BOE-Aufsicht: Zahlungsdienstleister müssen operativ resilient sein
Die Bank of England (BOE) legt ihre Erwartungen an die operationelle Resilienz von Zahlungsdienstleistern und deren Dienstleistern fest. Ein neues Aufsichtsdokument definiert den Rahmen für Betreiber anerkannter Zahlungssysteme (RPSOs) und spezifischer Dienstleister (SSPs).
Zahlungssysteme im Fokus der Stabilität
Die Bank of England (BOE) hat ein Aufsichtsdokument zur operationellen Resilienz für Betreiber anerkannter Zahlungssysteme (RPSOs) und spezifische Dienstleister (SSPs) veröffentlicht.
Dieses Dokument legt die Erwartungen der Bank fest, wie diese Unternehmen ihre regulatorischen Pflichten erfüllen sollen.
Die BOE betrachtet Störungen im Zahlungsverkehr als ein Problem der Finanzstabilität und sieht mangelnde Resilienz als Bedrohung für ihr Finanzstabilitätsziel.
Der zugrunde liegende Verhaltenskodex ist für die betroffenen Unternehmen bindend und kann bei Nichteinhaltung Durchsetzungsmaßnahmen nach sich ziehen.
Das Dokument definiert einen Rahmen, der darauf abzielt, die Wahrscheinlichkeit operativer Störungen zu minimieren sowie deren Auswirkungen zu mindern und die Wiederherstellung zu erleichtern.
Die BOE erwartet, dass Zahlungssysteme sowohl effizient als auch operationell robust sind, um ihre kritische Rolle in der britischen Wirtschaft zu erfüllen und Finanzinstabilität weder zu verursachen noch zu verstärken.
Die Aufsicht erfolgt risikobasiert und vorausschauend, wobei RPSOs weiterhin die CPMI-IOSCO Prinzipien für Finanzmarktinfrastrukturen (PFMIs) berücksichtigen müssen.
Ausländische RPSOs und SSPs werden fallweise beurteilt, ob sie den Anforderungen unterliegen.
Wichtige Dienste und ihre Toleranzgrenzen
Die BOE definiert operationelle Resilienz als die Fähigkeit von Finanzmarktinfrastrukturen (FMIs), operative Störungen zu verhindern, darauf zu reagieren und sich davon zu erholen.
Kern ist die Identifizierung 'wichtiger Geschäftsleistungen' – Dienste, deren längere Unterbrechung die Übertragung von Zahlungen oder die Sicherheit und Effizienz des Zahlungssystems erheblich gefährden und somit die Finanzstabilität beeinträchtigen könnte.
RPSOs und SSPs müssen diese Dienste anhand von Faktoren wie Marktanteil, Transaktionsvolumen und -wert sowie der Anzahl der Endnutzer identifizieren.
Für jede Leistung ist eine 'Impact Tolerance' festzulegen, die das maximal tolerierbare Ausmaß einer Störung definiert.
Diese berücksichtigt nicht nur die Dauer, sondern auch die Anzahl der betroffenen Endnutzer oder das Volumen der gestörten Zahlungen.
Sie ist von den PFMIs-Wiederherstellungszeiten zu unterscheiden und soll Investitionsverhalten sowie interne Governance steuern.
Das Operational Resilience Framework soll die sensibelsten Geschäftsbereiche identifizieren und absichern.
Mehr als nur Notfallpläne
Dieses Aufsichtsdokument der BOE verschiebt den Fokus von reaktiver Störungsbehebung hin zu proaktiver Prävention und umfassender Widerstandsfähigkeit.
Die Betonung auf 'Impact Tolerance' und die Identifizierung kritischer Dienste zwingt Unternehmen zu einer tiefgreifenden Risikoanalyse, die über traditionelles Business Continuity Management hinausgeht.
Für Zahlungsdienstleister bedeutet dies erhebliche Investitionen in Infrastruktur und Prozesse, deren Erfolg maßgeblich von konsequenter Umsetzung und dem Management komplexer Abhängigkeiten abhängt.