Toelichting bij COM(2018)109 - FinTech-actieplan: voor een meer concurrerende en innovatieve Europese financiële sector

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

EUROPESE COMMISSIE

1.

Brussel, 8.3.2018


COM(2018) 109 final

MEDEDELING VAN DE COMMISSIE

FinTech-actieplan: voor een meer concurrerende en innovatieve Europese financiële sector


Inleiding

FinTech — innovatie op basis van technologie op het gebied van financiële diensten — heeft de voorbije jaren een significante ontwikkeling gekend en beïnvloedt de manier waarop financiële diensten tot stand komen en worden verricht. FinTech 1 bevindt zich op het kruispunt van de financiële diensten en de digitale eengemaakte markt. De financiële sector is de grootste gebruiker van digitale technologieën en is een belangrijke aanjager van de digitale transformatie van de economie en de samenleving. Tussen de strategie van de Commissie voor de digitale eengemaakte markt 2 , de strategie van de EU inzake cyberbeveiling 3 , de eIDAS-verordening 4 en initiatieven op het gebied van financiële diensten, zoals het actieplan inzake financiële diensten voor de consument 5 en de tussentijdse evaluatie van het actieplan kapitaalmarktenunie 6 bestaan belangrijke synergieën.

Innovatie op financieel gebied is weliswaar niet nieuw, maar de investeringen in technologie en het tempo van innovatie zijn aanzienlijk toegenomen. FinTech-oplossingen waarbij van digitale identificatie, mobiele applicaties, cloudcomputing, analyse van big data, artificiële intelligentie, blockchain en distributed ledger-technologieën wordt gebruikgemaakt, komen volop op de markt. Nieuwe technologieën veranderen de financiële sector en de manier waarop consumenten en bedrijven toegang krijgen tot diensten, en doen voor FinTech-oplossingen mogelijkheden ontstaan om de toegang tot financiering en de financiële inclusie voor digitaal verbonden burgers te verbeteren. FinTech geeft cliënten het heft in handen, ondersteunt operationele efficiëntie en verhoogt verder het concurrentievermogen van de economie van de EU. FinTech is ook belangrijk voor de kapitaalmarktenunie. Zij kan helpen om de kapitaalmarkten van de EU te verdiepen en te verbreden, doordat zij digitalisering integreert om bedrijfsmodellen door middel van datagestuurde oplossingen te veranderen, bijvoorbeeld op het gebied van vermogensbeheer, beleggingsbemiddeling en productdistributie 7 .

FinTech biedt ook kansen en uitdagingen voor de naleving van de regelgeving en het toezicht daarop. Zij kan de naleving en de rapportage vergemakkelijken, stroomlijnen en automatiseren en het toezicht verbeteren. Aanbieders van diensten kunnen gereguleerde entiteiten compliancediensten aanbieden op basis van FinTech. De gereguleerde entiteiten blijven echter zelf verantwoordelijk voor het nakomen van hun verplichtingen. Zo mogen entiteiten waarvoor uit hoofde van de antiwitwasverordening vereisten inzake cliëntenonderzoek gelden, de verantwoordelijkheid voor de naleving van die vereisten niet aan externe aanbieders van diensten delegeren.

FinTech gaat ook gepaard met uitdagingen op het gebied van cyberrisico's, bescherming van gegevens, consumenten en beleggers en marktintegriteit. De algemene verordening gegevensbescherming en de antiwitwasrichtlijn voorzien in fundamentele waarborgen voor de bescherming van persoonsgegevens en de integriteit van het financiële stelsel van de EU tegen witwassen van geld en terrorismefinanciering. Ook in een financiële EU-markt op basis van technologie moeten die fundamentele waarborgen volledig in acht worden genomen. Cyberrisico's ondermijnen het vertrouwen en vormen een bedreiging voor de stabiliteit van het financiële stelsel. Terugkerende beveiligingsincidenten 8 laten zien dat cyberaanvallen steeds zorgwekkender worden. Dergelijke aanvallen moeten doortastend worden aangepakt om alle negatieve gevolgen voor de financiële sector en zijn cliënten te voorkomen en te beperken. De financiële sector weerbaarder maken tegen cyberaanvallen is van het grootste belang om ervoor te zorgen dat hij goed beschermd is, dat financiële diensten doeltreffend en vlot in de hele EU worden verricht, en dat consumenten en markten vertrouwen blijven hebben.

De regelgevings- en toezichtkaders van Europa moeten bedrijven die in de eengemaakte markt van de EU actief zijn, de mogelijkheid laten om financiële innovatie te benutten en hun cliënten de meest geschikte en toegankelijke producten aan te bieden. Die kaders moeten ook zorgen voor een hoog niveau van bescherming voor consumenten en beleggers en de weerbaarheid en de integriteit van het financiële stelsel garanderen. De voordelen van technologische innovatie stonden al centraal bij de herzieningen van de betalingsdienstenrichtlijn 9 en van de richtlijn en de verordening inzake markten voor financiële instrumenten 10 .

Technologische innovatie heeft nieuwe soorten financiële activa zoals cryptoactiva voortgebracht. Dergelijke cryptoactiva en de onderliggende blockchaintechnologie zijn veelbelovend voor de financiële markten en infrastructuren. Het gebruik ervan houdt ook risico's in, zoals uit de sterke volatiliteit van cryptoactiva, fraudegevallen en de operationele zwakke punten en kwetsbaarheden van cryptobeurzen is gebleken. Op EU-niveau is al actie ondernomen om enkele specifieke risico's aan te pakken. In het verslag van de Commissie over de beoordeling van risico's op het gebied van witwassen en terrorismefinanciering 11 wordt de blootstelling aan risico's op witwassen en terrorismefinanciering van virtuele munten als significant tot zeer significant ingeschat. In december 2017 kwamen de Europese wetgevers overeen om het toepassingsgebied van de antiwitwasrichtlijn 12 uit te breiden tot beurzen van virtuele munten en aanbieders van bewaarportemonnees. De Europese toezichthoudende autoriteiten hebben gewaarschuwd voor de speculatieve marktomgeving voor virtuele munten en de andere risico's die met cryptoactiva gepaard gaan 13 . In alle waarschuwingen wordt gewezen op het feit dat beleggingen in cryptoactiva zeer risicovol zijn en dat beleggers aanzienlijke verliezen kunnen lijden door de volatiliteit maar ook door het gebrek aan markttransparantie en -integriteit en operationele zwakke punten, en door kwetsbaarheden in diensten en handelsplatformen voor cryptoactiva.

In haar recente initiatief om het Europese toezichtkader te herzien 14 stelde de Commissie voor dat de Europese toezichthoudende autoriteiten in al hun activiteiten systematisch rekening moeten houden met FinTech. De algemene verordening gegevensbescherming, die in mei 2018 van toepassing zal worden, is ook van vitaal belang voor een correct gebruik van innovatieve datagestuurde financiële diensten 15 , net als het voorstel voor een verordening inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie 16 , dat wil garanderen dat niet-persoonsgebonden gegevens vrij kunnen circuleren in de eengemaakte markt. Daarnaast zal de grensoverschrijdende erkenning van elektronische identificatiemiddelen waarin de eIDAS-verordening voorziet, waarborgen bieden en de risico's van opkomende technologieën beperken, en het tegelijkertijd gemakkelijker maken om de vereisten inzake cliëntenonderzoek van de antiwitwasregelgeving na te leven, en een sterke authenticatie van partijen in een digitale omgeving mogelijk maken.


FinTech is ook op internationaal niveau een prioriteit, bijvoorbeeld voor de G20. De Commissie draagt bij aan beleidsdiscussies in de Financial Stability Board en in andere internationale fora. In steeds meer jurisdicties zijn regelgevings- en toezichtkaders ontwikkeld met betrekking tot specifieke vormen van FinTech-innovatie. Buiten Europa hebben de regulatoren zich voornamelijk gericht op betalingsinstrumenten en -diensten en alternatieve vormen van financiering, zoals crowdfunding en peer-to-peerleningen. Voor meer interactie met FinTech-ontwikkelaars hebben een aantal toezichthouders (bv. Australië, Canada, de Verenigde Staten, Hongkong, Singapore en Japan) FinTech-hubs opgericht. Verschillende autoriteiten hebben ook testkaders voor innovatieve bedrijven ontwikkeld, de zogenaamde 'regulatory sandboxes' (bv. Australië, Hongkong, Singapore en Canada).

De Commissie wil reageren op de verzoeken van het Europees Parlement 17 en de Europese Raad 18 om een meer toekomstgericht regelgevingskader tot stand te brengen. Hiermee zou digitalisering worden bevorderd en een omgeving worden gecreëerd om innovatieve FinTech-producten en -oplossingen snel in de hele EU op de markt te brengen en de schaalvoordelen van de eengemaakte markt te benutten zonder dat de financiële stabiliteit of de bescherming van consumenten en beleggers in het gedrang komt.

Op basis van de conclusies van de openbare raadpleging die in maart-juni 2017 werd gehouden 19 , en rekening houdend met de reeds gepresenteerde initiatieven is de Commissie van mening dat er in dit stadium niet veel ruimte is voor breed wet- of regelgevend optreden of hervormingen op EU-niveau. Gerichte initiatieven waardoor de EU de digitalisering van de financiële sector kan verwelkomen, zijn echter gerechtvaardigd.

1.Innovatieve bedrijfsmodellen in staat stellen tot de hele EU op te schalen

1.1.Innovatieve bedrijfsmodellen in staat stellen tot de hele EU op te schalen door middel van duidelijke en samenhangende vergunningsvereisten

In de financiële sector moeten bedrijven een vergunning hebben en staan zij onder toezicht op basis van hun activiteiten, diensten of producten, ongeacht of zij gebruikmaken van traditionele of innovatieve manieren om die diensten te verrichten. Afhankelijk van de aangeboden diensten en producten kunnen bedrijven een vergunning krijgen op grond van en worden gereguleerd door het EU-recht of het nationale recht, dan wel niet onder een specifieke regelgeving inzake financiële diensten vallen.

De vergunningsvereisten maken het mogelijk doeltreffend toezicht uit te oefenen op de aanbieders van diensten teneinde de stabiliteit, de integriteit en de eerlijkheid van markten te garanderen. Ze garanderen ook de bescherming van consumenten en beleggers. Tegelijkertijd kunnen financiële dienstverleningsbedrijven uit de EU die naar behoren een vergunning hebben gekregen en onder toezicht staan van hun lidstaat van herkomst, door eenvormige exploitatievoorwaarden van een Europees paspoort profiteren. Dit paspoort biedt deze bedrijven de mogelijkheid hun diensten te verrichten in alle andere lidstaten en tot de volledige eengemaakte markt van de EU op te schalen.

De respondenten van de raadpleging over FinTech waren van mening dat de meeste innovatieve bedrijfsmodellen kunnen werken binnen de bestaande EU-regels, omdat het EU-wetgevingskader de ruimte biedt om in het vergunningsproces evenredigheid te laten spelen.

Het is echter mogelijk dat toezichthouders verschillende benaderingen volgen wanneer zij bij de verlening van een vergunning aan innovatieve bedrijfsmodellen 20 het toepasselijke EU-wetgevingskader vaststellen en het evenredigheidsbeginsel toepassen. Volgens de Europese Bankautoriteit zijn de verschillen in vergunnings- en registratieregelingen een punt dat verdere aandacht moet krijgen 21 . Ook EIOPA stelde soortgelijke tendensen vast 22 . Ook de Europese Centrale Bank startte onlangs een raadpleging over een gids voor de beoordeling van vergunningaanvragen van FinTech-kredietinstellingen 23 .

Nieuwe financiële diensten vallen niet altijd volledig onder het bestaande EU-regelgevingskader; dit is het geval voor crowdfunding- en peer-to-peeractiviteiten voor startende en groeiende ondernemingen. Heel wat respondenten van de raadpleging over FinTech wezen erop dat zowel op deelneming in eigen vermogen gebaseerde als op kredietverlening gebaseerde crowdfundingactiviteiten gebaat zouden zijn bij een degelijk en evenredig EU-regelgevingskader. Elf lidstaten hebben al op maat gesneden regelingen vastgesteld die vaak met elkaar in conflict zijn, wat een hinderpaal is voor de ontwikkeling van een eengemaakte markt voor crowdfundingdiensten. Door het gebrek aan een gemeenschappelijk EU-kader kunnen crowdfundingaanbieders evenmin onbelemmerd tot de eengemaakte markt opschalen, vooral doordat in het nationale toezicht en de nationale regelgeving tegenstrijdige benaderingen worden gevolgd. Het EU-kader dat in dit actieplan wordt voorgesteld, zal een alomvattende Europese paspoortregeling bieden voor die marktspelers die besluiten als Europese aanbieder van crowdfundingdiensten te werken. Dit kader zal voorzien in stimulansen voor aanbieders van crowdfundingdiensten om op te schalen, terwijl voldoende bescherming voor beleggers en projecteigenaars gegarandeerd is.

Er zijn verdere inspanningen nodig om na te gaan met welke uiteenlopende vergunningsvereisten FinTech-bedrijven te maken hebben. Volgende follow-upmaatregelen zijn mogelijk:

·verduidelijken van het toepasselijke EU-wetgevingskader voor diensten;

·beoordelen van de behoefte aan een EU-kader dat op nieuwe innovatieve bedrijfsmodellen van toepassing is; en

·verstrekken van richtsnoeren aan nationale toezichthouders om meer convergentie tussen de nationale regelgevingen te garanderen.

Daarnaast maken de toezichthouders beoordelingen van de marktontwikkelingen in cryptoactiva en de opkomst van initial coin offerings (ICO's), een nieuwe manier om geld op te halen aan de hand van zogenaamde coins of tokens. De verkoop van tokens biedt bedrijven nieuwe en innovatieve manieren om kapitaal op te halen, maar kan ook gepaard gaan met duidelijke risico's voor beleggers. Bij speculatieve beleggingen in cryptoactiva en ICO-tokens worden beleggers blootgesteld aan significant marktrisico, fraude- en cyberbeveiligingsrisico's die uitgaan van cryptobeurzen en aanbieders van diensten waar beleggers cryptoactiva en tokens kunnen aankopen, bewaren of verhandelen. In november 2017 bracht de Europese Autoriteit voor effecten en markten (ESMA) twee verklaringen 24 uit om beleggers te informeren over de potentiële risico's van bepaalde ICO's en om de bedrijven die bij ICO's betrokken zijn, eraan te herinneren dat deze activiteiten onder bestaande EU-wetgeving kunnen vallen, afhankelijk van hun precieze structuur en kenmerken. Autoriteiten in de EU en wereldwijd zijn ICO's en de regelgeving die erop van toepassing kan zijn, aan het evalueren, terwijl China en Zuid-Korea ze hebben verboden.

Gelet op de snelle prijsstijging en volatiliteit van cryptoactiva de afgelopen maanden moet er meer inzicht komen in de risico's en kansen die met het gebruik ervan gepaard gaan, en meer inzicht in de toepasselijkheid van EU-regelgeving. Het is echter ook mogelijk dat cryptoactiva en tokens buiten de regelgeving en de daarmee nagestreefde doelstellingen van transparantie, governance en beleggersbescherming vallen. In februari 2018 publiceerden de drie Europese toezichthoudende autoriteiten, na een verzoek van de Europese Commissie, een gezamenlijke waarschuwing aan beleggers en gebruikers over de risico's die met de aankoop van cryptoactiva gepaard gaan 25 . Ook de wijzigingen van de vierde antiwitwasrichtlijn waarover het Europees Parlement en de Raad in december 2017 een akkoord bereikten, zullen de anonimiteit verminderen en de traceerbaarheid van transacties vergroten: cryptobeurzen en aanbieders van bewaarportemonnees in de Europese Unie zullen cliëntenidentificatie moeten verrichten en de nodige zorgvuldigheid in acht moeten nemen.

Er moet worden beoordeeld in hoeverre het huidige EU-regelgevingskader geschikt is voor initial coin offerings en, meer algemeen, cryptoactiva. Enerzijds moet ervoor worden gezorgd dat EU-bedrijven, beleggers en consumenten binnen een eerlijk en transparant kader deze technologische innovatie kunnen benutten, zodat Europa een leidende rol kan spelen in de ontwikkeling van nieuwe manieren om groeiende bedrijven snel te financieren. Anderzijds moet naar behoren rekening worden gehouden met potentiële risico's voor de financiële stabiliteit, de marktintegriteit, de beleggers- en consumentenbescherming en de bescherming van persoonsgegevens en de risico's van witwassen van geld en terrorismefinanciering. Omdat cryptoactiva een wereldwijd fenomeen zijn, zullen internationale coördinatie en onderlinge afstemming, bijvoorbeeld binnen de G20, de Financial Stability Board (FSB) en internationale organisaties voor de vaststelling van financiële standaarden, van wezenlijk belang zijn. De Commissie zal samenwerken met toezichthouders, regulatoren, bedrijven en maatschappelijke organisaties, zowel binnen de EU als internationaal, om te bepalen welke verdere maatregelen passend zijn.

2.

Kader 1

1.Samen met deze mededeling presenteert de Commissie een voorstel voor een EU-verordening betreffende aanbieders van op deelneming in eigen vermogen en op kredietverlening gebaseerde crowdfundingdiensten voor ondernemingen (ECSP). Doel van het voorstel is te zorgen voor een passend en evenredig regelgevingskader dat crowdfundingplatforms die over de grenzen heen actief willen zijn, die mogelijkheid biedt met een alomvattende paspoortregeling die onder eengemaakt toezicht staat.


2.De Commissie nodigt de Europese toezichthoudende autoriteiten uit om tegen het eerste kwartaal 2019 een overzicht te maken van de bestaande benaderingen bij de verlening van vergunningen voor innovatieve FinTech-bedrijfsmodellen. Zij moeten in het bijzonder onderzoeken hoe de nationale autoriteiten gebruikmaken van de evenredigheid en flexibiliteit die door de wetgeving inzake financiële diensten wordt geboden. Wanneer nodig moeten de Europese toezichthoudende autoriteiten richtsnoeren geven over benaderingen en procedures of aanbevelingen aan de Commissie doen over de noodzaak van aanpassing van de EU-wetgeving inzake financiële diensten.


3.In de loop van 2018 zal de Commissie de ontwikkelingen op het gebied van cryptoactiva en initial coin offerings blijven monitoren met de Europese toezichthoudende autoriteiten, de Europese Centrale Bank en de FSB, alsook met andere internationale organisaties voor de vaststelling van standaarden. Op basis van de beoordeling van de risico's, de kansen en de geschiktheid van het toepasselijke regelgevingskader zal de Commissie beoordelen of regelgevende maatregelen op EU-niveau nodig zijn.


1.2.Meer concurrentie en samenwerking tussen marktspelers door middel van gemeenschappelijke normen en interoperabele oplossingen

Financiële diensten kunnen maar tot stand komen en worden verricht als verschillende spelers in de waardeketen samenwerken en interageren. Een EU-markt voor FinTech zal haar volledige potentieel niet kunnen realiseren zonder de ontwikkeling van open normen die de concurrentie vergroten, de interoperabiliteit versterken en de uitwisseling van en de toegang tot gegevens tussen marktspelers vereenvoudigen.

Er zijn verschillende manieren om interoperabiliteit te bewerkstelligen. Bedrijven of aanbieders van technologie kunnen ad hoc interfaces ontwikkelen waaraan andere partijen zich moeten aanpassen. Een andere benadering bestaat erin een consensus te bereiken over interoperabiliteitsnormen voor de volledige markt, zodat de aanbieders van diensten minder inspanningen moeten doen om gegevens met verschillende platforms uit te wisselen. Processen voor het vaststellen van normen moeten gebaseerd zijn op de beginselen van openheid, transparantie en consensus, in overeenstemming met de bepalingen van Verordening (EU) nr. 1025/2012 betreffende Europese normalisatie. Normen kunnen maar mededinging in de hand werken als de deelname onbeperkt is en de procedure voor de vaststelling van de norm transparant is, zodat belanghebbenden zich daadwerkelijk over de normalisatiewerkzaamheden kunnen informeren. Daadwerkelijke toegang tot de norm moet worden verleend onder eerlijke, redelijke en niet-discriminerende voorwaarden.

De meeste respondenten van de raadpleging over FinTech beklemtoonden dat het ontwikkelen van normen, het bevorderen van de invoering daarvan en het garanderen van interoperabiliteit tussen systemen een prioriteit zijn. In de voorkeursbenadering zouden de sector en marktdeelnemers het voortouw nemen in de ontwikkeling van mondiale normen (in plaats van plaatselijke of regionale normen). Er is vooral vraag naar meer normalisatie op het gebied van blockchain/distributed ledger-technologieën, application programming interfaces en identiteitsbeheer. De herziene betalingsdienstenrichtlijn, die sinds januari 2018 van toepassing is, is een interessante testcase: banken moeten passende communicatiekanalen openen opdat FinTech-bedrijven hun diensten op basis van toegang tot betalingsrekeningen kunnen aanbieden. De ontwikkeling van gestandaardiseerde application programming interfaces zou een gelijk speelveld creëren waarop nieuwe en verbeterde diensten in een werkelijk open omgeving mogelijk worden, terwijl hoge normen op het gebied van bescherming van persoonsgegevens en consumentenbescherming gehandhaafd blijven.

3.

Kader 2

1.De Commissie zal meer gecoördineerde benaderingen voor normen voor FinTech helpen te ontwikkelen tegen het vierde kwartaal 2018 en zal daarbij werken met de grote organen voor de vaststelling van standaarden, zoals het European Committee for Standardisation en de International Organization for Standardization, onder meer op het gebied van blockchain.


2.De Commissie moedigt marktspelers aan gezamenlijke inspanningen te leveren, en zal die inspanningen ondersteunen, om tegen midden 2019 gestandaardiseerde application programming interfaces te ontwikkelen die voldoen aan de betalingsdienstenrichtlijn en de algemene verordening gegevensbescherming. Deze zullen dienen als basis voor een Europees ecosysteem voor open bankieren dat betalingsrekeningen en andere soorten rekeningen bestrijkt.


1.3.De opkomst van innovatieve bedrijfsmodellen in de EU faciliteren via innovatiefacilitatoren

Innovatieve ondernemingen brengen nieuwe producten op de markt of bieden manieren aan om bekende diensten aan te bieden in innovatieve vormen of tegen meer concurrerende prijzen. Om schaalvoordelen te realiseren, moeten innovatoren hun diensten kunnen uitbreiden tot een zo ruim mogelijke basis van gebruikers. Om volledig te kunnen profiteren van de eengemaakte markt, moeten innovatoren een Europees paspoort kunnen gebruiken. Daarvoor moeten zij voldoen aan regelgevingsvereisten die soms moeilijk te vervullen zijn. Dit is met name het geval voor nieuw opgerichte bedrijven en voor bedrijven die gebruikmaken van innovatieve technologieën of modellen die soms afwijken van de praktijken die gangbaar waren toen de regels werden vastgesteld.

Innovatieve benaderingen en technologieën kunnen ook voor de financiële toezichthouders een uitdaging vormen wanneer zij moeten besluiten of zij een bedrijf of een activiteit een vergunning verlenen, en moeten bepalen hoe zij hun verplichtingen als toezichthouder nakomen. Uit de antwoorden op de openbare raadpleging van de Commissie blijkt dat toezichthouders de meest recente trends op het gebied van FinTech zeer graag beter zouden begrijpen en dat zij de contacten met bedrijven en andere aanbieders van technologie zouden willen uitbouwen.

In de EU hebben 13 lidstaten zogenaamde FinTech-facilitatoren (innovatiehubs 26 of regulatory sandboxes 27 ) opgericht om bedrijven algemene richtsnoeren te geven tijdens het vergunningsproces. Daardoor kunnen die firma's sneller toegang tot de markt krijgen en de regels en de verwachtingen van de toezichthouders beter begrijpen. De facilitatoren kunnen ook richtsnoeren geven aan gevestigde financiële instellingen. Voor de toezichthouders zijn die benaderingen een belangrijke bron van informatie, die hen helpt al in een vroeg stadium meer inzicht te krijgen in innovatieve bedrijfsmodellen en marktontwikkelingen.

Een regulatory sandbox gaat een stap verder dan een innovatiehub in die zin dat een omgeving tot stand wordt gebracht waarin het toezicht op maat wordt gesneden van innovatieve bedrijven of diensten. De nationale bevoegde autoriteiten moeten de relevante EU-wetgeving inzake financiële diensten toepassen. Die regels laten echter een zekere beoordelingsruimte bij de toepassing van de beginselen van evenredigheid en flexibiliteit die daarin zijn vastgelegd. Dit kan met name nuttig zijn in de context van technologische innovatie.

De spelers uit de sector die op de openbare raadpleging hebben geantwoord, zijn voorstander van de sandboxbenadering. De standpunten van de nationale autoriteiten liepen uiteen: sommige toezichthouders zijn van mening dat dergelijke initiatieven geen deel uitmaken van hun mandaat; de toezichthouders die openstaan voor sandboxes vinden daarentegen dat andere toezichthouders soortgelijke initiatieven zouden moeten nemen. Een tussen de toezichthouders onderling afgestemde benadering zou de uitrol van innovatie in de eengemaakte markt van de EU bevorderen.

Onlangs brachten EBA, EIOPA en ESMA de in de EU bestaande innovatiefacilitatoren in kaart. De Commissie zou blij zijn met verdere inspanningen om beste praktijken in de EU vast te stellen en gemeenschappelijke beginselen en criteria voor innovatiehubs en regulatory sandboxes uit te werken. Andere mogelijke follow-upmaatregelen zijn het bevorderen van de oprichting van innovatiehubs in alle lidstaten en het coördineren van hun activiteiten. Daarna zou kunnen worden nagedacht over een EU-kader voor experimenten met de vaststelling van en de aanpassing aan nieuwe technologieën.

4.

Kader 3

1.De Commissie nodigt de Europese toezichthoudende autoriteiten uit om, op basis van hun recente werkzaamheden voor het inventariseren van de door de nationale autoriteiten opgerichte FinTech-facilitatoren, tegen het vierde kwartaal 2018 verdere analyses te verrichten en beste praktijken vast te stellen en, zo nodig, richtsnoeren inzake deze facilitatoren te geven.


2.De Commissie nodigt de bevoegde autoriteiten op het niveau van de lidstaten en op EU-niveau uit om op basis van deze beste praktijken initiatieven te nemen om innovatie te faciliteren, en nodigt de Europese toezichthoudende autoriteiten uit om samenwerking op het gebied van toezicht te faciliteren, onder meer door coördinatie en verspreiding van informatie over innovatieve technologieën, de oprichting en werking van innovatiehubs en regulatory sandboxes te bevorderen en onderlinge afstemming van toezichtpraktijken te stimuleren.


3.De Commissie zal tegen het eerste kwartaal 2019 op basis van de werkzaamheden van de Europese toezichthoudende autoriteiten een verslag met beste praktijken op het gebied van regulatory sandboxes presenteren.


2.De invoering van technologische innovatie in de financiële sector ondersteunen

2.1.De geschiktheid van de regels onderzoeken en waarborgen voor nieuwe technologieën in de financiële sector garanderen

Technologieneutraliteit is een van de leidende beginselen van het Commissiebeleid.

Niettemin kunnen EU-regels die van vóór de opkomst van innovatieve technologieën dateren, in de praktijk niet altijd technologieneutraal zijn ten aanzien van die innovaties. Respondenten van de openbare raadpleging hebben er bijvoorbeeld op gewezen op dat soms openbaarmakingen op papier worden vereist of de voorkeur genieten, of dat aanwezigheid in persoon wordt verlangd. Het gebrek aan duidelijke en geharmoniseerde processen om consumenten en bedrijven online te identificeren met volledige naleving van de antiwitwas- en de gegevensbeschermingsregels, werd ook als een probleem voor FinTech-oplossingen beschouwd. In dezelfde geest uitten respondenten hun bezorgdheid over het feit dat investeringen in software op grond van de huidige prudentiële regels voor banken niet zo aantrekkelijk zijn: banken uit de EU moeten hun investeringen in software op hun toetsingsvermogen in mindering brengen terwijl Amerikaanse banken een gunstigere behandeling genieten.

De Commissie heeft zich al gebogen over enkele van deze kwesties. In het actieplan financiële diensten voor de consument 28 kondigde de Commissie haar voornemen aan om de grensoverschrijdende aanvaarding van elektronische identificatie en processen om de klant vanop afstand te kennen (know-your-customer of KYC) te faciliteren. Dit moet banken in staat stellen consumenten met naleving van de antiwitwas- en gegevensbeschermingsvereisten digitaal te identificeren en daarvoor gebruik te maken van alle elektronische identificatie- en authenticatie-instrumenten waarin de eIDAS-verordening voorziet. Om het gebruik van elektronische identificatie en authenticatie te faciliteren, richtte de Commissie een specifieke deskundigengroep op inzake elektronische identificatie en processen om de klant vanop afstand te kennen 29 . De invoering van disruptieve technologieën, zoals distributed ledger-technologieën en artificiële intelligentie, kan aanvullende uitdagingen op het gebied van regelgeving met zich meebrengen. De vereisten inzake openbaarmakingen op papier moeten worden aangepakt. Uit de antwoorden op de openbare raadpleging blijkt dat de vrees bestaat dat het gebruik van disruptieve technologieën door de bestaande regels wordt belet of beperkt, bijvoorbeeld op de volgende manieren:

·applicaties op basis van blockchain kunnen juridische problemen qua toepasselijk recht en aansprakelijkheid doen rijzen;

·de juridische geldigheid en de afdwingbaarheid van smart contracts kunnen verduidelijking behoeven;

·er is onzekerheid over de juridische status van ICO's en de regels die erop van toepassing zijn, zoals reeds besproken in punt 1.1 hierboven.

Er is verdere analyse nodig om te beoordelen of het rechtskader voor financiële diensten technologieneutraal is en FinTech-innovatie mogelijk maakt, dan wel daarvoor moet worden aangepast. Tegelijkertijd moeten de financiële stabiliteit, de consumenten- en de beleggersbescherming, de naleving van de antiwitwasvereisten en de rechtshandhaving worden gewaarborgd.

5.

Kader 4

De Commissie zal een deskundigengroep oprichten die tegen het tweede kwartaal 2019 moet beoordelen of het regelgevingskader inzake financiële diensten ongerechtvaardigde belemmeringen voor financiële innovatie bevat.


2.2.Obstakels voor clouddiensten uit de weg ruimen

Cloudcomputing kan de efficiëntie van de digitale infrastructuur voor financiële dienstverlening vergroten. De outsourcing van dataverwerking en opslagcapaciteit aan aanbieders van clouddiensten vermindert de kosten van hosting, infrastructuur en software voor bedrijven en kan helpen de IT-uitgaven te stroomlijnen. Outsourcing kan ook zorgen voor grotere performantie, flexibiliteit en aanpasbaarheid.

Gereguleerde bedrijven die activiteiten outsourcen aan een aanbieder van clouddiensten, moeten alle wettelijke vereisten naleven (bv. qua degelijk risicobeheer, gegevensbescherming en passende controle door de toezichthouders). Respondenten van de raadpleging van de Commissie vreesden dat de onzekerheden over de verwachtingen van de financiële toezichthoudende autoriteiten het gebruik van cloudcomputingdiensten beperkten. Die onzekerheden zijn vooral het gevolg van het gebrek aan harmonisatie van nationale regels en de verschillende interpretaties van de regels inzake outsourcing 30 .

De EBA publiceerde onlangs aanbevelingen inzake outsourcing aan clouddiensten 31 . ESMA is in haar rol van directe toezichthouder voor ratingbureaus en transactieregisters deze kwesties aan het onderzoeken en is voornemens in 2018 te verduidelijken welke vereisten die bedrijven moeten naleven bij de outsourcing aan clouddiensten. Outsourcing aan clouddiensten valt ook onder het mandaat van EIPOA op het gebied van InsurTech. De problematiek moet echter ook buiten deze bestaande initiatieven aandacht krijgen. Als de verwachtingen op het gebied van toezicht in officiële richtsnoeren van de Europese toezichthoudende autoriteiten zouden worden geformuleerd 32 , kan voor meer zekerheid worden gezorgd.

Het Commissievoorstel voor een verordening inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de EU heeft tot doel ongerechtvaardigde beperkingen voor gegevenslokalisatie weg te nemen, en pakt zo een van de belangrijkste vastgestelde problemen aan. Het voorstel bestrijkt ook andere kwesties in verband met clouddiensten, zoals het voorkomen van afhankelijkheid van één enkele aanbieder van clouddiensten. Om de uitvoering van de voorgestelde verordening specifiek in verband met het gebruik van clouddiensten te faciliteren, zal de Commissie in 2018 belanghebbenden, namelijk cloudgebruikers, aanbieders van clouddiensten en regulatoren, samenbrengen.

6.

Kader 5

1.De Commissie nodigt de Europese toezichthoudende autoriteiten uit om tegen het eerste kwartaal 2019 te onderzoeken of er richtsnoeren inzake de outsourcing aan aanbieders van clouddiensten moeten komen.


2.In het kader van de mededeling over het bouwen aan een Europese data-economie nodigt de Commissie belanghebbenden uit de sector van de clouddiensten uit sectoroverschrijdende zelfregulering in de vorm van gedragscodes te ontwikkelen om een overstap tussen aanbieders van clouddiensten gemakkelijker te maken. De Commissie zal ook vertegenwoordigers uit de financiële sector uitnodigen om gegevensportabiliteit ook voor financiële instellingen te vergemakkelijken.


3.In dit verband zal de Commissie de ontwikkeling van contractuele standaardclausules voor outsourcing aan aanbieders van clouddiensten door financiële instellingen aanmoedigen en faciliteren. Zij zal daarbij voortbouwen op de sectoroverschrijdende inspanningen van belanghebbenden uit de sector van de clouddiensten die zij al heeft gefaciliteerd, en ervoor zorgen dat de financiële sector bij dit proces wordt betrokken. Deze werkzaamheden moeten worden ondernomen door een evenwichtige mix van ondernemingen uit de financiële sector en aanbieders van clouddiensten, en moeten in het bijzonder betrekking hebben op audit- en rapportagevereisten of de bepaling van de inhoud van de te outsourcen activiteiten.


2.3.FinTech-toepassingen mogelijk maken met het initiatief inzake blockchain van de EU

Blockchain en distributed ledger-technologieën zullen waarschijnlijk leiden tot een grote doorbraak die de manier waarop informatie of activa worden uitgewisseld, gevalideerd en gedeeld en via digitale netwerken toegankelijk zijn, fundamenteel zal veranderen. Ze zullen zich waarschijnlijk in de komende jaren blijven ontwikkelen en een belangrijk onderdeel worden van de digitale economie en samenleving.

Blockchaintechnologieën mogen in geen geval met de hierboven vermelde cryptoactiva worden verward: cryptoactiva zijn maar één toepassing van blockchain. Blockchain kan een ruim scala aan toepassingen in uiteenlopende sectoren ondersteunen, die mogelijk niets met cryptoactiva of zelfs met FinTech te maken hebben.

De financiële sector speelt een leidende rol in het onderzoek van het potentieel van blockchain, wat blijkt uit de vele conceptvalideringen en proefprojecten in een ruim scala aan gebieden, zoals betalingen, effecten, deposito's en leningen, ophalen van kapitaal, beleggingsbeheer, marktbevoorrading, handel en post-trade, alsook handelsfinanciering en rapportage (bv. RegTech).

Distributed ledger-technologieën en blockchain hebben een groot potentieel om door de invoering van nieuwe infrastructuren en processen tot eenvoud en efficiëntie te komen. Deze technologieën kunnen centraal komen te staan in de toekomstige infrastructuur van de financiële dienstverlening. Voor de meest veelbelovende applicaties zullen de gevestigde ondernemingen, de innovatoren en de regulatoren intensief moeten samenwerken om ze met succes te implementeren en volledig te benutten. Het toepassingsgebied van potentiële applicaties is erg ruim en moet van nabij worden gemonitord.

Hoewel blockchaintechnologieën nog maar in hun kinderschoenen staan, moeten al verschillende uitdagingen en risico's worden aangepakt. Het EU-blockchainwaarnemingscentrum en -forum 33 , dat in februari 2018 van start ging voor een periode van twee jaar, wil trends en ontwikkelingen monitoren en deskundigheid bijeenbrengen om sectorale en sectoroverschrijdende kwesties aan te pakken en gezamenlijke oplossingen en grensoverschrijdende gevallen van het gebruik van blockchain te onderzoeken. Het Europees Parlement ondersteunde ook de start van de European Financial Transparency Gateway (EFTG), een proefproject rond het gebruik van distributed ledger-technologie om de toegang tot informatie over alle ondernemingen die genoteerd staan aan gereglementeerde effectenmarkten van de EU in het kader van de transparantierichtlijn 34 te vergemakkelijken. Dit initiatief heeft tot doel de gereglementeerde markten van de EU transparanter te maken, waardoor in overeenstemming met de doelstellingen van de kapitaalmarktenunie zowel marktintegratie als marktliquiditeit wordt aangemoedigd. De Europese Commissie initieerde ook, bijvoorbeeld, het project 'Blockchain for Industrial Transformations' (#Blockchain4EU) en de conceptvalidering van het gebruik van blockchain om de inning van accijnzen te faciliteren.

Omdat blockchain transversaal is, verder gaat dan financiële diensten en mogelijk in alle sectoren van de economie en de samenleving kan worden gebruikt, heeft de Commissie al stappen ondernomen om op EU-niveau een initiatief in verband met blockchain op te zetten, namelijk het EU-blockchainwaarnemingscentrum en -forum. Dit initiatief zal acties en financieringsmaatregelen voorstellen, alsook een kader om opschalingsmogelijkheden, governance en normen te ontwikkelen en interoperabiliteit te ondersteunen. Van dit sectoroverschrijdende initiatief wordt verwacht dat het samen met de andere acties in dit actieplan (met name de controle van de geschiktheid van de financiële wetgeving van de EU) de snelle invoering van deze technologie in de financiële sector mogelijk maakt en het concurrentievermogen en de leidende positie van Europa op technologisch gebied vergroot. Het zal ook gebaseerd zijn op proefprojecten die vanuit het Horizon 2020-programma worden ondersteund en die in de periode 2018-2020 zullen worden uitgebreid. De Commissie heeft ook banden tot stand gebracht met Technical Committee 307 van de International Organization of Standardization, dat zich met blockchain en distributed ledger-technologieën bezighoudt. Europese organisaties voor standaardisatie 35 zijn uitgenodigd om een leidende rol te spelen bij het vaststellen van specifieke EU-kenmerken voor blockchain.

7.

Kader 6

1.De Commissie zal in het tweede kwartaal 2018 een openbare raadpleging houden over verdere digitalisering van gereglementeerde informatie over ondernemingen die genoteerd zijn aan gereglementeerde markten van de EU, met inbegrip van de mogelijke uitvoering van een European Financial Transparency Gateway op basis van distributed ledger-technologie.


2.De Commissie zal met inachtneming van alle relevante juridische aspecten voortwerken aan een alomvattende strategie inzake distributed ledger-technologie en blockchain, die alle sectoren van de economie bestrijkt en FinTech- en RegTech-toepassingen in de EU mogelijk maakt.


3.In februari 2018 richtte de Commissie een EU-blockchainwaarnemingscentrum en -forum op en startte zij een haalbaarheidsstudie van een openbare blockchaininfrastructuur van de EU om grensoverschrijdende diensten te ontwikkelen. Daarin zal worden beoordeeld of blockchain in het kader van de financieringsfaciliteit voor Europese verbindingen als een digitale diensteninfrastructuur kan worden uitgerold. Met de steun van het EU-blockchainwaarnemingscentrum en -forum en de Europese organisaties voor standaardisatie zal de Commissie kwesties in verband met regelgeving, governance en opschalingsmogelijkheden blijven bekijken en de inspanningen voor interoperabiliteit en normalisatie blijven ondersteunen. Daarbij zal zij ook gevallen van blockchaingebruik en de toepassingen daarvan verder evalueren in het licht van het internet van de volgende generatie.

2.4.Bij regulatoren en toezichthouders capaciteit en kennis opbouwen in een EU-FinTech-lab

De belangrijkste hinderpalen waardoor de financiële sector nieuwe technologieën niet kan benutten, zijn onder meer een gebrek aan zekerheid en richtsnoeren over het gebruik ervan, versnippering en een gebrek aan onderlinge afstemming van de benaderingen van nationale regulatoren en toezichthouders.

Sommige aanbieders van technologie doen al inspanningen om regulatoren en toezichthouders te informeren over de aard van hun technologieën en de manier waarop die in de financiële sector worden toegepast. Veel autoriteiten nemen echter niet graag deel aan opleidingen of discussies als die door individuele aanbieders worden georganiseerd.

De Commissie zal een EU-FinTech-lab oprichten waarin regulatoren en toezichthouders meer competentie en kennis inzake nieuwe technologieën kunnen verwerven. Het zal gaan om een niet-commercieel, neutraal laboratorium voor financiële technologie waarin demonstraties en discussies met deskundigen zullen plaatsvinden. Heel wat aanbieders, vooral uit de EU, zullen er samenkomen met regulatoren en toezichthouders en kwesties in verband met regelgeving en toezicht kunnen bespreken.

Bijvoorbeeld de volgende technologieën zouden aan bod kunnen komen:

·authenticatie- en identificatietechnologieën;

·specifieke gevallen van distributed ledger-technologie, cloudtechnologie, lerende machines en artificiële intelligentie;

·application programming interfaces en normen voor open bankieren en

·RegTech.

8.

Kader 7

De Commissie zal een EU-FinTech-lab organiseren waarop Europese en nationale autoriteiten zullen worden uitgenodigd om in een neutrale, niet-commerciële omgeving met aanbieders van technologische oplossingen van gedachten te wisselen. Vanaf het tweede kwartaal 2018 zullen gerichte sessies over specifieke innovaties worden georganiseerd.


2.5.Technologie benutten om de distributie van retailbeleggingsproducten in de eengemaakte markt te ondersteunen

Vandaag worden kleine beleggers die op de kapitaalmarkten actief zijn, overdonderd door de complexiteit, de kosten en de onzekerheid die met beleggingsproducten gepaard gaan. Door de openbaarmakingsvereisten is de vergelijkbaarheid van retailbeleggingsproducten al significant verbeterd. Hoewel de kwaliteit van producten daardoor beter zou moeten worden, hebben kleine beleggers nog altijd aanzienlijke zoekkosten om het meest geschikte beleggingsproduct te selecteren.

Grotere transparantie om de concurrentie te stimuleren en kleine beleggers op de kapitaalmarkten een ruimere keuze te bieden, moet daarom gestoeld zijn op datagestuurde oplossingen die nieuwe en doeltreffendere technologieën gebruiken om ervoor te zorgen dat informatie volledig, vergelijkbaar en gemakkelijk toegankelijk is. Die oplossingen kunnen op openbare informatie gebaseerd zijn en bestaan in een gebruiksvriendelijke interface waarin bestaande databanken of digitale instrumenten zoals onlinerekenmachines, vergelijkingsinstrumenten, geautomatiseerd advies of fondsensupermarkten aan elkaar worden gekoppeld. Daarvoor moet nog heel wat werk worden verzet om de interoperabiliteit van datasets en de ontwikkeling van algoritmes te garanderen, en ervoor te zorgen dat de resultaten op een eerlijke en gemakkelijk te begrijpen manier worden voorgesteld. De Commissie zal dus het huidige landschap onderzoeken van de digitale interfaces op basis van technologie waarmee kleine beleggers op de kapitaalmarkten van de EU geschikte en kosteneffectieve retailbeleggingsproducten kunnen vinden.


3.De beveiliging en de integriteit van de financiële sector versterken

Cyberbeveiliging blijft centraal staan in de EU-beleidsmaatregelen en het weerbaarder maken van de financiële sector van de EU is een beleidsprioriteit voor de Commissie. Niettemin laten spectaculaire cyberaanvallen zien dat de weerbaarheid en de integriteit van systemen continu aandacht moeten krijgen. Cyberdreigingen zijn grensoverschrijdend waardoor de nationale regelgevings- en toezichtvereisten en -verwachtingen nauw onderling moeten worden afgestemd. Omdat de financiële sector in toenemende mate afhankelijk wordt van digitale technologie, is het van wezenlijk belang dat deze veilig is en zich weerbaar opstelt. In dit verband erkent de Commissie dat het van belang is dat digitale diensten worden ontwikkeld met ingebouwde beveiliging (security by design). Zij heeft al een voorstel ingediend om een EU-certificeringskader voor ICT-beveiligingsproducten en -diensten tot stand te brengen 36 .

De financiële sector is weliswaar beter voorbereid dan andere sectoren, maar het is ook de sector die het meest wordt aangevallen. Operationele en cyberrisico's vormen een steeds groter wordende bedreiging voor de stabiliteit van het financiële stelsel en ondermijnen het vertrouwen dat voor onze financiële markten van vitaal belang is. Gelet op de potentiële bedreiging voor de stabiliteit van de financiële sector heeft het Europees Parlement de Commissie gevraagd om 'van cyberbeveiliging de eerste prioriteit van het FinTech-actieplan te maken' 37 . Herhaalde cyberincidenten waarbij van fundamentele beveiligingsgebreken in systemen en organisaties werd gebruikgemaakt, laten zien hoe belangrijk het is dat in alle organisaties elementaire cyberhygiëne 38 wordt toegepast. Strengere cyberhygiënemaatregelen en -vereisten zijn van cruciaal belang om de integriteit te garanderen. De mate waarin bedrijven aan cyberhygiënenormen zijn onderworpen en zij die normen versterken, verschilt in de EU van land tot land en hangt in grote mate af van sectorale en nationale praktijken. Op EU-niveau bevat de huidige wetgeving inzake financiële diensten, met name op het gebied van financiëlemarktinfrastructuren en betalingen, al specifieke vereisten inzake de integriteit van IT-middelen en -systemen en het beheer daarvan. In andere gebieden zijn de vereisten algemener, bijvoorbeeld in het geval van bedrijfscontinuïteit of algemene vereisten inzake operationeel risico.

De bepalingen inzake beveiligingsvereisten in andere financiële diensten van de richtlijn inzake beveiliging van netwerk- en informatiesystemen 39 worden momenteel door de lidstaten omgezet. In de EU-wetgeving inzake de financiële sector bestaan echter nog altijd lacunes die moeten worden opgevuld om de weerbaarheid van de sector te verbeteren. Voordat dergelijke maatregelen worden genomen, moeten de vereisten en praktijken op het gebied van toezicht 40 zorgvuldig worden bestudeerd. Op die manier kunnen beste praktijken bij de toepassing van algemene vereisten worden vastgesteld.

Toegang tot informatie over dreigingen en uitwisseling van die informatie zijn ook van fundamenteel belang om de cyberbeveiliging te verbeteren. Nauwere samenwerking en coördinatie bij de uitwisseling van informatie over bedreigingen in de financiële sector van de EU zal helpen om cyberdreigingen te voorkomen en te verminderen. Sommige respondenten van de raadpleging over FinTech vreesden dat de uitwisseling van informatie over cyberdreigingen door de wetgeving kan worden belemmerd. Uitwisseling van informatie zou bijvoorbeeld onverenigbaar kunnen zijn met de algemene verordening gegevensbescherming. In die verordening wordt echter erkend dat verwerking van persoonsgegevens die strikt noodzakelijk en evenredig is met het oog op netwerk- en informatiebeveiliging, een gerechtvaardigd belang is.

De toezichthouders voeren meer en meer penetratie- en weerbaarheidstests uit om te beoordelen hoe doeltreffend cyberverweer en beveiligingsvereisten zijn. Rigoureuze tests zijn al een beste praktijk in de sector en steeds meer tests en testmodaliteiten worden door de autoriteiten opgelegd. Omdat financiële instellingen en financiëlemarktinfrastructuren grensoverschrijdend actief zijn, wordt het groeiende aantal testkaders beschouwd als een onnodige verhoging van de kosten die mogelijk de risico's vergroot. Belanghebbenden benadrukten dat regelgeving en toezicht meer moeten worden gecoördineerd op Europees niveau. Volgens hen moet dit worden gecombineerd met nauwere samenwerking tussen jurisdicties. Daarnaast zouden autoriteiten zich moeten verlaten op elkaars testresultaten, die soms vertrouwelijk moeten blijven. In dit verband beschouwt de Commissie de inspanningen die de ECB, de Europese toezichthoudende autoriteiten en de nationale toezichthouders doen om bijvoorbeeld met TIBER-EU (Threat Intelligence Based Ethical Red Teaming) een testkader voor de EU te ontwikkelen, als veelbelovend. De beoordeling van de cyberweerbaarheid van significante marktspelers uit de financiële sector van de EU kan ervoor zorgen dat kwetsbare punten van de stabiliteit en de integriteit van het volledige financiële stelsel van de EU doeltreffend en efficiënt worden vastgesteld.

Sterke cyberweerbaarheid vergt een ruime collectieve benadering, doeltreffende opleidingsactiviteiten en sensibiliseringscampagnes. Hiervoor heeft de Commissie onlangs haar actieplan voor digitaal onderwijs vastgesteld om de digitale vaardigheden in Europa te verbeteren, onder meer ook op het gebied van cyberbeveiliging 41 . Omdat cyberdreigingen inherent mondiaal van aard zijn, kunnen de risico's alleen maar met internationale samenwerking worden aangepakt: de Commissie is daarom actief betrokken bij de werkzaamheden van de G20 en de G7 in verband met cyberbeveiliging in de sector van de financiële diensten.

9.

Kader 8

1.De Commissie zal in het tweede kwartaal 2018 een publiek-private workshop organiseren om de hinderpalen voor de uitwisseling van informatie over cyberdreigingen tussen financiële marktdeelnemers te onderzoeken en te beoordelen, en om mogelijke oplossingen te zoeken met eerbiediging van de normen op het gebied van gegevensbescherming.


2.De Commissie nodigt de Europese toezichthoudende autoriteiten uit om tegen het eerste kwartaal 2019 voor de hele financiële sector de bestaande toezichtpraktijken op het gebied van ICT-beveiliging en -governance in kaart te brengen, en in voorkomend geval: a) richtsnoeren te overwegen om convergentie van het toezicht en handhaving van de vereisten inzake ICT-risicobeheer en -beperking in de financiële sector van de EU te bewerkstelligen, en b) indien nodig, de Commissie technisch advies te geven over de vraag of de wetgeving moet worden verbeterd.


3.De Commissie nodigt de Europese toezichthoudende autoriteiten uit om tegen het vierde kwartaal 2018 een kosten-batenanalyse te maken van de ontwikkeling van een coherent testkader voor de cyberweerbaarheid van significante marktdeelnemers en -infrastructuren in de volledige financiële sector van de EU.


CONCLUSIES

De snelle vooruitgang van FinTech is een aanjager van structurele veranderingen in de financiële sector. In een dergelijke snel veranderende omgeving houdt al te prescriptieve en overhaaste regelgeving het risico in van ongewenste uitkomsten. Als het beleid en het regelgevingskader niet worden bijgesteld, bestaat echter ook het risico dat de aanbieders van financiële diensten uit de EU achterop hinken in een markt die steeds mondialer wordt. Daarnaast bestaat het gevaar, bijvoorbeeld in het geval van cyberbeveiliging, dat belangrijke risico's niet worden aangepakt.


Dit FinTech-actieplan combineert ondersteunende maatregelen om FinTech-oplossingen in te voeren, met proactieve maatregelen waarmee niet alleen nieuwe oplossingen worden aangemoedigd en gestimuleerd maar ook nieuwe risico's vastberaden worden aangepakt. De Commissie heeft toegelicht welke verdere werkzaamheden gepland zijn om innovatie in de financiële sector mogelijk te maken, in te passen en, indien mogelijk, aan te moedigen, terwijl te allen tijde de financiële stabiliteit en een hoog niveau van beleggers- en consumentenbescherming gehandhaafd blijven. Het is een belangrijke pijler van een bredere strategische benadering van regelgeving voor de tijd na de crisis. Er zijn drie doelen: de snelle technologische vooruitgang benutten ten voordele van de economie, de burgers en de industrie van de EU, een meer concurrerende en innovatieve Europese financiële sector aanmoedigen, en de integriteit van het financiële stelsel van de EU garanderen.

(1) 'FinTech' is de term voor innovatie op basis van technologie op het gebied van financiële diensten die tot nieuwe bedrijfsmodellen, toepassingen, processen of producten kan leiden, en die de financiële markten en instellingen en de manier waarop financiële diensten worden verricht, wezenlijk kan beïnvloeden. Zie www.fsb.org/what-we-do/policy-development
(2) COM(2015) 192 final — Strategie voor een digitale eengemaakte markt voor Europa.
(3) JOIN/2017/0450 final — Weerbaarheid, afschrikking en defensie: bouwen aan sterke cyberbeveiliging voor de EU.
(4) Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG.
(5) COM/2017/0139 final — Actieplan inzake financiële diensten voor de consument: Betere producten, meer keuze.
(6) COM(2017) 292 final — Mededeling over de tussentijdse evaluatie van het actieplan kapitaalmarktenunie.
(7) Tussentijdse evaluatie van het actieplan kapitaalmarktenunie, hier te vinden .
(8) In 2016 was de financiële sector 65 % vaker het doelwit van cyberaanvallen dan om het even welke andere sector. Dit leidde tot incidenten met meer dan 200 miljoen gegevensbestanden, een stijging met 937 % ten opzichte van 2015 toen er zich incidenten voordeden met net iets minder dan 20 miljoen gegevensbestanden. Bron: IBM, Security trends in the financial services sector, april 2017.
(9) Richtlijn 2015/2366/EU van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt.
(10) Richtlijn 2014/65/EU van het Europees Parlement en de Raad van 15 mei 2014 betreffende markten voor financiële instrumenten en Verordening 600/2014 van het Europees Parlement en de Raad van 15 mei 2014 betreffende markten in financiële instrumenten.
(11) Verslag van de Commissie aan het Europees Parlement en de Raad over de beoordeling van risico's op het gebied van witwassen en terrorismefinanciering die van invloed zijn op de interne markt en verband houden met grensoverschrijdende activiteiten, COM(2017) 340 final van 26.6.2017.
(12) Richtlijn (EU) 2015/849 van het Europees Parlement en de Raad van 20 mei 2015 inzake de voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering.
(13) Warning to consumers on Virtual Currencies. EBA/WRG/2013/01 - https://eba.europa.eu/documents/10180/598344/EBA+Warning+on+Virtual+Currencies.pdf ; EBA Opinion on Virtual Currencies - EBA/Op/2014/08 - www.eba.europa.eu/documents/10180/657547+Opinion+on+Virtual+Currencies.pdf">https://www.eba.europa.eu/documents/10180/657547+Opinion+on+Virtual+Currencies.pdf ; ESMA alerts investors to the high risks of Initial Coin Offerings - ESMA50-157-829 - www.esma.europa.eu/sites/default/files/library">https://www.esma.europa.eu/sites/default/files/library ; ESMA alerts firms involved in Initial Coin Offerings (ICOs) to the need to meet relevant regulatory requirements - ESMA50-157-828 - www.esma.europa.eu/sites/default/files/library">https://www.esma.europa.eu/sites/default/files/library ; ESMA, EBA and EIOPA warn consumers on the risks of Virtual Currencies - 12 February 2018 - https://www.eba.europa.eu/documents/10180/2120596/Joint+ESAs+Warning+on+Virtual+Currencies.pdf.
(14) https://ec.europa.eu/info/business-economy-euro/banking-and-finance/financial-supervision-and-risk-management/european-system-financial-supervision_en#reviewoftheesfs .
(15) De algemene verordening gegevensbescherming brengt een echte eengemaakte markt voor het vrije verkeer van persoonsgegevens met een hoog niveau van bescherming van persoonsgegevens tot stand. FinTech moet volledig in overeenstemming zijn met de toepasselijke regels inzake gegevensbescherming.
(16) COM(2017) 495 final.
(17) Het Europees Parlement heeft de Commissie verzocht 'bij haar werkzaamheden inzake FinTech een proportionele, sectoroverschrijdende en holistische aanpak te volgen' — Verslag over FinTech: de invloed van technologie op de toekomst van de financiële sector, Commissie economische en monetaire zaken, Rapporteur: Cora van Nieuwenhuizen, 2016/2243(INI), 28 april 2017.
(18) EUCO 14/17, CO EUR 17, CONCL 5 zie www.consilium.europa.eu/media/21620">www.consilium.europa.eu/media/21620 .De Europese Raad 'verzoekt de Europese Commissie de nodige initiatieven voor te leggen ter versterking van de randvoorwaarden, teneinde de EU in staat te stellen nieuwe markten te verkennen door middel van risicogebaseerde radicale innovaties en de leidende rol van haar industrie te bevestigen', 19 oktober 2017.
(19) https://ec.europa.eu/info/finance-consultations-2017-fintech_en .
(20) Zoals onlineplatformen die als effectenmakelaar/intermediair fungeren, peer-to-peerverzekering, virtuele munten en geautomatiseerd beleggingsadvies, initial coin offerings, enz.
(21) www.eba.europa.eu/-">https://www.eba.europa.eu/- .
(22) https://eiopa.europa.eu/Publications/Reports/Sixth%20Consumer%20Trends%20report.pdf .
(23) www.bankingsupervision.europa.eu/press/pr/date">https://www.bankingsupervision.europa.eu/press/pr/date .
(24)

www.esma.europa.eu/press-news/esma-news">https://www.esma.europa.eu/press-news/esma-news , 13 november 2017.

(25) ESMA, EBA and EIOPA warn consumers on the risks of Virtual Currencies - 12 februari 2018 - https://www.eba.europa.eu/documents/10180/2120596/Joint+ESAs+Warning+on+Virtual+Currencies.pdf.
(26) Zie EBA/DP/2017/02 — Een 'innovatiehub' is een institutionele regeling waarbij gereglementeerde of niet-gereglementeerde entiteiten (bv. bedrijven zonder vergunning) met de bevoegde autoriteit van gedachten kunnen wisselen over kwesties in verband met FinTech (delen van informatie en standpunten, enz.) om duidelijkheid te krijgen over de conformiteit van bedrijfsmodellen met het regelgevingskader of over wettelijke vereisten/vergunningsvereisten (bv. individuele richtsnoeren aan een bedrijf over de interpretatie van de toepasselijke regels).
(27) Zie EBA/DP/2017/02 — Een 'regulatory sandbox' biedt financiële instellingen en niet-financiële bedrijven een gecontroleerde ruimte waarin zij met de steun van een autoriteit gedurende een beperkte periode innovatieve FinTech-oplossingen kunnen testen, zodat zij hun bedrijfsmodel in een veilige omgeving kunnen valideren en testen.
(28) COM(2017) 139 final.
(29) Besluit C(2017) 8405 van de Commissie van 14 december 2017.
(30) Respondenten van de raadpleging over FinTech stelden voor dat standaardcontracten tussen aanbieders van clouddiensten en aanbieders van financiële diensten beter zouden worden afgestemd op de beperkingen van hun sectorale regelgeving (zoals auditverplichtingen of vereisten inzake inspecties ter plaatse). Een ander belangrijk obstakel waarop door respondenten werd gewezen, zijn door autoriteiten opgelegde beperkingen op het gebied van gegevenslokalisatie. Omdat de markt voor clouddiensten sterk geconcentreerd is, wezen financiële instellingen en toezichthouders ook op het risico van een sterke afhankelijkheid van een handvol aanbieders die niet uit de EU komen, en op het feit dat moet worden voorkomen dat Europese financiële instellingen aan een bepaalde aanbieder vastgeklonken zitten.
(31) EBA/REC/2017/03, Recommendations on outsourcing to cloud service providers, december 2017, www.eba.europa.eu/regulation-and-policy">hier te vinden .
(32) Wat de vereisten van de wetgeving tot bescherming van persoonsgegevens betreft, wordt de coördinatie van de benaderingen door de toezichthouders voor gegevensbescherming al door de algemene verordening gegevensbescherming geregeld.
(33) https://ec.europa.eu/digital-single-market/en/news/pre-information-notice-eu-blockchain-observatory-forum .
(34) Richtlijn 2013/50/EU.
(35) CEN, CENELEC en ETSI.
(36) Voorstel voor een verordening van het Europees Parlement en de Raad inzake Enisa, het agentschap van de Europese Unie voor cyberbeveiliging, tot intrekking van Verordening (EU) nr. 526/2013, en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie ("de cyberbeveiligingsverordening").
(37) Verslag over FinTech: de invloed van technologie op de toekomst van de financiële sector, Commissie economische en monetaire zaken, Rapporteur: Cora van Nieuwenhuizen, 2016/2243(INI), 28 april 2017.
(38) ENISA, Review of the Cyber Hygiene practices, december 2016, blz. 14, www.enisa.europa.eu/publications/cyber-hygiene">hier te vinden (EN) .Cyberhygiëne is een fundamenteel beginsel met betrekking tot informatiebeveiliging […], komt neer op het invoeren van eenvoudige routinemaatregelen om de risico's van cyberdreigingen zo klein mogelijk te maken. De onderliggende aanname is dat goede cyberhygiënepraktijken tot grotere immuniteit bij bedrijven leiden doordat het risico kleiner wordt dat één kwetsbare organisatie zal worden gebruikt om aanvallen op te zetten of een toeleveringsketen te compromitteren.
(39) Richtlijn (EU) 2016/1148.
(40) Financial Stability Board, Stocktake of publicly released cybersecurity regulations, guidance and supervisory practices, oktober 2017, blz. 65-70, www.fsb.org/wp-content/uploads/P131017-2.pdf">hier te vinden (te bevestigen).
(41) Actie 7 in het actieplan voor digitaal onderwijs betreft het aanpakken van de uitdagingen van de digitale transformatie door het volgende op te starten: i) een Europese bewustmakingscampagne gericht op leerkrachten, ouders en lerenden om onlineveiligheid, cyberhygiëne en mediageletterdheid te bevorderen; en ii) een initiatief om cyberbeveiliging aan te leren op basis van het Europees digitalecompetentiekader voor burgers om mensen in staat te stellen technologie met vertrouwen en verantwoordelijkheid te gebruiken.