Het aantal nieuwe wet- en regelgeving dat uit de EU komt, vooral op het gebied van digitale wetgeving, zorgt ervoor dat de complexiteit van de regelgevings- en compliance-omgeving snel toeneemt, waardoor het voor organisaties moeilijk wordt om op de hoogte te blijven van nieuwe ontwikkelingen. Dat is het perspectief dat wordt geboden door Charles Low, Head of EU Affairs bij FERMA, die het tempo van de veranderingen als reden tot zorg omschrijft.
Hij zei dat het vooral voor kleinere bedrijven moeilijk is om bij te blijven. “Het is een hele uitdaging voor alle bedrijven. Het is echter aanzienlijk veeleisender voor het MKB dan voor grotere ondernemingen, en dat moet in gedachten worden gehouden”, vertelde hij tijdens het recente FERMA-congres. “Desalniettemin is het zeker een reden tot zorg dat de komst van wetten de complexiteit van de regelgevings- en compliance-omgeving heeft vergroot. Voor organisaties is het lastig om deze ontwikkelingen bij te houden.”
Hij haalt cijfers aan die erop wijzen dat de digitale wetgeving afkomstig uit de EU de afgelopen jaren dramatisch is toegenomen. In 2000 waren er slechts ongeveer zeven EU-wetten die betrekking hadden op digitalisering. In 2024 zijn er nu 88 gerelateerde wetgevingsstukken. “Waar dat op neerkomt, zijn in wezen vier nieuwe wetten die elk jaar, gedurende die periode, te maken hebben met digitalisering. Dit is veel om bij te houden, vooral als je de omvang van elk stuk wetgeving in ogenschouw neemt, evenals de kruisverwijzingen.”
Hij legt uit dat je ook alles moet toevoegen dat voortkomt uit de EU Green Deal, evenals wijzigingen in de prudentiële regelgeving, aansprakelijkheidswetten en collectief verhaal. Riskmanagers zullen dit lastig vinden, omdat veel van de wetgeving die de afgelopen vijf jaar is ontstaan een aantal directe implicaties heeft voor riskmanagementprocessen en -kaders”, aldus Low.Hij voegt eraan toe dat opmerkelijke recente voorbeelden de op risico gebaseerde EU AI Act zijn, en de due diligence-vereisten die een aanzienlijke impact hebben op het riskmanagement in de context van de Corporate Sustainability Due Diligence-richtlijn. FERMA pleit voor het vereenvoudigen van dit “regelgevende doolhof” als onderdeel van haar beleidsmanifest.
Low is van mening dat er meer samenwerking nodig is tussen toezichthouders en de riskmanagementgemeenschap. Hij merkt bijvoorbeeld op dat een van de volgende stappen in de implementatie van de EU AI Act is dat de Europese Commissie gaat coördineren over standaarden die worden ontwikkeld op thema’s als riskmanagement.“Dit is absoluut een gebied waar FERMA en riskmanagers in bredere zin over moeten worden geraadpleegd, naar onze mening. Er zijn andere gebieden waar het zeker zinvol is om meer samen te werken, en een dringende zorg voor FERMA is dat er helaas veel nieuwe wetgeving wordt aangenomen zonder voldoende inzicht in de mogelijke gevolgen voor ondernemingen in de zin dat zij een passende verzekeringsdekking kunnen veiligstellen. Wij zijn van mening dat dit gebied op een meer systematische manier moet worden aangepakt. Wij putten bemoediging uit de stappen die de EU heeft gezet om Solvency II meer risicogebaseerd te maken.”
Hij benadrukte dat het belangrijk is om een meer praktische benadering van regelgeving te hebben. Zijn ideaal is om te streven naar een soort wetgeving in de EU die erin slaagt een evenwicht te vinden tussen de bescherming van mensen en het milieu, maar die er ook in slaagt de innovatie te faciliteren die nodig is om concurrerender te zijn , waarvoor risico’s genomen moeten worden.“Het is duidelijk dat er aandacht moet zijn voor het beperken van risico’s, maar het is volgens hem belangrijk dat de aanpak evenwichtig is. “Wat we de afgelopen vijf jaar in de EU vooral hebben gezien, is een toename in het framen van bepaalde stukken wetgeving als risicogebaseerd. We putten bemoediging uit de stappen die de EU heeft gezet om Solvency II bijvoorbeeld meer risicogebaseerd te maken.De stap daarheen, is het creëren van een nieuwe categorie verzekeringsondernemingen, kleine en niet-complexe ondernemingen, die, omdat ze minder risico voor het systeem in het algemeen met zich meebrengen, in theorie een minder restrictieve interpretatie van het prudentiële raamwerk mogen toepassen. . “Het heeft veel moeite gekost, maar het is er.”
Een ander gebied waarop volgens hem ‘risicogebaseerd’ de kern van de wetgeving vormt, is het kader van de EU AI Act. Daarin staat een risicoclassificatie van het gebruik van AI-systemen, waarbij systemen die als hoog risico worden beschouwd (AI-systemen die bijvoorbeeld worden gebruikt in medische hulpmiddelen om zorg te verlenen), moeten voldoen aan eisen die strenger zijn dan minder risicovolle toepassingen zoals chatbots.“Het invoeren van een risicoclassificatie is wel zinvol. De risicogebaseerde aanpak van de AI-wet betekent echter ook dat sommige systemen een ‘onaanvaardbaar risico’ vormen. Wat hier problematisch begint te worden, is wat in de loop van de tijd onder ‘onaanvaardbaar’ valt en hoe risico’s, die normatieve beoordelingen zijn, worden gebruikt om een dergelijke aanduiding te rechtvaardigen. Wij monitoren hoe dit zich ontwikkelt.”
