EN | DE
PRA verschärft Meldepflichten für operationelle Resilienz
BOE Press Read in English

PRA verschärft Meldepflichten für operationelle Resilienz

Die Prudential Regulation Authority (PRA) der Bank of England führt neue Regeln für die Meldung operationeller Vorfälle und wesentlicher Drittanbieter-Vereinbarungen ein. Diese treten am 18. März 2027 in Kraft.

Neue Regeln für externe Dienstleister und Störfälle

Mit dem 'Notification of Third-Party Arrangements and Operational Incident Reporting Instrument 2026' führt die Prudential Regulation Authority (PRA) umfassende neue Meldepflichten ein.

Ab dem 18. März 2027 müssen Finanzinstitute die PRA über wesentliche Drittanbieter-Vereinbarungen informieren, die ein Risiko für ihre Sicherheit und Solidität, den Schutz von Versicherungsnehmern oder die Stabilität des britischen Finanzsystems darstellen könnten.

Dies umfasst auch die Meldung von 'operationellen Vorfällen', die den Dienst am Endnutzer stören oder die Vertraulichkeit von Daten beeinträchtigen.

Die neuen Vorschriften gelten für CRR-Firmen, Solvency II-Firmen und andere regulierte Unternehmen.

Die Definition einer 'wesentlichen Drittanbieter-Vereinbarung' wurde präzisiert, um die Relevanz für die operationelle Resilienz zu betonen.

Firmen müssen hierfür das Formular M elektronisch einreichen.

Die Regelungen zielen darauf ab, die Überwachung von Risiken, die durch externe Abhängigkeiten und operative Störungen entstehen, zu verbessern und die Widerstandsfähigkeit des Finanzsektors zu stärken.

Präzise Definitionen und gestaffelte Meldeprozesse

Das Instrument definiert 'wesentliche Drittanbieter-Vereinbarungen' als solche, deren Ausfall ein Risiko für die Sicherheit und Solidität eines Unternehmens, den Schutz von Versicherungsnehmern oder die Stabilität des britischen Finanzsystems darstellen könnte.

Dies betrifft insbesondere Solvency II-Firmen mit einem jährlichen Brutto-Prämieneinkommen von über 15 Milliarden Pfund oder technischen Rückstellungen von über 75 Milliarden Pfund.

Ein 'operationeller Vorfall' wird als ein Ereignis oder eine Reihe von Ereignissen beschrieben, die den Dienst an einem externen Endnutzer stören oder die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Informationen oder Daten dieses Endnutzers beeinträchtigen.

Für operationelle Vorfälle sind gestaffelte Meldeprozesse vorgesehen: eine erste Meldung 'so bald wie praktikabel', eine Zwischenmeldung bei wesentlichen Änderungen und eine abschließende Meldung innerhalb von 30 Arbeitstagen nach Behebung des Vorfalls, bei Unpraktikabilität innerhalb von 60 Arbeitstagen.

Zudem müssen Unternehmen ein Register ihrer wesentlichen Drittanbieter-Vereinbarungen führen und jährlich an die PRA übermitteln.

Mehr Transparenz, mehr Aufwand

Die neuen Regeln der PRA sind ein konsequenter Schritt zur Stärkung der operationellen Resilienz im britischen Finanzsektor.

Sie erhöhen die Transparenz bei externen Abhängigkeiten und Störfällen, was für die Stabilität des Systems unerlässlich ist.

Allerdings bedeuten die detaillierten Meldepflichten und Register für die betroffenen Firmen einen erheblichen administrativen Mehraufwand, dessen Nutzen sich erst langfristig zeigen wird.

Quelle: PS7/26 – Operational resilience: Operational incident and third-party reporting

IN: