Technologie is in de hele financiële sector een belangrijk onderwerp en dat leidt tot grote veranderingen in procedures, bij financiële ondernemingen zelf en ook bij de toezichthouders. Hieronder bespreken we kort de nieuwe regels in Luxemburg voor prospectussen, die het leven eenvoudiger zouden moeten maken, terwijl de toezichthouders in Nederland de nadruk leggen op de Digital Operations Resilience Act (Dora), die ongetwijfeld nodig en nuttig is, maar die wel leidt tot een extra toezichtslast.
Luxemburg: in april vervalt de oude “afstempelprocedure” voor prospectussen als gevolg van het nieuwe e-Identificatiesysteem
In maart 2025 publiceerde de Luxemburgse toezichthouder CSSF, een mededeling waarin een nieuw elektronisch proces voor Ucits, UCIs Part II, Sicar’s en SIF’s wordt beschreven dat van kracht wordt vanaf april 2025.
Nieuwe procedure
De nieuwe procedure, door de CSSF “evolutie” genoemd, bestaat uit de toekenning van (a) een uniek identificatienummer en (b) een e-identificatiedatum, die beide zichtbaar zullen zijn op de eerste pagina van elk prospectus. De oude afstempelprocedure zal dus niet meer bestaan.
Het belangrijkste vernieuwende element van de nieuwe procedure is een vooraf bepaalde classificatie van wijzigingen die in het prospectus kunnen worden geïntegreerd zonder noodzaak van voorafgaande goedkeuring van de toezichthouder, wat een efficiëntere en snellere actualisering van de prospectusdocumenten mogelijk maakt. We merken wel op dat de CSSF, op basis van de gehanteerde risico gebaseerde benadering, documenten kan opvragen om een ex-post analyse te maken van wijzigingen die niet aan de voorafgaande controle zijn onderworpen.
Leidraad beschikbaar
Een gedetailleerde leidraad, die momenteel beschikbaar is via de CSSF eDesk, geeft een overzicht van de nieuwe procedure, geeft inzicht in de toegestane wijzigingen (wijzigingen die niet aan voorafgaande goedkeuring onderworpen zijn), vermeldt de voorwaarden en bevat een FAQ-sectie.
Alle prospectuswijzigingen die niet onder de bovengenoemde categorieën vallen, moeten door de CSSF worden beoordeeld en blijven daarom onderworpen aan de huidige administratieve procedure.
Sterke naleving
De CSSF moderniseert niet alleen de administratieve procedures, maar benadrukt ook dat de aanstaande wijzigingen zullen leiden tot een grotere efficiëntie en meer zekerheid over naleving. De CSSF wijst er ook op dat de bestuursorganen van de fondsen duidelijk verantwoordelijk zijn voor het naleven van de vereisten van de regelgeving.
Nederland: de Autoriteit Financiële Markten en De Nederlandsche Bank starten met het toezicht op de naleving van Dora. Zie wat de toezichthouders verwachten
Alle financiële ondernemingen, inclusief beleggingsinstellingen, zijn verplicht om vanaf 17 januari 2025 te voldoen aan Dora. Dora is ook van toepassing in Luxemburg, maar de toezichthouder heeft zijn toezichtagenda daar nog niet gepubliceerd. In Nederland hebben de Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) enige richtlijnen gegeven.
Beide toezichthouders hebben uiteengezet wat financiële instellingen van hen en van de Europese toezichthouders kunnen verwachten. De AFM begint met een duidelijke boodschap: ondernemingen moeten al zijn begonnen met de implementatie van de Dora-eisen, inclusief de bijbehorende Regulatory Technical Standards (RTS), ook al heeft de Europese Commissie deze nog niet formeel vastgesteld. Er worden geen grote wijzigingen in het huidige RTS-pakket verwacht.
Toezicht door de AFM en DNB
De AFM heeft aangekondigd thematische onderzoeken te starten, waarbij meerdere partijen aan een onderzoek zullen worden onderworpen teneinde te bepalen of een specifieke financiële onderneming voldoet aan een bepaalde wettelijke eis. Daarnaast zullen er instellingsspecifieke onderzoeken worden uitgevoerd, gericht op de naleving van ICT-beveiliging door de financiële onderneming, op basis van documentatie die op verzoek zal worden ingediend.
Bepaalde financiële bedrijven zullen ook een “threat-led penetration test” (TLPT) moeten uitvoeren. De Europese Commissie heeft de gedetailleerde regelgeving voor deze testvereisten nog niet vastgesteld.
De primaire toezichthouder van elke financiële onderneming – ofwel de AFM of De Nederlandsche Bank – zal met de instelling samenwerken om de meest geschikte toezichtbenadering te bepalen.
DNB heeft aangegeven dat ook financiële ondernemingen die niet zijn aangewezen om een TLPT uit te voeren, toch een robuust en uitgebreid testprogramma moeten hebben om hun digitale weerbaarheid te beoordelen. Dit programma moet duidelijk onderbouwen welke testen geschikt zijn, rekening houdend met de omvang, het risicoprofiel en de complexiteit van de activiteiten van de betreffende instelling.
AFM Portaal
Verder heeft de AFM een specifiek “Dora-portaal” waar alle financiële ondernemingen die onderworpen zijn aan Dora, inmiddels toegang toe zouden moeten hebben. Het portaal is bedoeld voor het ontvangen van ernstige ICT-incidenten en overeenkomsten met ICT-dienstverleners. Voor financiële ondernemingen die onder toezicht van DNB staan, zullen de meldingen via het bestaande DNB-portaal worden gedaan.
ESA’s
Niet alleen de AFM, maar ook Europese toezichthouders (ESA’s) kunnen informatie over Dora verzamelen en controleren. De AFM is verplicht om registers met verzamelde informatie van Nederlandse financiële ondernemingen, met daarin alle contractuele afspraken met ICT-dienstverleners aan te leveren bij de Europese toezichthouders. Financiële ondernemingen zullen het verzoek al hebben ontvangen. De AFM moet deze registers voor 30 april 2025 indienen bij de toezichthouders.
Conclusie
Financiële dienstverlening volgt de algemene ontwikkelingen en wordt voortdurend geïnnoveerd, met name door technologische oplossingen, wat belangrijk is om efficiënter, flexibeler en klantvriendelijker te worden. Dit leidt weer tot nieuwe flexibiliteit in de regelgeving (zoals de Luxemburgse prospectusregels) of nieuwe procedures, die nodig zijn om nieuwe kwesties aan te pakken die voortkomen uit het alomvattende belang van ICT in de financiële sector, die ernstige bedreigingen met zich meebrengt. Op dit moment richt de Luxemburgse regelgever zich op het vergemakkelijken van het leven, terwijl Dora een administratieve last oplegt aan financiële ondernemingen. Aangezien Dora echter ook van toepassing is in Luxemburg, zullen de Luxemburgse financiële ondernemingen zeker te maken krijgen met min of meer dezelfde uitbreiding van het toezicht.
Jan Saalfrank is partner beleggingsfondsen van Pinsent Masons Luxemburg. Lous Vervuurt is advocaat bij Pinsent Masons en adviseert cliënten over financiële regelgeving en de naleving van anti-witwaswetgeving. Het advocatenkantoor is deel van het expertpanel van Investment Officer.