Ein Mitte Mai 2022 vom Rat bekannt gegebener, aber noch nicht im Wortlaut veröffentlichter vorläufiger Kompromiss bekräftigt den gemeinsamen Willen der Verhandler, nahezu alle Finanzmarktinstitutionen in den Anwendungsbereich der Verordnung einzubeziehen. Für EbAV bedeutet dies, dass auch sie grundsätzlich im Geltungsbereich der Verordnung sein werden und dass die Vorschriften (inkl. der zahlreichen Level II und III-Regulierungen) auf sie Anwendung finden werden. Ausnahmen oder Erleichterungen soll es nur für sehr kleine oder kleine Einrichtungen geben. Die genauen Schwellenwerte sind noch Gegenstand laufender Verhandlungen, dürften aber in Deutschland kaum Wirkung entfalten. Zusätzliche Anforderungen deuten sich damit unter anderem bei Tests der operationellen Resilienz und bei Vorfallsmeldepflichten an. Sowohl für IKT-Dienstleister (u.a. im Cloudbereich) als auch deren Auftraggeber dürften die geplanten Vorschriften zum IKT-Drittparteirisikomanagement relevant sein. Sie sehen u.a. einen “Oversight Framework“ für kritische IKT-Dienstleister, u.a. in der Form neuer Informations-, Kontroll- und Prüfrechte durch einen bei einer der europäischen Aufsichtsbehörden angesiedelten „Lead Overseer“ vor. Details hierzu finden sich auch im Foliensatz eines Vortrags, der auf der BaFin-Konferenz am 21. Juni 2022 gehalten wurde und der Gegenstand eines eigenen Artikel auf der aba-Internetseite ist.