PSD2

EBA-Leitlinien “ICT and security risk management” vs. EBA GL 2017/17

Die EBA-Leitlinien zu den „Sicherheitsmaßnahmen bezüglich der operationellen und sicherheitsrelevanten Risiken von Zahlungsdiensten gemäß der Richtlinie (EU) 2015/2366 (PSD2)“ werden in die „Guidelines on ICT and security risk management“ integriert (ICT = information and communication technology; zu deutsch: IKT).

Ziel der Leitlinien ist es, dass Finanzinstitute sich mit den immer relevanter werdenden IKT-Risiken inklusive der Sicherheitsrisiken auseinandersetzen und diese ordnungsgemäß managen. Darüber hinaus dienen sie einem Verständnis darüber, welche Erwartung an die Überwachung dieser Risiken gestellt wird.

Während die ursprüngliche Version EBA GL 2017/17 den Fokus auf Zahlungsdienste gelegt hatte, adressieren die neuen Leitlinien weitere Aktivitäten von Instituten. Auch wenn sich derzeit die neuen Leitlinien noch in der Konsultationsphase befinden, so zeichnet sich im Vergleich folgendes Bild ab:

PSD2 Smart Services – Dienstleistungen zur Umsetzung der Anforderungen für Startups, Kontoinformationsdienstleister, Zahlungsauslösedienstleister und weitere Finanzdienstleistungsinstitute

Sie möchten sich auf Ihr Kerngeschäft konzentrieren und verfügen nicht über entsprechendes PSD2-Wissen und Ressourcen zur Umsetzung der Anforderungen?

Sie würden gerne Themen wie Governance, Risikomanagement, Outsourcing/Dienstleistersteuerung und -überwachung oder Interne Revision mit Hilfe von Dienstleistern abdecken?

Sie suchen Antworten zu Fragen rund um das Thema PSD2, möchten aber nicht direkt große Beratungsprojekte einkaufen?

PSD2_SmartS_B1

Die PSD2 (Payment Services Directive, EU 2015/2366) hat ohne Zweifel die Welt der Zahlungsdienste revolutioniert. Immer mehr Startups und weitere Finanzdienstleistungsinstitute wollen sich z.B. als Kontoinformationsdienstleister oder Zahlungsauslösedienstleister registrieren lassen. Konzentriert auf das Kerngeschäft unterschätzt man die Herausforderung bezüglich der hohen Anforderungen an Governance, Sicherheit, Überwachung, Reports usw., die damit einhergehen. Dabei steht die Frage im Raum, wie eine Umsetzung aus eigener Kraft (i.d.R. ohne entsprechende Ressourcen) bzw. im laufenden Betrieb erfolgen soll. In der jungen Unternehmensphase auf kostenintensive Projekte durch Beratungshäuser zu setzen, ist oftmals nicht die bevorzugte Lösung.

Seminar PSD 2 - Prüfungsleitfaden für die Interne Revision

Der Zahlungsverkehr hat durch die MaSI (Mindestanforderungen an die Sicherheit von Internetzahlungen) und die PSD 2 (Payment Services Directive) erhebliche Änderungen erfahren. Während die MaSI speziell die Sicherheit im Zahlungsverkehr im Fokus hat, reguliert die PSD 2 den kompletten Zahlungsverkehr inkl. der Sicherheit und setzt die Rahmenbedingungen, die Zahlungsdienstleister einzuhalten haben, z.B. für die Zulassung. Der Umfang an Änderungen nimmt Einfluss auf die Prüfungsplanung der Internen Revision.

PSD2 – Herausforderungen für die Interne Revision und Hinweise zur Prüfungsplanung

Die Umsetzung der Anforderungen aus der PSD2 prägt derzeit die Projektlandschaft der Zahlungsdienstleister. Während das Zivilrecht (größtenteils) Anfang 2018 zur Anwendung kommt, haben sich die Institute aufgrund von Fristverschiebungen und der Abhängigkeit von EBA-Veröffentlichungen etwas Zeit in der Umsetzung von einzelnen Teilen des Aufsichtsrechts verschafft.

Directive on Payment Services – PSD 2

Ziele, Zusammenfassung und Übersicht der Themen und mögliche Arbeitspakete für PSD-2-ProjektePSD 2 Richtlinie

Das Rundschreiben 4/2015 (BA) der BaFin – Mindestanforderungen an die Sicherheit von Internetzahlungen (kurz MaSI) – gilt als Vorbereitung auf die PSD-II-Zahlungsdiensterichtlinie (Directive on Payment Services). Während die MaSI einen starken Fokus auf die Sicherheit von Internetzahlungen gelegt hat, reguliert PSD II den grundsätzlichen Zahlungsverkehr. Das spannendste Thema ist dabei sicherlich die Einbindung innovativer Marktteilnehmer und die Verpflichtung für Zahlungsdienstleister, sich gegenüber „Third Party Providers“ (TPPs) in Form von geeigneten Schnittstellen zu öffnen. Dazu zählen die Kontoinformationsdienste („Account Information Services“, kurz AIS) oder die Zahlungsauslösedienstleister („Payment Initiation Services“, kurz PIS).