaufwirtschaft (z. B. Ressourcenzuflüsse und -abflüsse) sowie Verschmutzung offenlegen sollen.
  2. Gesellschaftliche Berichterstattung: Vier ESRS-Entwürfe geben vor, wie Unternehmen Informationen über ihre eigenen Arbeitskräfte (z. B. tarifvertragliche Absicherung, angemessene Gehälter und Vielfalt), Beschäftigte in der Wertschöpfungskette, betroffene Gruppen (z. B. Respekt der Menschenwürde) sowie Verbraucher:innen und Endnutzer:innen (z. B. Respekt für das Recht auf Privatsphäre) offenlegen sollen.
  3. Berichterstattung zur Unternehmensführung: Ein ESRS-Entwurf bezieht sich auf das Geschäftsgebaren von Unternehmen, einschließlich bewiesener Vorfälle von Korruption und Bestechung, politischer Einflussnahme, Lobbying und Zahlungsverhalten.

Diese ESRS-Entwürfe ergänzen generelle Vorschriften (z. B. Zeitrahmen und Struktur von Nachhaltigkeitsberichten) und Informationen zur Berichterstattung in den Kategorien Unternehmensführung, Strategie, Auswirkung, Management von Risiken und Chancen sowie Messgrößen und Zielvorgaben.

Die vorgeschlagenen ESRS werden nun von den europäischen Institutionen geprüft, unter ihnen die EU-Kommission und die Mitgliedsstaaten, bevor sie im Juni 2023 schlussendlich als Delegierte Rechtsakte verabschiedet werden. Infolge einer Überprüfungsphase müssen die finalen ESRS von den ersten Unternehmen ab dem Geschäftsjahr 2024 angewendet werden.

DORA: Neue Regeln für Dienstleister im Umgang mit Risiken der Informations- und Kommunikationstechnologie

Finanzunternehmen und die Anbieter kritischer Dienstleistungen in der Informations- und Kommunikationstechnologie (IKT) werden ein konsolidiertes, aktualisiertes Regelwerk befolgen müssen, das die Risiken berücksichtigt, die mit den Informations- und Kommunikationstechnologien einhergehen und die digitale Betriebsstabilität gefährden. Die Verordnung zur Betriebsstabilität digitaler Systeme („Digital Operational Resilience Act“ DORA), die das Europäische Parlament am 10. November 2022 ratifiziert hat, gleicht Rechtsvorschriften und national uneinheitliche regulatorische und aufsichtsrechtliche Verfahren für die Bewältigung von IKT-Risiken an. Damit sollen Stabilität, Integrität und Effizienz des europäischen Finanzsystems gewährleistet werden. Insbesondere dient DORA dem Schutz von

  • materiellen und immateriellen Informationswerten,
  • Software- und Hardware-Assets, und
  • wichtigen physischen Bestandteilen und Infrastruktur, wie zum Beispiel Rechenzentren,

vor Schäden, ungerechtfertigten Zugriffen und Benutzung. Daher verlangt die Verordnung von Finanzunternehmen, wie zum Beispiel Transaktionsregistern, Kreditinstituten, Zahlungsverkehrs- und E-Geld-Instituten oder Anbietern von Dienstleistungen im Zusammenhang mit Kryptowerten, sowie deren Anbietern von kritischen IKT-Dienstleistungen allen IKT-bezogenen Bedrohungen und Störungen standzuhalten, auf diese zu reagieren und sich von ihnen zu erholen. Für dieses Ziel ist ein verpflichtendes, fundiertes und gut dokumentiertes Rahmenwerk zum IKT-Risikomanagement entscheidend. Dieses Rahmenwerk muss Prozesse und Instrumente zur Identifikation, Bewältigung und Berichterstattung von IKT-bezogenen Vorfällen und Cyber-Bedrohungen ausweisen. Die Abwehrmechanismen werden regelmäßigen Penetrationstests unterzogen. Um der Richtlinie zu entsprechen, gewährt DORA einen Umsetzungszeitraum von zwei Jahren nach ihrer offiziellen Veröffentlichung, die voraussichtlich bis zum Ende des Jahres erfolgen wird.

Die gemäß DORA umgesetzten Schutzmaßnahmen können als Voraussetzung für eine Open Finance-Infrastruktur angesehen werden, die auf Grundlage verfügbarer Daten innovative und verbraucherbezogene Finanzprodukte bereitstellt. Um personenbezogene und nicht-personenbezogene Daten zu teilen, darauf zuzugreifen und sie wiederzuverwenden, stellt die Expertengruppe der EU-Kommission in ihrem Bericht über Open Finance vom 24. Oktober 2022 klar, dass die Risiken im Zusammenhang mit komplexer Datenkontrolle und Cyberangriffen von Zahlungsdienstleistern erfolgreich bewältigt werden müssen.

IFD: Investmentfirmen müssen ihre Liquiditätspuffer anpassen

Auf Grundlage einer von den zuständigen Behörden durchgeführten einheitlichen Risikobeurteilung werden Investmentfirmen ihre Liquiditätspuffer anpassen müssen. Der Entwurf mit technischen Regulierungsstandards der Europäische Bankenaufsichtsbehörde (EBA) vom 14. November 2022, sieht gemäß der Richtlinie über Kapitalanlagegesellschaften („Investment Firms Directive“, IFD) einen einheitlichen Entscheidungsprozess zur Festlegung bestimmter Liquiditätsanforderungen für Investmentfirmen vor. Wenn eine Investmentfirma materiellen Liquiditätsrisiken ausgesetzt ist, die nicht ausreichend von den Mindestanforderungen an die Liquidität abgedeckt sind, müssen laut IFD die zuständigen Behörden spezifische Liquiditätsanforderungen bestimmen. Um diese Anforderungen aufzustellen, müssen das Liquiditätsrisiko und seine Bestandteile auf einer Weise gemessen werden, die für die Größe, Struktur und interne Organisation von Investmentfirmen und dem Wesen, Umfang und der Komplexität ihrer Investmentaktivitäten angemessen ist. Der Messvorgang muss daher mögliche Quellen von Liquiditätsengpässen berücksichtigen, nämlich

  • Investmentdienstleistungen und -Aktivitäten (z. B. Fälligkeitsprofile oder zeitliche Diskrepanz zwischen von den Kunden erhaltenen und an die Handelsplattform gezahlten Gebühren),
  • Finanzierung (z. B. Verfügbarkeit und Währung bestehender Finanzierungsquellen oder der Zugang zu im Vorhinein organisierten Finanzierungsquellen für den Notfall),
  • betriebliche Vorfälle (z. B. externer oder interner Betrug, Nichtverfügbarkeit der Systeme oder Schadenersatzansprüche und Forderungen im Zusammenhang mit Fehlern bei der Auftragsausführung),
  • externe Vorfälle (z. B. teilweiser oder kompletter Verlust von gesicherter, kurzfristiger Finanzierung in einer Stresssituation oder die mögliche Verpflichtung zum Rückkauf von Schulden), und
  • Ansehensverluste (z. B. verschlechterter Marktzugang oder Verringerung des Kreditrisikos von Gegenparteien bei außerbörslichem Handel).

Zusätzlich erlegt die EBA den zuständigen Behörden die Kontrolle der Angemessenheit der Systeme für die Messung, Bewältigung und Berichterstattung von Liquiditätsrisiken, Maßnahmen zur Risikominderung, Unternehmensführung und Sanierungspläne der Investmentfirmen auf. Der vorgeschlagenen Standards wird im nächsten Schritt der EU-Kommission zur Zustimmung vorgelegt und vor seiner Veröffentlichung vom Europäischen Parlament und dem Europäischen Rat geprüft.

Öffentliche Konsultationen:

  • Europäische Bankenaufsichtsbehörde (EBA): Konsultation zur Änderung der Leitlinien zur Verbesserung der Abwicklungsfähigkeit von Instituten und Abwicklungsbehörden zur Einführung eines neuen Abschnitts über Abwicklungsfähigkeitstests. Die Frist läuft bis Mittwoch, den 15. Februar 2023.
  • EBAAufruf zur Beweisabgabe – gemeinsam mit EIOPA und ESMA – zu möglichen Greenwashing-Praktiken, die für verschiedene Abschnitte der Wertschöpfungskette nachhaltiger Anlagen und des Lebenszyklus von Finanzprodukten relevant sind. Die Frist endet am Dienstag, 10. Januar 2023.
  • Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA): Konsultation zu Richtlinien für die Verwendung von ESG- oder nachhaltigkeitsbezogenen Begriffen in den Namen von Fonds. Die Frist endet am Montag, 20. Februar 2023.
  • ESMAKonsultation zu den Regeln für den Europäischen Pass für Wertpapierfirmen gemäß MiFID II. Die Frist endet am Freitag, 17. Februar 2023.
  • Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA): Konsultation zu den methodischen Grundsätzen von Stresstests für Versicherungen mit Schwerpunkt auf Cyberrisiken. Die Frist endet am Dienstag, den 28. Februar 2023.
 

Carl-Georg Luft ist wissenschaftlicher Mitarbeiter am SAFE Policy Center.