Leitlinienentwurf der EBA über die Meldung von schwerwiegenden Vorfällen gemäß PSD2

Die European Banking Authority (EBA) veröffentlichte am 7. Dezember 2016 ein Konsultationspapier zu Leitlinien über die Meldung von schwerwiegenden Betriebs- oder Sicherheitsvorfällen gemäß der Zahlungsdienstrichtlinie (RL 2015/2366, Payment Service Directive 2, PSD2). Der vorliegende Entwurf regelt die Klassifizierung schwerwiegender Vorfälle und die Festlegung von Inhalt, Format und Verfahren für deren Meldung an die zuständigen Behörden (National Competent Authorities, NCA).

Leitlinien für Zahlungsdienstleister

Die Leitlinien für Zahlungsdienstleister legen Kriterien zur Beurteilung von Betriebs- oder Sicherheitsvorfällen fest. Zu diesen zählen u.a. die wirtschaftlichen Auswirkungen, Auswirkungen auf die Reputation, betroffene Geschäfte und betroffene Kunden. Für jedes Kriterium werden Schwellenwerte definiert und festgelegt (z.B. prozentuelle Anteile). Je nach Höhe der Kennzahlen erfolgt eine Zuteilung der einzelnen Kriterien zu Level 1 oder Level 2. Die gesamte Zuteilung der Kriterien ergibt die Einstufung eines Vorfalls als wesentlich oder unwesentlich. Infolgedessen haben die Zahlungsdienstleister einen Vorfallsbericht gem. der Vorlage in Anhang I an die NCA zu schicken. Zahlungsdienstleister haben aber gem. PSD2 die Möglichkeit, ihre Meldepflichten an Dritte zu delegieren. Wird von dieser Möglichkeit gebraucht gemacht, müssen sie die NCA des Herkunftsstaates darüber informieren.

Leitlinien für zuständige Behörden                            

Die NCA der Herkunftsstaaten müssen nach Eingang einer Meldung die Relevanz eines Vorfalls beurteilen und die Informationen mit anderen nationalen Behörden teilen. Auf der Grundlage der Einschätzung der NCA erstellen die anderen Behörden ein eigenes Gutachten. Darüber hinaus müssen die NCA die Berichte der Zahlungsdienstleister der EBA und der Europäischen Zentralbank (EZB) zur Verfügung stellen. Die NCA sollen aber die Vertraulichkeit und Integrität der ausgetauschten Informationen und ihre ordnungsgemäße Authentifizierung gegenüber der EBA und EZB wahren.

Die Konsultationsphase läuft bis zum 7. März 2017. Nach Ende der Konsultationsphase wird die EBA die finale Version der Leitlinie veröffentlichen. Die EZB und die nationalen zuständigen Behörden müssen binnen zwei Monaten nach dieser Veröffentlichung im Sinne des “comply or explain”-Prinzips erklären, ob sie die Richtlinie anwenden werden oder diese begründet ablehnen.

Link: EBA/CP/2016/23

print