Kapitalforvaltning | Nytt regelverk krever tiltak fra forvaltere av alternative investeringsfond

Finansdepartementet la 7. mars 2025 frem lovforslag for implementering av Digital Operational Resilience Act (DORA) (forordning 2022/2554) og lovforslag for endringer i hvitvaskingsloven. Den europeiske banktilsynsmyndigheten (EBA) lanserte samtidig høring for utfyllende regler til hvitvaskingsforordningen og det sjette hvitvaskingsdirektivet. Initiativene er symptomatiske på utviklingen i EU hvor det nå arbeides med å innføre nye, detaljerte regler som skal forbedre og forenkle anti-hvitvaskingsregelverket. Vi vil i dette nyhetsbrevet se nærmere på det nye foreslåtte regelverket og hva forvaltere av alternative investeringsfond må forberede seg på, samt hvilke tiltak som bør igangsettes.

Anti-hvitvasking: ulike regler øker arbeidsmengden unødig og bidrar til hvitvaskingsrisiko

Etter hvitvaskingsloven har kapitalforvaltere et særlig ansvar for å motvirke hvitvasking og å beskytte det finansielle systemet. Reglene er basert på direktiver fra EU, som innebærer at EU/EØS-landene kan gjøre nasjonale tilpasninger. For norske kapitalforvalteres del innebærer dette en rekke større og mindre utfordringer. Blant annet kan det være utfordrende for en norsk forvalter å forholde seg til ulike lands regler for hva som regnes som en «reell rettighetshaver». Begrepet har en felles kjerne gjennom EU/EØS – hvem er det som «står bak» – men i mange jurisdiksjoner beror dette på skjønn. Skjønnet kan være utbrodert gjennom lite tilgjengelig lokal administrativ praksis, som norske forvaltere ikke har forutsetningen for å tolke på egenhånd. Dette gjør det vanskelig å gi motparter og andre de bekreftelser som behøves.

Samme utfordring gjør seg gjeldende for kapitalforvaltere som f.eks. forvalter fond på grensekryssende basis. Etter reglene i fondets etableringsland tolkes «reell rettighetshaver» gjerne annerledes enn i forvalterens hjemland (Norge). Konsekvensen er at forvalteren må gjøre ytterligere tiltak for å sørge for at norske regler følges.

Situasjonen avhjelpes ikke av at de ulike lands tilsynsmyndigheter har forskjellig tilnærming til hvordan kundetiltak skal gjennomføres, hvilke konkrete forventninger man har til foretakenes formelle og praktiske etterlevelse av regelverket, og så videre. Denne regelulikheten har, i følge EBA, eksponert finanssektoren for regelarbitrasje og økt hvitvaskingsrisiko.

Anti-hvitvasking, kommende regler: mål om helhetlig regulering i EU/EØS fra 2027

EU har for lengst vedtatt en rekke forordninger og direktiver som har som mål å forbedre og forenkle anti-hvitvaskingsregelverket. Norske kapitalforvaltere kan særlig merke seg at reglene skal innebære én felles definisjon av «reell rettighetshaver» gjennom hvitvaskingsforordningen, samt detaljregulering av hvilke tiltak foretakene må gjøre overfor sine kunder (f.eks. investorer) gjennom nivå 2-regelverk (teknisk standard). Sistnevnte skal utvikles av det kommende felleseuropeiske anti-hvitvaskingsorganet «AMLA».

Det gjenstår å se hvordan det nye regelverket blir, og hvordan det vil bli etterlevd i praksis. Etter vårt syn er det likevel et godt utgangspunkt at et såpass sentralt begrep som «reell rettighetshaver» utpensles nøye på tvers av Europa, gjennom én felles definisjon. I dag er norske kapitalforvaltere nødt til å bruke uforholdsmessig mye tid og ressurser på å etterleve særnorske krav – som vi ikke er overbevist om at er bedre til å motvirke hvitvasking eller enn sammenlignbar europeisk lovgivning – og på å forklare hvordan norske regler er forskjellig fra de europeiske. Dette er ikke en ønsket tidsbruk, og harmoniserer ikke med det grunnleggende prinsippet om å sette inn ressursene der risikoen er størst.

IKT: få eksisterende krav til forvaltere av alternative investeringsfond

Finanssektoren, inkludert kapitalforvaltere, er svært avhengig av digitale løsninger og benytter i økende grad tredjepartsleverandører for IKT-tjenester. Markedet for IKT-tjenester er preget av internasjonalisering og både kontrakter og tjenesteleveranser øker i kompleksitet. Et flertall av norske finansaktører er i dag underlagt IKT-forskriften. Regelverket er ment å sikre at finansforetak benytter IKT på en måte som ivaretar sikkerhet, kvalitet og stabilitet. Til tross for at virkeområdet er overlappende med DORA, inneholder sistnevnte vesentlig mer omfattende og detaljerte krav til blant annet risikostyring, hendelseshåndtering og bruk av tredjepartsleverandører.

Forvaltere av alternative investeringsfond er ikke underlagt reglene i IKT-forskriften og vil derfor ikke være kjent med, eller ha innrettet sin virksomhet i tråd med, bestemmelsene som nå erstattes av DORA. Som nærmere omtalt nedenfor, vil dette kunne innebære at flere AIF-forvaltere må benytte mer ressurser for å overholde regelverket enn finansforetak tidligere omfattet av IKT-forskriften. Forvaltere av alternative investeringsfond må likevel sørge for at virksomheten har gode administrasjons- og regnskapsrutiner og kontroll- og sikkerhetsordninger, i tråd med kravene i AIF-loven. Flere forvaltningsselskaper vil derfor ha et eksisterende rammeverk for IKT, som er ment å sikre kontinuitet ved sikkerhets- eller driftsbrudd.

DORA: kommende regler nødvendiggjør tiltak og økt ressursbruk fremover

DORA ble gitt anvendelse i EU 17. januar 2025 og innlemmet i EØS-avtalen 20. februar 2025. Forordningen inneholder omfattende krav til foretakenes IKT-risikostyring, håndtering og rapportering av IKT-hendelser, testing av den digitale motstandsdyktigheten, bruk av IKT-leverandører og informasjonsdeling. For ytterligere detaljer om kravene etter DORA, viser vil til vårt nyhetsbrev tilgjengelig her.

Finansdepartementet har foreslått at DORA inkorporeres i en ny norsk lov om digital operasjonell motstandsdyktighet i finanssektoren. Lovforslaget er fremmet for Stortinget, men må behandles i fagkomitee og vedtas av Stortinget i plenum før loven kan tre i kraft. Finanstilsynet har tidligere uttalt at de forventer at loven vil tre i kraft i løpet av sommeren 2025, og at foretak som blir underlagt loven har gjort tiltak for overholdelse av regelverket før ikrafttredelsen.

Regelverket vil gjelde for forvaltere av alternative investeringsfond med konsesjon etter AIF-loven. Forvaltere av alternative investeringsfond har ikke tidligere vært omfattet av slik sektorspesifikk lovgivning knyttet til IKT. Flere AIF-forvaltere vil derfor kunne oppleve større avvik mellom eksisterende praksis og kravene etter DORA enn øvrige finansforetak tidligere omfattet av IKT-forskriften. Dette innebærer at forvaltere av alternative investeringsfond må benytte mer ressurser på IKT fremover, både for det formål å avdekke mangler og etablere et rammeverk som overholder kravene etter DORA. BAHR sin virksomhetsgruppe for kapitalforvaltning og private equity har siden implementering av regelverket i EU, løpende bistått klienter med oppdatering av interne rammeverk og gjennomgang av avtaleverk med IKT-leverandører. Som ledd i dette arbeidet har vi blant annet utarbeidet sjekklister som et verktøy for forvalternes arbeid med implementeringen av DORA.

Regelverket kan oppfattes som omfattende og vår erfaring er at forvaltere bør ta tak i dette, i førsteomgang for å kartlegge mangler i foretakets eksisterende IKT-rammeverk. Dette vil gi foretaket grunnlag for å planlegge nødvendige implementeringer, blant annet med hensyn til testing av motstandsdyktighet. Det bør samtidig ingangsettes prosesser for å inngå nye avtaler med IKT-leverandører, som inneholder nødvendige bestemmelser i tråd med kravene for slike tjenesteavtaler etter DORA. Ønsker ditt foretak bistand som følge av de nye kravene etter DORA, kontakt virksomhetsgruppeleder Peter Hammerich.