Høring over udkast til bekendtgørelse om systemrevisionens gennemførelse i operatører af finansiel digital infrastruktur

• Bekendtgørelsen opdaterer reglerne for systemrevision i operatører af finansiel digital infrastruktur som følge af ændringer i lov om finansiel virksomhed.
• Den nye bekendtgørelse erstatter den tidligere bekendtgørelse om systemrevision i fælles datacentraler m.fl.
• Formålet er primært at foretage konsekvensændringer og præciseringer uden at indføre nye krav eller forpligtelser for de omfattede virksomheder.
• Den eksterne systemrevision skal årligt afgive en erklæring om system-, data- og driftssikkerheden, der dækker alle relevante forhold i henhold til lov om finansiel virksomhed.
• Operatører, der varetager væsentlige it-driftsopgaver for pengeinstitutter, er forpligtet til at etablere en intern systemrevision.
• Både ekstern og intern systemrevision skal føre protokoller og udarbejde årsprotokollater, der indsendes til Finanstilsynet.
• Operatørens ledelse skal udarbejde en redegørelse baseret på den eksterne systemrevisions erklæring, der hjælper tilsluttede virksomheder med at vurdere risici.
• Bekendtgørelsen forventes at træde i kraft den 1. januar 2026.
• Overtrædelse af visse bestemmelser i bekendtgørelsen kan straffes med bøde.

Ikrafttræden og straffebestemmelser

Bekendtgørelsen forventes at træde i kraft den 1. januar 2026 og ophæver samtidig den tidligere bekendtgørelse nr. 1581 af 22. december 2022. Overtrædelse af visse bestemmelser i bekendtgørelsen kan straffes med bøde, og juridiske personer kan pålægges strafansvar.

Hovedprincipper i den nye model:

• Pointbaseret system: Et instituts systemiskhed beregnes som en vægtet sum af 12 indikatorer og opgøres i basispoint.
• Tærskelværdi: Et institut udpeges som SIFI, hvis dets beregnede systemiskhed overstiger 100 basispoint i to på hinanden følgende år.
• Kategorisering: SIFI'er indplaceres i fem kategorier baseret på deres systemiskhedsscore, hvilket bestemmer størrelsen på deres SIFI-bufferkrav.

De 12 indikatorer og deres vægte er som følger:

Et institut kan ophøre med at være SIFI, hvis dets systemiskhed ligger under 100 basispoint i tre på hinanden følgende år.

Bæredygtig Finansiering

Lovforslaget implementerer dele af EU's regelsæt for bæredygtig finansiering:

• Taksonomiforordningen: Finanstilsynet udpeges som den kompetente myndighed, der skal påse, at finansielle markedsdeltagere overholder oplysningskravene i artikel 5, 6 og 7 i EU's taksonomiforordning. Dette skal sikre gennemsigtighed om, i hvor høj grad investeringer er miljømæssigt bæredygtige.
• Disclosureforordningen: Arbejdsmarkedets Tillægspension (ATP) omfattes af disclosureforordningen. Det betyder, at ATP skal oplyse om, hvordan bæredygtighedsrisici integreres i deres investeringsbeslutninger.

Tilsyn med Betalingsinfrastruktur

For at sikre et robust tilsyn med kritisk betalingsinfrastruktur indføres en ny kategori af virksomheder under tilsyn:

• It-operatører af detailbetalingssystemer: Virksomheder, der udfører it-drift for detailbetalingssystemer af væsentlig samfundsmæssig betydning, skal have tilladelse fra Finanstilsynet.
• Krav til tilladelse: For at opnå tilladelse skal operatøren bl.a. have hjemsted i Danmark og have en ledelse, der opfylder kravene til egnethed og hæderlighed ('fit & proper').
• Tilsynsbeføjelser: Finanstilsynet får tilsynsbeføjelser over for disse operatører, herunder mulighed for at kræve oplysninger, foretage inspektioner og udstede påbud.

Whistleblowerordninger

Reglerne for whistleblowerordninger justeres på tværs af 13 finansielle love for at skabe overensstemmelse med den nye generelle lov om beskyttelse af whistleblowere. Det præciseres, at de sektorspecifikke regler i den finansielle lovgivning har forrang, hvis de giver bedre beskyttelse. Det betyder, at kravet om, at ansatte skal kunne indberette anonymt, bibeholdes i den finansielle sektor.

Andre Væsentlige Ændringer

• Crowdfunding: Projektejere, der modtager midler gennem lånebaseret crowdfunding i henhold til EU-forordningen (op til 5 mio. euro), undtages fra kravet om at have tilladelse som pengeinstitut eller sparevirksomhed. Dette skal lette finansiering for mindre erhvervsdrivende.
• Indskydergarantiordningen: Der indføres en ny udløsende begivenhed for dækning fra Garantiformuen. Finanstilsynet kan nu konstatere, at et pengeinstitut ikke er i stand til at tilbagebetale forfaldne indskud på grund af dets finansielle situation. En sådan konstatering kan aktivere udbetaling fra Garantiformuen, selvom instituttet ikke formelt er under konkurs eller rekonstruktion.
• Positionslofter for råvarederivater: Reglerne om positionslofter lempes, så de fremover kun gælder for landbrugsråvarederivater og kritiske eller væsentlige råvarederivater (defineret som derivater med åbne positioner på mindst 300.000 partier i gennemsnit over et år). Dette skal lette byrderne for mindre likvide markeder.
• Offentliggørelse af ledelsesvederlag: For at imødekomme databeskyttelsesregler (GDPR) skal oplysninger om individuel ledelsesaflønning ikke længere nødvendigvis publiceres direkte i årsrapporten. Virksomheden kan i stedet offentliggøre dem andetsteds og henvise til placeringen i årsrapporten. Oplysningerne skal fortsat være offentligt tilgængelige i mindst 10 år.
• Konkursrækkefølge: Lovforslaget præciserer konkursrækkefølgen for kapitalinstrumenter, så egentlige kernekapitalinstrumenter betales efter hybride kernekapitalinstrumenter, som igen betales efter supplerende kapitalinstrumenter.

Ikrafttrædelse

Loven træder i kraft den 1. januar 2022. Dog træder bestemmelserne om whistleblowerordninger i kraft allerede den 17. december 2021. Der indføres en overgangsordning for eksisterende datacentraler, der skal søge om tilladelse som it-operatør af et detailbetalingssystem, med ansøgningsfrist den 1. juli 2022.