News Update Financial Regulatory

In deze News Update bespreken wij: het advies van ESMA over cryptobedrijven die een MiCAR-vergunning aanvragen maar een aanzienlijk deel van hun groepsactiviteiten buiten EU-toezicht houden; de publicatie door de Europese toezichthoudende autoriteiten van de tweede batch beleidsproducten onder DORA en de finale ontwerp-RTS over uitbesteding; en de AFM-handreiking over het testen van digitale operationele weerbaarheid onder DORA. Daarnaast signaleren we nog enkele andere financial regulatory-publicaties die sinds onze laatste News Update zijn gepubliceerd. Aanmelden voor de News Update Financial Regulatory kan hier.

Advies ESMA over cryptobedrijven die een MiCAR-vergunning aanvragen maar een aanzienlijk deel van hun groepsactiviteiten buiten EU-toezicht houden

De Europese Autoriteit voor effecten en markten (ESMA) heeft een advies gepubliceerd naar aanleiding van de risico's die ontstaan doordat wereldwijde cryptoactivabedrijven een vergunning onder de Markets in Crypto-Assets Regulation (MiCAR) aanvragen voor een deel van hun activiteiten (bemiddeling in cryptodiensten), maar daarbij een aanzienlijk deel van hun groepsactiviteiten (onderlinge plaatsen van uitvoering) buiten de EU en het toepassingsbereik van MiCAR houden, waardoor het risico op regelgevingsarbitrage toeneemt. In hun publicatie bieden de Europese toezichthoudende autoriteiten (de ESA's) richtsnoeren om dergelijke situaties te herkennen. Deze richtsnoeren bouwen voort op de in de Brexitperiode geformuleerde richtsnoeren om internationale constructies waarmee Europese vergunningsvereisten worden omzeild te herkennen. Dit zou volgens ESMA kunnen leiden tot een verminderde bescherming van consumenten en tot een ongelijk speelveld voor plaatsen van uitvoering die wel over een Europese vergunning beschikken.

De nationale bevoegde autoriteiten (de NBA's) wordt geadviseerd waakzaam te zijn tijdens het vergunningsproces en de bedrijfsstructuur van internationale bedrijven goed tegen het licht te houden om ervoor te zorgen dat deze bedrijven de MiCAR-verplichtingen, die de bescherming van consumenten en een transparante en ordelijke cryptomarkt tot doel hebben, niet omzeilen. De NBA's moeten zich bij hun beoordeling van individuele verzoeken vooral concentreren op de specifieke vereisten waaraan op de navolgende onderwerpen moet worden voldaan. Niet-naleving van deze vereisten kan er namelijk op duiden dat bemiddelaars met een Europese vergunning transacties uitsluitend doorsluizen naar groepshandelsplatforms die niet over een Europese vergunning beschikken:

• beste uitvoering (op grond van artikel 78 MiCAR zijn aanbieders van cryptoactivadiensten verplicht om alle noodzakelijke maatregelen te nemen om bij de uitvoering van orders het best mogelijke resultaat voor hun cliënten te behalen);
• belangenconflict (op grond van artikel 72 MiCAR zijn aanbieders van cryptoactivadiensten verplicht om belangenconflicten tussen onder meer henzelf en hun cliënten te identificeren, te voorkomen, te beheren en openbaar te maken);
• de verplichting om eerlijk, billijk en professioneel te handelen in het belang van cliënten (artikel 66 MiCAR); en
• de verplichting ten aanzien van de bewaring en het beheer van cryptoactiva namens cliënten (artikel 79 lid 9 MiCAR bepaalt dat indien aanbieders van cryptoactivadiensten die namens cliënten instaan voor de bewaring en het beheer van cryptoactiva gebruikmaken van andere entiteiten die deze dienst aanbieden, zij ervoor moeten zorgen dat deze entiteiten ook op grond van MiCAR over een vergunning als aanbieder van cryptoactivadiensten beschikken).

Indien een internationale aanbieder van cryptoactivadiensten een MiCAR-vergunning wil verkrijgen, kan hij de kwaliteit van zijn vergunningaanvraag verbeteren door zich op deze beoordeling van de nationale bevoegde autoriteit voor te bereiden en daarmee mogelijk het vergunningsaanvraagproces versnellen.

De Europese toezichthoudende autoriteiten publiceren de tweede batch beleidsproducten onder DORA en de finale ontwerp-RTS over uitbesteding.

De Europese toezichthoudende autoriteiten (de ESA's), bestaande uit ESMA, de Europese Autoriteit voor verzekeringen en bedrijfspensioenen (EIOPA) en de Europese Bankautoriteit (de EBA), hebben op 17 juli 2024 hun tweede batch beleidsproducten onder de Digital Operational Resilience Act (DORA) gepubliceerd. Deze batch bestaat uit vier finale ontwerpen van technische reguleringsnormen (regulatory technical standards, hierna: RTS), één reeks technische uitvoeringsnormen (implementing technical standards, hierna: ITS) en twee richtsnoeren. Op 26 juli 2024 hebben de ESA's ook de finale ontwerp-RTS onder DORA gepubliceerd over het uitbesteden van ICT-diensten die kritieke of belangrijke functies ondersteunen.

De tweede batch beleidsproducten van 17 juli 2024

De ESA's benadrukken het belang van het vergroten van de digitale operationele weerbaarheid van de financiële sector in Europa om een continue en ononderbroken financiële dienstverlening aan klanten te waarborgen. De belangrijkste onderwerpen uit het pakket van 17 juli 2024 die gelden voor financiële entiteiten die onder het bereik van DORA vallen zijn als volgt:

• de inhoud, vorm en termijnen voor de rapportage van ICT-gerelateerde incidenten en significante cyberdreigingen (waaronder templates);
• dreigingsgestuurde penetratietests; en
• de raming en aggregatie van kosten en verliezen als gevolg van ernstige ICT-incidenten.

De Autoriteit Financiële Markten (de AFM) heeft dit tweede pakket al meegenomen in haar handreiking over het testen van digitale operationele weerbaarheid, die hierna wordt besproken. De richtsnoeren zijn al vastgesteld.

FINALE ONTWERP-RTS OVER UITBESTEDING VAN 26 JULI 2024

In de finale ontwerp-RTS die op 26 juli 2024 zijn gepubliceerd, wordt toegelicht hoe de voorwaarden voor het uitbesteden van diensten op het gebied van informatie- en communicatietechnologie (ICT) die kritieke of belangrijke functies ondersteunen onder DORA kunnen worden bepaald en beoordeeld.

Verder worden in de RTS de voorwaarden beschreven waaraan in elke fase van de contractrelatie tussen financiële entiteiten en derde aanbieders van ICT-diensten moet worden voldaan. Met name wordt daarin van financiële entiteiten verwacht dat zij de risico's in verband met uitbesteding in de precontractuele fase evalueren, onder meer tijdens de duediligenceprocedure in die fase.

Om ervoor te zorgen dat financiële entiteiten op doeltreffende wijze uitvoering geven aan het monitoren van de subcontractanten die de ICT-diensten ondersteunen die kritieke of belangrijke functies ondersteunen en hun risico's onder controle houden, worden met deze RTS vereisten vastgesteld voor de implementatie en het beheer van contractuele afspraken over uitbestedingsvoorwaarden.

De RTS over uitbesteding moeten nog door de Europese Commissie worden vastgesteld.

AFM-HANDREIKING OVER HET TESTEN VAN DIGITALE OPERATIONELE WEERBAARHEID ONDER DORA

De AFM publiceert regelmatig een handreiking over de belangrijkste aspecten van DORA. In haar meest recente update van 23 september 2024 gaat de AFM in op het testen van de digitale operationele weerbaarheid. Met behulp van de update kunnen ondernemingen beter analyseren hoe ze er met hun testprogramma's voor staan en welke stappen ze eventueel nog moeten zetten om aan DORA te voldoen. Eerdere AFM-updates over DORA zijn hier beschikbaar.

TWEE CATEGORIEËN TESTVEREISTEN

Het testen van operationele weerbaarheid is een van de onderdelen in DORA die ervoor moeten zorgen dat financiële ondernemingen ICT-risico's beter onder controle houden. De vereisten voor het testen worden beschreven in artikel 24 tot en met 27 van DORA:

• Artikel 24 en 25 beschrijven de algemene vereisten die gelden voor het uitvoeren van tests, bijvoorbeeld hoe organisaties een testprogramma moeten opstellen en hoe vaak de tests moeten worden uitgevoerd;
• Artikel 26 en 27 beschrijven de vereisten van geavanceerde tests op basis van dreigingsgestuurde penetratietests (threat led penetration tests, hierna: TLPT).

Hieronder gaan wij in op de algemene vereisten. TLPT moeten ten minste om de drie jaar worden uitgevoerd en moeten betrekking hebben op alle of meerdere kritieke of belangrijke functies van een financiële onderneming (artikel 26 lid 1 en 2 DORA). Omdat de TLPT-vereisten zeer gedetailleerd zijn, verwijzen wij daarvoor naar de AFM-update.

ALGEMENE VEREISTEN VOOR HET TESTEN VAN ICT-INSTRUMENTEN

Het testprogramma voor operationele weerbaarheid moet de tests, praktijken, methodologieën en instrumenten die regelmatig worden uitgevoerd om de ICT-systemen, -instrumenten en -processen van de organisatie te beoordelen expliciet benoemen en beschrijven. Bij de beoordeling wordt gekeken naar de processen die zijn ingericht om ICT-gerelateerde incidenten tijdig te detecteren en af te handelen. Daarnaast moeten financiële entiteiten zelf beoordelen in hoeverre zij in staat zijn om kwetsbaarheden en gebreken in hun digitale weerbaarheid te herkennen. Tot slot geven de tests inzicht in de mate waarin de organisatie tijdig herstellende maatregelen kan implementeren die de duur en impact van een verstoring tot een minimum beperken. Bij de testprogramma's moet onder meer rekening worden gehouden met het veranderende landschap van ICT-risico's, blootsteling aan specifieke ICT-risico's en de kritieke aard van de ICT-systemen en -dienstverlening. Onderdeel van het programma is dat de ICT-systemen minimaal jaarlijks door interne of externe testers worden getest.

Bij het testprogramma moet een op risico's gebaseerde aanpak worden gevolgd. Artikel 25 DORA biedt aanwijzingen voor de tests die ondernemingen overeenkomstig deze benadering kunnen uitvoeren. De onderneming bepaalt overeenkomstig het evenredigheidsbeginsel welke tests relevant zijn.

Deze vereisten zijn niet van toepassing op micro-ondernemingen. Micro-ondernemingen zijn verplicht een op risico's gebaseerde aanpak te combineren met strategische planning, waarbij enerzijds rekening moet worden gehouden met de hoeveelheid middelen en tijd die aan de ICT-tests moet worden toegewezen en anderzijds de urgentie, het soort risico, de kritieke aard van het ICT-systeem en eventuele andere relevante factoren. Gezien de lage materialiteitsdrempels die voor micro-ondernemingen gelden, zal dit lichte regime nauwelijks relevant zijn voor de Nederlandse situatie.

OVERIGE FINANCIAL REGULATORY-PUBLICATIES

Wij hebben een selectie andere publicaties van wet- en regelgevende instanties voor de financiële markten en het financieel toezicht eruit gelicht die sinds onze News Update van augustus 2024 zijn verschenen.

AFM

• De AFM heeft op 19 september 2024 een nieuwsbericht (tweede link) gepubliceerd over boetes die aan twee finfluencers zijn opgelegd wegens hun samenwerking met de illegale vermogensbeheerder Grinta Invest. De finfluencers hebben Grinta Invest gepromoot en beleggers aangebracht, waardoor deze beleggers als gevolg van het bedrog van Grinta Invest hun geld zijn kwijtgeraakt.

DNB

• De Nederlandsche Bank (DNB) heeft een nieuwsbericht gepubliceerd waarin wordt toegelicht dat onder toezicht staande instellingen in fasen weer toegang tot het UBO-register krijgen. Verder is het voor instellingen die onder de Wet ter voorkoming van witwassen en financieren van terrorisme vallen (Wwft-instellingen) en die nog geen directe toegang hebben tot het UBO-register per 1 augustus 2024 verplicht om een gewaarmerkt uittreksel van de UBO-gegevens op te vragen bij de klant. De terugmeldplicht aan het UBO-register uit artikel 10c Wwft gaat per 1 oktober ook gelden als een Wwft-instelling een gewaarmerkt uittreksel ontvangt van de klant.
• DNB heeft bericht dat een aantal elementen van de Nederlandse regelgeving voor depositogarantie per 1 september 2024 wijzigen. De voornaamste wijzigingen hebben betrekking op de doelomvang van het Depositogarantiefonds, overdrachten van deposito's, risicomethodiek en niet-natuurlijke personen zonder rechtspersoonlijkheid.
• DNB heeft op 22 augustus 2024 een nieuwsbericht gepubliceerd waarin is te lezen dat er een voorlopig format en proces voor het rapporteren van het informatieregister onder DORA beschikbaar is. Op grond van artikel 28 lid 3 DORA moeten financiële instellingen een informatieregister bijhouden met betrekking tot alle contractuele overeenkomsten over het gebruik van door derde aanbieders verleende ICT-diensten. Voor het informatieregister is een draft standaardmodel beschikbaar, dat zal gelden voor alle financiële instellingen waarop DORA van toepassing is.
• DNB heeft aangekondigd de periode te zullen verlengen waarin niet wordt gehandhaafd op de scheiding tussen het bankenboek en het handelsboek. Daarmee volgt DNB de oproep van de EBA aan toezichthouders om de handhaving van de bepalingen rondom de scheiding tussen het bankenboek en het handelsboek tijdelijk niet te prioriteren.
• DNB heeft bericht dat de omvang van kredietverlening door overige niet-bancaire financiële intermediairs de afgelopen twee jaar is teruggelopen.
  
  

ESA'S

• ESMA heeft haar nieuwsbrief voor juli 2024 gepubliceerd over onder meer haar advies over internationale cryptobedrijven die hun niet-Europese plaatsen van uitvoering gebruiken, de tweede batch beleidsproducten van de ESA's onder DORA (zoals hiervoor besproken), het definitieve rapport van de ESA's over de voorgestelde technische normen over uitbesteding onder DORA, het Europese kader voor de coördinatie van systemische cyberincidenten, de langetermijnvisie van ESMA over het functioneren van het kader voor duurzame financiering, ESMA's stresstest voor centrale tegenpartijen, fraude en oplichting, gegevens over grensoverschrijdende beleggingsactiviteiten van bedrijven, de herziene verordening betreffende centrale effectenbewaarinstellingen (CSDR Refit) en nieuwe consultaties onder de richtlijn betreffende markten voor financiële instrumenten (MiFID).
  
  

DE NEDERLANDSE OVERHEID

• De Wijzigingswet financiële markten 2024 is in het Staatsblad gepubliceerd. Daarmee worden de Wet op het financieel toezicht, de Wet toezicht trustkantoren 2018 en enige andere wetten gewijzigd. De wijzigingen hebben onder meer betrekking op crowdfundingdienstverleners, verzekeraars en trustkantoren