REGULIERUNG MiFIR)
REGULIERUNG MiFIR) sicherstellen, dass ihre Kunden anhand eines Legal Entity Identifiers (LEI) identifiziert werden können, andernfalls dürfen die Geschäfte nicht ausgeführt werden. Die Meldepflicht gilt jedoch nur für bestimmte Geschäfte in Finanzinstrumenten und der LEI muss nur von juristischen Personen beantragt werden. Auch nach der Marktmissbrauchsverordnung (Verordnung (EU) 596/2014, MAR) sind Handelsplätze und systematische Internalisierer verpflichtet, für die Meldung von Referenzdaten Emittenten von Finanzinstrumenten anhand eines LEI zu identifizieren. 14. MaRisk, BAIT/VAIT und Cybersicherheit Im kommenden Jahr werden sich die Institute mit den neuen Vorgaben der Mindestanforderungen an das Risikomanagement (MaRisk) auseinandersetzen müssen. Die BaFin hat Ende Oktober 2017 die 5. Novelle der MaRisk veröffentlicht. Besonders hervorzuheben ist, dass die Vorgaben im Modul AT 3 (Gesamtverantwortung der Geschäftsleitung) zur Entwicklung, Förderung und Integration einer angemessen Risikokultur innerhalb eines Instituts vollständig überarbeitet und erweitert werden. Die bisherigen Anforderungen an die Berichterstattung wurden in ein neues Modul BT 3 überführt und um weitere Vorgaben ergänzt. In Bezug auf Auslagerungen wurden einige Ergänzungen und Konkretisierungen im AT 9 vorgenommen. Die neuen Anforderungen, bei denen es sich nicht nur um Klarstellungen handelt, die sofort umzusetzen sind, müssen bis zum 31. Oktober 2018 implementiert werden. Eine dreijährige Übergangsfrist gilt nur für das neue Modul AT 4.3.4 zur Risikodatenaggregation, welches aber nur auf global und anderweitig systemrelevante Institute i. S. d §§ 10f und 10g KWG Anwendung findet. Diese neuen Vorgaben sollen die IT-Infrastruktur verbessern, um zu gewährleisten, dass die Institute ihre Risiken aktuell und genau auf einer möglichst automatisierten Basis aggregieren. Ende September 2017 veröffentlichte die EBA-Leitlinien zur internen Governance (EBA/GL/2017/11) sowie Leitlinien zur Beurteilung von Mitgliedern des Leitungsorgans und von Inhabern von Schlüsselfunktionen (EBA/GL/2017/12). Beide EBA-Leitlinien sind ab dem 30. Juni 2018 anwendbar. Derzeit ist noch unklar, ob und wie die BaFin die Vorgaben dieser Leitlinien in ihre Verwaltungspraxis integriert. Darüber hinaus stehen 2018 neue Vorgaben zu Cyberrisiken im Fokus der Verwaltungspraxis der BaFin. Zum einen hat die BaFin Anfang November 2017 ein neues Rundschreiben zu den „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) veröffentlicht, das die MaRisk in Bezug auf die ordnungsgemäße Geschäftsorganisation in Sachen Informationstechnologie konkretisiert. Ziel ist es, den Instituten flexible Rahmenanforderungen an die Organisation der Informationstechnik (Management der IT-Ressourcen und der IT-Risiken) zu geben. Die Anforderungen der BAIT sind in acht Themenbereiche unterteilt (IT- Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement, Benutzerberechtigungsmanagement, IT- Projekte/Anwendungsentwicklung, IT-Betrieb und Auslagerungen) und verweisen auf den jeweiligen Anknüpfungspunkt in den MaRisk. Die MaRisk bleiben von den nicht abschließenden Regelungen der BAIT unberührt. Zum anderen soll bis Ende 2018 in diesem Zusammenhang ein entsprechender Anforderungskatalog für Versicherungen verabschiedet werden, die sog. „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT). Neben diesen Maßnahmen werden 2018 noch zwei weitere Regulierungsmaßnahmen in Bezug auf das IT-Risikomanagements relevant: Auf nationaler Ebene müssen Unternehmen des Finanz- und Versicherungswesens, die sog. kritische Dienstleistungen i. S. d. geänderten BSI-Kritisverordnung erbringen, das IT-Sicherheitsgesetz beachten. Kritische Dienstleistungen sind die Bargeldversorgung, der konventionelle und der kartengestützte Zahlungsverkehr, die Verrechnung und Abwicklung von Wertpapier- und Derivatgeschäften sowie Versicherungsdienstleistungen, wobei festgelegte Schwellenwerte überschritten werden müssen. Betroffene Unternehmen haben bereits zum 22. Dezember 2017 dem BSI eine Kontaktstelle für Meldungen von IT-Störungen zu benennen, die rund um die Uhr erreichbar sein muss. Ferner müssen diese Unternehmen im kommenden Jahr eine Überprüfung ihrer IT-Sicherheitsmaßnahmen vornehmen. Konkret sind bis zum 22. Juni 2019 angemessene Vorkehrungen zu treffen, um ihre IT-Systeme, -Komponen- 44 01 // 2018
REGULIERUNG ten und -Prozesse gegen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit abzusichern. Daneben finden auf europäischer Ebene neue Anforderungen in Bezug auf das IT-Risikomanagement Eingang in den SREP (EBA/GL/2014/13). Bis zum 1. Januar 2018 müssen die nationalen Aufsichtsbehörden die neuen EBA-Leitlinien (EBA/GL/2017/05) umgesetzt haben, die den SREP um den Bereich IKT-Risiken (Informations- und Kommunikationstechnologie) erweitern. Das IKT-Risiko wird in Anlehnung an die im SREP berücksichtigten operationellen Risiken als Kapitalrisiko klassifiziert. In Teilen lassen die Leitlinien Parallelen zu den BAIT der BaFin erkennen, so wird z. B. in beiden Papieren die Ausgestaltung einer IT-Strategie gefordert. Diese Entwicklungen unterstreichen die zunehmende Relevanz des IT-Risikomanagements und lassen den Schluss zu, dass Institute 2018 nicht nur zwecks Vermeidung von Kapitalaufschlägen im SREP in eine umfassende IT-Strategie und IT-Risikomanagement investieren sollten, sofern diese nicht ohnehin vorhanden ist. 15. MiFID II- und MiFIR-Umsetzung Nachdem die Umsetzungsfrist um ein Jahr verschoben wurde, tritt nunmehr grundsätzlich am 3. Januar 2018 das 2. FiMaNoG in Kraft, das der Umsetzung der Finanzmarktrichtlinie (Richtlinie (EU) Nr. 2014/65, Mi- FID II) und der Verankerung der MiFIR dient. Änderungen betreffen im Wesentlichen das Wertpapierhandelsgesetz, das Kreditwesengesetz sowie das Börsengesetz. Die MiFID II wurde grundsätzlich 1:1 umgesetzt, ohne besonderes Goldplating seitens des deutschen Gesetzgebers. Kernregelungen stellen die Wohlverhaltenspflichten und Zielmarktbestimmungen dar. Im Rahmen der MiFID II-Umsetzung wird die BaFin auch die Mindestanforderungen an die Compliance-Funktion (MaComp) anpassen. Dazu hat sie bereits am 2. November 2017 einen Entwurf veröffentlicht, der wohl noch im 1. Quartal 2018 finalisiert werden soll. 16. Notleidende Kredite (NPL) Im ersten Quartal 2018 beabsichtigt die EU-Kommission, Maßnahmen zur Bekämpfung von notleidenden Krediten zu veröffentlichen. Ziel ist die Sanierung von Bankbilanzen und die Stimulierung der Neukreditvergabe für die Wirtschaft. Im Zusammenhang mit dem Aktionsplan zum Abbau notleidender Kredite in der EU hat die EBA ihrerseits angekündigt, bis Sommer 2018 detaillierte Leitlinien für die Kreditwürdigkeitsprüfung, die Überwachung und die interne Führung der Banken herauszugeben, die insbesondere auf Aspekte wie die Bewertung der Zahlungsfähigkeit der Kreditnehmer eingehen könnten. Die EZB hatte bereits im März 2017 einen Leitfaden für Banken zum Umgang mit NPL veröffentlicht, in dem sie die aufsichtlichen Erwartungen und Best Practices darstellt. Diesen Leitfaden will die EZB durch ein Addendum ergänzen und in Bezug auf ein Mindestmaß an Risikovorsorge- und Abschreibungspraktiken untermauern. Der Entwurf zu den vorgeschlagenen Änderungen wird noch bis zum 8. Dezember 2017 konsultiert, sodass möglicherweise Ende 2017 oder Anfang 2018 mit der Veröffentlichung des neuen Leitfadens zu rechnen ist. 17. Prospektverordnung Als ein Kernaspekt der Kapitalmarktunion werden ab dem 21. Juli 2018 weitere Teile der bereits Mitte 2017 in Kraft getretenen EU-Prospektverordnung (Verordnung (EU) 2017/1129) anwendbar sein, welche die in Deutschland im Wertpapierprospektgesetz umgesetzten Vorgaben der EU-Prospektrichtlinie (Richtlinie 2003/71/EG) ersetzt. Die EU-Prospektverordnung macht Vorgaben zum Inhalt, zur Gestaltung, Billigung und Veröffentlichung von Wertpapierprospekten. Sie sieht in erster Linie weitergehende Ausnahmen von der Prospektpflicht sowie Erleichterungen bei der Prospekterstellung vor. Vereinfachungen werden z. B. durch die Einführung des sog. EU- Wachstumsprospekts vorgesehen, einem standardisierten Format mit inhaltlich deutlich reduziertem Registrierungsformular. Die Prospektzusammenfassung wird grundsätzlich auf sieben DIN-A4-Seiten beschränkt. Emittenten, die regelmäßig Wertpapiere ausgeben, können ein neues einheitliches Registrierungsformular für die Angaben zum Emittenten verwenden, das bei der zuständigen Aufsichtsbehörde vorab hinterlegt wird und von dieser in einem beschleunigten Verfahren gebilligt 01 // 2018 45
