Økte krav til egnethetsvurdering og håndtering av bærekraftsrisiko med CRD 6

Finanstilsynets høringsnotat inneholder også enkelte forenklinger, som at de fleste banker kan begrense gjennomgang av strategier og retningslinjer for styring og kontroll av risikoer til hvert andre år og at virksomhetsoverdragelse og porteføljeoverføring kan gjennomføres uten samtykke fra Finanstilsynet.

Strengere krav til egnethetsvurderingen

CRD 6 stiller mer detaljerte krav til egnethetsvurderingen av bankenes styre og ledelse enn tidligere direktiver. Gjeldende norske regler er i det vesentlige i samsvar med disse kravene, men det foreslås noen presiseringer:

• Det kommer et uttrykkelig krav til at styrets kunnskap om risikofaktorer også skal omfatte bærekraftsrisiko.
• Kravet til interne retningslinjer om egnethetsvurderingen som følger av Finanstilsynets rundskriv forskriftsfestes.
• Kravet til å utarbeide en begrunnet vurdering av at egnethetskravene er oppfylt skjerpes: Vurderingen skal være konkret med hensyn til personenes kompetanse og egnethet vurdert opp mot funksjonen og oppgavene vedkommende skal ivareta, samt at den skal være begrunnet for alle kravene som inngår i egnethetsvurderingen.
• Ved vurdering av nye medlemmer av styret skal det også gjøres en vurdering av om styrets samlede kompetanse er tilstrekkelig, basert på behovet for kompetanse og andre ferdigheter som skal være identifisert på forhånd. 

Det stilles videre krav om at banken setter av tilstrekkelige ressurser til opplæring, herunder introduksjons- og etterutdannelseskurs, blant annet om ESG-risikoer og virkninger, samt IKT-risikoer. 

Etter CRD 6 er det ingen generell melde- eller søknadsplikt knyttet til egnethetsvurderinger, men det kreves at banker som anses som store foretak, eksempelvis systemviktige, sender søknad om egnethetsvurdering for en nærmere angitt krets av personer. Finanstilsynet foreslår ingen endringer i meldeplikten som påligger alle finansforetak uavhengig av størrelse, men det åpnes for at det kan gjøres unntak fra meldeplikten for enkelte typer finansforetak eller bestemte stillinger eller verv. For store foretak innføres imidlertid krav om søknad så snart det har til hensikt å utnevne ny styreleder, daglig leder, finansdirektør, andre faktiske ledere, eller ledere for interne kontrollfunksjoner, senest 30 dager før tiltredelse. 

Retningslinjer og planer for håndtering av bærekraftsrisiko

Bankene pålegges en uttrykkelig forpliktelse til å inkludere bærekraftsrisiko tydelig i kapitalstyring, systemer og rutiner for å identifisere, styre, overvåke og rapportere risiko, samt godtgjørelsesordninger.

I vurderingen av risiko og kapitalbehov (ICAAP) skal det tas hensyn til bærekraftsrisiko på kort, mellomlang og lang sikt (minst 10 år). Bærekraftsrisiko skal også være blant risikokategoriene som omfattes av bankens retningslinjer og rutiner for styring og kontroll. 

Videre må bankene utarbeide tydelige planer med kvantifiserbare mål og prosesser for å overvåke og styre de finansielle risikoene som oppstår som følge av bærekraftsfaktorer, herunder risikoer i forbindelse med reguleringer for å oppnå myndighetenes klimamål. Bankene skal også gjennomføre stresstester for å vurdere motstandskraften mot langsiktige negative virkninger av bærekraftsfaktorer. Finanstilsynet skal vurdere bankens planer som en del av SREP-prosessen, og skal kunne pålegge foretak å redusere risikoer som oppstår fra faktorer knyttet til bærekraft.

Presisering av krav til styring og kontroll, herunder kontrollfunksjoner

Styrets plikt til regelmessig gjennomgang av strategier og retningslinjer for risikostyring presiseres slik at det skal skje minst hvert andre år. Det er likevel tilstrekkelig at små og ikke-komplekse foretak gjennomgår strategier og retningslinjer hvert andre år.   

CRD innfører krav om at banker skal ha interne kontrollfunksjoner for risikostyring, compliance og internrevisjon, og Finanstilsynets tidligere forslag om å oppheve unntaket fra kravet til internrevisjon for banker, opprettholdes.

Det foreslås også mer detaljerte regler om de interne kontrollfunksjonene, herunder om hovedoppgavene, organiseringen og kravet til uavhengighet. Formålet er å understreke viktigheten av at kontrollfunksjonene sikres tilstrekkelig gode rammebetingelser til å gjennomføre oppgavene på en hensiktsmessig og effektiv måte. 

Krav om tillatelse ved erverv av vesentlige eierandeler i andre foretak

Det innføres krav om tillatelse hvis en bank erverver eierandeler i andre foretak som utgjør en vesentlig kapitalandel av banken. Ervervet er vesentlig hvis det utgjør mer enn 15 prosent av tellende kapital. Kravet gjelder erverv av alle typer foretak, men det gjøres unntak for tilfeller der banken tiltrer pant i aksjer for å få dekket sitt krav. 

Kravet påvirker ikke gjeldende regler om hva slags type virksomhet en bank kan drive, begrensninger på størrelsen på eierandeler i foretak som ikke kan inngå i finanskonsern, eller hvilke foretak som kan inngå i finanskonsern. Mange banker har for eksempel eierandeler i eiendomsmeglingsforetak og regnskapsforetak, og erverv av slike foretak har hittil ikke være melde- eller søknadspliktig etter finansforetaksloven, men mindre det inngår i et finanskonsern. Terskelen for meldeplikt er imidlertid relativt høy, slik at foretakene må ha en viss størrelse for at den skal inntre. Formålet med meldeplikten er at Finanstilsynet skal kunne fange opp hvilke risikoer et potensielt erverv vil kunne medføre hos banken og vurdere disse, særlig risiko for hvitvasking og terrorfinansiering.

Ikke lenger krav om godkjennelse av virksomhetsoverdragelse eller porteføljeoverdragelse

Gjeldende krav til tillatelse til overtagelse og avhendelse av hele eller en stor del av virksomheten med tilhørende eiendeler og forpliktelser (virksomhetsoverdragelse) og overføring av portefølje av vesentlig omfang sett hen til foretakenes virksomhet, erstattes av krav om meldeplikt. CRD 6 legger ikke opp til at tilsynet kan nekte eller godkjenne transaksjonen, men Finanstilsynet kan vurdere om foretakene bør følges opp med nødvendige tilsynsmessige tiltak. Transaksjonen kan gjennomføres når Finanstilsynet har bekreftet mottak av meldingen. 

En virksomhetsoverdragelse eller porteføljeoverføring anses som vesentlig hvis den utgjør 10 prosent eller mer av forvaltningskapitalen til avhender eller mottaker, og 15 prosent ved transaksjoner innenfor konsern. 

Det gjøres unntak for overføring av misligholdte lån og for lån som overføres til kredittforetak som utsteder obligasjoner med fortrinnsrett eller til spesialforetak for verdipapirisering. 

Kapitalkrav for IRB-banker som blir bundet av kapitalkravsgulv

Endringer i kapitalkravsforordningen ved CRR 3, innfører et såkalt kapitalkravsgulv for banker som benytter interne modeller for beregning av kapitalkravet. CRD 6 har regler om forholdet mellom kapitalkravsgulvet og henholdsvis pilar 2-kravet, systemrisikobuffer og systemviktighetsbuffer. 

Pilar 2 kravet skal for det første ikke øke som følge av at banken blir bundet av kapitalkravsgulvet, alt annet likt.  Risiko som fullt ut er dekket av kapitalkravsgulvet kan heller ikke tas med i beregningen av pilar 2 kravet. Det er også adgang for Finanstilsynet til å revurdere kapitalkravsmarginen som følge av at banken blir bundet at kapitalkravsgulvet. 

Dersom banken blir bundet av kapitalkravsgulvet, skal Finansdepartementet vurdere om systemrisikobuffersatsen fortsatt er passende for banken. Det samme gjelder for systemviktighetsbufferen dersom banken er regnet som systemviktig. Finanstilsynet uttaler imidlertid i høringsnotatet at det ikke ser umiddelbar overlapp mellom risiko som dekket av henholdsvis systemrisikobuffer og systemviktighetsbuffer på den ene siden og kapitalkravsgulvet på den andre siden.

Andre forslag

Høringsnotatet inneholder også en rekke andre forslag, blant annet mer detaljerte regler for Finanstilsynets vurdering og behandling av søknader om sammenslåing, krav til styring og kontroll ved eksponeringer i kryptoeiendeler, krav til rapportering knyttet til referanseporteføljer for IRB-banker, forbud mot informasjonsutveksling og samordning av resultater fra stresstester dersom det er egnet til å svekke verdien av stresstester, omfattende regulering av filialer fra tredjeland, samt regler om overtredelsesgebyr og ledelseskarantene. 

Ikrafttreden i Norge

I EU skal nasjonale regler som gjennomfører CRD 6 i hovedsak gjelde fra 11. januar 2026. CRD 6 er ikke tatt inn i EØS-avtalen ennå, men Finansdepartementet har uttalt at det tar sikte på å legge til rette for at regler som gjennomfører direktivet kan tre i kraft i Norge samtidig som de tas i bruk i EU.

Forslagene er på høring frem til 31. mars 2025. Høringsnotatet kan du lese her.