Aktuelles aus dem Aufsichtsrecht & Meldewesen 12/2023

Die Europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA – die ESA) haben am 08.12.2023 eine Reihe von Konsultationen (ITS, RTS, GL) zur DORA veröffentlicht. Wir stellen Ihnen nachfolgend drei dieser insgesamt sechs Papiere etwas ausführlicher vor:

Technischer Standard zur Meldung großer Vorfälle
Der RTS-Entwurf zu Meldedetails für schwerwiegende Vorfälle im Rahmen von DORA deckt drei verschiedene Aspekte ab: a) den Inhalt der Meldungen zu schwerwiegenden IKT-bezogenen Vorfällen; b) die Fristen für die Einreichung einer Erstmeldung (Frist von vier bis 24 Stunden) sowie von Zwischen- und Abschlussberichten (Frist von 72 Stunden bzw. einem Monat) für jeden größeren Vorfall; c) den Inhalt der Meldung für erhebliche Cyber-Bedrohungen. Der ITS-Entwurf enthält außerdem ein Datenglossar, Merkmale der Datenfelder und Anweisungen zum Ausfüllen dieser Felder.

Leitlinie zur Schätzung der aggregierten jährlichen Kosten und Verluste, die durch große IKT-bedingte Vorfälle verursacht werden
Der Richtlinienentwurf definiert die Komponenten (z. B. Vertragsstrafen, Personalkosten etc.) zur Schätzung der aggregierten jährlichen Kosten und Verluste fest, die durch schwerwiegende IKT-bezogene Vorfälle (hier ab einem ökonomischen Schaden ab 100 TEUR) verursacht werden. Die Berechnung der jährlichen Kosten und Verluste gemäß den Leitlinien steht im Einklang mit der Bewertung der Kosten und Verluste jedes einzelnen Vorfalls gemäß den technischen Standards für die Vorfallberichterstattung (s. o.). Die Kosten sollen sich auf die jeweilige Berichtsperiode (Bilanzierung) beziehen.

RTS über die Unterauftragsvergabe von IKT-Diensten zur Unterstützung kritischer oder wichtiger Funktionen
Der Standardentwurf definiert Anforderungen an die Vertragsgestaltung für den Fall, dass Sub-Unternehmer (im Auftrag des IKT-Dienstleisters) eingesetzt werden sollen. Hierzu deckt der Standard Anforderungen je nach Vertragsphase ab, also von der Phase der Auswahl möglicher Sub-Unternehmer, über die Phase des Vertragsschlusses und der Vertragsdurchführung bis hin zur Überwachung und Beendigung des Vertrages mit dem Sub-Unternehmer.

Weitere Konsultationen der ESAs in diesem Paket:

• RTS zur Harmonisierung der Bedingungen, die die Durchführung der Aufsichtsaktivitäten ermöglichen
• Leitlinienentwurf zur Aufsichtskooperation und Informationsaustausch zwischen den ESAs und den zuständigen Behörden
• Konsultation zum Joint Draft RTS, der Elemente im Zusammenhang mit Bedrohung führt Penetrationstests angibt

Die Europäische Bankenaufsichtsbehörde (EBA) hat ein Diskussionspapier hinsichtlich der Prozesse zur Begründung einer Säule-III-Datenplattform und deren möglicher Auswirkungen auf die Praxis veröffentlicht.

Dieses Projekt zur Zentralisierung der aufsichtsrechtlichen Angaben der Institute und zur Bereitstellung aufsichtsrechtlicher Informationen über einen einzigen elektronischen Zugangspunkt auf der EBA-Website ist Teil des Bankenpakets, das in der kürzlich überarbeiteten Eigenkapitalverordnung (CRR III) und der Eigenkapitalrichtlinie (CRD VI) festgelegt wurde. In dem nun vorgelegten Diskussionspapier veröffentlicht die EBA ihre ersten Ideen für die Entwicklung der Säule-III-Datenplattform und stellt eine Reihe von Aspekten zur Diskussion, die für die Umsetzung und das Funktionieren dieser Plattform relevant sind.

Die Plattform soll sich dabei auf die bisherigen und laufenden Arbeiten der EBA im Bereich der Offenlegung stützen, insbesondere auf die (Weiter-)Entwicklung eines umfassenden Pakets vergleichbarer, standardisierter Säule-III-Aufsichtsinformationen (EBA Pillar 3 Implementing Technical Standards, die derzeit überarbeitet werden, s. a. in diesem Newsletter) sowie auf die EBA European Centralised Infrastructure for Supervisory Data (EUCLID).

Bemerkemswert ist, dass die EBA beabsichtigt, die Offenlegungsinformationen direkt von den großen EWR-Kreditinstituten und anderen Kreditinstituten zu erhalten und sie anschließend über die Säule-III-Datenplattform zu veröffentlichen. Für kleine und nicht komplexe Institute (SNCI) würde die EBA die Offenlegungsinformationen auf der Grundlage der aufsichtlichen Meldedaten, die diese Institute ihr bereits übermitteln, selbst aufbereiten und auf der Datenplattform veröffentlichen.

Im Diskussionspapier werden daher insbesondere die Vorgehensweise für die Institute, die EBA und die Nutzer der Informationsplattform sowie die wichtigsten Herausforderungen, die sich möglicherweise ergeben könnten, erläutert. Parallel zu der hier vorgestellten Konsultation führt die EBA bereits ein Pilotprojekt mit einer Stichprobe freiwilliger Institute durch, um die angedachten Verfahren mit großen und anderen Institute zu testen (sog. P3 Hub Templates als Teil von EBA DPM 3.3).

Das Diskussionspapier enthält zudem einen Abschnitt zu sogenannten „verifizierbaren Identifikatoren für juristische Personen“ (verifiable legal entity identifiers, vLEI), einer neuen Form der digitalen Organisationsidentität, die von der Global Legal Entity Identifier Foundation (GLEIF) entwickelt wurde. Die EBA ist der Meinung, dass diese eine mögliche skalierbare und sichere Lösung für die Einreichung von Säule-3-Daten durch große und andere Institute auf der EUCLID-Plattform auf effiziente Weise sein könnte.

Die Europäische Bankenaufsichtsbehörde (EBA) hat eine öffentliche Konsultation zu zwei Entwürfen für ITS zur Änderung der Offenlegungspflichten der Säule 3 und der aufsichtlichen Meldepflichten eingeleitet.

Diese Konsultationspapiere sind als ein erster Schritt bei der Umsetzung des Bankenpakets (CRR III – und CRD VI) anzusehen und sollen Klarheit über die bevorstehenden Änderungen schaffen.

Die EBA verfolgt hierin einen zweistufigen sequenziellen Ansatz, indem sie in Schritt 1 den Änderungen Vorrang einräumt, die für die Umsetzung und Überwachung der Basel-III-Anforderungen in der EU erforderlich sind. Später im Jahr 2024 will die EBA im Rahmen von Schritt 2 die Melde- und Offenlegungsanforderungen, die nicht direkt mit der Umsetzung von Basel III verbunden sind, zusammen mit den Anforderungen mit einem verlängerten Umsetzungszeitplan entwickeln.

Die nun vorliegenden ITS-Entwürfe zielen insbesondere darauf ab, die Änderungen in Bezug auf den Output-Floor, das Kreditrisiko, einschließlich der Immobilienverluste (IP), die Kapitalwertanpassung (CVA), die Marktwertanpassung (CVA) und die Marktrisikominderung umzusetzen. Die Änderungen im Zusammenhang mit dem neuen operationellen Risiko sind noch nicht Gegenstand dieser Konsultationspapiere, sollen aber Anfang 2024 folgen.

Voraussichtlich Ende Q2/24 beabsichtigt die EBA die ITS-Entwürfe zu finalisieren. Geplanter Anwendungsbeginn der überarbeiteten Standards ist der 01.01.2025, erster Meldestichtag soll der 31.03.2025 sein (mit EBA DPM 4.0).

Nach einer Konsultationsphase Mitte des Jahres hat die Europäische Bankenaufsichtsbehörde (EBA) nun die finalen Leitlinien für das Benchmarking von Diversitätspraktiken, einschließlich Diversitätsstrategien und geschlechtsspezifischer Lohnunterschiede, im Rahmen der Eigenkapitalrichtlinie (CRD) und der Richtlinie über Wertpapierfirmen (IFD) veröffentlicht.

Diese Leitlinien sollen ein höheres Maß an Transparenz in Bezug auf die Arbeit der EBA zum Thema Diversität und Geschlechtergleichstellung gewährleisten und dazu beitragen, die Qualität der erhobenen Daten sowie das Bewusstsein aller Beteiligten in diesem Bereich zu verbessern.

Die Leitlinien gelten sowohl für Institute als auch für Wertpapierfirmen. Diese sollten in der Lage sein, Daten über die Vielfalt ihres Leitungsorgans und das geschlechtsspezifische Lohngefälle vorzulegen, wenn solche Daten von der EBA angefordert werden. Gemäß den vorgelegten Leitlinien werden diese Daten jedoch nur bei einer repräsentativen Stichprobe von Instituten und Wertpapierfirmen in Bezug auf ihre Diversitätspolitik, Diversitätspraktiken und das geschlechtsspezifische Lohngefälle auf der Ebene des Leitungsorgans erhoben und dies lediglich alle drei Jahre.

Der Rat der Aufseher der EBA hat zudem in einem Beschluss (EBA/DC/516) die technischen Aspekte festgelegt, die bei der Stichprobenziehung von Instituten berücksichtigt werden sollen.

Gemäß des veröffentlichten Umsetzungsfahrplans wird das Diversity Benchmarking Teil von EBA DPM 3.5 mit erstem Stichtag 31.12.2024 sein und insgesamt elf Vordrucke umfassen.