Het heeft even geduurd, maar het is zover: het nieuwe wetgevingspakket voor banken is op 9 juli 2024 in werking getreden. Dit bankenpakket, bestaande uit de Capital Requirements Regulation 3 (CRR3) en de Capital Requirements Directive 6 (CRD6), zorgt voor de tenuitvoerlegging van de laatste elementen van het Bazel III akkoord.
Wat gaat er veranderen? Een belangrijke wijziging is dat ondernemingen uit niet-EU landen die kernbankdiensten in een EU lidstaat verlenen te maken krijgen met een vergunning- en toezichtregime. Verder is een belangrijke wijziging de formele inbedding van de plicht voor banken om ESG-risico's te integreren in hun governanceregelingen. Andere noemenswaardige wijziging zien op het harmoniseren en stroomlijnen van geschiktheids- en betrouwbaarheidstoetsingen en er is een herziening van de regeling voor administratieve sancties opgenomen.
Vanaf wanneer gelden de nieuwe regels? CRR3 is vanaf 1 januari 2025 (grotendeels) van toepassing, CRD6 moet uiterlijk op 10 januari 2026 in de Nederlandse wet- en regelgeving omgezet zijn, en het TCB-regime (zie hierna) is vanaf 11 januari 2027 van toepassing.
Vergunningsplicht voor bijkantoren van ondernemingen in derde landen
CRD6 verplicht ondernemingen uit derde landen een bijkantoor (third-country branch, TCB) op te richten in een lidstaat, en voor die TCB een vergunning aan te vragen, voordat zij 'kernbankdiensten' mogen verlenen in de betreffende lidstaat. Benadrukt moet dus worden dat voor het toepassingsbereik van het TCB-regime de kwalificatie van de diensten – en dus niet van de dienstverlener – doorslaggevend is.
Kernbankdiensten in deze context zijn het aantrekken van deposito's en andere terugbetaalbare gelden, het verstrekken van leningen, en het verlenen van garanties en stellen van borgtochten.
Met betrekking tot het aantrekken van deposito's en andere terugbetaalbare gelden, geldt het TCB-regime voor alle ondernemingen uit derde landen die deze dienst in de EU verlenen. Ondernemingen uit derde landen die de overige twee diensten verlenen binnen de EU, zijn aan het TCB-regime onderworpen als zij als kredietinstelling zouden kwalificeren in de zin van de CRR indien zij in de EU zouden zijn gevestigd.
Aan een dergelijke TCB-vergunning hangt CRD6 strikte minimumvereisten, waaronder kapitaalvereisten, liquiditeitsvereisten, en vereisten omtrent het interne governance en risicobeheer. Deze vereisten zijn (veel) minder zwaar dan de vereisten die hangen aan een volledige bankvergunning. De bevoegde autoriteit van een lidstaat kan evenwel voor 'systeemrelevante' TCB's vereisen dat dat een volledige bankvergunning wordt aangevraagd.
Een verleende TCB-vergunning kan ook weer worden ingetrokken indien (er redelijke gronden zijn om te vermoeden dat) de hoofdonderneming of de groep daarvan niet aan de prudentiële vereisten volgend uit wetgeving van het derde land voldoet (of zal voldoen).
Tot slot verdient opmerking dat TCB's die succesvol een vergunning hebben verkregen in een lidstaat (uiteraard) niet geoorloofd zijn hun kernbankdiensten op basis van deze vergunning grensoverschrijdend in andere lidstaten aan te bieden of uit te voeren.
Uitzonderingen op het TCB-regime
Op dit TCB-regime geldt een aantal uitzonderingen. Zo geldt het regime onder meer niet in het geval van reverse solicitation – kort gezegd wanneer een cliënt zelf de onderneming in het derde land benadert. Ook geldt het regime niet voor ondernemingen in derde landen die MiFID-diensten aanbieden en daarbij nevendiensten verlenen, zoals het ontvangen van deposito's of het vertrekken van leningen met het oog op het verlenen van die MiFID-diensten.
Het is duidelijk dat het voor sommige ondernemingen uit derde landen duurder en minder makkelijk zal zijn om hun kernbankendiensten in een EU lidstaat te verlenen, niet in de laatste plaats doordat TCB's in elke lidstaat een vergunning nodig zullen hebben voordat zij hun kernbankdiensten daar mogen verlenen.
Integratie van ESG-risico's in governanceregelingen
Zowel CRR3 als CRD6 voorzien in bepalingen gericht op hoe banken met risico's als gevolg van klimaatverandering en andere ecologische, sociale en governancerisico’s (ESG-risico's) dienen om te gaan. Het gaat hier in feite om het integreren van ESG-factoren in het EU bancaire wettelijke prudentiële kader naast andere EU Sustainable Finance wetgeving (Taxonomy Regulation, SFDR en CSRD).
CRD6 verplicht onder meer dat banken over strategieën en procedures beschikken om ervoor te zorgen dat de hoogte, samenstelling en verdeling van het interne kapitaal aansluiten op huidige en toekomstige risico's, waarbij bij ESG-risico's uitdrukkelijk rekening dient te worden gehouden met de korte, middellange en lange termijn.
Ook stelt CRD6 nieuwe vereisten aan de governanceregelingen van banken – dit uiteraard op basis van het beginsel van proportionaliteit – die effectieve procedures voor het identificeren, het beheer, het monitoren en de rapportage van onder meer ESG-risico's moeten bevatten. Verder moet het leidinggevende orgaan van een bank specifieke, van kwantificeerbare streefdoelen en processen voorziene plannen ontwikkelen om ESG-risico's te monitoren en aan te pakken.
Hoewel dit nieuwe wetgeving is, werken banken al vanaf 2020 gefaseerd aan compliance met door de ECB afgedwongen toezichtsverwachtingen inzake klimaat- en milieurisico's. Vrijwel alle banken hebben inmiddels uitgebreide materialiteitsbeoordelingen uitgevoerd op basis van ECB toezichtverwachtingen. In die zin is de invoering van CRD6 op dit punt enkel nog een formaliteit.
Een geharmoniseerd kader voor de geschiktheids- en betrouwbaarheidstoets
CRD6 schept een vernieuwd, meer gedetailleerd kader voor de toetsing van de geschiktheid en betrouwbaarheid van leden van het leidinggevende orgaan en medewerkers met sleutelfuncties. Dit kader is op dit moment weinig geharmoniseerd.
CRD6 schrijft onder meer standaard informatievereisten voor in het kader van een geschiktheidsaanvraag, waaronder een vragenlijst inzake geschiktheid en een curriculum vitae. De European Banking Authority (EBA) zal op een later moment technische reguleringsnormen uitvaardigen met de specificaties van de informatie die aan de bevoegde autoriteit verschaft dient te worden.
Een hieraan gerelateerde wijziging: onder CRD6 mag de voorzitter van de RvC nooit tegelijkertijd CEO zijn van dezelfde instelling. De impact hiervan op Nederlandse banken is nihil gezien het hier vigerende two-tier model met een raad van bestuur en een raad van commissarissen.
Herziening van de regeling voor administratieve sancties
CRD6 introduceert de dwangsom als nieuw handhavingsinstrument om naleving van prudentiële regels af te dwingen. Verder biedt CRD6 bevoegde autoriteiten de mogelijkheid om administratieve sancties, dwangsommen en andere administratieve maatregelen op te leggen direct aan leden van het leidinggevende orgaan en aan andere natuurlijke personen die voor een inbreuk verantwoordelijk zijn.
Dat het leidinggevende orgaan van een bank straks direct aangesproken kan worden via handhaving door de toezichthouder is niet beperkt tot banken. Deze directe aansprakelijkheid zien we inmiddels in alle nieuwe EU wetgeving.
Conclusie
CRD6 moet op 10 januari 2026 in de Nederlandse wet- en regelgeving omgezet zijn, waarbij het TCB-regime zelfs pas op 11 januari 2027 van toepassing is. Desalniettemin kan het geen kwaad om op de toekomstige wijzigingen te anticiperen, met name op het TCB-regime. Zowel banken buiten de EU als ondernemingen buiten de EU die bankdiensten aanbieden zullen moeten nagaan of zij te maken krijgen met dit nieuwe regime.
Dit regime zal gelden voor twee groepen ondernemingen: (i) ondernemingen uit derde landen die diensten met betrekking tot het aantrekken van deposito's en andere terugbetaalbare gelden verlenen binnen de EU, en (ii) ondernemingen uit derde landen die de overige twee diensten verlenen binnen de EU (mits zij als kredietinstelling zouden kwalificeren in de zin van de CRR indien zij in de EU zouden zijn gevestigd).
Dergelijke ondernemingen zullen een bijkantoor in de EU lidstaat moeten oprichten en voor dit bijkantoor een vergunning van de lokale toezichthouder moeten verkrijgen om hun kernbankdiensten te mogen (blijven) verlenen.
Bijkantoren uit derde landen die al een vergunning hebben, zullen moeten voldoen aan de minimumvereisten die CRD6 stelt aan een dergelijke vergunning.
Een artikel van Johannes de Jong, Head of Financial Regulatory bij Osborne Clarke.