Britische Finanzaufsichtsbehörden sollen kritische Dritte direkt beaufsichtigen | Pillsbury Winthrop Shaw Pittman LLP

Home » Britische Finanzaufsichtsbehörden sollen kritische Dritte direkt beaufsichtigen | Pillsbury Winthrop Shaw Pittman LLP

Das aktuelle Regulierungssystem besteht aus einem Rahmenwerk für operative Resilienz, das in erster Linie Datensicherheit, Geschäftskontinuität und Ausstiegsplanung abdeckt. Regulierte Unternehmen müssen sicherstellen, dass ihre vertraglichen Vereinbarungen es ihnen ermöglichen, diesen Rahmen einzuhalten, aber die Regelung gilt nicht für die Drittanbieter als solche und geht daher nicht auf das systemische Risiko ein, das eine Störung für einen Dritten verursachen könnte Bereitstellung wichtiger Dienstleistungen für mehrere Unternehmen.

Laut a Grundsatzerklärung ausgestellt von der britischen Regierung, wird HM Treasury unter einem neuen Regime (in Absprache mit anderen Aufsichtsbehörden) die Befugnis haben, Dritte als „kritisch“ zu bezeichnen. Nach ihrer Benennung werden die Finanzaufsichtsbehörden in der Lage sein, eine Reihe von Befugnissen direkt gegenüber solchen Dritten auszuüben, darunter:

  • Regelsetzungsbefugnisse in Bezug auf die Bereitstellung materieller Dienstleistungen und zu erfüllende Mindestanforderungen an die Belastbarkeit;
  • Die Befugnis, Dritte zur Teilnahme an gezielten Resilienztests zu verpflichten;
  • Informationsbeschaffungs- und Ermittlungsbefugnisse (einschließlich der Befugnis, formelle Befragungen durchzuführen, Ermittler zu ernennen und Räumlichkeiten im Rahmen eines Haftbefehls zu betreten);
  • Die Befugnis zur Beauftragung eines Sachverständigengutachtens;
  • Befugnisse, Dritte anzuweisen, bestimmte Maßnahmen zu ergreifen (oder zu unterlassen); und
  • Die Fähigkeit, förmliche Maßnahmen und Durchsetzung einzuleiten (einschließlich der Bekanntmachung von Versäumnissen und als letztes Mittel das Verbot der Erbringung zukünftiger Dienstleistungen).

Gesetzentwürfe zur Umsetzung des neuen Regimes werden veröffentlicht, und es folgt ein Diskussionspapier, in dem detailliert dargelegt wird, wie die Befugnisse in der Praxis ausgeübt werden, und um Meinungen von Branchenteilnehmern einzuholen. Sobald die neue Gesetzgebung verabschiedet ist, wird ein Konsultationspapier erwartet, das auf dem Feedback aus dem Diskussionspapier aufbaut und die vorgeschlagenen Regeln enthält. Sobald dies abgeschlossen ist, wird HM Treasury mit dem Prozess beginnen, um die ersten kritischen Dritten unter dem neuen Regime zu benennen.

Die DORA der EU

Die neue britische Ankündigung erfolgt kurz nachdem das Europäische Parlament und der Rat der Europäischen Union eine vorläufige Einigung über den EU Digital Operational Resilience Act (DORA) erzielt haben. Wie der neue Vorschlag des Vereinigten Königreichs versucht DORA, kritische Dritte wie Cloud-Service-Provider in den regulatorischen Rahmen zu bringen. Obwohl die beiden Regelungen einen weitgehend gemeinsamen Zweck haben, gibt es einige wesentliche Unterschiede in der Vorgehensweise. Beispielsweise versucht die neue britische Regelung im Gegensatz zu den in DORA enthaltenen detaillierten Risikomanagementanforderungen einen breiteren Ansatz zu verfolgen. Internationale Finanzdienstleistungsunternehmen und Cloud-Dienstleister müssen beide Regelungen überprüfen, um sicherzustellen, dass ihr vorgeschlagener Compliance-Plan alle Anforderungen erfüllt.

Während weitere Einzelheiten verfügbar sein werden, sobald die vorgeschlagenen Rechtsvorschriften und das Diskussionspapier veröffentlicht sind (obwohl kein Datum angegeben ist, wann diese zu erwarten sind), sieht es nach einem Schritt in Richtung einer teilweisen Standardisierung bei den Anbietern kritischer Dienstleistungen für den Finanzdienstleistungssektor aus . Dies wird eine willkommene Nachricht für regulierte Unternehmen sein, die nach Konsistenz gerufen haben, insbesondere im Kontext von Cloud-Service-Anbietern. Der Vorschlag kann auch die Last der Vertragsverhandlungen mit den kritischen Dienstanbietern verringern.