PensionsEurope (PE) hat am 11. September 2023 Stellung genommen zu den ersten vier Entwürfen der EU-Aufsichtsbehörden (ESA) von Level-II-Regulierungsakten. Die abgegebene zusammenfassende PE-Stellungnahme zu den vier Konsultationsentwürfen ist hier abrufbar.

Es handelt sich um die erste von zwei Konsultationsphasen über technische Regulierungs- und Durchführungsstandards (Art. 11 ff. bzw. 15 EIOPA-VO 1094/2010) sowie Gemeinsame Leitlinien (Art. 16 EIOPA-VO). Diese sollen die Bestimmungen der Verordnung (= Level I) weiter konkretisieren.

Zuständig für die Erstellung erster Entwürfe sind die Europäischen Aufsichtsbehörden (ESA). Auf Basis der Ergebnisse der öffentlichen Konsultation fertigen die ESA binnen dreier Monate endgültige Entwürfe und leiten sie der Kommission zur Finalisierung zu.

Gegenstände der ersten von insgesamt zwei Konsultationsphasen waren Grundsätze und Techniken des IT-Risikomanagements, die Klassifizierung von IT-Sicherheitsvorfällen, das sogenannte Informationsregister und die Ausgestaltung der in der DORA-VO ebenfalls geforderten Leitlinie für die Nutzung von Drittanbietern bei kritischen Funktionen.

Der „rote Faden“ in allen vier abgegebenen Stellungnahmen ist eine aus Sicht von PE unzureichende Berücksichtigung des Proportionalitätsprinzips. Dessen Einhaltung wird auch für die Level-II-Regulierung in der Verordnung ausdrücklich angemahnt, u.a. durch Formulierungen wie „bei der Entwicklung dieser Entwürfe technischer Regulierungsstandards berücksichtigen die ESA die Größe und das Gesamtrisikoprofil des Finanzunternehmens sowie die Art, den Umfang und die Komplexität seiner Dienstleistungen, Tätigkeiten und Geschäfte, wobei sie etwaigen Besonderheiten, die sich aus der unterschiedlichen Art der Tätigkeiten in verschiedenen Finanzdienstleistungssektoren ergeben, gebührend Rechnung tragen.“

Bei den Kriterien für die Feststellung eines kritischen Vorfalls kritisiert PE, dass die wesentlich geringere Zahl von Transaktionen (im Vergleich etwa zu Zahlungsdienstleistern) beziehungsweise die ausgeprägte Periodizität von Aktivitäten einer EbAV, bei denen etwaige IT-Vorfälle Anwärter oder Leistungsbezieher negativ betreffen können, nicht angemessen berücksichtigt sind. Bei dem Informationsregister befürchtet PE, dass Umfang und Tiefe der Dokumentationsanforderungen einen erheblichen Mehraufwand verursachen. Aus Sicht der aba gilt dies auch im Vergleich zur Versicherungs-Ausgliederungs-Anzeigenverordnung mit ähnlichen Anforderungen.

Die Gremien der aba haben die Erstellung der PE-Stellungnahmen intensiv begleitet. Die aba wird auch an den Konsultationsantworten zu den nächsten Entwürfen von Level-II-Regulierungsakten mitarbeiten, mit deren Vorlage in den Herbstmonaten 2023 zu rechnen ist.