Oversight op betalings- en effectenverkeer 13 De Nederlandsche Bank O versight op betalingsen ef fectenverkeer 2 013 ma a r t 2 0 1 4 1 13 De Nederlandsche Bank O versight op betalingsen ef fectenverkeer 2 013 ma a r t 2 0 1 4 Oversight op betalings- en effectenverkeer Inhoudsopgave 1. Inleiding 3 2. Oversight: doel en methode 4 3. Oversightontwikkelingen 2013 9 4. Toetsingsresultaten hoogwaardig betalingsverkeer 12 5. Toetsingsresultaten effectenverkeer 14 6. Toetsingsresultaten retailbetalingsverkeer 19 7. Business continuity financiële kerninfrastructuur 24 Appendix – Gebruikte afkortingen 26 2 Oversight op betalings- en effectenverkeer 1. Inleiding Dit oversightrapport dient om verantwoording af te leggen over de uitvoering van de taak van de Nederlandsche Bank (DNB) met betrekking tot het oversight op het betalings- en effectenverkeer. Het internationale Committee on Payment and Settlement Systems stelt eisen aan de transparantie van de oversightfunctie van een centrale bank. Dit vereiste is als volgt verwoord in het rapport van dit comité inzake oversight uit 2005: “Central banks should set out publicly their oversight policies, including the policy requirements or standards for systems and the criteria for determining which systems these apply to.” (zie www.bis.org/publ/cpss68.pdf). DNB vult dit in door, naast de gebruikte toetsingscriteria, eveneens de resultaten van de toetsingen te publiceren teneinde op een effectieve wijze aan dit criterium invulling te geven. DNB publiceert sinds verslagjaar 2006 een dergelijk overzicht. De mate van compliance van het voor Nederland relevante betalings- en effectenverkeer met de afgesproken (inter)nationale oversightstandaarden is opgenomen in het voorliggende rapport. Deze resultaten van het oversight zijn gebaseerd op werkzaamheden door DNB verricht gedurende 2013 en waar relevant met de Autoriteit Financiële Markten (AFM) en toezichthouders in het buitenland. In hoofdstuk 2 staan het doel en de methode van het oversight centraal. Hierin is ook opgenomen de volledige lijst van oversightobjecten waarop DNB in 2013 oversight hield. In hoofdstuk 3 worden de laatste ontwikkelingen op het gebied van oversight behandeld. In hoofdstukken 4 t/m 6 zijn de resultaten van de toetsingen opgenomen, onderverdeeld in drie hoofddomeinen: het hoogwaardige betalingsverkeer, het effectenverkeer en het retailbetalingsverkeer. Tot slot zijn in hoofdstuk 7 de belangrijkste activiteiten over 2013 van het operationele crisismanagement van de financiële sector opgenomen. In de Appendix is een lijst van gebruikte afkortingen opgenomen. De afsluitdatum van het rapport is 1 februari 2014. 3 Oversight op betalings- en effectenverkeer 2. Oversight: doel en methode Oversight is een vorm van toezicht dat gericht is op de bevordering van de veiligheid en efficiëntie van het betalings- en effectenverkeer. Voor DNB zijn dat alle betaalsystemen, betaalproducten en effectenafwikkelsystemen die relevant zijn voor Nederland. Met behulp van oversight wordt beoogd het systeemrisico en het risico op verstoringen die kunnen leiden tot maatschappelijke onrust te mitigeren die kunnen ontstaan vanuit het voor Nederland relevante betalings- en effectenverkeer. Het oversight op het betalings- en effectenverkeer is een taak die DNB uitvoert zowel uit hoofde van de Bankwet 1998 (Artikel 4 lid 2 en artikel 3 lid 1e) als uit hoofde van het Europees Stelsel van Centrale Banken (EU-Verdrag Artikel 127 lid 2). In deze artikelen wordt DNB en het stelsel van centrale banken de taak gegeven om de goede werking van het betalingsverkeer te bevorderen. Vanaf 1 januari 2014 is het oversight op het retailbetalingsverkeer mede gebaseerd op de Wet op het Financieel Toezicht (Wft). DNB is hiervoor de vergunningverlener en ziet toe op de systeemaspecten van afwikkelondernemingen. De AFM is verantwoordelijk voor het toezicht op de gedragsaspecten van afwikkelondernemingen. Het oversight op het effectenverkeer is mede gebaseerd op de Wet op het Financieel Toezicht (Wft, artikel 5:30 lid e) en de daaruit voortvloeiende vergunning voor het houden van een beurs of handelsplatform. Dat deel van het oversight wordt gezamenlijk uitgevoerd met de AFM. Een tweede, specifieke grondslag voor het oversight op het effectenverkeer is de EMIR richtlijn. Deze is per 15 maart 2013 in het geheel voor het oversight op centrale tegenpartijen van kracht geworden. Zie hoofdstuk 3 Oversightontwikkelingen voor een nadere toelichting. De oversighttaak is gericht op twee doelstellingen waarmee wordt beoogd bij te dragen aan het bevorderen van de DNB-brede doelstelling van financiële stabiliteit en de goede werking van het betalingsverkeer: 1) het vermijden van systeemrisico, en 2)het voorkomen van verstoringen die kunnen leiden tot maatschappelijke ontwrichting voor zover dat voortvloeit uit het voor Nederland relevante retailbetalingsverkeer. De scope van oversight van DNB omvat voor het effectenverkeer in principe de instellingen en systemen die de clearing en settlement verzorgen van het voor Nederland relevante effectenverkeer, zoals centrale tegenpartijen (CCP´s) en het centrale bewaarbedrijf (CSD). De scope van oversight van DNB omvat voor het betalingsverkeer instellingen, systemen en producten waarvan het voor Nederland relevante betalingsverkeer gebruik maakt. Hiernaast zijn er voor het Nederlandse betalings- en effectenverkeer relevante oversightobjecten in het buitenland (zowel Europees als mondiaal). In deze gevallen is sprake van internationaal coöperatief Oversight, waarbij met verschillende buitenlandse overseers en toezichthouders wordt samengewerkt. Een object is relevant voor Nederland indien verstoringen in dat object een directe, negatieve consequentie hebben voor Nederland. Tabel 4 Oversight op betalings- en effectenverkeer 2.1 biedt het overzicht van alle oversightobjecten waar DNB lead overseer is of deelnemer aan het desbetreffende oversightarrangement in 2013. Tabel 2.1 Nationale en internationale oversightarrangementen 2013 Systeem Lead overseer/toezichthouder Andere overseers/toezichthouders Hoogwaardig betalingsverkeer TARGET2 TARGET2-NL EURO1 CLS ECB DNB ECB Federal Reserve Eurosysteem ncb’s SWIFT NBB Effectenverkeer LCH.Clearnet SA LCH.Clearnet group Ltd EMCF Euroclear SA Euroclear NL Euroclear ESES EuroCCP Ltd Holland Clearing House Retail betalingsverkeer Equens (SE, CSS, CSM en Switch) VISA Europe (VISA en V Pay) MasterCard Europe (MasterCard en Maestro) CCV Currence (Chipknip, Acceptgiro, Incasso, iDEAL) Betaalvereniging Nederland UPSS Eurosysteem ncb’s G10-centrale banken en overige centrale banken van de 17 betrokken valuta’s Overige G10 centrale banken Roulerend voorzitterschap toezicht- AFM, DNB en toezichthouders uit België, houders Euronext landen Frankrijk en Portugal Autorité de Contrôle Prudentiel AFM, DNB en toezichthouders België, Frankrijk, Portugal en het VK AFM and DNB Toezichthouders uit België, Denemarken, Duitsland, Finland, Hongarije, Ijsland, Oostenrijk, het VK en Zweden NBB AFM, DNB en toezichthouders uit België, Finland, Frankrijk, Ierland, het VK en Zweden AFM and DNB AFM en DNB NBB AFM, DNB en toezichthouders uit België en Frankrijk FSA AFM en DNB AFM en DNB DNB ECB NBB Eurosysteem nationale centrale banken Overige Eurosysteem nationale centrale banken en ECB DNB DNB DNB DNB Voor alle oversightobjecten die onderdeel zijn van de financiële kerninfrastructuur gelden nog aanvullende business continuity eisen (Toetsingskader Business Continuity Management Financiële Kerninfrastructuur, DNB, 2011) 5 Oversight op betalings- en effectenverkeer Tabel 2.2 Toepasselijke oversightstandaarden 2013 Systeem Toepasselijke standaarden in 2013 Hoogwaardig betalingsverkeer TARGET2, TARGET2-NL, EURO1, CLS SWIFT Core Principles for Systemically Important Payment Systems (BIS, 2001), Principles for Financial Market Infrastructures (BIS, 2012) High Level Expectations (SWIFT) Effectenverkeer LCH.Clearnet SA, LCH.Clearnet group Ltd, EMCF, HCH, EuroCCP Ltd, Euroclear SA, Euroclear NL, Euroclear ESES Recommendations for securities settlement systems and recommendations for central counterparties in the European Union (ESCB & CESR, 2009), EMIR (2013), Principles for Financial Market Infrastructures (BIS, 2012) Retail betalingsverkeer Equens SE, CSS, CSM, Switch VISA, V Pay, MasterCard, Maestro CCV Currence Chipknip Currence Acceptgiro Currence Incasso Currence iDEAL Betaalvereniging Terms of reference for the oversight assessment of euro systemically and prominently important payment systems against the core principles (ECB, 2007) Oversight framework for Card Payment Schemes (ECB, 2008) Geen (nog niet beschikbaar) Geen (nog niet beschikbaar) Oversight Framework for Credit Transfer Schemes (ECB, 2010) Oversight Framework for Direct Debit Schemes (EBC, 2010) Oversight Framework for Credit Transfer Schemes (ECB, 2010) Geen (licht oversight regime) Gedurende 2013 zijn voor het hoogwaardige betalingsverkeer en het effectenverkeer nieuwe standaarden en wet- en regelgeving van toepassing geworden. In het jaarrapport 2014 zullen de nieuwe standaarden en van toepassing zijnde wet- en regelgeving worden opgenomen. De uitvoering van oversight vindt plaats door middel van toetsingen en via reguliere oversightactiviteiten. Toetsingen worden uitgevoerd als er sprake is van vergunningverlening, een nieuw systeem, een nieuw product of in geval van een grote wijziging. Hierbij wordt het object aan alle standaarden getoetst die voor dat soort systeem of product van toepassing zijn (een overzicht is weergegeven in Tabel 2.2). Ook deeltoetsingen zijn mogelijk, bijvoorbeeld bij kleinere wijzigingen in het object of in het kader van een thematisch onderzoek. Het reguliere oversight bestaat ondermeer uit het monitoren van een oversightobject aan de hand van rapportages en het voeren van periodieke gesprekken met management en auditors van het object. Daarbij wordt de voortgang van de afhandeling van aanbevelingen bewaakt en wordt gevolgd welke ontwikkelingen of wijzigingen gepland worden voor het object. Indien aanbevelingen niet worden opgevolgd door het oversightobject zal in voorkomende gevallen repressief opgetreden moeten worden door middel van de inzet van formele handhavingsinstrumenten indien de wetgeving dat bij het desbetreffende oversightobject mogelijk maakt. De resultaten van een toetsing (met uitzondering van vergunningverlening) worden vastgelegd in een overzichtstabel waarin is weergegeven in welke mate het object op het moment van toetsing voldoet aan alle standaarden. De daarbij gehanteerde scoringssystematiek volgt de internationale standaarden en is als volgt: 6 Oversight op betalings- en effectenverkeer Kleur Betekenis Uitleg Voldoet Aan alle eisen wordt voldaan Voldoet grotendeels Er zijn kleine tekortkomingen met een beperkte invloed op de veiligheid en efficiëntie van het systeem Voldoet deels Er zijn ernstige tekortkomingen waarvoor op korte termijn maatregelen worden doorgevoerd Voldoet niet Er zijn ernstige tekortkomingen waarvoor niet gepland is om op korte termijn maatregelen te nemen Niet van toepassing Niet getoetst Er heeft nog geen initiële toetsing aan deze standaard plaatsgevonden De overzichtstabellen (zie hoofstukken 4 t/m 6) worden jaarlijks bijgewerkt om te laten zien in welke mate wordt voldaan aan de standaarden respectievelijk waar verbeteringen of verslechteringen zijn geconstateerd in vergelijking tot eerdere jaren. Deze actualisering is gebaseerd op de informatie uit het reguliere oversight en op eventuele follow-up toetsingen. Vandaar dat de overzichtstabel per object een overzicht geeft voor het voldoen aan alle standaarden, ook al is er in het afgelopen jaar geen volledige toetsing uitgevoerd. Een instelling, systeem of product dat slechts deels (oranje vak) of niet (rood vak) voldoet aan één of meer van de standaarden zou in principe niet operationeel mogen worden of zijn totdat de tekortkomingen zijn opgelost. Er zijn echter twee situaties waarin een systeem of product met een voldoet deels of voldoet niet oordeel toch operationeel wordt of blijft. De eerste situatie betreft oversightobjecten die materieel (nog) niet belangrijk zijn, dat wil zeggen dat het potentiële systeemrisico of het risico op verstoringen die kunnen leiden tot maatschappelijke onrust van dat object zeer gering is; maar voordat zij operationeel mogen worden is wel goedkeuring door de overseer nodig. Een dergelijk prior approval kan in een dergelijk geval eventueel toch worden afgegeven zodat het systeem kan starten. De keuze om een systeem in een dergelijk geval toch te laten starten, hangt van verschillende factoren af, waaronder de aard van de standaard waar niet aan wordt voldaan en het verwachte groeitempo van het systeem. De voorwaarde die daarbij gesteld wordt, is dat het systeem bij toenemende materialiteit wel aan de standaard gaat voldoen en de tekortkoming dus tijdig oplost. De tweede – vooralsnog theoretische – situatie waarin een systeem, ondanks ernstige tekortkomingen, toch operationeel wordt c.q. blijft, is de situatie waarin DNB geen bevoegdheden heeft om stopzetting van de activiteiten af te dwingen en het desbetreffende object toch doorzet, ondanks bezwaren van DNB. Deze situatie zou zich kunnen voordoen op die terreinen waar DNB geen formeel handhavings instrumentarium heeft en informele instrumenten, zoals overredingskracht (‘moral suasion’), niet effectief blijken te zijn. De doelen van oversight worden in hoofdzaak nagestreefd door het houden van preventief toezicht. Om tot een verantwoorde indeling van oversightcapaciteit te komen worden er keuzes gemaakt ten aanzien van de inzet van deze capaciteit. Deze keuzes dienen helder, verifieerbaar en expliciet te zijn, zodat de risicohouding van 7 Oversight op betalings- en effectenverkeer DNB duidelijk is en de oversightintensiteit zowel in- als extern te verantwoorden is. De basis hiervoor vormt de a priori categorisering: de indeling van oversightobjecten in vijf klassen, die de intensiteit van het oversight bepalen. De basis hiervoor is de zogenaamde FOCUS! - systematiek. Bij deze systematiek zijn de oversightobjecten geclassificeerd naar toenemend inherent risico in vijf klassen T1 t/m T5. Met inherent risico wordt hier bedoeld: 1)Het potentiële systeemrisico zonder de feitelijk door het object getroffen beschermingsmaatregelen. Systeemrisico is hier op te vatten als het ‘van binnen naar buiten risico’ (falen van het oversightobject zelf) en als het ‘van buiten naar binnen risico’ (faillissement van een deelnemer of een externe ramp); 2)Het potentiële risico op verstoringen die kunnen leiden tot maatschappelijke ontwrichting in het retailbetalingsverkeer zonder de feitelijk door het object getroffen beschermingsmaatregelen. DNB definieert dit risico als de problemen die ontstaan bij gebruikers in het retailbetalingsverkeer naar aanleiding van één of enkele incidenten waardoor de goede werking van het retailbetalingsverkeer wordt bedreigd en waarbij het risico bestaat op verstoring van de openbare orde en/of verstorende effecten op het maatschappelijke leven. De mate van inzet van oversightcapaciteit is proportioneel gemaakt aan het inherente risico. Dat wil zeggen dat de capaciteit en aandacht toeneemt naarmate een object is ingedeeld in een categorie met een hoger nummer (T1 t/m T5). De intensiteit wordt vervolgens meegenomen in het reguliere oversight (risico analyse, risicobeoordeling en risicomitigatie) zoals weergegeven in figuur 1. Periodiek wordt de a priori categorisering geactualiseerd. Op deze wijze tracht DNB nieuwe ontwikkelingen of technologieën tijdig in het vizier te krijgen. Figuur 1 Oversightproces FIGUUR 1 OVERSIGHTPROCES 8 Oversight op betalings- en effectenverkeer 3. Oversightontwikkelingen 2013 3.1 Wft Afwikkelondernemingen Op 1 januari 2014 is de Wet op het Financieel Toezicht uitgebreid met het toezicht op afwikkelondernemingen. De wetgever onderkent hiermee dat het elektronisch betalen, zoals pinnen in winkels en internetbankieren, zeer wijdverbreid is in Nederland. Daardoor is de Nederlandse maatschappij in toenemende mate afhankelijk geworden van het girale betalingsverkeer. Indien een grote partij in de betaalketen uitvalt, heeft dat gevolgen voor de hele keten. Een hoge beschikbaarheid van het elektronische retailbetalingsverkeer is daarom essentieel aangezien uitval van een belangrijke schakel in het girale betalingsverkeer tot maatschappelijke ontwrichting kan leiden. Weliswaar zijn er fallback-mogelijkheden als een bepaald primair product of kanaal niet beschikbaar is maar deze alternatieven zijn nooit volledig gelijkwaardig qua functionaliteit of beschikbaarheid. De ondernemingen die nu onder de Wft zijn gebracht, spelen een hoofdrol in het verwerken van girale betalingen in Nederland. Zij zorgen voor een snelle autorisatie van bijvoorbeeld pinbetalingen en zorgen voor de verwerking van overschrijvingen en incasso’s. De afwikkelondernemingen vallen voor een deel al onder het vrijwillige oversight van DNB, soms al langere tijd. De wetgever heeft nu DNB een handhavingsinstrumentarium ter beschikking gesteld. Niet alle ondernemingen die afwikkeldiensten leveren in het betalingsverkeer zijn vergunningplichtig. De vergunningplicht geldt alleen voor die ondernemingen (met een zetel in het binnenland of buitenland) die een aanzienlijk deel van het Nederlandse betalingsverkeer verwerken, en dus bij een verstoring maatschappelijke ontwrichting kunnen veroorzaken. De wetgever heeft de grens voor vergunningplicht gelegd op 120 miljoen transacties per jaar. Dit impliceert dat een beperkt aantal afwikkelondernemingen vergunningplichtig is. 3.2 EMIR: Europese oversightwetgeving voor centrale tegenpartijen In 2012 is de Europese Verordening EMIR van kracht geworden en op 15 september 2013 was de deadline voor het aanvragen van een vergunning als centrale tegenpartij (CCP’s). Alle in Europa actieve CCP’s waren verplicht om voor die datum een vergunningaanvraag in te dienen bij hun nationale competente autoriteit. Voor Nederland is DNB aangewezen als nationale competente autoriteit. Dit betekent dat DNB de vergunningverlener is van in Nederland gevestigde CCP’s. Daarnaast hebben DNB en AFM nu een aantal handhavingsinstrumenten tot hun beschikking ten aanzien van CCP’s. In Nederland zijn twee centrale tegenpartijen gevestigd: EuroCCP NV en Holland Clearing House (zie hoofdstuk 5 voor meer informatie over CCP’s). Binnen EMIR is bepaald dat de nationale competente autoriteit bij de vergunningverlening rekening houdt met de belangen van de deelnemers van de CCP die in andere landen gevestigd kunnen zijn. Daarom schrijft EMIR voor dat een 9 Oversight op betalings- en effectenverkeer college met buitenlandse toezichthouders meebeslist over het toekennen van de vergunning. Besluitvorming vindt gewoonlijk plaats op basis van consensus maar besluiten kunnen ook bij meerderheid van stemmen worden genomen. De samenstelling van de colleges is bepaald op grond van artikel 18, tweede lid EMIR. DNB is voorzitter van de twee colleges voor de Nederlandse CCP’s Voor het internationaal opererende EuroCCP NV bestaat het college uit zo’n twintig toezichthouders.. Hiernaast is DNB lid van de volgende colleges voor buitenlandse CCP’s: 1.LCH.Clearnet SA (FR) op grond van haar toezichthouderschap op de Nederlandse CSD Euroclear Nederland, waarmee LCH.Clearnet SA een link onderhoudt; 2.LCH Clearnet Ltd (VK), op grond van haar toezichthouderschap op EuroCCP NV, waarmee EuroCCP Ltd interoperabel is; 3.Eurex AG (DE) op grond van haar toezichthouderschap op ABN AMRO Bank als een van de grootste clearing members van Eurex; 4.European Commodity Clearing (DE) op grond van haar toezichthouderschap op ABN AMRO Bank als een van de grootste clearing members van ECC. 3.3 CSDR: Europese oversightwetgeving voor centrale bewaarbedrijven Het oversight door DNB en AFM op Euroclear Nederland, het centrale bewaarbedrijf voor Nederland, vindt momenteel plaats op basis van ‘moral suasion’. DNB heeft namelijk geen wettelijke bevoegdheden om de normen die in het oversight worden gehanteerd te handhaven. Met de komst van de Central Securities Depository Regulation (CSDR) gaat dit veranderen. De CSDR zal (onder andere) een vergunningplicht en doorlopend toezicht introduceren voor CSD’s. DNB zal de CSDR in Nederland gezamenlijk met de AFM uitvoeren. Het Europese wetgevingsproces loopt nog, maar de verwachting is dat de CSDR op 1 januari 2015 van kracht wordt. 3.4 SEPA oversight Nadat op 14 maart 2012 het Europese Parlement en de Raad de Verordening om de Single Euro Payments Area (SEPA) 1 uiterlijk 1 februari 2014 te realiseren hadden aangenomen, is op 8 november 2012 bij Koninklijk Besluit2 DNB per 1 januari 2013 aangewezen als bevoegde autoriteit voor het toezien op de naleving van de artikelen 3, 4, 5, 6 en 9 van de SEPA-verordening. Binnen DNB is de afdeling Oversight van de Divisie Betalingsverkeer hiermee belast. Het SEPA-oversight is een zelfstandige taak van DNB naast het prudentieel toezicht door DNB en de ondersteuning van het Nationaal Forum SEPA-migratie door het SEPA-programmabureau van DNB. In de loop van 2013 is de voortgang van de migratie naar SEPA bij de Nederlandse banken nauwgezet gevolgd. Bij de grote banken is extra aandacht gevraagd voor het tijdig realiseren van deze migratie. De banken zijn verantwoordelijk voor de tijdige migratie van zichzelf en hun klanten. DNB zal indien nodig gebruik gaan maken van haar bevoegdheid tot het treffen van handhavingsmaatregelen conform de Wft. Op 4 februari 2014 is de SEPA-verordening aangepast door banken zes maanden langer de tijd te geven (1 augustus 2014) nog betalingstransacties in nationale formaten te verwerken. Tevens is bepaald dat de bevoegde autoriteit pas na 1 augustus 2014 dient toe te zien op de naleving van de SEPA-verordening en pas dan gebruik kan maken van haar bevoegdheid uit de Wft. Verordening Nr. 260/2012 tot vaststelling van technische en bedrijfsmatige vereisten voor overmakingen en automatische afschrijvingen in euro en tot wijziging van Verordening (EG) nr. 924/2009. 2 Koninklijk Besluit strekkende tot uitvoering van EU-verordeningen op het terrein van de financiële markten en tot wijziging van het Besluit bestuurlijke boetes financiële sector in verband daarmee (Besluit uitvoering EU-verordeningen financiële markten). 1 10 Oversight op betalings- en effectenverkeer 3.5 CCV Nadat DNB in 2012 had besloten de scope van oversight uit te breiden met onder andere Computercentrum C. van de Velden B.V. (CCV), is in 2013 een oversightkader met CCV afgesproken. Daarin is onder meer informatie opgenomen over de wijze van uitvoering van het oversight en de normen die aan CCV worden gesteld. 3.6 Holland Clearing House N.V. Holland Clearing House N.V. (HCH) is sinds 2011 de aangewezen centrale tegenpartij voor de derivatentransacties verricht op het Nederlandse handelsplatform The Order Machine. Met de invoering van de European Markets Infrastructure Regulation is HCH als Nederlandse CCP vergunningplichtig. Conform de in EMIR vastgestelde tijdlijnen heeft HCH haar vergunningaanvraag voor 15 september 2013 bij DNB ingediend. In 2013 telt HCH juridisch in totaal drie clearing members. ABNAMRO Clearing Bank N.V. en Interactive Brokers (U.K.) Ltd zijn aangesloten als General Clearing Participant en ABN AMRO Bank N.V. als Direct Clearing Participant. HCH verwacht in de toekomst te groeien in het aantal participanten en het verwerven van marktaandeel. Om de afhankelijkheid tussen ABN AMRO en HCH te reduceren is HCH in 2013 begonnen met het structureren van een carve-out. Met AFM en DNB is afgesproken dat de carve-out waarschijnlijk pas na het EMIR vergunningverleningsproces voltooid zal zijn. In 2013 heeft tevens een uitbreiding van de activiteiten van HCH plaatsgevonden. Momenteel is HCH naast de (index)opties ook bevoegd voor de clearing van index (futures). 11 Oversight op betalings- en effectenverkeer 4. Toetsingsresultaten hoogwaardig betalingsverkeer TARGET2 TARGET2 is het belangrijkste betaalsysteem voor euro-betalingen. Juridisch gezien bestaat het uit een verzameling van individuele NCB-systemen van de ECB en de eurolanden (aangevuld met die van de niet-euro EU-landen Bulgarije, Denemarken, Litouwen, Polen en Roemenië). De Nederlandse component is TARGET2-NL. Verwerking van de TARGET2-transacties gebeurt op een gemeenschappelijk betaalplatform, het Single Settlement Platform. De Bundesbank, Banca d’Italia en Banque de France hebben dit platform ontwikkeld en zijn eveneens de operator. Formeel gesproken hebben de NCBs de gemeenschappelijke TARGET2 activiteiten uitbesteed aan Buba, BdI en BdF. Oversight op het gemeenschappelijke platform geschiedt door de Working Group on Oversight, waarbij de ECB de lead overseer is. In dit coöperatieve oversight-regime heeft DNB een actieve rol, onder meer omdat de Nederlandse banken belangrijke gebruikers zijn van TARGET2. De TARGET2NL activiteiten die niet zijn uitbesteed aan de eerdergenoemde centrale banken, vallen binnen de scope van DNB Oversight. Deze zogenoemde ‘local features’ betreffen vooral de zaken rond de business relatie met de TARGET2-NL participanten en het business continuity management. Tabel 4.1 Oversight oordeel TARGET2 Voldoet Voldoet grotendeels Voldoet deels Voldoet niet Niet van toepassing Niet getoetst Core Principles for Systemically Important Payment Systems Juridische basis Inzicht in financiële risico’s Beheersing van financiële risico’s Snelle finale afwikkeling Multilaterale netting systemen Afwikkelingsactivum Operationele betrouwbaarheid Efficiëntie Toegang Governance 12 2011 2012 2013 Oversight op betalings- en effectenverkeer TARGET2-NL Voor wat betreft de local features is in 2013 voor TARGET2-NL het BCM-beleid getoetst. Deze toetsing werd uitgevoerd in het kader van de door DNB uitgevoerde sectorbrede toetsing van het Business Continuity Management van de Financiële Kerninfrastructuur is. De conclusie is dat TARGET2-NL voldoet aan de normen van het DNB BCM Toetsingskader. Ten opzichte van de vorige toetsing in 2011 zijn de toen geconstateerde aandachtspunten opgelost. Zo zijn verbeteringen doorgevoerd in het risicomanagement en is vastgesteld dat het BCM-beleid op afdoende wijze in de lijnorganisatie is geborgd. EURO1 EURO1 is een hoogwaardig betaalsysteem voor grensoverschrijdende en binnenlandse transacties in euro tussen de banken in de Europese Unie. Het wordt beheerd door EBA Clearing Company, opgericht door de European Banking Association. EURO1 is bij de start van de euro in 1999 gelanceerd en ontwikkeld om te voorzien in een efficiënte en rendabele infrastructuur voor grote interbancaire betalingen. Oversight vindt op coöperatieve basis plaats met de ECB als lead overseer. In 2013 is de follow-up van de in 2011 uitgevoerde toetsing van EURO1 gemonitord. Deze toetsing was tegen de toenmalige oversightstandaarden, de Core Principles. EBA Clearing heeft in 2013 haar loss sharing procedures aangepast. Deze wijziging, die feitelijk een vereenvoudiging van de vorige regeling behelsde, past in de reeks van maatregelen die de afgelopen jaren zijn doorgevoerd in het risico- en liquiditeitsmanagement instrumentarium voor de EURO1 banken. Deze verandering van de loss sharing procedure is getoetst de ECB heeft geconcludeerd dat de wijziging geen impact heeft op de compliance van EURO1 aan de oversightstandaarden. Door het inrichten van een specifieke riskmanagement-functie voldoet EBA Clearing aan de eisen die gesteld zijn ten aanzien van de Governance. Tabel 4.2 Oversight oordeel EURO1 Voldoet Voldoet grotendeels Voldoet deels Voldoet niet Niet van toepassing Niet getoetst Core Principles for Systemically Important Payment Systems 2011 Juridische basis Inzicht in financiële risico’s Beheersing van financiële risico’s Snelle finale afwikkeling Multilaterale netting systemen Afwikkelingsactivum Operationele betrouwbaarheid Efficiëntie Toegang Governance 13 2012 2013 Oversight op betalings- en effectenverkeer 5. Toetsingsresultaten effectenverkeer LCH.Clearnet SA LCH.Clearnet SA is de centrale tegenpartij (Central Counter Party, ofwel CCP) voor transacties die worden verricht op de effecten- en derivatenbeurzen van Euronext, waaronder Euronext Amsterdam. Ook treedt ze op als centrale tegenpartij voor transacties in obligaties en repo’s. DNB houdt samen met AFM ook toezicht op de Amsterdamse branche van de Franse CCP LCH.Clearnet SA. LCH.Clearnet SA heeft op 15 september 2013 een vergunning aanvraag ingediend bij de lead regulator, de Banque de France. Op 27 november 2013 is de aanvraag compleet verklaard en op 24 februari 2014 heeft de eerste vergadering van het College of Regulators plaatsgevonden. DNB is lid van dit College op grond van haar toezichthouderschap op de Nederlandse CSD Euroclear Nederland, waarmee LCH.Clearnet SA een link onderhoudt. Tabel 5.1 Oversight oordeel LCH.Clearnet SA Voldoet Voldoet grotendeels Voldoet deels Voldoet niet Niet van toepassing Niet getoetst Recommendations for Central Counterparties 2010 Juridische basis Deelnamevereisten Beheersing van kredietrisico’s Marginvereisten Financiële buffers Faillissementsprocedures Bewaargevingsrisico’s Operationele betrouwbaarheid Afwikkelingsactivum Fysieke leveringen Links tussen CCP’s Efficiëntie Governance Transparantie Regelgeving en oversight 14 2012 2013 Oversight op betalings- en effectenverkeer LCH.Clearnet SA is in 2013 getoetst in het kader van de thematoetsing Business Continuity Management. De uitkomst van de toetsing is dat zij alle vereiste BCM processen in haar organisatie goed heeft ingebed en dat deze processen ook regelmatig worden getest. European Multilateral Clearing Facility (EMCF) De Nederlandse centrale tegenpartij EMCF heeft in de loop van 2013 haar voornemen kenbaar gemaakt om te fuseren met de Britse centrale tegenpartij EuroCCP Ltd. Deze fusie heeft uiteindelijk in december 2013 plaatsgevonden, na goedkeuring van DNB en AFM en de Britse toezichthouders. Euro CCP Ltd cleart net als EMCF alleen effecten (dus geen derivaten) en ook het klantenbestand van beide CCP’s vertoont een grote overlap. Per 6 januari 2014 is EMCF hernoemd in EuroCCP NV en het is de bedoeling dat alle klanten en transacties van EuroCCP Ltd worden ingebracht in deze nieuwe entiteit waarna EuroCCP Ltd ophoudt te bestaan. Het hoofdkantoor van EuroCCP NV blijft in Amsterdam en DNB blijft, samen met de AFM, de bevoegde toezichthouder. EMCF heeft een aanvraag ingediend voor een vergunning als centrale tegenpartij op grond van de EMIR. Deze aanvraag heeft zij ingediend op 11 september. Op 22 oktober 2013 is deze aanvraag compleet verklaard en op 19 oktober 2013 heeft de eerste vergadering van de EMIR College of regulators plaatsgevonden. In dit college voor EMCF zitten zo’n twintig toezichthouders uit verschillende Europese Tabel 5.2 Oversight oordeel EMCF Voldoet Voldoet grotendeels Voldoet deels Voldoet niet Niet van toepassing Niet getoetst Recommendations for Central Counterparties 2011 Juridische basis Deelnamevereisten Beheersing van kredietrisico’s Marginvereisten Financiële buffers Faillissementsprocedures Bewaargevingsrisico’s Operationele betrouwbaarheid Afwikkelingsactivum Fysieke leveringen Links tussen CCP’s Efficiëntie Governance Transparantie Regelgeving en oversight 15 2012 2013 Oversight op betalings- en effectenverkeer landen. Het College staat onder voorzitterschap van DNB en zal beslissen over de vergunningverlening conform de wettelijke bepalingen in EMIR. In 2013 heeft DNB een aantal toetsingen uitgevoerd. In het derde kwartaal van 2013 is een thematoetsing Business Continuity Management uitgevoerd bij de instellingen die vallen onder de Financiële Kern Infrastructuur waartoe EMCF ook behoort. De uitkomst van de toetsing is dat zij alle vereiste BCM processen in haar organisatie goed heeft ingebed en dat deze processen ook regelmatig worden getest. Ook heeft EMCF in 2013 na goedkeuring van DNB en AFM een aantal aanpassingen in haar tarieven-structuur aangebracht. Deze wijzigingen hebben er voor gezorgd dat EMCF niet langer verlieslatend is en een beter verdienmodel heeft. EMCF is in 2013 niet compleet hertoetst. Omdat EMIR van kracht is geworden, is het de bedoeling dat EMCF vanaf nu aan de EMIR standaarden wordt getoetst. Voor deze overgangsfase, in afwachting van de uitkomst van het vergunningverleningsproces, is EMCF daarom nog gescoord aan de ESCB-CESR Recommendations for CCPs. De uitkomst over 2013 is onveranderd ten opzichte van 2012. Een verdere verbetering valt te verwachten zodra EuroCCP, als rechtsopvolger van EMCF, zelf rechtstreeks kan aansluiten bij meer CSD’s, hetgeen haar settlement proces zal vereenvoudigen en verbeteren. Euroclear Nederland Euroclear Nederland (ENL) is het centrale effectenbewaarbedrijf (‘Central Securities Depository’, CSD) in Nederland. Het biedt settlement-, bewaar- en administratiediensten aan banken en beleggingsondernemingen. In 2009 hebben Euroclear Nederland en de Euroclear CSD’s in België en Frankrijk het nieuwe securities settlement systeem, ‘Euroclear Settlement for Euronext-zone Securities’ (ESES) gelanceerd. ESES verzorgt sindsdien de afhandeling van transacties van de Euronextbeurzen van België, Frankrijk en Nederland en over the counter-handel op één technisch platform, waardoor het verschil tussen binnenlands en grensoverschrijdend effectenverkeer tussen deze drie landen is verdwenen. In 2010 is een toetsing aan alle aanbevelingen van het Euroclear Securities Settlement System ESES afgerond. De toetsing is uitgevoerd door De Nederlandsche Bank, Nationale Bank van België en Banque de France. De voor 2013 aangepaste uitkomsten van deze toetsing van Euroclear Nederland zijn weergegeven in Tabel 5.3. Er zijn geen verschillen ten opzichte van 2012. In 2014 zal een toetsing van Euroclear Nederland aan de nieuwe oversightstandaarden worden verricht door DNB en AFM in samenwerking met de andere ESES autoriteiten. In het kader van haar oversighttaak voert DNB regelmatig themaonderzoeken uit. In 2013 is een themaonderzoek uitgevoerd waarin de kwaliteit van het Business Continuity Management van de Financiële Kerninfrastructuur is getoetst. Euroclear Nederland is onderdeel van de Financiële Kerninfrastructuur en was derhalve onderdeel van deze toetsing waarbij is getoetst of Euroclear Nederland aan het vereiste volwassenheidsniveau voldoet. Ook is in 2013 een themaonderzoek verricht naar de legal functie van ENL en het voldoen van de systeemregels van ENL aan de in de Faillissementswet opgenomen bepalingen ten aanzien van de finaliteit van betaalopdrachten. De toetsingen hebben niet geleid tot aanpassing van het oordeel, zoals weergegeven in tabel 5.3. In 2013 hebben AFM en DNB toestemming verleend aan Euroclear Nederland voor een tweetal nieuwe diensten. De eerste betreft de zogenaamde Direct Deposit Service. Deze dienst biedt aan uitgevende instellingen de mogelijkheid om, zonder 16 Oversight op betalings- en effectenverkeer Tabel 5.3 Oversight oordeel Euroclear Nederland Voldoet Voldoet grotendeels Voldoet deels Voldoet niet Niet van toepassing Niet getoetst Recommendations for Securities Settlement Systems 2011 2012 2013 Juridische basis Transactiebevestiging Settlementtijdstip CCP Uitlenen van effecten Immaterialisatie Delivery versus Payment Finaliteit Kredietrisico’s Afwikkelingsactivum Operationele betrouwbaarheid Eigendomsbescherming Governance Toegang Efficiëntie Communicatiestandaarden Transparantie Regelgeving en oversight Links tussen CSD’s tussenkomst van een agent, stukken in ENL te deponeren. Met deze dienst wordt invulling gegeven aan artikel 38 lid 2 van de Wet Giraal effectenverkeer. De tweede is het Basic Voting Service, waarbij informatie over ophanden zijnde aandeelhoudersvergaderingen aan de aangesloten instellingen wordt doorgestuurd. De European Market Standards for General Meetings verlangen van CSD’s dat zij informatie over aandeelhoudersvergaderingen verzamelen en doorzenden aan de aangesloten instellingen. De aangesloten instellingen zenden deze informatie op hun beurt door aan hun klanten, zodat uiteindelijk de informatie de eindbelegger bereikt. EUROCCP LTD Euro CCP Ltd cleart net als EMCF alleen effecten (dus geen derivaten) en ook het klantenbestand van beide CCPs vertoont een grote overlap. Het is de bedoeling dat alle klanten en transacties van EuroCCP Ltd worden ingebracht in EuroCCP NV waarna EuroCCP Ltd ophoudt als CCP. Het hoofdkantoor van EuroCCP NV blijft in Amsterdam en DNB blijft, samen met de AFM, de bevoegde toezichthouder. 17 Oversight op betalings- en effectenverkeer Tabel 5.4 Oversight oordeel EuroCCP Ltd. Voldoet Voldoet grotendeels Voldoet deels Voldoet niet Niet van toepassing Niet getoetst Recommendations for Central Counterparties 2011 2012 2013 Juridische basis Deelnamevereisten Beheersing van kredietrisico’s Marginvereisten Financiële buffers Faillissementsprocedures Bewaargevingsrisico’s Operationele betrouwbaarheid Afwikkelingsactivum Fysieke leveringen Links tussen CCP’s Efficiëntie Governance Transparantie Regelgeving en oversight EuroCCP Ltd is in 2013 niet compleet hertoetst. Omdat EMIR van kracht is geworden, is het de bedoeling dat vanaf nu aan de EMIR standaarden wordt getoetst. Voor deze overgangsfase is, in afwachting van de uitkomst van het vergunningverleningsproces, EuroCCP daarom nog gescoord tegen de ESCB-CESR Recommendations for CCPs. 18 Oversight op betalings- en effectenverkeer 6. Toetsingsresultaten retailbetalingsverkeer Equens SE Equens SE zorgt voor de verwerking van financiële transacties van consumenten en bedrijven, welke zijn gedaan met betaalproducten. Zij doet dit in Nederland maar ook in verschillende andere Europese landen. Equens verwerkt girale betalingen zoals overschrijvingen en incasso´s alsmede betaalpas-gerelateerde transacties, inclusief de clearing en settlement van deze betalingen. In het oversight van DNB bij Equens SE worden vier oversightobjecten onderscheiden. Dit is ten eerste het CSS (Clearing and Settlement Systeem), waarin de binnenlandse betalingen worden gecleard. Ten tweede het Equens Clearing and Settlement Mechanism (CSM), het systeem waarin de SEPA-betalingen worden gecleard en ten derde de Switch, het systeem dat centraal staat in de autorisatie van elektronische pasbetalingen. Vanaf 2012 is ook Equens SE als zelfstandig oversightobject geïdentificeerd. Daarbij gaat het erom dat de juridische structuur van de onderneming, de governance en het risicomanagement goed moeten zijn ingericht. In 2013 zijn nieuwe standaarden van toepassing geworden voor de organisatie Equens SE. De consequentie hiervan is dat de Core Principles for Systemically Important Retail Payment Systems (CSS en Switch) en de Core Principles for Prominently Tabel 6.1 Oversight oordeel Equens CSS Voldoet Voldoet grotendeels Voldoet deels Voldoet niet Niet van toepassing Niet getoetst Core Principles for Systemically Important Retail Payment Systems 2011 Juridische basis Inzicht in financiële risico’s Beheersing van financiële risico’s Snelle finale afwikkeling Multilaterale netting systemen Afwikkelingsactivum Operationele betrouwbaarheid Efficiëntie Toegang Governance 19 2012 2013 Oversight op betalings- en effectenverkeer Aantal transacties (x mln) Grafiek I Aantal transacties per systeem per maand 250 200 CSM CSS 150 100 50 0 jan-13 feb-13 mrt-13 apr-13 mei-13 jun-13 jul-13 aug-13 sep-13 okt-13 nov-13 dec-13 jan-14 Important Retail Payment Systems (CSM) zijn vervangen door een relevant deel van de Principles for Financial Market Infrastructures. Over 2013 wordt nog gerapporteerd over de compliance met betrekking tot de Core Principles. Met ingang van 2014 valt Equens onder de Wft als afwikkelonderneming (zie hoofdstuk 3 Oversightontwikkelingen). De verwerking van de Nederlandse niet-SEPA incasso’s en overschrijvingen vindt plaats in het CSS. Het CSS voldoet aan acht van de tien in Europees verband gestelde standaarden aan systeemrelevante retailbetaalsystemen (zie Tabel 6.1). Eén standaard is niet van toepassing. In 2012 en 2013 is een toetsing geweest naar de governance, gericht op riskmanagement. Daaruit zijn enkele bevindingen naar voren gekomen met betrekking tot de risicoanalyses die Equens zelf uitvoert en communicatie in geval van een calamiteit. Hierdoor voldoet CSS slechts grotendeels aan de standaard voor governance. De overgang naar SEPA, die in 2014 zal worden afgerond, brengt ook met zich mee dat het CSS op den duur zal worden uitgefaseerd. CSS verwerkt namelijk alleen Tabel 6.2 Oversight oordeel Equens CSM Voldoet Voldoet grotendeels Voldoet deels Voldoet niet Niet van toepassing Niet getoetst Core Principles for Prominently Important Retail Payment Systems 2011 Juridische basis Inzicht in financiële risico’s Beheersing van financiële risico’s Snelle finale afwikkeling Multilaterale netting systemen Afwikkelingsactivum Operationele betrouwbaarheid Efficiëntie Toegang Governance 20 2012 2013 Oversight op betalings- en effectenverkeer Tabel 6.3 Oversight oordeel Switch Equens Voldoet Voldoet grotendeels Voldoet deels Voldoet niet Niet van toepassing Niet getoetst Core Principles for Systemically Important Retail Payment Systems 2011 2012 2013 Juridische basis Inzicht in financiële risico’s Beheersing van financiële risico’s Snelle finale afwikkeling Multilaterale netting systemen Afwikkelingsactivum Operationele betrouwbaarheid Efficiëntie Toegang Governance niet-SEPA overschrijvingen en incasso’s. Equens heeft voor SEPA-betalingen een ander systeem, dat al sinds januari 2008 overschrijvingen verwerkt. Dit systeem is het Clearing and Settlement Mechanism, ofwel CSM. Door de groei van het aantal SEPA-transacties is het de bedoeling dat het CSM het dominante systeem zal worden voor Nederlandse retailbetalingen in 2014 (zie grafiek I). In 2013 heeft Oversight de Business Continuity van het CSM getoetst, waarbij naar voren is gekomen dat er nog een aantal verbeteringen doorgevoerd dienen te worden met betrekking tot de operationele betrouwbaarheid. De score ‘voldoet grotendeels’ op Governance is gerelateerd aan de bevindingen die naar voren zijn gekomen met betrekking tot het uitvoeren van risicoanalyses (zie ook de bevinding bij het CSS). Equens SE speelt ook een belangrijke rol in het verwerken van betalingen met betaalpassen. Ze handelt zo’n 90% van alle Nederlandse betalingen af waarbij gebruik wordt gemaakt van de pincode als identificatiemethode. Hierbij gaat het dan onder andere om geldopnames bij geldautomaten en betalingen bij betaalautomaten in winkels. De betaalterminal van de winkelier legt contact met Equens, die ervoor zorgt dat het autorisatieverzoek naar de bank van de consument wordt geleid en dat het resultaat daarvan weer terug naar de betaalterminal wordt gestuurd. Het maatschappelijke belang van een hoge bedrijfszekerheid van deze functie, de Switch, is groot. Bij volledige uitval kan immers in de meeste winkels niet meer gepind worden. De Switch is getoetst op de voor de Switch meest relevante Core Principles en voldoet daaraan (zie Tabel 6.3). iDEAL iDEAL is een betaalformule voor internetaankopen waarbij de verkoper en de koper gebruik maken van een internetbankierentoepassing van een bij het iDEALscheme aangesloten Betaaldienstverlener. De koper maakt hierbij gebruik van de internet21 Oversight op betalings- en effectenverkeer bankieren toepassing van zijn Betaaldienstverlener terwijl de verkoper/internetwinkel via zijn Betaaldienstverlener de iDEALstandaard moet ondersteunen. Currence is juridisch merkeigenaar van iDEAL. iDEAL is sinds 2005 operationeel. In 2013 zijn ruim 142,5 miljoen iDEAL-transacties verricht met een totale waarde van 10,8 miljard euro. Het totaal aantal transacties sinds de marktintroductie bedraagt meer dan 500 miljoen. Vijf licentiehouders en meer dan veertig certificaathouders accepteren als Betaaldienstverlener betaalopdrachten via iDEAL en rekeninghouders van tien Nederlandse Betaaldienstverleners kunnen betalingen met iDEAL verrichten. In 2012 is iDEAL aangepast conform de nieuwe standaarden voor Europese betalingen: Single Euro Payments Area (SEPA). Sinds februari 2013 verlopen alle betalingen op basis van de SEPA Credit Transfer (SCT) waardoor iDEAL gereed gemaakt is om Europese online betalingen te kunnen faciliteren. Vanwege het belang van iDEAL als online betaalformule in het Nederlandse retailbetalingsverkeer, houdt DNB hierop actief oversight. Een eerste initiële toetsing van iDEAL vond plaats in 2007, gevolgd door vervolgtoetsingen in 2008 en 2009. In de daarop volgende jaren gaf regulier oversight op Currence geen aanleiding om het oordeel over iDEAL aan te passen. Omdat internationale oversightstandaarden toen nog ontbraken, werden die toetsingen uitgevoerd op basis van door DNB opgestelde nationale standaarden. Naar aanleiding van de gestage groei van het gebruik en daarmee het verder toenemende belang van iDEAL is begin 2013 besloten iDEAL wederom initieel te toetsen tegen de inmiddels beschikbare internationale oversightstandaarden. Ook de DDoS aanvallen begin 2013 gaven aanleiding voor een hernieuwde toetsing. Hoewel het iDEAL Scheme zich niet kwalificeert als een volledig Credit Transfer Scheme is er toch voor gekozen het Oversight Framework for Credit Transfer Schemes te gebruiken voor deze toetsing, omdat deze standaarden het meest lijken aan te sluiten bij iDEAL. Voor deze hernieuwde toetsing is iDEAL getoetst tegen negen standaarden (zie Tabel 6.5), die grotendeels overeenkomen met de standaarden van de voorgaande toetsingen en voor een klein deel daarvan afwijken (zie tabel 6.4). Tabel 6.4 Oversight oordeel iDEAL Voldoet Voldoet grotendeels Voldoet deels Voldoet niet Niet van toepassing Niet getoetst Aanbevelingen voor Betaalproducten 2011 Juridische structuur Solide financiële positie Uitbesteding Wet- en regelgeving Productvoorwaarden Risicoverdeling Risicoanalyse Periodieke bijstelling risicoanalyse Beveiliging en continuïteit Integriteit en governance 22 2012 Oversight op betalings- en effectenverkeer Tabel 6.5 Oversight oordeel iDEAL Voldoet Voldoet grotendeels Voldoet deels Voldoet niet Niet van toepassing Niet getoetst Oversight Framework for Credit Transfer Schemes Juridische structuur Transparantie Beveiligingsmanagement Operationele beveiliging Clearing and settlement Continuïteit Uitbesteding Governance Financiële risico’s 23 2013 Oversight op betalings- en effectenverkeer 7. Business continuity financiële kerninfrastructuur In 2013 is een themaonderzoek inzake Business Continuity Management (BCM) van de Financiële Kerninfrastructuur (FKI) uitgevoerd door DNB en AFM. Dit onderzoek is uitgevoerd als benchmarkonderzoek waarbij is getoetst of de instellingen aan een vooraf vastgesteld volwassenheidsniveau voldoen. Ten behoeve van het onderzoek is een benchmark ontwikkeld. Deze is gebaseerd op actuele standaarden en toetsingskaders, waaronder het DNB ‘Toetsingskader Business Continuity Management Financiële Kerninfrastructuur’, de CPSS-IOSCO ‘Principles for Financial Market Infrastructures’, de ISO standaarden Business continuity management systems – requirements en Guidance on human aspects of business continuity en COBIT. De benchmark is met de sector besproken via het Platform Business Continuity Vitale Infrastructuur Financiële Sector waarin de business continuity experts van de instellingen uit de FKI deelnemen. De algemene conclusie van het onderzoek is dat de instellingen aan het voor deze toets vereiste volwassenheidsniveau hebben voldaan. Op enkele deelonderwerpen is bij een aantal instellingen nog verbetering nodig. Bij deze toetsing zijn geen onderwerpen gesignaleerd waarop sector-breed slecht gescoord wordt. Wel zijn enkele onderwerpen geïdentificeerd die specifieke aandacht verdienen bij het streven naar een hoger volwassenheidsniveau. Dit betreft de volgende onderwerpen: BCM versus beschikbaarheid Tijdens het onderzoek is gebleken dat BCM vaak gericht is op het uitvallen van een compleet of groot deel van de infrastructuur (bijv. een rekencentrum). Verstoringen van beperktere aard, zoals het tijdelijk uitvallen van internetbankieren, worden onder de noemer ‘beschikbaarheid’ geschaard en worden door andere processen en systemen bij de instellingen geadresseerd en beheerd. De positieve resultaten van het huidige onderzoek naar BCM en incidenten zoals DDoS aanvallen geven aanleiding om de focus te verleggen van BCM in zijn algemeenheid naar beschikbaarheid. In 2014 zal DNB een themaonderzoek op het terrrein van cybercrime gaan uivoeren bij instellingen die deel uitmaken van de FKI. Integraal testen van de uitwijk Instellingen zijn terughoudend met integraal testen van de uitwijk vanwege de daaraan verbonden risico’s. Door onder andere de internationale ITSG (IT Supervisors Group, de 20 belangrijkste IT toezichthouders wereldwijd) is geconcludeerd dat zo’n ‘pull the plug’ test inderdaad risicovol is en dat dit niet geëist zal worden. Toch zal voldoende zekerheid gekregen moeten worden dat kritische bedrijfsprocessen integraal kunnen uitwijken naar een ander rekencentrum. Hierover wordt door een aantal instellingen zelf reeds nagedacht. DNB zal inventariseren en uitwerken welke 24 Oversight op betalings- en effectenverkeer mogelijkheden er zijn om zekerheid te krijgen over het integraal kunnen uitwijken van de kritische bedrijfsprocessen. Ketenbenadering Instellingen maken vaak gebruik van de diensten van externe dienstverleners, ook voor kritische bedrijfsprocessen. Het analyseren van dergelijke afhankelijkheden is een blijvend aandachtspunt waarbij niet alleen gedacht moet worden aan dienstverleners in het kader van uitbesteding maar ook aan andere ‘interested parties’ en klanten (stakeholders in brede zin). 25 Oversight op betalings- en effectenverkeer Appendix – gebruikte afkortingen AFM BCM BIS CCP Autoriteit Financiële Markten Business Continuity Management Bank for International Settlements Central Counter Party centrale tegenpartij CCV Computercentrum C. van de Velden B.V. CESR Committee of European Securities Regulators CLS Continuous Linked Settlement COBIT Control Objectives for Information and related Technology CPSS Committee on Payment and Settlement Systems (van de BIS) CSD Central Securities Depository Centraal effectenbewaarbedrijf CSDR Central Securities Depository Regulation CSM Clearing and Settlement Mechanism Clearing and Settlement System CSS DDOS Distributed Denial Of Service ECB Europese Centrale Bank EMCF European Multilateral Clearing Facility EMIR European Markets Infrastructure Regulation Euroclear Nederland ENL Equens CSM Equens Clearing and Settlement Mechanism (SEPA) Equens CSS Equens Clearing and Settlement System (niet-SEPA) ESCB Europees Stelsel van Centrale Banken ESES Euroclear Settlement of Euronext-zone Securities FKI Financiële Kerninfrastructuur FMI Financiële Markt Infrastructuur FSAP Financial Sector Assessment Program HCH Holland Clearing House IOSCO International Organization of Securities Commissions NCB Nationale Centrale Bank OTC Over the Counter PFMI Principle for financial market infrastructure SEPA Single Euro Payments Area TARGET2 Trans-European Automated Real-time Gross settlement Express Transfer system Trade Repository Transactieregister Wet op het Financieel Toezicht TR Wft 26
© Copyright 2024 ExpyDoc