Im September 2020 veröffentlichte die Europäische Kommission (KOM) ihr langerwartetes Digital Finance Package, welches zusätzlich zu den Strategiepapieren für Digitale Finanzen und für den Zahlungsverkehr auch zwei Legislativvorschläge zu Kryptowerten (MiCA) und zur Digital Operational Resilience im Finanzsektor (DORA) enthält. Auch wenn der BVR die Maßnahmen der Kommission im Allgemeinen begrüßt, so geht der Kommissionsvorschlag zu DORA doch weit über den reinen Harmonisierungsansatz hinaus und vergisst dabei das so wichtige Prinzip der Proportionalität.
Dabei ist eines ganz klar: Der BVR begrüßt die Harmonisierung der verschiedenen Regulierungsansätze im Bereich der Cyberresilience. Die aktuellen Vorschläge der Kommission gehen allerdings weit darüber hinaus und beinhalten Einzelregelungen, die an Stelle der aktuell gültigen prinzipienorientierten Vorgaben treten würden. Zudem bietet die vorgeschlagene Verordnung im Gegensatz zu den bisher geltenden Leitlinien keine Möglichkeiten der Berücksichtigung nationaler Besonderheiten. Zwar enthält der Kommissionsvorschlag gewisse Ausnahmeregelungen für sogenannte Microenterprises. Diese lassen sich aber nicht vom deutschen Bankenmarkt nutzen, denn auch sehr kleine Volksbanken und Raiffeisenbanken fallen nicht unter die Definition.
Über die zur Umsetzung der Verordnung vorgesehenen Regulatory Technical Standards (RTS) der Europäischen Aufsichtsbehörden (ESAs) ist zudem eine noch weitergehende Regelungsdichte zu erwarten. Der BVR spricht sich gegen eine solche gesetzliche Methodenfestlegung über RTS aus, da insbesondere im IT-Sicherheitsumfeld eine kurzfristige Anpassungsfähigkeit der Methoden und Praktiken erforderlich ist. Positiv hervorzuheben ist dagegen die angedachte Harmonisierung des Meldewesens bei Sicherheitsvorfällen, da diese eine Vereinheitlichung der unterschiedlichen Meldevorschriften und Templates ermöglicht. Wichtig ist, dass die bestehenden Anforderungen an ein Vorfallreporting unter anderem aus der PSD2 und der NIS-Richtlinie durch das neue Reporting vollständig abgedeckt werden.
Ferner begrüßen wir grundsätzlich die Idee eines neuen Aufsichtsrahmens für kritische europaweit tätige Informations- und Kommunikationstechnik (IKT)-Dienstleister. Diese sollte auf international tätige Dienstleister ausgerichtet werden. Für national tätige IKT-Dienstleister sollte eine Prüfung weiterhin durch nationale Aufsichtsbehörden erfolgen, da diese die nationalen Gegebenheiten genauestens kennen.
Unter Artikel 26 schlägt die Kommission zudem die Vorgabe einer sogenannten Multi-Vendor-Strategie für IKT-Dienstleister vor. Diese Regelung würde den Mehrwert von zentralen Auslagerungsfunktionen in Institutsgruppen und Verbünden reduzieren. Die Banken der genossenschaftlichen Finanzgruppe haben die Entwicklung und den Betrieb der IT an einen zentralen IT-Dienstleister ausgelagert, der im Besitz der Banken ist, sodass diese ihre Anforderungen über standardvertragliche Formen hinausgehend geltend machen können. Eine solche Auslagerung ermöglicht eine Risikominderung durch die Erhöhung der technischen Professionalität und muss auch weiterhin möglich sein. Schließlich ist darauf zu achten, dass dem Markt genügend Zeit für die Umsetzung der neuen Regelungen eingeräumt wird. Der BVR spricht sich deshalb für eine Verlängerung der Umsetzungsfristen von zwölf auf 36 Monate aus.
BVR-Position:
- Der BVR begrüßt den Harmonisierungsansatz im Bereich der Cyberresilience. Die aktuellen Vorschläge gehen aber weit darüber hinaus.
- Die Ausnahmeregelung für sogenannte Microenterprises ist nicht ausreichend.
- Die vorgesehenen RTS würden die Regelungsdichte noch verstärken.
- Die Harmonisierung im Meldewesen wird positiv bewertet.
- Überwiegend national tätige IKT-Dienstleister sollten national beaufsichtigt werden.
|
Zur DK-Stellungnahme
Im September 2020 veröffentlichte die Europäische Kommission (KOM) ihr langerwartetes Digital Finance Package, welches zusätzlich zu den Strategiepapieren für Digitale Finanzen und für den Zahlungsverkehr auch zwei Legislativvorschläge zu Kryptowerten (MiCA) und zur Digital Operational Resilience im Finanzsektor (DORA) enthält. Auch wenn der BVR die Maßnahmen der Kommission im Allgemeinen begrüßt, so geht der Kommissionsvorschlag zu DORA doch weit über den reinen Harmonisierungsansatz hinaus und vergisst dabei das so wichtige Prinzip der Proportionalität.
Dabei ist eines ganz klar: Der BVR begrüßt die Harmonisierung der verschiedenen Regulierungsansätze im Bereich der Cyberresilience. Die aktuellen Vorschläge der Kommission gehen allerdings weit darüber hinaus und beinhalten Einzelregelungen, die an Stelle der aktuell gültigen prinzipienorientierten Vorgaben treten würden. Zudem bietet die vorgeschlagene Verordnung im Gegensatz zu den bisher geltenden Leitlinien keine Möglichkeiten der Berücksichtigung nationaler Besonderheiten. Zwar enthält der Kommissionsvorschlag gewisse Ausnahmeregelungen für sogenannte Microenterprises. Diese lassen sich aber nicht vom deutschen Bankenmarkt nutzen, denn auch sehr kleine Volksbanken und Raiffeisenbanken fallen nicht unter die Definition.
Über die zur Umsetzung der Verordnung vorgesehenen Regulatory Technical Standards (RTS) der Europäischen Aufsichtsbehörden (ESAs) ist zudem eine noch weitergehende Regelungsdichte zu erwarten. Der BVR spricht sich gegen eine solche gesetzliche Methodenfestlegung über RTS aus, da insbesondere im IT-Sicherheitsumfeld eine kurzfristige Anpassungsfähigkeit der Methoden und Praktiken erforderlich ist. Positiv hervorzuheben ist dagegen die angedachte Harmonisierung des Meldewesens bei Sicherheitsvorfällen, da diese eine Vereinheitlichung der unterschiedlichen Meldevorschriften und Templates ermöglicht. Wichtig ist, dass die bestehenden Anforderungen an ein Vorfallreporting unter anderem aus der PSD2 und der NIS-Richtlinie durch das neue Reporting vollständig abgedeckt werden.
Ferner begrüßen wir grundsätzlich die Idee eines neuen Aufsichtsrahmens für kritische europaweit tätige Informations- und Kommunikationstechnik (IKT)-Dienstleister. Diese sollte auf international tätige Dienstleister ausgerichtet werden. Für national tätige IKT-Dienstleister sollte eine Prüfung weiterhin durch nationale Aufsichtsbehörden erfolgen, da diese die nationalen Gegebenheiten genauestens kennen.
Unter Artikel 26 schlägt die Kommission zudem die Vorgabe einer sogenannten Multi-Vendor-Strategie für IKT-Dienstleister vor. Diese Regelung würde den Mehrwert von zentralen Auslagerungsfunktionen in Institutsgruppen und Verbünden reduzieren. Die Banken der genossenschaftlichen Finanzgruppe haben die Entwicklung und den Betrieb der IT an einen zentralen IT-Dienstleister ausgelagert, der im Besitz der Banken ist, sodass diese ihre Anforderungen über standardvertragliche Formen hinausgehend geltend machen können. Eine solche Auslagerung ermöglicht eine Risikominderung durch die Erhöhung der technischen Professionalität und muss auch weiterhin möglich sein. Schließlich ist darauf zu achten, dass dem Markt genügend Zeit für die Umsetzung der neuen Regelungen eingeräumt wird. Der BVR spricht sich deshalb für eine Verlängerung der Umsetzungsfristen von zwölf auf 36 Monate aus.
BVR-Position:
- Der BVR begrüßt den Harmonisierungsansatz im Bereich der Cyberresilience. Die aktuellen Vorschläge gehen aber weit darüber hinaus.
- Die Ausnahmeregelung für sogenannte Microenterprises ist nicht ausreichend.
- Die vorgesehenen RTS würden die Regelungsdichte noch verstärken.
- Die Harmonisierung im Meldewesen wird positiv bewertet.
- Überwiegend national tätige IKT-Dienstleister sollten national beaufsichtigt werden.
|
Zur DK-Stellungnahme