EBA emphasises again that Brexit planning should advance more rapidly

In our recent blog article Risiken für den Finanzmarkt durch Brexit – Die europäischen Aufsichtsbehörden legen Standard für die EU-27 fest we gave an overview of the opinions and reports published by the European Banking Authority (EBA), the European Securities and Markets Authority (ESMA) and the European Insurance and Occupational Pensions Authority (EIOPA), together the European Supervisory Authorities (ESAs), on the standards the ESAs expect of market participants within the EU post Brexit.

On Monday this week, the European Banking Authority (EBA) published a further opinion on preparations for the withdrawal of the UK from the EU. The opinion concerns the activities of credit institutions, investment firms, payment service providers and e-money institutions preparing for Brexit and is addressed to the national authorities, the ECB and the Single Resolution Board. EBA’s view should also be taken seriously by market participants since EBA expects the national authorities to ensure that financial institutions are preparing adequately for Brexit. Two years after the Brexit referendum EBA emphasizes that the recent political agreement on a transition period until end of 2020 does not provide any legal certainty until a withdrawal agreement is ratified at the end of the process for the departure of the UK from the EU. EBA points out that in their opinion there remains a material possibility that – despite best efforts on both sides – a ratified withdrawal agreement will not be concluded, in which case the UK would leave the EU on 30 March 2019 by operation of law without a transition period.

Without a ratified withdrawal agreement and thus without a transition period, the UK will become a third country for the purposes of the EU’s legal framework in March 2019. Through its engagement with the national competent authorities EBA expressed its worry that contingency planning and other preparations undertaken by financial institutions in UK as well as in the EU-27 should advance more rapidly. Although the political process is still ongoing and will hopefully lead to an agreement after all, EBA is adamant that financial institutions should not rely on public sector solutions, as “they may not be proposed and/or agreed”.

Financial institutions are required to assess the implications of Brexit for themselves and to prepare a suitable contingency plan. Some of the points explicitly mentioned in the recent opinion which need identifying and taking care of are:

  • direct financial exposures to and existing contracts with UK (for EU27 financial institutions) or EU27 (for UK financial institutions) counterparties;
  • reliance on UK (for EU27 financial institutions) or EU27 (for UK financial institutions) financial market infrastructures, including central counterparties (CCPs) and related ancillary services;
  • the storage of data in, and transfer of data to, the UK (for EU27 financial institutions) or the EU27 (for UK financial institutions); and
  • reliance on funding markets in the UK (for EU27 financial institutions) – including for issuances of instruments eligible for minimum requirements for own funds and eligible liabilities.

In case a financial institution still requires a new license to carry out business in the EU-27 post Brexit, the application should have been filed before the end of June to receive a timely authorisation prior to 30 March 2019.

Another focus is customer communication. Financial institutions are expected to ensure that they have assessed their obligations to their customers and the continuity of services and contractual commitments. Communication with customers should be sought as early as possible and by the end of 2018 at the latest.

One day after the publication by EBA, BaFin re-published EBA’s newest opinion on Brexit on its own website.

EBA-Vorgaben zur Meldung von Zahlungssicherheitsvorfällen durch BaFin bestätigt

BaFin hat am 7. Juni 2018 ein Rundschreiben zur Meldung schwerwiegender Sicherheitsvorfälle veröffentlicht. Das Zahlungsdiensteaufsichtsgesetz (ZAG) sieht vor, dass ein Zahlungsdienstleister die BaFin unverzüglich über einen schwerwiegenden Betriebs- oder Sicherheitsvorfall unterrichten muss, die dann wiederum die EBA und EZB darüber informiert. Eine weitere Spezifizierung des Adjektivs „schwerwiegend“ erfolgt im Gesetz selbst nicht. Für einen einheitlichen Marktstandard in Deutschland und Europa waren klarstellende Aussagen der Aufsicht für die Klassifizierung von Vorfällen daher wünschenswert.

Die EBA hat bereits am 19. Dezember 2017 Leitlinien zu diesem Thema veröffentlicht, die die BaFin nun eins-zu-eins in ihre Verwaltungspraxis umsetzt. Dadurch werden die EBA-Leitlinien, die originär nur Rechtswirkung gegenüber den nationalen Aufsichtsbehörden in Europa haben, auch für den deutschen Markt bindend.

Das Rundschreiben richtet sich an alle regulierten Institute, die Zahlungsdienste erbringen, also nicht nur an Zahlungsinstitute, sondern auch an E-Geld-Institute und Banken. Es enthält neben praktischen Vorgaben zu Inhalt, Format und Verfahren für die Meldung solcher Vorfälle Auslegungshilfen dazu, nach welchen Kriterien die Relevanz eines Sicherheitsvorfalls im Zahlungsdienstebereich zu bewerten ist. Als Kriterien werden genannt Wert und Anzahl der vom Vorfall betroffenen Zahlungsvorgänge, die Anzahl der betroffenen Zahlungsdienstenutzer/Kunden, die Dienstausfallzeit, wirtschaftliche und systemische Auswirkungen, die Höhe der internen Eskalationsstufe innerhalb des betroffenen Zahlungsdienstleisters sowie Reputationsschäden. Diese Kriterien werden nach niedriger und hoher Auswirkungsstufe gewichtet. So ist z.B. eine niedrige Auswirkungsstufe für die Aufsicht dann erreicht, wenn mehr als 10% des üblichen Transaktionsvolumens des betroffenen Zahlungsdienstleisters und 100.000 EUR durch den Sicherheitsvorfall betroffen sind. Im Verhältnis dazu ist eine hohe Auswirkungsstufe erst ab einem betroffenen Transaktionsaktionsvolumen von über 25% des üblichen Volumens oder 5 Mio. EUR erreicht. Zieht man als Kriterium die Zahl der betroffenen Zahlungsdienstenutzer heran, so liegt eine niedrige Auswirkungsstufe etwa dann vor, wenn mehr als 5.000 und weniger als 50.000 Kunden und mehr als 10%, aber weniger als 25% der Kunden des betroffenen Zahlungsdienstleisters betroffen sind.

Ein schwerwiegender Zahlungssicherheitsvorfall wird angenommen, wenn entweder mindestens ein Kriterium der hohen Auswirkungsstufe oder mindestens drei Kriterien der niedrigen Auswirkungsstufe erfüllt sind. Dann ist eine Meldung des Sicherheitsvorfalls an die BaFin erforderlich.

Auch das neue Rundschreiben der BaFin zeigt, dass die Aufsicht von prinzipienbasierten Vorgaben geleitet ist, die im vorliegenden Fall durch quantitative Kriterien ergänzt werden. Da Sicherheitsvorfälle im Zahlungsdienstebereich abhängig vom individuellen Transaktionsvolumen und der Zahl der individuellen Kunden sind, ist der Proportionalitätsgrundsatz auch hier gewahrt. Das bedeutet, dass bei einem kleinen Zahlungsdienstleister ein Sicherheitsvorfall schon dann meldepflichtig sein kann, wenn bei großen Marktteilnehmern die Relevanzschwelle für Meldungen bei denselben quantitativen Fakten noch nicht erreicht ist.

Cloud-Computing, Outsourcing und IT-Aufsicht

In Zeiten der Digitalisierung sind Cloud-Dienste nicht mehr wegzudenken. Gerade für Unternehmen, die innovative Finanz-Produkte anbieten wollen, stellt sich zu Geschäftsbeginn oder bei Erweiterung des Geschäftsmodells die Frage, ob sie eigene traditionelle IT-Systeme aufbauen oder stattdessen IT-Ressourcen aus der Cloud nutzen wollen. Cloud-Computing gibt es in vielen Formen und Größen: on demand oder mit festem Volumen, mit verschiedenen Zugangsoptionen (public, private oder hybrid), als Infrastructure as a service (IaaS), Platform as a service (PaaS) oder Software as a service (SaaS).

Bei IaaS werden Server, Rechenleistung, Speicher und Netzwerkkapazitäten eines Cloud-Anbieters in Anspruch genommen. In der Regel hat bei dieser Variante der Anwender die Kontrolle über Betriebssysteme und Anwendungen. PasS stellt üblicherweise ein Programmiermodell und Entwicklerwerkzeuge zur Verfügung, um Cloud-basierte Anwendungen zu erstellen und zu nutzen, die Infrastruktur ist im Paket inbegriffen. Als dritte und weitreichendste Nutzung externer IT werden bei der SaaS-Lösung Softwareanwendungen über das Internet bereitgestellt, wobei die Anwendungen samt dazugehöriger Infrastruktur von den Cloud-Anbietern gehostet und verwaltet werden.

Da die IT-Aufsicht ein Schwerpunktbereich in der Bankenaufsicht 2018 ist, zeigen wir im Folgenden, welcher regulatorische Rahmen bei der Nutzung von Cloud-Computing zu beachten ist und ob es hierfür eigene, über die altbekannten Auslagerungsvorgaben hinausgehende Anforderungen gibt. Es gibt zwei Regulierungsbereiche, die bei der Nutzung von Cloud-Diensten wesentlich sind: Das ist zum einen das Thema Auslagerung und zum anderen die IT-Sicherheit.

IT-Sicherheit

Wie wir bereits in unserem letzten Blogbeitrag zur Finanzaufsicht in Zeiten der Digitalisierung festgestellt haben, sind die allgemeinen Vorgaben der Mindestanforderungen an das Risikomanagement der Banken (MaRisk) und Bankaufsichtlichen Anforderungen an die IT (BAIT) die Grundlagen der Verwaltungspraxis der BaFin im Rahmen der IT-Aufsicht. Diese prinzipienbasierten Vorgaben gelten selbstverständlich auch dann, wenn Institute nicht ihre eigene IT-Infrastruktur aufbauen, sondern Cloud-basierte IT-Infrastruktur einkaufen. Denn auch dann muss das Institut gewährleisten, dass seine IT sicher ist und z.B. die Kunden- und Transaktionsdaten verlässlich und sicher verwahrt und genutzt werden.

Erwähnenswert sind hier jedoch auch die Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem Anforderungskatalog Cloud Computing (C5) veröffentlicht hat. Der Anforderungskatalog richtet sich in erster Linie zwar an professionelle Cloud-Anbieter, er findet jedoch auch Berücksichtigung im Rahmen der Prüfung der Institute. Die Prüfer, die auch die Einhaltung der aufsichtsrechtlichen Vorgaben überprüfen, können den Anforderungskatalog des BSI als Prüfungsmaßstab heranziehen. Bei dem Anforderungskatalog selbst handelt es sich nicht um bindende Vorgaben, sondern um Empfehlungen. Die festgeschriebenen Anforderungen stellen eine Referenz des BSI für sicheres Cloud-Computing dar. Daher ist es aus Sicht der Institute wichtig, die Empfehlungen des BSI zumindest zu kennen. Wenn ein Institut mit einem Cloud-Anbieter von dem Anforderungskatalog des BSI abweichende Vereinbarungen treffen sollte, sollte das Institut gegenüber den Prüfern und der Aufsicht erklären können, weshalb der gewählte Dienst dennoch ein hohes Maß an IT-Sicherheit vorweist.

Outsourcing

Ein besonders wichtiges Thema bei der Nutzung von Cloud-Computing ist die Auslagerung von IT-Dienstleistungen. Auslagerungen müssen nach wie vor die Anforderungen der MaRisk und der BAIT erfüllen, d.h. unter anderem, eine eigene Risikoanalyse muss Risikogehalt und Wesentlichkeit einer Auslagerung feststellen, es sind gewisse Anforderungen an die vertraglichen Regelungen mit den Cloud-Dienstleistern zu erfüllen, und es sind intern klare Verantwortlichkeiten für die Steuerung und Überwachung der ausgelagerten Tätigkeiten festzulegen.

Schließlich ist zu betonen, dass die genaue Kenntnis der bezogenen Cloud-Dienste grundlegend ist für den von den Instituten selbst gewählte Umfang des Cloud-Computings. Ein solcher Satz mag verwundern, in der Praxis kommt es jedoch immer wieder vor, dass die Institute trotz ihrer Überwachungspflicht nicht immer alle Details ihrer IT-Infrastruktur kennen. Dem wirken die neuen europäischen Vorgaben zur Auslagerung an Cloud-Anbieter nun explizit entgegen.

Ab 1. Juli 2018 gelten die EBA-Empfehlungen zur Auslagerung an Cloud-Anbieter, die Ende März 2018 veröffentlicht wurden. Die Empfehlungen der EBA binden die nationalen Aufsichtsbehörden und geben so indirekt den europäischen Aufsichtsstandard in Bezug auf Cloud-Computing vor. Neu ist, dass die auslagernden Institute ab 1. Juli 2018 ihre zuständigen Aufsichtsbehörden über wesentliche Tätigkeiten, die an Cloud-Service-Provider ausgelagert werden, angemessen und – wenn man sich die neuen Vorgaben genauer anschaut – nun auch detailliert informieren müssen. So sind künftig für Institute eine Beschreibung der Tätigkeiten und Daten, die ausgelagert werden sollen (einschließlich des Standorts der Datenspeicherung) sowie weitere Vertragsdetails mitzuteilen. Bislang waren solche Informationen intern vorzuhalten und wurden im Rahmen der jährlichen aufsichtlichen Prüfung berücksichtigt, detaillierte Vorgaben zur aktiven Vorlage bei der Aufsicht gab es jedoch nicht. Die EBA-Empfehlungen sehen nun auch explizit vor, dass das auslagernde Institut ein stets aktuelles Informationsverzeichnis mit allen wesentlichen und nicht wesentlichen Tätigkeiten führt, die auf Instituts- oder Gruppenebene an Cloud-Anbieter übertragen wurden. Ein solches Verzeichnis muss z.B. Aufschluss darüber geben, ob der genutzte Cloud-Anbieter ersetzbar wäre und wann die letzte Risikobewertung der Auslagerung seitens des Instituts erfolgte. Weitere zentrale Punkte in dem EBA-Papier sind die vertragliche Umsetzung von Zugangs- und Prüfungsrechten sowohl für die Institute selbst als auch für die Aufsicht, sowie die Sicherheit von Daten und Systemen, die im Kern aber keine Neuerungen für die deutsche Aufsichtspraxis bergen.

Zusammenfassend lässt sich feststellen, dass die Nutzung von Cloud-Lösungen aufsichtsrechtlich kein Selbstläufer ist, sondern eine genaue Analyse, Kenntnis und Überwachung des auslagernden Instituts voraussetzt.

Risiken für den Finanzmarkt durch Brexit – Die europäischen Aufsichtsbehörden legen Standard für die EU-27 fest

Am 12. April 2018 veröffentlichte die Europäische Bankenaufsichtsbehörde (EBA) den Joint Committee Report zu Risiken und Anfälligkeiten des europäischen Finanzsystems. Darin geht es auch um den Brexit. Der Report wurde von allen drei europäischen Aufsichtsbehörden, EBA, ESMA (Europäische Wertpapieraufsicht) und EIOPA (Europäische Versicherungsaufsicht) in einem gemeinsamen Komitee verfasst. Auch wenn politisch noch keine Einigung erzielt ist über den künftigen Zugang Großbritanniens zum europäischen Finanzmarkt und auch die Richtung noch nicht wirklich klar ist, zeigt der aktuelle Report deutlich auf, dass die europäischen Aufsichtsbehörden ihre Aufgabe, die Stabilität des europäischen Finanzmarktes zu gewährleisten, sehr ernst nehmen.

Die europäischen Aufseher mahnen und regen an, dass alle Institute der EU-27 sowie deren Vertragspartner, Privatkunden und Investoren sich rechtzeitig auf den Brexit vorbereiten und die Konsequenzen für die jeweiligen Geschäftsmodelle im Blick haben. Ein Ausscheiden Großbritanniens aus dem gemeinsamen Markt ohne ausreichende Vorbereitung der Finanzmarktteilnehmer sei allein aus Risikogesichtspunkten unbedingt zu vermeiden.

Zur besseren Planung und zur Gewährleistung von Rechtssicherheit haben alle drei europäischen Aufsichtsbehörden Richtlinien veröffentlicht, die zum einen den Aufsichtsstandard im Binnenmarkt aufrechterhalten sollen und zum anderen etwaige Fragen im Zusammenhang mit Standortwechseln für Institute beantworten. Auch die BaFin steht den Marktteilnehmern für Fragen zur Verfügung.

Die Richtlinie der EBA vom Oktober 2017 findet sich hier. Die ESMA hat sich hier einmal grundsätzlich geäußert und die EIOPA hat im Juli 2017 ihre Meinung hier veröffentlicht. Sektorspezifische Ausführungen veröffentlichte die ESMA im Juli 2017 zusätzlich für Finanzdienstleister, Fondsmanager und den Sekundärmarkt.