Besluit van 25 november 2024 tot wijziging van het Besluit EU-verordeningen Wft en enkele andere besluiten in verband met Verordening (EU) 2022/2554 en Richtlijn (EU) 2022/2556 betreffende digitale operationele weerbaarheid voor de financiële sector (Uitvoeringsbesluit verordening digitale operationele weerbaarheid)

NOTA VAN TOELICHTING

Algemeen

§ 1. Inleiding

Dit besluit dient, tezamen met de Implementatiewet digitale operationele weerbaarheid1 (hierna: implementatiewet), ter uitvoering van de Verordening 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 en tot wijziging van de Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 (PbEU 2022, L 333) (hierna: de verordening), en ter implementatie van de Richtlijn 2022/2556 van het Europees Parlement en de Raad van 14 december 2022 tot wijziging van de Richtlijnen 2009/65/EC, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 en (EU) 2016/2341 (PbEU 2022, L 333) (hierna: de richtlijn). De verordening is op 17 januari 2023 in werking getreden en lidstaten dienen op 17 januari 2025, dus twee jaar na publicatie aan deze verordening te voldoen. De implementatiedatum van de richtlijn is eveneens 17 januari 2025.

§ 2. Inhoud en achtergrond verordening en richtlijn

De toegenomen digitalisering van de financiële sector brengt kansen met zich mee, maar ook risico’s, zoals afhankelijkheid van financiële ondernemingen wat betreft informatie- en communicatietechnologie (ICT). Verstoringen van deze ICT-processen kunnen leiden tot problemen in de continuïteit van de bedrijfsvoering van financiële ondernemingen, wat weer kan leiden tot risico’s van consumentenbescherming en voor financiële stabiliteit. Daarom is op EU-niveau een uniform kader voor digitale operationele weerbaarheid voor de financiële sector tot stand gekomen.

Hoewel er reeds Unieregels op sectoraal niveau bestaan die zien op ICT, en operationele en cyberrisico’s, gelden deze maar voor een klein aantal typen dienstenaanbieders, zoals banken en betaalinstellingen. Voor overige financiële ondernemingen hebben sommige lidstaten zelf regelgevende kaders opgesteld. De normen zijn vaak algemeen en in veel gevallen zijn er helemaal geen regels. Het wettelijk kader voor financiële ondernemingen op dit terrein is daardoor zeer versnipperd. Dit maakt effectief toezicht houden moeilijk en leidt tot inconsistenties in wet- en regelgeving tussen lidstaten, een imperfecte interne markt en onnodige kosten voor de sector. Om bovenstaande redenen is deze verordening en richtlijn opgesteld om in de Unie te komen tot een eenvormig wetgevend kader (een verordening) ten aanzien van digitale operationele weerbaarheid van de financiële sector.

De verordening kent drie hoofddoelen. Ten eerste worden de reeds bestaande, maar versnipperde sectorale Unieregels ten aanzien van cyberweerbaarheid van de financiële sector geharmoniseerd middels een richtlijn, zodat ze in lijn zijn met de verordening, hierover wordt verder gesproken in paragraaf 3. Ten tweede creëert de verordening een regelgevend kader voor financiële ondernemingen waarvoor nog geen weerbaarheidseisen bestonden. Ten derde bevat de verordening regels om de risico’s van uitbesteding van kritieke ICT-processen van financiële ondernemingen aan derde aanbieders van ICT-diensten (zoals clouddienstverleners) beter te mitigeren en om de versnippering van de regels daaromtrent tegen te gaan.

In de verordening is gekozen voor een risicogebaseerde aanpak. Financiële diensten kunnen sterk van elkaar verschillen, en ook binnen dezelfde diensten zijn er verschillen in grootte van instellingen en bedrijfsmodellen. De verordening houdt daarom rekening met onder andere de omvang en het algehele risicoprofiel en de aard van de financiële onderneming, alsook de complexiteit van diensten, activiteiten en verrichtingen.

De verordening bevat allereerst een algemeen kader waarbinnen financiële ondernemingen verplicht worden om maatregelen te nemen om ICT-risico’s te beheersen (artikelen 5 tot en met 16).Vervolgens worden financiële ondernemingen verplicht om ernstige ICT-gerelateerde incidenten te melden bij de bevoegde autoriteit, en hiervoor systemen op te zetten waarmee incidenten gemonitord, vastgelegd en geclassificeerd worden (artikelen 17 tot en met 23). Financiële ondernemingen dienen daarnaast periodiek de digitale weerbaarheid te testen op paraatheid, eventuele zwaktes en tekortkomingen (artikelen 24 tot en met 27). Vervolgens worden er bepalingen geïntroduceerd ten aanzien van het beheer van ICT-risico’s van derde partijen die ICT-diensten aanbieden aan financiële ondernemingen (artikelen 28 tot en met 30).

Verder worden kritieke derde aanbieders van ICT-diensten onderworpen aan een oversightkader op Unieniveau (artikelen 31 tot en met 44). De Europese Toezichthoudende Autoriteiten (ETA’s) krijgen gezamenlijk een mandaat, dit zijn de Europese Bankenautoriteit (EBA), de Europese autoriteit voor verzekeringen en bedrijfspensioenen (EIOPA) en de Europese autoriteit voor effecten en markten (ESMA). Binnen dit gezamenlijke mandaat kunnen de ETA’s onder andere audits uit voeren bij, en bindende aanbevelingen doen aan de kritieke derde aanbieder van ICT-diensten. De nationale bevoegde autoriteit kan, indien de kritieke derde aanbieder van ICT-diensten de aanbevelingen niet opvolgt, vervolgmaatregelen nemen richting de financiële onderneming, waarbij in uiterst geval geëist kan worden dat de financiële onderneming de dienstverlening moet beëindigen. Tenslotte bevat de verordening een wettelijk kader voor financiële ondernemingen om onderling informatie over cyberbedreigingen te delen (artikel 45).

§ 3. Wijze van implementatie

De verordening heeft rechtstreekse werking in de Nederlandse rechtsorde en behoeft als zodanig geen omzetting in Nederlandse wet- en regelgeving. Wel vergt de verordening nadere uitvoering, welke plaatsvindt middels wijziging van het Besluit EU-verordeningen Wft (BEUv). Zoals eerder aangegeven bestaan er op EU sectoraal niveau reeds regels die zien op ICT, operationele en cyberrisico’s. Deze sectorale regels bestaan op zowel richtlijn als verordening niveau. De verordening bevat zelf de noodzakelijke wijzigingen om de regels ook in andere verordeningen in te bedden. De richtlijn doet hetzelfde voor onderwerpen die tot nu toe in sectorale richtlijnen zijn geregeld. Deze sectorale richtlijnen zijn geïmplementeerd in de Wet op het financieel toezicht (Wft) en onderhavige besluiten. Voor de wijzigingen die nodig zijn op besluitniveau wordt daar met dit besluit in voorzien.

§ 4. Hoofdlijnen

4.1. Besluit EU-verordeningen Wft

Voor uitvoering van de verordening ligt de grondslag in de artikelen 1:3a, vierde lid, 1:24, derde lid, en 1:25, derde lid, Wft en, ten aanzien van financiële ondernemingen, geregeld in het BEUv. Voor pensioenfondsen, die niet onder de Wft vallen, ligt de grondslag in artikel 143 Pensioenwet en artikel 138 van de Wet verplichte beroepspensioenregeling en hiervoor wordt het besluit financieel toetsingskader pensioenfondsen aangepast.

Dit uitvoeringsbesluit wijst de Autoriteit Financiële Markten (AFM) en de Nederlandsche Bank (DNB) als bevoegde autoriteiten als bedoeld in de verordening aan. Hierbij wordt aangesloten bij de bevoegdheidsverdeling uit andere EU-wetgeving. Voor een deel van de ondernemingen is de Europese Autoriteit voor effecten en marken (ESMA) de aangewezen toezichthouder en voor een deel de nationale toezichthouders. In Nederland is het toezicht op financiële ondernemingen verdeeld tussen de AFM en DNB. Ten aanzien van pensioenfondsen is bepaald dat het prudentiële toezicht bij DNB is belegd ingevolge de Pensioenwet.

4.1.1. Handhaving en openbaarmaking

4.1.2. Lidstaatopties

De verordening laat, ondanks het feit dat deze rechtstreekse werking heeft, ruimte voor lidstaten om zelf invulling te geven aan enkele zaken.

Zo is het onder de verordening mogelijk om één toezichthouder aan te wijzen voor de begeleiding van dreigingsgestuurde penetratietests (Thread Let Penetration Testing: TLPT). Er wordt hier geen gebruik van gemaakt, wat betekent dat de toezichthouder die aangewezen is voor het toezicht op naleving ook degene is die de TLPT begeleidt en het attest van de TLPT aan de financiële onderneming bezorgt.

Daarnaast wordt de mogelijkheid geboden om de meldingen die financiële ondernemingen doen aan de toezichthouder van ernstige ICT-incidenten ook te doen bij de Computer Security Incident Response Team (CSIRT)2 zoals bedoeld in Richtlijn (EU) 2022/2555 (hierna: NIS2-richtlijn).3 Nederland zal gebruik maken van deze optie. Omdat de implementatie van die richtlijn is voorzien nadat DORA van toepassing is wordt deze lidstaatoptie in de implementatie van de NIS2-richtlijn meegenomen. Dit volgt op een later moment. Omdat dit een lidstaatoptie betreft heeft dit geen gevolgen voor de uiterste implementatiedatum.

4.2 Overige wijzigingen op besluitniveau

Zoals benoemd in paragraaf 3 behoeft de richtlijn wijzigingen op besluitniveau. Dit betreffen wijzigingen in besluiten ter uitwerking van de Wft namelijk het Besluit Gedragstoezicht financiële ondernemingen Wft gewijzigd, het Besluit prudentiële regels Wft gewijzigd, het Besluit Markttoegang financiële ondernemingen Wft, het Besluit gereglementeerde markten Wft en het Besluit bestuurlijke boetes financiële sector.

Om de verplichtingen uit de verordening van toepassing te laten zijn op pensioenfondsen wordt dit ook expliciet opgenomen in het Besluit financieel toetsingskader pensioenfondsen.

§ 5. Uitvoeringstoets en handhaving

Een ontwerp van dit uitvoeringsbesluit is voor een uitvoerings- en handhaafbaarheidstoets voorgelegd aan DNB en de AFM.

DNB acht het uitvoeringsbesluit uitvoerbaar en geeft aan dat het toezicht op deze verordening zal leiden tot een aanzienlijke extra vereiste inspanning voor DNB, die ook implicaties zal hebben voor de toezichtkosten. In de uitvoeringstoets licht DNB een schatting van de benodigde extra capaciteit toe. Er zijn reeds gesprekken geweest met DNB over de benodigde capaciteit voor het toezicht uit hoofde van deze verordening. Deze schatting is opgenomen in het kostenkader DNB 2025 – 2028.4 De huidige inschatting van benodigde additionele middelen betreft een structureel aantal (op jaarbasis) van 10,5 fte voor de periode 2025–2026 en 12,5 fte vanaf 2027. Deze kosten worden doorberekend aan de instellingen. Ook zal DNB onder deze verordening capaciteit moeten leveren aan de ETA’s voor het oversight op kritieke ICT-dienstverleners. DNB verwacht hiervoor 2 fte’s te leveren. De kosten voor deze fte worden ook direct doorberekend aan deze kritieke ICT-dienstverleners.

Daarnaast verzoekt DNB om een aanpassing in het uitvoeringsbesluit. In het uitvoeringsbesluit wordt DNB aangewezen als «autoriteit voor betaaldienstverleners met zetel in een andere lidstaat of betaaldienstverleners die geheel of gedeeltelijk zijn vrijgesteld van artikel 2:3a, eerste lid, van de wet». DNB verzoekt om een aanpassing omdat DNB niet kan worden aangewezen als verantwoordelijke toezichthouder voor instellingen die geen zetel hebben in Nederland. Ten opzichte van de versie die in consultatie is gebracht is de definitie aangepast naar «betaaldienstverleners», hiermee wordt aangesloten bij de definitie in de Wft. Daarnaast is in de artikelsgewijze toelichting verduidelijkt dat het gaat om betaaldienstverleners die zetel hebben in Nederland, en is de verwijzing dat DNB de bevoegde autoriteit zal zijn op betaalinstellingen komen te vervallen, omdat betaalinstellingen onder de noemer betaaldienstverleners vallen.

Tot slot geeft DNB aan geen significante obstakels te voorzien in de handhaving van de verordening. De verordening biedt voldoende flexibele handhavingsinstrumenten om risicogebaseerd toezicht uit te voeren op financiële ondernemingen ten aanzien van de vereisten uit de verordening.

Onder de verordening wordt de AFM verantwoordelijk voor het toezicht op de naleving van de normen door onder andere handelsplatformen, beheerders van beleggingsinstellingen, instellingen voor collectieve beleggingen (icbe’s), beleggingsondernemingen, adviseurs en bemiddelaars. De AFM verwacht dat het om ongeveer 500 gaat instellingen die onder toezicht van de AFM komen te vallen. Ook de AFM acht het uitvoeringsbesluit uitvoerbaar. Tegelijkertijd stelt de AFM dat de impact van de verordening substantieel is en daardoor extra fte en IT-investeringen vereist.

Uit de toets volgt dat de AFM het toezicht uit hoofde van de verordening kan uitvoeren en daarbij, uit de drie door AFM gedefinieerde ambitieniveaus, kiest voor het basisniveau. Binnen dit gekozen scenario zal de AFM risicogestuurd toezicht houden, zullen de toezichtactiviteiten gericht zijn op het verbeteren van de compliance en zal de AFM in een periodieke cyclus toezichtactiviteiten uitvoeren bij de financiële instellingen die moeten voldoen aan de verplichtingen uit de verordening. Deze toezichtsaanpak legt de nadruk op de meest systeemrelevante instellingen. AFM geeft aan dat er in dit basisscenario minder capaciteit is voor het toezicht op niet systeemrelevante instellingen.

Voor dit basisscenario schat de AFM in vanaf 2025 structureel 17,75 fte nodig te hebben. Daarnaast geeft AFM in haar uitvoeringstoets aan dat IT-investeringen nodig zijn voor beheer en onderhoud van de software. Deze kosten worden, naast een eerste investering van 1,2 mln, begroot op 0,4 mln per jaar. De AFM geeft aan van plan te zijn om jaarlijks te toetsen of de capaciteit passend is. Ook wil zij jaarlijks toetsen of en in hoeverre opschaling naar een hogere toezichtintensiteit wenselijk is.

Het begrotingsmaximum van de AFM is in het kostenkader 2025-2028 opgehoogd met de gevraagde fte en IT-investeringen uit het door haar voorgestelde toezichtscenario.5 De AFM is vrij om, binnen de grenzen van het kostenkader, de toezichtintensiteit bij te stellen.

§ 6. Financiële gevolgen

Op grond van de Wet bekostiging financiële sector 2019 geldt dat de sector als geheel verantwoordelijk is voor alle kosten die de toezichthouders maken voor hun ZBO-taken, tenzij er sprake is van een uitzondering. Dit geldt ook voor de taken die voortvloeien uit de verordening. De kosten die gemaakt worden zullen daarom op grond van de Wet bekostiging financiële sector 2019 door de toezichthouders doorberekend worden. Zie hiervoor ook de paragraaf hierboven.

§ 7. Consultatie

Een concept van het wetsvoorstel en de memorie van toelichting is openbaar geconsulteerd op www.internetconsultatie.nl van 21 mei 2024 tot en met 1 juli 2024.

Er is naar aanleiding hiervan één consultatiereactie ontvangen van de Nederlandse Vereniging van Participatiemaatschappijen (NVP). De NVP geeft aan dat de lidstaatoptie over het twee keer melden van een ICT-incident, zoals gemeld onder 4.1.2, zowel bij de financiële toezichthouder als bij de Computer Security Incident Response Team (CSIRT) tot bijkomende administratieve verplichtingen leidt, omdat ondernemingen de informatie twee moeten verzamelen, indienen en documenteren. De NVP pleit voor één melding.

In paragraaf 4.1.2 staat aangegeven dat Nederland gebruik zal maken van de lidstaatoptie om ICT-incidenten ook te laten melden bij de CSIRT zoals bedoeld in de NIS2-richtlijn. Op basis van de verordening moeten instellingen ernstige ICT-incidenten melden bij DNB of AFM. Daarnaast kunnen zij vrijwillig significante dreigingen ook melden aan AFM en DNB. De lidstaatoptie behelst dat de ernstige ICT-incidenten door banken, exploitanten van handelsplatformen, centrale tegenpartijen en centrale effectenbewaarinstellingen ook gemeld moeten worden aan de CSIRT en legt tevens de juridische basis om ook vrijwillig significante dreigingen te melden bij de CISRT. Bij de laatste gaat het dus om een vrijwillige melding, waarbij in beginsel geen regeldruk mee gemoeid gaat. De instelling besluit immers zelf of deze wil melden.

De keuze om gebruik te maken van deze lidstaatoptie komt voort uit dat het doel van de CSIRT anders is dan het doel van DNB en AFM. De CSIRT heeft als taak om advies te geven en bijstand te verlenen aan de entiteit indien nodig, om overloopeffecten naar andere sectoren te kunnen identificeren, betreffende entiteiten in die sectoren te waarschuwen en om trends te analyseren. De achtergrond van deze beleidskeuze is dat de toezichthoudende instantie en de CSIRT allebei zelfstandig invulling geven aan hun taken en dat hun functies daarbij gescheiden blijven. Op dit moment zijn aanbieders van essentiële diensten (AED’s) en andere als vitaal aangewezen aanbieders, waaronder die in de financiële sector, op grond van de Wet beveiliging netwerk- en informatiesystemen (Wbni) ook al verplicht om significante incidenten te melden bij de CSIRT. Met de inwerkingtreding van de Cyberbeveiligingswet – ter implementatie van de NIS2-richtlijn – wordt de Wbni ingetrokken, maar door gebruik te maken van deze lidstaatoptie blijft de directe melding aan de CSIRT in stand. Zowel DNB en AFM enerzijds als het ministerie van Justitie en Veiligheid anderzijds, welke de implementatie van de NIS2-richtlijn uitvoert, streven ernaar dat de melding aan de CSIRT en de toezichthouder zoveel mogelijk geharmoniseerd wordt.

Artikelsgewijs

Artikel I (Besluit EU-verordeningen Wft)

A

Artikel 60, eerste lid, tweede onderdeel van de verordening schrapt artikel 26, zesde lid van Verordening (EU) nr. 648/2012 (EMIR).6 Hiermee kan het desbetreffende artikellid komen te vervallen in de tabel onder 2 in bijlage 5.

B

Onderdeel B voegt een bijlage toe aan het Besluit EU-verordeningen Wft voor de verordening. Om de chronologische volgorde te behouden wordt de bestaande bijlage 35 daarbij vernummerd. Bij die vernummering is rekening gehouden met Verordeningen (EU) 2023/1114 (MiCAR) en (EU) 2023/2631 (EuGBR), die als bijlagen 36 en 37 zullen worden opgenomen. Hieronder worden de verschillende onderdelen van de nieuwe bijlage 35 besproken.

1. Bevoegde autoriteit in de zin van de verordening

Hier wordt de bevoegdheidsverdeling bepaald. In de verordening is in artikel 46 per type financiële onderneming door middel van verwijzingen naar de sectorale EU wetgeving, steeds aangegeven wie de toezichthouder is op naleving van de verordening. De bedoeling van artikel 46 van de verordening is dat de toezichthouder die aangewezen is via de sectorale regelgeving ook toezicht houdt op de naleving van de verordening door de betreffende financiële onderneming. In Nederland is het toezicht op financiële ondernemingen verdeeld tussen de AFM en DNB, welke vervat is in de taakverdeling zoals opgenomen in artikel 1:24 en 1:25 Wft. De AFM en DNB hebben in sommige gevallen gedeelde toezichttaken ten aanzien van de beheerste en integere bedrijfsvoering waarbij de AFM zich richt op het gedragstoezicht en DNB op het prudentiële toezicht. Voor ondernemingen waarbij sprake is van door AFM en DNB gedeeld toezicht komt het toezicht op naleving van de verordening te liggen bij de vergunningverlenende toezichthouder. Een voorbeeld van een type onderneming met gedeeld toezicht zijn beleggingsondernemingen. De AFM is de vergunningverlener bij (niet-bank) beleggingsondernemingen. Toezicht op deze financiële ondernemingen moet derhalve bij de AFM worden belegd. Er wordt één uitzondering gemaakt op deze regel, namelijk voor centrale effectenbewaarinstellingen. Het toezicht op naleving van deze verordening wordt bij DNB belegd terwijl de vergunning door de AFM verleend wordt. De reden hiervoor is dat deze toewijzing beter aansluit bij de bestaande verdeling van toezichtsbevoegdheden op basis van de verordening centrale effectenbewaarinstellingen en er geen aanleiding is om dat te veranderen. De verdeling van het toezicht wordt geregeld in het BEUv. Voor pensioenfondsen is bepaald dat het prudentiële toezicht bij DNB is belegd ingevolge de Pensioenwet. DNB houdt al toezicht op de beheerste en integere bedrijfsvoering bij pensioenfondsen en dat toezicht wordt uitgebreid met de verplichtingen die volgen uit de verordening. Er wordt opgemerkt dat onder «bemiddelaars in verzekeringen» ook nevenverzekeringstussenpersonen vallen in de zin van de richtlijn verzekeringsdistributie.7 Tenslotte wordt opgemerkt dat met betaaldienstverleners, zoals gedefinieerd in artikel 1:1 Wft, hier betaaldienstverleners worden bedoeld die hun zetel in Nederland hebben.

2. Handhaving door middel van last onder dwangsom of bestuurlijke boete

Er wordt een tabel toegevoegd met daarin de handhaafbare artikelen uit de verordening. De boetecategorie is bepaald naar de ernst van de overtreding en sluit aan bij de boetecategorieën die thans gelden voor soortgelijke overtredingen. Bij ernstige overtredingen ofwel de hoofdnormen van de verordening is gekozen voor een boetecategorie 3. Het uitgangspunt is daarbij dat overtreding van deze norm direct tot grote ICT-risico’s kan leiden voor de onderneming. Bij een melding of rapportageverplichting is gekozen voor een boetecategorie 1. Voor andere bepalingen is gekeken welke boetecategorie het meest opportuun is.

3. Openbaarmaking overtreding

Op grond van artikel 50, vierde lid, onderdeel e, van de verordening moet de toezichthouder een overtreding en de naam van de overtreder openbaar kunnen maken.

4. Lidstaatoptie artikel 2, vierde lid (uitzondering richtlijn kapitaalvereisten)

Hier wordt geregeld dat de instellingen die uitgezonderd zijn onder de richtlijn kapitaalvereisten, ook uitgezonderd zijn van de verplichtingen onder de verordening. In Nederland gaat dit om de «Nederlandse Investeringsbank voor Ontwikkelingslanden NV», de «NV Noordelijke Ontwikkelingsmaatschappij», de «NV Industriebank Limburgs Instituut voor Ontwikkeling en Financiering» en de «Overijsselse Ontwikkelingsmaatschappij NV».

Artikel II (Besluit Gedragstoezicht financiële ondernemingen Wft)

A

Artikel 29a is gebaseerd op artikel 4:14, tweede lid, aanhef en onderdeel a, Wft en stelt regels inzake de bedrijfsvoering van beleggingsondernemingen en beleggingsinstellingen. In artikel 29a worden twee aanpassingen doorgevoerd ten behoeve van twee sectorale richtlijnen.

Ten eerste wordt een lid ingevoegd. Dit betreft implementatie van artikel 1 van de richtlijn. Artikel 1 van de richtlijn wijzigt namelijk artikel 12, eerste lid, onderdeel a, van de richtlijn instellingen voor collectieve belegging in effecten.8 De bedrijfsvoering van de beheerder van een icbe wordt daarmee toegevoegd aan artikel 29a. Een beheerder van een icbe dient op grond van deze wijziging van artikel 29a tweede lid, te voldoen aan artikel 12 van de richtlijn instellingen voor collectieve belegging in effecten, welke weer gekoppeld is aan de verordening. Op grond van artikel 12 van de richtlijn instellingen voor collectieve belegging in effecten dient een beheerder van een icbe te beschikken over een goede administratieve en boekhoudkundige organisatie, controle- en beveiligingsvoorzieningen op het gebied van elektronische informatieverwerking, onder meer op het gebied van netwerk- en informatiesystemen die worden opgericht en beheerd volgens de verordening en adequate interne controleprocedures. Het gaat dan met name over regels voor persoonlijke transacties van de eigen medewerkers en voor het aanhouden of beheren van beleggingen in financiële instrumenten met het oog op het beleggen voor eigen rekening. Tevens dient de beheerder van een icbe te beschikken over procedures die ervoor zorgen dat activa van de icbe overeenkomstig het fondsreglement, statuten en toepasselijke wet- en regelgeving wordt belegd.

De tweede wijziging is tweeledig. Artikel 6, eerste lid, onderdeel a, van de richtlijn wordt geïmplementeerd. Dit artikel wijzigt artikel 16, vierde lid, van de richtlijn markten voor financiële instrumenten 20149, dat bepaalt dat een beleggingsonderneming redelijke maatregelen moet treffen om de continuïteit en regelmaat bij het verlenen van beleggingsdiensten en het verrichten van beleggingsactiviteiten te waarborgen. Daartoe dient de beleggingsonderneming gebruik te maken van passende en evenredige systemen, middelen en procedures. Deze dienen te worden beheerd overeenkomstig artikel 7 van de verordening. Tevens wordt de in artikel 29a, tweede lid, opgenomen verwijzing naar artikel 16, vijfde lid, van de richtlijn markten voor financiële instrumenten 2014 gewijzigd door daaraan een verwijzing naar de derde alinea van artikel 16, vijfde lid, van de richtlijn markten voor financiële instrumenten 2014 toe te voegen. Die wijziging verwerkt de aanpassing in artikel 6, eerste lid, onderdeel b, van de richtlijn.

Artikel III (Besluit prudentiële regels Wft)

B

Artikel 4, onderdeel 2, van de richtlijn vult artikel 74, eerste lid, van de richtlijn kapitaalvereisten10 aan. Die aanvulling brengt met zich mee dat banken dienen te beschikken over netwerk- en informatiesystemen die worden ontwikkeld en beheerd overeenkomstig Verordening (EU) nr. 2022/2554. Uit artikel 20, eerste lid, Bpr volgt reeds dat een bank dient te beschikken over een informatiesysteem dat een effectieve beheersing van de bedrijfsprocessen en de risico’s mogelijk maakt en dat voorziet in interne en externe informatiebehoeften. Dit dekt echter nog niet de aanvulling die volgt uit de richtlijn, voor wat betreft het netwerk- en informatiesysteem van de bank in relatie tot Verordening (EU) nr. 2022/2554. Daarom wordt in aanvulling op het eerste lid uit artikel 20 Bpr voor banken een vierde lid toegevoegd, dat hierin voorziet.

C

In verband met de vernummering in artikel 29a Bgfo (zie artikel II, onderdeel A) wordt de verwijzing in artikel 24a Bpr aangepast.

D

Dit betreft implementatie van artikel 5, eerste lid, onderdeel e, van de richtlijn van betalingsdiensten11 en artikel 7, tweede lid, onderdeel a, onder i, van de richtlijn. Verzuimd is om artikel 5, eerste lid, onderdeel e, van de richtlijn van betalingsdiensten te implementeren. Met deze wijziging wordt dit hersteld.

E

Dit betreft implementatie van artikel 7, tweede lid, onderdeel a, onder ii en van onderdeel b van de richtlijn. Deze wijziging zorgt ervoor dat de verplichtingen voor de beschrijving van de procedures voor het monitoren en afhandelen van veiligheidsincidenten en maatregelen op het gebied van beveiligingscontrole en risicobeperking die reeds gesteld waren in de richtlijn van betalingsdiensten in lijn zijn met de verordening.

F

Dit betreft implementatie van artikel 7, tweede lid, onderdeel a, onder iii van de richtlijn. Betaaldienstverleners kennen reeds procedures ten aanzien van bedrijfscontinuïteit. Met deze wijziging wordt aansluiting gezocht bij de procedures uit de verordening.

G

Dit betreft implementatie van artikel 7, vierde lid, van de richtlijn. In zowel dit artikel als in de verordening staan voorschriften voor betaaldienstverleners. Met deze bepaling wordt duidelijk dat beide voorschriften van toepassing zijn op betaaldienstverleners.

H

Betreft implementatie van artikel 7, vijfde lid, van de richtlijn. Enkele voorschriften uit de richtlijn betaaldiensten worden buiten toepassing verklaard, omdat de verordening dit regelt.

Artikel IV (Besluit markttoegang financiële ondernemingen Wft)

Betreft implementatie van artikel 7, tweede lid, onderdeel a, onder ii en iii en tweede lid, onderdeel b van de richtlijn.

Artikel V (Besluit gereglementeerde markten Wft)

A, B, C en D

Dit betreft een wijziging in verband met een verlettering van artikel 5:30a Wft en de verwijzing naar dat artikel in de artikelen 2, 4b, 4c en paragraaf 2a van het Besluit gereglementeerde markten Wft.

Artikel VI (Besluit financieel toetsingkader pensioenfondsen)

De aanwijzing van de toezichthouder voor financiële ondernemingen loopt via het Besluit uitvoering EU-verordeningen Wft. Ten aanzien van Pensioenfondsen ontlenen zij hun regels over beheerste bedrijfsvoering aan de Pensioenwet. De regels uit de verordening dienen daarom ook via die route van toepassing te worden verklaard op pensioenfondsen. Er wordt daarom een nieuw lid ingevoegd in artikel 18 van het Besluit financieel toetsingskader pensioenfondsen om de regels uit de verordening van toepassing te laten zijn. Daarnaast kenden pensioenfondsen ook reeds eisen ten aanzien van ict-huishouding en procedures die zijn opgenomen in dit besluit. Met de aanpassing is geregeld dat deze eisen in lijn met de verordening zijn.

Artikel VII (Besluit bestuurlijke boetes financiële sector)

Er wordt een wijziging doorgevoerd in artikel 5:30a Wft, waardoor de verwijzing hiernaar in het Besluit bestuurlijke boetes financiële sector dient te worden aangepast.

Artikel VIII

De verordening wordt op 17 januari 2025 van toepassing en de richtlijn dient dan eveneens geïmplementeerd te zijn.

De Minister van Financiën, E. Heinen