AFM-SREP-Marktübersicht 2025: Politik existiert, Umsetzung nicht
Die niederländische Finanzmarktbehörde AFM hat ihre SREP-Marktübersicht 2025 veröffentlicht, und das zentrale Ergebnis ist unbequem vertraut: Die meisten beaufsichtigten Unternehmen haben die richtigen Richtlinien, aber die tägliche Umsetzung dieser Richtlinien ist der Punkt, an dem die Dinge auseinanderfallen. Für Wirtschaftsprüfungsgesellschaften, Prüfer und CFOs, die in den Niederlanden regulierte Unternehmen beraten oder leiten, identifiziert die Übersicht drei strukturelle Druckpunkte, die sofortige Aufmerksamkeit erfordern: schwache Umsetzung interner Kontrollen, unzureichendes IKT-Risikomanagement und verschwimmende Verantwortlichkeiten bei ausgelagerten und kooperativen Vereinbarungen.
Was die AFM tatsächlich gefunden hat
Eine positive Basis, eine problematische Lücke
Die AFM erkennt an, dass die Unternehmen im Allgemeinen die Grundlagenarbeit geleistet haben. Compliance-Rahmenwerke existieren. Regulatorische Verpflichtungen sind dokumentiert. Die Anforderungen an die Mitarbeiterkompetenz sind schriftlich behandelt. Das ist die gute Nachricht, und es ist ein echter Fortschritt im Vergleich zu früheren Überprüfungszyklen.
Das Problem liegt zwischen dem schriftlichen Rahmenwerk und der Live-Umgebung. Die aufsichtsrechtliche Bewertung der AFM ergab, dass interne Kontrollen häufig nicht strukturiert und fortlaufend durchgeführt werden, und wenn sie durchgeführt werden, nicht konsistent aufgezeichnet werden. Prozessevaluationen, die regelmäßig stattfinden sollten, finden entweder gar nicht statt oder ohne Nachweise, die einer aufsichtsrechtlichen Prüfung standhalten würden.
Die Formulierung der AFM ist direkt: Eine Richtlinie, die auf dem Papier existiert, aber in der Praxis nicht nachweislich funktioniert, bietet dem Unternehmen, seinen Kunden oder dem Markt keinen echten Schutz. Die tägliche Anwendung der Kontrollen schafft echte Widerstandsfähigkeit.
IKT-Risiko: Erkennung ohne Prävention
Das zweite Hauptergebnis betrifft die Technologie-Governance. Da Unternehmen im niederländischen Finanzsektor zunehmend operativ von der IT-Infrastruktur abhängig sind, einschließlich Drittanbieterplattformen und Cloud-basierten Systemen, stellte die AFM fest, dass das Kontrollumfeld um diese Infrastruktur nicht Schritt gehalten hat.
Zu den spezifischen identifizierten Schwächen gehören Schwachstellenerkennungen, die nicht systematisch behoben werden, Backup-Tests, die entweder fehlen oder unregelmäßig sind, und die Vorbereitung auf Incident Response, die eher theoretisch bleibt als getestet. Die AFM beobachtete ein Muster, bei dem Unternehmen ein Problem erkennen können, wenn es auftritt, aber nicht in angemessenem Umfang in die Prävention investiert haben.
Kritisch ist, dass die Übersicht anmerkt, dass diese Lücken dort ausgeprägter sind, wo Unternehmen auf externe IT-Dienstleister angewiesen sind. Vereinbarungen mit diesen Anbietern fehlen oft klare vertragliche Kontrollen, Überwachungspflichten oder Eskalationsprotokolle. Da das breitere EU-Regulierungsumfeld nun durch den Digital Operational Resilience Act (DORA) erhebliche Anforderungen an die IKT-Resilienz stellt, gehen Unternehmen, die ihre Drittanbieter-IT-Vereinbarungen noch nicht mit einer strukturierten Überwachung in Einklang gebracht haben, gleichzeitig auf zwei Fronten ein Compliance-Risiko ein. Unsere frühere Berichterstattung über DORA IKT-Vorfallmeldeverpflichtungen für EU-Unternehmen legt dar, was dieser Rahmen in der Praxis erfordert.
Verantwortungslücken bei Schlüsselprozessen
Wo Verantwortung nicht beansprucht wird
Das dritte Kernanliegen der AFM ist das Fehlen klarer Verantwortlichkeiten für kritische Prozesse. Die Übersicht identifiziert mehrere Bereiche, in denen auf operativer Ebene wirklich unklar ist, wer für eine bestimmte Kontrolle verantwortlich ist, wer die Aufsicht führt und wie die Überwachung tatsächlich durchgeführt wird. Die spezifischen Bereiche, die die AFM hervorhebt, umfassen Best Execution, Nachhaltigkeitsverpflichtungen und Kooperationsvereinbarungen mit Dritten.
Dies ist nicht nur ein Problem der Organisationsgestaltung. Wenn Verantwortlichkeiten diffus sind, werden Aufgaben, die nominell alle teilen, tendenziell von niemandem aktiv gemanagt. Die AFM stellt fest, dass diese Mehrdeutigkeit auch nachgelagerte Risiken für Kunden schafft, insbesondere wenn Kooperationsvereinbarungen zwischen Unternehmen Fragen aufwerfen, welches Unternehmen für das verantwortlich ist, was der Kunde erlebt.
Die kundenorientierte Dimension
Die AFM verbindet Versäumnisse bei der Verantwortlichkeit direkt mit Kundenergebnissen. Wenn interne Prozesse nicht klar verantwortet und überwacht werden, besteht das Risiko nicht nur in einem aufsichtsrechtlichen Befund während eines Besuchs. Das Risiko besteht darin, dass Kunden inkonsistente oder unzureichende Dienstleistungen erhalten oder dass Verantwortlichkeiten in einer Partnerschaftsvereinbarung dem Endnutzer gegenüber nie ordnungsgemäß geklärt werden. Die explizite Zuweisung von Verantwortung und die Dokumentation, wie jeder Verantwortliche seinen Bereich überwacht, ist aus Sicht der AFM der praktische Mechanismus, um Kundeninteressen im Mittelpunkt zu halten.
Was dies für Unternehmen bedeutet, die mit digitalen Vermögenswerten umgehen
Krypto-Buchhaltungssoftware und das Kontrollumfeld
Für Wirtschaftsprüfungsgesellschaften und CFOs, die Krypto-Buchhaltungssoftware oder digitale Vermögensbuchhaltungssoftware als Teil eines regulierten Workflows verwenden, haben die SREP-Ergebnisse eine spezifische Implikation. Aufsichtsrechtliche Prüfungen schauen zunehmend über die Softwarelizenz und das Richtliniendokument hinaus und fragen, ob das Tool tatsächlich wie beabsichtigt verwendet wird, ob die Ergebnisse überprüft werden und ob es einen klaren Verantwortlichen für den Abstimmungs- oder Berichtsprozess gibt, den es unterstützt.
Ein Unternehmen, das nachweisen kann, dass es strukturierte regelmäßige Überprüfungen der Ergebnisse seiner Krypto-Buchhaltungssoftware durchführt, Ausnahmen dokumentiert und einen benannten internen Verantwortlichen für den Prozess hat, ist in einer wesentlich besseren Position als eines, bei dem die Software im Hintergrund läuft und die Ergebnisse als inhärent zuverlässig betrachtet werden. Die Betonung der AFM auf nachweisbare Umsetzung gilt für technologiegestützte Compliance-Prozesse genauso wie für manuelle.
Die Erwartungen der AFM an Drittanbieter-Vereinbarungen sind hier ebenfalls relevant. Anbieter digitaler Vermögensbuchhaltungssoftware sind Dritte. Unternehmen, die nicht formalisiert haben, was sie von diesen Anbietern in Bezug auf Datenintegrität, Vorfallmeldung und Geschäftskontinuität erwarten, weisen genau die Art von Lücke auf, die die SREP-Übersicht hervorhebt. Die frühere Anleitung der AFM für Krypto-Dienstleister zu Fernabsatz- und Online-Schnittstellenanforderungen unterstreicht den Appetit des Regulators auf konkrete, dokumentierte Compliance anstelle von prinzipienbasierten Verpflichtungen.
Drei Maßnahmen, die Compliance-Teams jetzt ergreifen sollten
Strukturierte Kontrolltests mit Nachweisen
Interne Kontrollen müssen nach einem definierten Zeitplan getestet werden, und diese Tests müssen Aufzeichnungen produzieren. Wenn morgen eine aufsichtsrechtliche Prüfung käme, sollte das Unternehmen nicht nur nachweisen können, dass eine Kontrolle existiert, sondern auch, wann sie zuletzt getestet wurde, was das Ergebnis war, wer sie überprüft hat und was geschah, wenn etwas gefunden wurde. Diese Papierspur sucht die AFM und die viele Unternehmen derzeit nicht vorlegen können.
IKT-Anbieterüberprüfungen
Jeder wesentliche IT-Anbieter, einschließlich aller Plattformen, die für Krypto-Buchhaltung oder digitale Vermögensberichterstattung verwendet werden, sollte einer dokumentierten Überprüfung unterzogen werden, die Folgendes behandelt: Was der Anbieter vertraglich in Bezug auf Resilienz und Sicherheit liefern muss, wie das Unternehmen diese Lieferung überwacht und welchen eigenen Reaktionsplan das Unternehmen hat, wenn der Anbieter einen Vorfall erlebt. Wenn diese Antworten nicht schriftlich vorliegen, hat das Unternehmen eine Lücke, die der SREP-Rahmen als Kontrollschwäche einstufen würde.
Explizite Zuweisung von Verantwortlichkeiten
Für jeden wesentlichen Prozess, insbesondere solche, die Best Execution, Nachhaltigkeitsberichterstattung oder ausgelagerte Funktionen betreffen, sollte ein benannter Verantwortlicher zusammen mit einer definierten Überwachungshäufigkeit dokumentiert werden. Wenn mehrere Unternehmen einen Prozess durch eine Partnerschaft teilen, sollten die kundenorientierten Verantwortlichkeiten jeder Partei schriftlich festgehalten und mindestens jährlich überprüft werden. Mehrdeutigkeit ist kein neutraler Zustand. Aus Sicht der AFM ist es ein Risiko.
Häufig gestellte Fragen
Was ist die AFM SREP-Marktübersicht?
Die SREP-Marktübersicht (Supervisory Review and Evaluation Process) wird von der AFM veröffentlicht, um aggregierte Erkenntnisse aus ihrer Aufsicht über niederländische Finanzunternehmen zu teilen. Die Ausgabe 2025 identifizierte Umsetzungslücken bei internen Kontrollen und im IKT-Risikomanagement als vorrangige Verbesserungsbereiche im gesamten Sektor.
Gilt die SREP-Übersicht für Unternehmen, die in den Niederlanden Krypto-Asset-Dienstleistungen anbieten?
Der SREP-Rahmen gilt für von der AFM beaufsichtigte Unternehmen. Unternehmen, die Krypto-Asset-Dienstleistungen unter MiCA erbringen oder unter niederländischen Registrierungspflichten tätig sind, fallen in den aufsichtsrechtlichen Bereich der AFM. Die in der Übersicht 2025 beschriebenen Kontrollerwartungen gelten für diese Unternehmen in gleicher Weise wie für traditionelle Finanzdienstleister.
Was erwartet die AFM konkret in Bezug auf IKT-Risiken?
Die AFM erwartet von Unternehmen, dass sie über die Erkennung von IKT-Schwachstellen hinausgehen und Prävention in ihre Standardprozesse integrieren. Dazu gehören regelmäßige Backup-Tests, dokumentierte Incident-Response-Verfahren und klare vertragliche Vereinbarungen mit externen IT-Anbietern, die Resilienz, Überwachung und Eskalation abdecken. Diese Erwartungen entsprechen den nun in der gesamten EU geltenden DORA-Anforderungen.
Wie sollten Unternehmen die Verantwortlichkeit gemäß den SREP-Erwartungen dokumentieren?
Jeder wesentliche Prozess sollte einen benannten Verantwortlichen, eine definierte Überprüfungshäufigkeit und eine Aufzeichnung der letzten Überwachungsaktivität haben. Wenn Dritte beteiligt sind, sollte die Aufteilung der Verantwortlichkeiten dokumentiert und zugänglich sein. Das Anliegen der AFM ist nicht die Existenz einer Governance-Struktur auf dem Papier, sondern ob diese Struktur in der Praxis nachweislich funktioniert.
Was sind die Folgen der Nichteinhaltung der SREP-Erwartungen?
Die SREP-Übersicht ist ein aufsichtsrechtliches Signal und keine verbindliche Regel, aber die Ergebnisse von Marktübersichten informieren die risikobasierten Aufsichtsprioritäten der AFM. Unternehmen, die nicht auf öffentlich identifizierte Schwächen reagieren, sind eher Gegenstand gezielter aufsichtsrechtlicher Gespräche, formeller Anforderungen oder Durchsetzungsmaßnahmen, wenn dieselben Lücken während einer individuellen Prüfung festgestellt werden.
Quelle: AFM SREP Marktbeeld 2025
