Erster Abschnitt - Allgemeine Vorschriften | 1. - Kreditinstitute, Finanzdienstleistungsinstitute, Finanzholding-Gesellschaften, gemischte Finanzholding-Gesellschaften und gemischte Holdinggesellschaften sowie Finanzunternehmen
(1) Für Institute, die keine
- 1.
CRR-Kreditinstitute,
- 2.
Kreditinstitute, die ausschließlich über eine Zulassung nach Artikel 16 Absatz 1 der Verordnung (EU) Nr. 909/2014 verfügen, die Tätigkeit als Zentralverwahrer nach Abschnitt A oder nach den Abschnitten A und B des Anhangs zu der Verordnung (EU) Nr. 909/2014 auszuüben oder
- 3.
Wohnungsunternehmen mit Spareinrichtung
sind, gelten vorbehaltlich des § 2 Absatz 7 bis 9f die Vorgaben der Verordnung (EU) Nr. 575/2013 und des Kapitels 2 der Verordnung (EU) 2017/2402 des Europäischen Parlaments und des Rates vom 12. Dezember 2017 zur Festlegung eines allgemeinen Rahmens für Verbriefungen und zur Schaffung eines spezifischen Rahmens für einfache, transparente und standardisierte Verbriefung und zur Änderung der Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU und der Verordnungen (EG) Nr. 1060/2009 und (EU) Nr. 648/2012 (ABl. L 347 vom 28.12.2017, S. 35), die Vorgaben der auf Grundlage der Verordnung (EU) Nr. 575/2013 und des Kapitels 2 der Verordnung (EU) 2017/2402 erlassenen Rechtsakte, die Bestimmungen dieses Gesetzes, die auf Vorgaben der Verordnung (EU) Nr. 575/2013 oder des Kapitels 2 der Verordnung (EU) 2017/2402 verweisen, sowie die in Ergänzung der Verordnung (EU) Nr. 575/2013 erlassenen Rechtsverordnungen nach § 10 Absatz 1 Satz 1 und § 13 Absatz 1 so, als seien diese Institute CRR-Kreditinstitute.
(2) Für Einrichtungen, die in Artikel 2 Absatz 5 Nummer 5 der Richtlinie 2013/36/EU namentlich genannt werden, gelten die Vorgaben der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (ABl. L 333 vom 27.12.2022, S. 1) und die Vorgaben der auf Grundlage der Verordnung (EU) 2022/2554 erlassenen Rechtsakte sowie die Bestimmungen dieses Gesetzes, die auf Vorgaben der Verordnung (EU) 2022/2554 verweisen, als wenn diese Einrichtungen CRR-Kreditinstitute wären.
(2a) Für Institute, die nicht nach Artikel 2 der Verordnung (EU) 2022/2554 im Geltungsbereich der Verordnung (EU) 2022/2554 liegen, gelten die Vorgaben der Verordnung (EU) 2022/2554 und die Vorgaben der auf Grundlage der Verordnung (EU) 2022/2554 erlassenen Rechtsakte sowie die Bestimmungen dieses Gesetzes, die auf Vorgaben der Verordnung (EU) 2022/2554 verweisen so, als wären diese
Institute. Institute CRR-Kreditinstitute. Abweichend von Satz 1 finden
- 1.
anstelle der Vorgaben der Artikel 5 bis 15 der Verordnung (EU) 2022/2554 die Vorgaben des vereinfachten Informations- und Kommunikationstechnologien-Risikomanagementrahmens nach Artikel 16 der Verordnung (EU) 2022/2554 Anwendung,
- 2.
die Vorgaben an die Durchführung der bedrohungsgeleiteten Penetrationstests nach den Artikeln 26 und 27 der Verordnung (EU) 2022/2554 keine Anwendung,
- 3.
die Vorgaben an das IKT-Drittparteienrisikomanagement nach den Artikeln 28 bis 30 der Verordnung (EU) 2022/2554 auf Kleinstunternehmen im Sinne von Artikel 3 Nummer 60 der Verordnung (EU) 2022/2554 keine Anwendung.
(2a) Für Institute, die nicht nach Artikel 2 der Verordnung (EU) 2022/2554 im Geltungsbereich der Verordnung (EU) 2022/2554 liegen, gelten die Vorgaben der Verordnung (EU) 2022/2554 und die Vorgaben der auf Grundlage der Verordnung (EU) 2022/2554 erlassenen Rechtsakte sowie die Bestimmungen dieses Gesetzes, die auf Vorgaben der Verordnung (EU) 2022/2554 verweisen so, als wären diese
Institute. Institute CRR-Kreditinstitute. Abweichend von Satz 1 finden
- 1.
anstelle der Vorgaben der Artikel 5 bis 15 der Verordnung (EU) 2022/2554 die Vorgaben des vereinfachten Informations- und Kommunikationstechnologien-Risikomanagementrahmens nach Artikel 16 der Verordnung (EU) 2022/2554 Anwendung,
- 2.
die Vorgaben an die Durchführung der bedrohungsgeleiteten Penetrationstests nach den Artikeln 26 und 27 der Verordnung (EU) 2022/2554 keine Anwendung,
- 3.
die Vorgaben an das IKT-Drittparteienrisikomanagement nach den Artikeln 28 bis 30 der Verordnung (EU) 2022/2554 auf Kleinstunternehmen im Sinne von Artikel 3 Nummer 60 der Verordnung (EU) 2022/2554 keine Anwendung.
(3) Für Kreditinstitute und Finanzdienstleistungsinstitute, die keine CRR-Kreditinstitute und keine Wohnungsunternehmen mit Spareinrichtung sind, gelten die Vorgaben von Artikel 4 Absatz 1 Unterabsatz 1, Artikel 5a Absatz 1, der Artikel 8b bis 8d der Verordnung (EG) Nr. 1060/2009 des Europäischen Parlaments und des Rates vom 16. September 2009 über Ratingagenturen (ABl. L 302 vom 17.11.2009, S. 1; L 350 vom 29.12.2009, S. 59; L 145 vom 31.5.2011, S. 57; L 267 vom 6.9.2014, S. 30), die zuletzt durch die Verordnung (EU) 2017/2402 (ABl. L 347 vom 28.12.2017, S. 35) geändert worden ist, und die auf ihrer Grundlage erlassenen Rechtsakte so, als seien diese Kreditinstitute und Finanzdienstleistungsinstitute CRR-Kreditinstitute.
(4) Für Kreditinstitute, die zwar über eine Erlaubnis verfügen, Bankgeschäfte im Sinne von § 1 Absatz 1 Satz 2 Nummer 1 und 2 zu betreiben, die aber weder CRR-Kreditinstitute noch Zweigstellen im Sinne des § 53 Absatz 1 Satz 1 sind, gelten die Meldeanforderungen der Verordnung (EU) 2015/534 der Europäischen Zentralbank vom 17. März 2015 über die Meldung aufsichtlicher Finanzinformationen (EZB/2015/13) (ABl. L 86 vom 31.3.2015, S. 13; L 65 vom 8.3.2018, S. 48), die zuletzt durch die Verordnung (EU) 2020/605 (ABl. L 145 vom 7.5.2020, S. 1) geändert worden ist, so, als seien diese Kreditinstitute CRR-Kreditinstitute. Die für die Bestimmung des Meldeumfangs erforderliche Einstufung als bedeutendes oder weniger bedeutendes Kreditinstitut erfolgt auf der Grundlage des Größenkriteriums „Gesamtwert der Aktiva“ nach Artikel 50 der Verordnung (EU) Nr. 468/2014 der Europäischen Zentralbank vom 16. April 2014 zur Einrichtung eines Rahmenwerks für die Zusammenarbeit zwischen der Europäischen Zentralbank und den nationalen zuständigen Behörden und den nationalen benannten Behörden innerhalb des einheitlichen Aufsichtsmechanismus (SSM-Rahmenverordnung) (EZB/2014/17) (ABl. L 141 vom 14.5.2014, S. 1; L 113 vom 29.4.2017, S. 64; L 65 vom 8.3.2018, S. 49). Die Meldungen sind der Deutschen Bundesbank elektronisch einzureichen.
(+++ § 1a: Zur Nichtanwendung vgl. § 2 Abs. 4 Satz 1, Abs. 5 Satz 1 +++)