Am Ende jedes Monats stellt das SAFE Regulatory Radar eine Auswahl wichtiger Neuigkeiten und Entwicklungen im Bereich der Finanzregulierung auf nationaler und EU-Ebene zusammen.
DORA: Aktualisierte technische Standards
Am 17. Juli 2024 veröffentlichten die drei europäischen Aufsichtsbehörden EBA, EIOPA und ESMA (ESAs) das zweite Maßnahmenpaket im Rahmen der Verordnung über die digitale operationale Resilienz im Finanzsektor („Digital Operational Resilience Act“, DORA), nach dem ersten Paket im Januar 2024. Das Paket besteht aus vier technischen Regulierungsstandards (RTS), eines technischen Durchführungsstandards (ITS) und zwei politischen Leitlinien zur Förderung der digitalen operationellen Resilienz. Die Veröffentlichung erfolgt im Anschluss an eine gezielte Konsultation der Interessengruppen für alle Normen und Leitlinien. Im Einzelnen besteht das Paket aus den folgenden Entwürfen und Standards:
- RTS für Thread-Led-Penetration-Testing (TLPT): TLPT ist eine Art von Cybersicherheitsprüfung zur Bewertung der Widerstandsfähigkeit von Finanzunternehmen durch Simulation von Cyberangriffen. Die Standards spezifizieren TLPT-Anforderungen (zum Beispiel Häufigkeit von mindestens einmal alle drei Jahre, ausreichender Umfang und Abdeckung, Unabhängigkeit der Testanbieter) sowie eine standardisierte Testmethodik und Berichterstattung.
- RTS und ITS für Informations- und Kommunikationstechnologie (IKT), wie Internet, drahtlose Netzwerke, Mobiltelefone, mit dem Ziel, die Meldung von IKT-bezogenen Vorfällen bei Finanzunternehmen zu harmonisieren und zu verbessern: Finanzunternehmen müssen IKT-bezogene Vorfälle wie Cyberangriffe, Datenschutzverletzungen oder Systemausfälle innerhalb bestimmter Fristen an die zuständigen Aufsichtsbehörden melden: Erstmeldungen innerhalb von 24 Stunden und Abschlussberichte innerhalb eines Monats. Die Dokumente legen auch Regeln für die Rückmeldung, Umsetzung und Einhaltung für Finanzunternehmen fest.
- RTS über die Durchführung von Aufsichtstätigkeiten und RTS über die Durchführung von Aufsichtstätigkeiten nach Art. 41(1) (c) DORA: Diese harmonisieren die Pflichten von kritischen Drittanbietern, wie Cloud-Service-Providern, Zahlungsabwicklern oder IT-Dienstleistern, gegenüber den jeweiligen Aufsichtsbehörden. Sie müssen Transparenz- und Informationsaustauschpflichten einhalten, den Aufsichtsbehörden uneingeschränkten Zugang zu Räumlichkeiten, Systemen und Daten gewähren, IKT-bezogene Vorfälle gemäß den jeweiligen Standards melden und spezielle Kontaktstellen für die Zusammenarbeit mit den Aufsichtsbehörden benennen. Die RTS zu Art. 41(1) (c) DORA spezifizieren die Kriterien für die Bestimmung der Zusammensetzung der gemeinsamen Prüfungsteams („Joint Examination Teams“, JET) für IKT-Drittdienstleister, die von den Europäischen Aufsichtsbehörden und den zuständigen Behörden eingesetzt werden.
Während die Leitlinien von den Aufsichtsräten der ESAs angenommen wurden, werden alle Entwürfe technischer Standards nun der Europäischen Kommission vorgelegt, die sie vor ihrer Veröffentlichung innerhalb von maximal drei Monaten überprüfen wird.
Bankenpaket: Detaillierte Integration der EBA-Updates
Die Europäische Bankenaufsichtsbehörde (EBA) hat das Bankenpaket mit drei detaillierten Änderungen an technischen Regulierungsstandards und einem Rahmenwerk veröffentlicht. Im Einzelnen enthält es Aktualisierungen der
- Wesentlichkeit des Marktrisikomodells: Die finalen technischen Regulierungsstandards bewerten die Wesentlichkeit von Erweiterungen und Änderungen interner Modelle für das Marktrisiko. Diese Standards, die Teil des Rahmens für die grundlegende Überprüfung des Handelsbuchs („Fundamental Review of the Trading Book“, FRTB) sind, unterscheiden zwischen wesentlichen und nicht wesentlichen Änderungen, wobei erstere genehmigungspflichtig und letztere meldepflichtig sind. Die Standards enthalten qualitative und quantitative Bedingungen, um eine strenge aufsichtsrechtliche Überwachung und einheitliche Risikomanagementpraktiken zu gewährleisten.
- Außergewöhnliche Umstände für interne Modelle: Die finalen Entwürfe der technischen Regulierungsstandards zielen darauf ab, außergewöhnliche Umstände für die weitere Verwendung interner Modelle für das Marktrisiko zu identifizieren. Diese Standards bieten Leitlinien dafür, wann Banken bei erheblichen Störungen von den Standardanforderungen abweichen können, um Stabilität und die Einhaltung der Eigenkapitalverordnung („Capital Requirements Regulation“, CRR) zu gewährleisten.
- Standards für das Gegenparteiausfallrisiko: Die EBA hat Änderungen an den technischen Regulierungsstandards für den Standardansatz für das Gegenparteiausfallrisiko (SA-CCR) veröffentlicht. Diese Änderungen führen spezifische Formeln für die Berechnung des aufsichtlichen Deltas von Optionen ein und behandeln Fragen im Zusammenhang mit negativen Zinssätzen und Rohstoffpreisen.
- Aktualisierung des aufsichtsrechtlichen Berichtsrahmens: Die EBA hat ihren aufsichtsrechtlichen Berichtsrahmen aktualisiert, um ihn an die jüngsten Reformen der Eigenkapitalverordnung (CRR3) und von Basel III anzupassen. Diese Aktualisierungen umfassen Änderungen der Meldeanforderungen für die Output-Untergrenze, das Kreditrisiko, das Marktrisiko, das Risiko der fortgeschrittenen Kreditwertberichtigung (Credit Value Adjustment-Risiko), die Leverage-Ratio und die Übergangsbehandlung von Kryptoaktiva. Ziel ist es, die Kohärenz und Wirksamkeit der Aufsicht über die Banken in der EU zu verbessern.
Jede Aktualisierung steht im Einklang mit den Basel III-Standards und der Eigenkapitalverordnung und unterstützt die übergeordneten Ziele des EU-Bankenpakets zur Stärkung der Finanzstabilität. Das Bankenpaket wurde in einem SAFE Finance Blog bewertet.
Öffentliche Konsultationen
|
Vincent Lindner ist Co-Head des SAFE Policy Centers.
Jonas Schlegel ist Co-Head des SAFE Policy Centers.