198. Verordnung der Oesterreichischen Nationalbank zur Systemsicherheit von Zahlungssystemen
Auf Grund des § 44a Abs. 3 des Nationalbankgesetzes 1984 (NBG), BGBl. Nr. 50/1984, wird verordnet:
1. Teil
Allgemeine Bestimmungen
Gegenstand
§ 1. (1) Diese Verordnung legt die Anforderungen an Betreiber von und Teilnehmer an Zahlungssystemen (die Verpflichteten) fest, die sich aus Empfehlungen der Europäischen Zentralbank und des Basler Komitees für Zahlungs- und Settlementsysteme ergeben und anhand derer die Zahlungssystemaufsicht der Oesterreichischen Nationalbank die Systemsicherheit von Zahlungssystemen überprüft.
(2) Die Verpflichteten können neben den nach § 44a NBG und dieser Verordnung zu setzenden Maßnahmen zur Gewährleistung der Systemsicherheit weitere Maßnahmen zur Anhebung der Systemsicherheit setzen.
(3) Die Oesterreichische Nationalbank kann bei der Ausübung ihrer Aufsicht nach § 44a NBG auch weitere Anforderungen festlegen.
Aufsichtsrahmen
§ 2. Bei der Ausübung ihrer Aufsichtstätigkeit wendet die Oesterreichische Nationalbank insbesondere die Empfehlungen des Rates der Europäischen Zentralbank, der Europäischen Aufsichtsbehörden (ESA) sowie des Ausschusses für Zahlungsverkehrs- und Abrechnungssysteme (Committee on Payment and Market Infrastructures — CPMI) und des Technischen Ausschusses der Internationalen Organisation der Wertpapieraufsichtsbehörden (International Organization of Securities Commission — IOSCO) an.
Risikobasierter Grundsatz und Proportionalität
§ 3. Der Detailierungsgrad und die Frequenz der Überprüfungen der Systemsicherheit bei den Verpflichteten durch die Oesterreichische Nationalbank richtet sich nach der Größe und Systemrelevanz der Verpflichteten sowie nach der Art, dem Umfang und der Komplexität ihrer Geschäfte. Abhängig von der Ausgestaltung des Zahlungssystems müssen nicht sämtliche der §§ 5 bis 23 dieser Verordnung anwendbar sein.
2. Teil
Vorkehrungen zur Gewährleistung der Systemsicherheit
Meldepflicht
§ 4. (1) Die Betreiber eines Zahlungssystems sind verpflichtet, sowohl die Aufnahme als auch die Einstellung des Betriebes eines Zahlungssystems der Oesterreichischen Nationalbank binnen zwei Wochen elektronisch zu melden. Die Betreiber eines Zahlungssystems sind des Weiteren verpflichtet, der Oesterreichischen Nationalbank die Teilnehmer an ihrem Zahlungssystem sowie diesbezügliche Änderungen der Oesterreichischen Nationalbank binnen zwei Wochen elektronisch bekanntzugeben.
(2) Den Meldungen gemäß Abs. 1 sind folgende Angaben anzuschließen:
- 1. Bei Aufnahme oder Einstellung des Betriebs eines Zahlungssystems: Name des Zahlungssystems, Name und Geschäftssitz des Betreibers des Zahlungssystems, Name sowie Geschäftssitz der Teilnehmer am Zahlungssystem.
- 2. Bei Teilnehmeränderungen: Name, Geschäftssitz sowie Art der Teilnahme (zum Beispiel direkt oder indirekt) des neuen bzw. des wegfallenden Teilnehmers.
(3) Die Betreiber eines Zahlungssystems sind verpflichtet, der Oesterreichischen Nationalbank schwere Sicherheits- und Betriebsvorfälle im Sinne des „Major Incident Reporting Framework for Payment Schemes and Retail Payment Systems“ mittels standardisierter Templates entsprechend Anhang 1 elektronisch zu melden. Sofern ein Verpflichteter der Meldepflicht gemäß § 86 ZaDiG 2018 unterliegt, ist eine zusätzliche Meldung nicht erforderlich.
Rechtsrahmen
§ 5. Ein Zahlungssystem hat über eine solide, klare, transparente und durchsetzbare Rechtsgrundlage für alle wesentlichen, insbesondere in der Folge angeführten Aspekte seiner Tätigkeit zu verfügen.
Organisatorische Anforderungen
§ 6. Die Leitungsstrukturen eines Zahlungssystems sind klar und transparent zu regeln, haben die Sicherheit sowie Effizienz des Zahlungssystems zu fördern und die Stabilität des Finanzsystems im Allgemeinen zu unterstützen.
Risikomanagement
§ 7. Ein Zahlungssystem hat ein solides Risikomanagementsystem zur umfassenden Steuerung von Rechts-, Kredit- und Liquiditätsrisiken sowie von operationellen und sonstigen Risiken einzurichten.
Kreditrisiko
§ 8. Ein Zahlungssystem hat für die wirksame Messung, Überwachung und Steuerung seiner Kreditrisikopositionen gegenüber den Teilnehmern bzw. jener Kreditrisikopositionen, die sich aus den Zahlungs-, Clearing- und Abwicklungsprozessen des Zahlungssystems ergeben, zu sorgen. Ein Zahlungssystem verfügt über ausreichend finanzielle Mittel, um seine Kreditrisikopositionen gegenüber jedem Teilnehmer mit hoher Sicherheit vollständig abdecken zu können.
Sicherheiten
§ 9. Ein Zahlungssystem hat zur Besicherung der eigenen Kreditrisikopositionen bzw. der Kreditrisikopositionen von Teilnehmern Sicherheiten mit geringen Kredit-, Liquiditäts- und Marktrisiken zu verlangen. Ein Zahlungssystem hat hinreichend konservative Bewertungsabschläge sowie Konzentrationslimits zu definieren und diese entsprechend umzusetzen.
Liquiditätsrisiko
§ 10. Ein Zahlungssystem hat für die wirksame Messung, Überwachung und Steuerung seines Liquiditätsrisikos zu sorgen. Ein Zahlungssystem hat über ausreichend liquide Mittel in allen für das Zahlungssystem relevanten Währungen zu verfügen, um in einer Vielzahl möglicher Stressszenarien etwaige Zahlungsverpflichtungen mit hoher Sicherheit taggleich bzw. spätestens an einem der Folgetage erfüllen zu können. Bei den Stressszenarien ist insbesondere jener Teilnehmer (einschließlich Beteiligungen) zu berücksichtigen, dessen Ausfall unter extremen, aber plausiblen Marktbedingungen für das Zahlungssystem in Summe die größte Zahlungsverpflichtung nach sich ziehen würde.
Unwiderruflichkeit
§ 11. Ein Zahlungssystem hat für eine klare und unwiderrufliche Abwicklung, spätestens bis zum Ende des Valutatages zu sorgen. Wo erforderlich bzw. zweckmäßig, hat das Zahlungssystem die unwiderrufliche Abwicklung taggleich bzw. in Echtzeit anzubieten.
Barausgleich
§ 12. Der Barausgleich vonseiten eines Zahlungssystems hat je nach Verfügbarkeit und Praktikabilität über Zentralbankkonten zu erfolgen. Im Falle der Abwicklung über Konten bei einem Kreditinstitut hat ein Zahlungssystem für die Minimierung und strenge Kontrolle der Kredit- und Liquiditätsrisiken zu sorgen.
Mehrfach-Abwicklung
§ 13. Wickelt ein Zahlungssystem Transaktionen ab, aus denen Mehrfachverpflichtungen erwachsen (zum Beispiel Wertpapier- oder Devisengeschäfte), hat es das Erfüllungsrisiko zu eliminieren, indem es die endgültige Abwicklung einer Verpflichtung von der endgültigen Abwicklung der anderen Verpflichtung abhängig macht.
Regelungen bei Teilnehmerausfällen
§ 14. Ein Zahlungssystem hat wirksame und klar definierte Regelungen und Verfahren für den Umgang mit dem Ausfall eines Teilnehmers zu etablieren. Diese Regelungen und Verfahren sind derart auszugestalten, dass ein Zahlungssystem Verluste und Liquiditätsengpässe rechtzeitig begrenzen und seinen Verpflichtungen weiterhin nachkommen kann.
Allgemeines Geschäftsrisiko
§ 15. Ein Zahlungssystem hat für die Erkennung, Überwachung und Steuerung von allgemeinen Geschäftsrisiken zu sorgen und über ausreichend liquides Nettovermögen zu verfügen, das durch Eigenkapital unterlegt ist, sodass es im Verlustfall die Geschäfte und Dienstleistungen fortführen kann. Sein liquides Nettovermögen muss jederzeit ausreichen, um eine Sanierung und/oder geordnete Abwicklung seiner vertraglich gegenüber den Teilnehmern zugesicherten Leistungen gewährleisten zu können.
Anlagepolitik
§ 16. Ein Zahlungssystem hat seine eigenen Vermögenswerte sowie die Vermögenswerte seiner Teilnehmer zu schützen und das Risiko eines Verlustes bzw. eines verzögerten Zugangs zu diesen Vermögenswerten zu minimieren. Ein Zahlungssystem hat seine Finanzmittel in Instrumenten mit minimalen Kredit-, Markt- und Liquiditätsrisiken anzulegen.
Operationelles Risiko
§ 17. Ein Zahlungssystem hat sowohl interne als auch externe Faktoren zu identifizieren, von denen plausible operationelle Risiken ausgehen, und deren Auswirkungen durch angemessene Systeme, Grundsätze, Verfahren und Kontrollen zu begrenzen. Ein Zahlungssystem ist derart auszugestalten, dass ein hohes Maß an Sicherheit und Zuverlässigkeit des Systembetriebs gewährleistet ist, und es sollte über angemessene skalierbare Kapazität verfügen. Die Notfallplanung hat auf die rechtzeitige Wiederherstellung des Betriebes und auf die Erfüllung der Verpflichtungen des Zahlungssystems abzustellen, insbesondere im Fall einer großflächigen oder erheblichen Störung.
Teilnahmebedingungen
§ 18. Ein Zahlungssystem hat über objektive, risikobasierte und öffentlich zugängliche Teilnahmekriterien zu verfügen, die einen fairen und offenen Zugang ermöglichen.
Indirekte oder abgestufte Teilnahme
§ 19. Ein Zahlungssystem hat seine mit einer indirekten oder abgestuften Teilnahmestruktur verbundenen wesentlichen Risiken zu erkennen, zu überwachen und zu steuern.
Verbindungen
§ 20. Mit einem oder mehreren anderen Zahlungssystemen verbundene Zahlungssysteme haben die damit verbundenen Risiken zu identifizieren, zu überwachen und zu steuern.
Effizienz und Effektivität
§ 21. Ein Zahlungssystem hat die Anforderungen seiner Teilnehmer und der Märkte, die es bedient, effizient und effektiv zu erfüllen.
Kommunikationsverfahren und -standards
§ 22. Ein Zahlungssystem hat einschlägige international anerkannte Kommunikationsverfahren und -standards zu verwenden bzw. deren Verwendung zu ermöglichen, um die Effizienz der Zahlungen, des Clearings, der Abwicklung und der Aufzeichnung zu verbessern.
Veröffentlichungen
§ 23. Ein Zahlungssystem hat über klare und umfassende Regelungen und Verfahren zu verfügen und ausreichend Information zur Verfügung zu stellen, um Teilnehmern ein genaues Verständnis der Risiken, Gebühren und sonstiger wesentlicher Kosten zu ermöglichen, die ihnen durch Teilnahme am Zahlungssystem erwachsen. Alle einschlägigen Regelungen und die wichtigsten Verfahren sind offenzulegen.
3. Teil
Schlussbestimmungen
Internationale Zusammenarbeit
§ 24. Die Oesterreichische Nationalbank arbeitet mit der Europäischen Zentralbank sowie den Zentralbanken anderer Mitgliedstaaten in ihrer Eigenschaft als Zahlungssystemaufsichtsbehörden im Sinne des Art. 127 Abs. 2 vierter Gedankenstrich des Vertrags über die Arbeitsweise der Europäischen Union und Art. 3.1 vierter Gedankenstrich der Satzung des Europäischen Systems der Zentralbanken und der Europäischen Zentralbank zusammen.
Verweise
§ 25. Soweit in dieser Verordnung auf Bestimmungen des Nationalbankgesetzes 1984 (NBG), BGBl. Nr. 50/1984, verwiesen wird, ist dieses in seiner geltenden Fassung anzuwenden.
Inkrafttreten
§ 26. Diese Verordnung tritt mit 01.08.2023 in Kraft.
Anlage 1
Holzmann Haber
Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)