Im Gesetzgebungsverfahren über die geplante EU-Verordnung über die „Betriebsstabilität digitaler Systeme des Finanzsektors“ (oft bezeichnet als: DORA – Digital Operational Resilience Act) wurde am 17. März 2021 mit der Veröffentlichung des Berichtsentwurfs des federführenden EP-Ausschusses ECON ein wichtiger Zwischenschritt erzielt. Berichterstatter im ECON-Ausschuss ist Billy Kelleher (IR, Mitglied der liberalen Fraktion Renew Europe).

Der im September 2020 veröffentlichte VO-Vorschlag der EU-Kommission zielt darauf ab, Einrichtungen der betrieblichen Altersversorgung (EbAV) zusammen mit 20 weiteren Unternehmensarten (Artikel 2 Abs. 1 Buchstaben a) bis u)) ein detailliertes Regelwerk vorzugeben. Dieses soll den Umgang mit IT-Risiken verbessern, die laut Begründungsteil „eine Herausforderung für die Betriebsstabilität, die Leistungsfähigkeit und die Stabilität des Finanzsystems“ darstellen.

PensionsEurope und aba hatten in ersten Bewertungen die Einbeziehung von EbAV in die allgemeine Finanzmarktregulierung, den breiten Anwendungsbereich als solchen, den hohen Detaillierungsgrad der Vorschriften und eine zu geringe Beachtung des Proportionalitätsprinzips kritisch bewertet.

Der EP-Berichtsentwurf lässt an einigen Stellen Offenheit für derartige Überlegungen erkennen. In Bezug auf den Anwendungsbereich wird vorgeschlagen, bestimmte Unternehmensarten, darunter Versicherungs- und Rückversicherungsunternehmen, aus dem Anwendungsbereich auszunehmen, soweit es sich bei ihnen um Kleinstunternehmen oder kleine und mittlere Unternehmen handelt. Hierbei wird verwiesen auf den Anhang der Kommissions-Empfehlung 2003/361/EG. Für EbAV ist eine solche Einschränkung im Berichtsentwurf aber nicht vorgesehen.

Aus Sicht deutscher EbAV stellt sich insbesondere die Frage, inwieweit sich die geplanten EU-Vorgaben mit bestehenden aufsichtsrechtlichen Standards decken und ergänzen. Parallelen hinsichtlich des Regelungsgegenstands gibt es etwa zwischen dem Kapitel II des VO-Vorschlags über das IKT-Risikomanagement und den Inhalten des BaFin-Rundschreibens 10/2018 (VA) über „Versicherungsaufsichtliche Anforderungen an die IT“ (VAIT). Der VO-Vorschlag sieht u.a. die Schaffung eines sog. „IKT-Risikomanagementrahmens“ (Art. 5), darauf aufbauende Systeme, Protokolle und Instrumente (Art. 6) sowie Vorkehrungen zur Prävention, Erkennung und zur Wiederherstellung (Art. 7 ff.) vor. Der VO-Vorschlag enthält aber auch weitergehende Vorschriften wie etwa über die Klassifizierung und Berichterstattung von Vorfällen (Art. 15 ff.), oder detaillierte Vorschriften über Prüfungsverfahren (Art. 21 ff.).

Inhaltliche Parallelen gibt es, abgesehen von dem VAIT-Rundschreiben, auch zu dem Rundschreiben 08/2020 über Mindestanforderungen an die Geschäftsorganisation von Einrichtungen der betrieblichen Altersversorgung (MaGo für EbAV). Dies gilt für die geplanten Vorschriften im VO-Vorschlag über die Steuerung des Risikos durch IKT-Drittanbieter (Art. 25 ff.), letzteres insbesondere in Zusammenhang mit Ausgliederungsvereinbarungen.