Institutional Money, Ausgabe 4 | 2023

lierung“, fürchtet er und tritt dafür ein, auch über die von verschiedenen Stellen geforderten Anpassungen der Anlage- strategien und der Bedeckungserfordernisse nachzudenken. Voetmann verweist auf die zahlreichen weiteren Regulie- rungsthemen auf EU- und nationaler Ebene,mit denen sich EbAV derzeit befassen müssen. ImGespräch zählt er etliche Regulierungsbaustellen auf, sodass einem schnell klar wird: Langweile kommt bei den EbAV nicht auf. Anforderungen an die IT: VAIT und DORA Das letzte VAIT-Rundschreiben der BaFin (Versicherungsauf- sichtliche Anforderungen an die IT, VAIT) trat mit seiner Veröffentlichung am 3.März 2022 unmittelbar in Kraft und gilt auch für EbAV.Das Rundschreiben enthält keine grund- legend neuen Anforderungen, sondern konkretisierte die zuvor bestehenden Anforderungen an die IT. „Bei den meisten EbAV ist inzwischen eine intensive Auseinandersetzung mit der neuen VAIT erfolgt. Allerdings befinden sich die EbAV nach der Durchführung einer GAP- Analyse größtenteils noch in der Umsetzung“, beobachtet Voetmann den Markt. Hier stellt sich für viele EbAV die Frage, wie sie die Gestaltungsspielräume aktiv nutzen kön- nen, die das Proportionalitätsprinzip ihnen bietet. „Eine Arbeitsgruppe aus Mitgliedern verschiedener aba-Gremien hat sich mit dieser Frage befasst und wird den EbAV eine Umsetzungshilfe zur neuen VAIT zur Verfügung stellen“, ver- weist Voetmann auf die gute Verbandsarbeit. Auch auf europäischer Ebene werden Anforderungen an die IT-Sicherheit von EbAV gestellt, die insbesondere die Cyberresilienz der Systeme stärken soll.Mit der „Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsek- tors“ (Digital Operational Resilience Act, DORA) sollen die Anforderungen an die Sicherheit der Informations- und Kommunikationstechnologie harmonisiert werden. Die DORA-Verordnung ist am 16. Januar 2023 in Kraft getreten und muss von den betroffenen Einheiten – darunter eben auch von den EbAV – bis zum 17. Januar 2025 umgesetzt sein. Beispielsweise sind Prozesse für die Behandlung von IT- Vorfällen und deren Meldung einzuführen. „Auch wenn die DORA-Verordnung die Befugnis zum Erlass konkretisierender technischer Regulierungsstandards beinhaltet und somit viele Details noch unklar sind, ist be- reits jetzt absehbar, dass DORA zu neuen und noch höhe- ren Anforderungen führen wird. Für EbAV bleibt zu hoffen, dass das Proportionalitätsprinzip weiterhin Beachtung fin- det“, meint Voetmann mit Verweis auf die vielen kleinen Pensionseinrichtungen, die es in Deutschland gibt. „Sie nut- zen oft die IT-Umgebung ihres Trägerunternehmens, das selbst meistens nicht der DORA-Verordnung unterliegt“, zeigt Voetmann eine Schwierigkeit auf. Offenlegungsverordnung (SFDR) Seit 10. März 2021 müssen Finanzmarktteilnehmer die Anforderungen der Offenlegungsverordnung umsetzen, in der es um das Nachhaltigkeits-Reporting geht. Grundsätz- lich müssen sich EbAV daher mit ihren Nachhaltigkeitsrisi- ken befassen und offenlegen, welche nachteiligen Auswir- kungen ihrer Investitionsentscheidungen sie auf Unterneh- mens- und Produktebene berücksichtigen – das sogenannte Principal Adverse Impact Statement (PAI). Die meisten regulatorischen Anforderungen laufen darauf hinaus, dass die Pensionseinrichtungen mehr Daten benötigen, um gegenüber den Aufsichtsbehörden noch mehr Daten liefern zu können. Folge der laufenden Reportinganforderungen ist eine Konsolidierung bei den Pensionseinrichtungen – vermutlich ist das gewollt. N o . 4/2023 | institutional-money.com 265 IORP II / EBAV-II-RL | STEUER & RECHT FOTO: © ALEXANDER MARCHENKO | STOCK.ADOBE.COM | GENERIERT MIT KI