1.   Lai sasniegtu augstu kopējo digitālās darbības noturības līmeni, šajā regulā ir noteiktas šādas vienotas prasības attiecībā uz tādu tīklu un informācijas sistēmu drošību, kas atbalsta finanšu vienību uzņēmējdarbības procesus:

2.   Attiecībā uz finanšu vienībām, kas noteiktas kā būtiskas vai svarīgas vienības saskaņā ar valsts noteikumiem, ar kuriem transponē Direktīvas (ES) 2022/2555 3. pantu, šo regulu uzskata kā uz konkrētu nozari attiecināmu Savienības tiesību aktu minētās direktīvas 4. panta vajadzībām.

3.   Šī regula neskar dalībvalstu atbildību par būtiskām valsts funkcijām saistībā ar sabiedrisko drošību, aizsardzību un valsts drošību saskaņā ar Savienības tiesību aktiem.

1.   Neskarot 3. un 4. punktu, šo regulu piemēro šādām vienībām:

2.   Šā panta 1. punkta a)–t) apakšpunktā minētās vienības šajā regulā kopā sauc par “finanšu vienībām”.

3.   Šo regulu nepiemēro:

4.   Dalībvalstis var izslēgt no šīs regulas darbības jomas vienības, kas minētas Direktīvas 2013/36/ES 2. panta 5. punkta 4.–23. apakšpunktā un kas atrodas to attiecīgajās teritorijās. Ja dalībvalsts izmanto šādu iespēju, tā informē Komisiju par to, kā arī par jebkādām turpmākām izmaiņām šajā sakarā. Komisija minēto informāciju dara publiski pieejamu savā tīmekļa vietnē vai citā viegli pieejamā veidā.

1.   Finanšu vienības II nodaļā paredzētos noteikumus īsteno saskaņā ar proporcionalitātes principu, ņemot vērā savu lielumu un vispārējo rika profilu, kā arī savu pakalpojumu, darbību un operāciju veidu, apmēru un sarežģītību.

2.   Turklāt tas, kā finanšu vienības piemēro III un IV nodaļu un V nodaļas I iedaļu, ir proporcionāls to lielumam un vispārējam riska profilam, kā arī to pakalpojumu, darbību un operāciju veidam, apmēram un sarežģītībai, kā konkrēti noteikts minēto nodaļu attiecīgajos noteikumos.

3.   Kad kompetentās iestādes pārskata IKT riska pārvaldības sistēmas saskaņotību, pamatojoties uz ziņojumiem, kas iesniegti pēc kompetento iestāžu pieprasījuma, ievērojot 6. panta 5. punktu un 16. panta 2. punktu, tās ņem vērā to, kā finanšu vienības piemēro proporcionalitātes principu.

1.   Finanšu vienībām ir izveidota iekšējās pārvaldības un kontroles sistēma, kas nodrošina IKT riska efektīvu un prudenciālu pārvaldību saskaņā ar 6. panta 4. punktu, lai sasniegtu augstu digitālās darbības noturības līmeni.

2.   Finanšu vienības vadības struktūra nosaka, apstiprina, pārrauga un atbild par visu ar 6. panta 1. punktā minēto IKT riska pārvaldības sistēmu saistīto pasākumu īstenošanu:

Pirmās daļas īstenošanas vajadzībām vadības struktūra:

3.   Finanšu vienības, kas nav mikrouzņēmumi, izveido funkciju nolūkā uzraudzīt ar trešām personām, kas sniedz IKT pakalpojumus, noslēgtās vienošanās par IKT pakalpojumu izmantošanu, vai iecelt augstākās vadības locekli, kas atbild par to, lai tiktu uzraudzīta pakļautība riskam un attiecīgie dokumenti.

4.   Finanšu vienības vadības struktūras locekļi aktīvi atjaunina pietiekamas zināšanas un prasmes, kas ļauj saprast un novērtēt IKT risku un tā ietekmi uz finanšu vienības darbību, tostarp regulāri apmeklējot īpašas mācības atbilstīgi pārvaldītajam IKT riskam.

1.   Finanšu vienībām ir stabila, visaptveroša un labi dokumentēta IKT riska pārvaldības sistēma, kas veido daļu no viņu vispārējās riska pārvaldīšanas sistēmas un ļauj tām ātri, efektīvi un visaptveroši novērst IKT risku un nodrošināt augstu digitālās darbības noturības līmeni.

2.   IKT riska pārvaldības sistēma ietver vismaz stratēģijas, politiku, procedūras, IKT protokolus un rīkus, kas ir vajadzīgi, lai rūpīgi un pienācīgi aizsargātu visus informācijas aktīvus un IKT aktīvus, tostarp datoru programmatūru, aparatūru, serverus, kā arī lai aizsargātu visus attiecīgos fiziskos komponentus un infrastruktūras, piemēram, telpas, datu centrus un sensitīvas noteiktās teritorijas, lai nodrošinātu, ka visi informācijas aktīvi un IKT aktīvi ir pienācīgi aizsargāti pret riskiem, tostarp bojājumiem un neatļautu piekļuvi vai izmantošanu.

3.   Saskaņā ar savu IKT riska pārvaldības sistēmu finanšu vienības pēc iespējas samazina IKT riska ietekmi, izmantojot piemērotas stratēģijas, politiku, procedūras, IKT protokolus un rīkus. Tās kompetentajām iestādēm pēc pieprasījuma sniedz pilnīgu un atjauninātu informāciju par IKT risku un par savu IKT riska pārvaldības sistēmu.

4.   Finanšu vienības, kas nav mikrouzņēmumi, atbildību par IKT riska pārvaldību un pārraudzību uztic kontroles funkcijai un, lai izvairītos no interešu konfliktiem, nodrošina pienācīgu šīs kontroles funkcijas neatkarības līmeni. Finanšu vienības nodrošina IKT riska pārvaldības funkciju, kontroles funkciju un iekšējās revīzijas funkciju pienācīgu nodalījumu un neatkarību atbilstīgi trīs aizsardzības līniju modelim vai iekšējam riska pārvaldības un kontroles modelim.

5.   IKT riska pārvaldības sistēmu dokumentē un pārskata vismaz reizi gadā vai periodiski mikrouzņēmumu gadījumā, kā arī pēc būtisku ar IKT saistītu incidentu iestāšanās, ievērojot uzraudzības norādījumus vai attiecīgos digitālās darbības noturības testēšanas un revīzijas procesos gūtos secinājumus. To pastāvīgi uzlabo, balstoties uz īstenošanas un uzraudzības gaitā gūtajām atziņām. Ziņojumu par IKT riska pārvaldības sistēmas pārskatīšanu kompetentajai iestādei iesniedz pēc tās pieprasījuma.

6.   Finanšu vienību, kas nav mikrouzņēmumi, IKT riska pārvaldības sistēmai revidenti regulāri veic iekšējo revīziju atbilstīgi finanšu vienību revīzijas plānam. Minētajiem revidentiem ir pietiekamas zināšanas, prasmes un zinātība par IKT risku, kā arī pienācīga neatkarība. IKT revīzijas biežums un tajā galvenokārt pievērstā uzmanība ir samērīga ar finanšu vienības IKT riskam.

7.   Pamatojoties uz iekšējās revīzijas pārskata secinājumiem, finanšu vienības izveido oficiālu turpmākās pārraudzības procesu, tostarp noteikumus par kritiski svarīgu IKT revīzijas konstatējumu savlaicīgu verifikāciju un izlabošanu.

8.   IKT riska pārvaldības sistēma ietver digitālās darbības noturības stratēģiju, kurā izklāstīts, kā sistēma jāīsteno. Šajā nolūkā digitālās darbības noturības stratēģija ietver metodes, kā novērst IKT risku un sasniegt konkrētus IKT mērķus:

9.   Finanšu vienības saistībā ar 8. punktā minēto digitālās darbības noturības stratēģiju var noteikt holistisku IKT vairāku piegādātāju stratēģiju grupas vai vienības līmenī, norādot svarīgākās atkarības no trešām personām, kas sniedz IKT pakalpojumus, un izskaidrojot trešo personu, kas sniedz pakalpojumus, iepirkuma loka pamatojumu.

10.   Finanšu vienības saskaņā ar Savienības un valsts nozaru tiesību aktiem var IKT riska pārvaldības prasību izpildes pārbaudes uzdevumus kā ārpakalpojumu uzticēt grupas iekšienē vai ārējiem uzņēmumiem. Šādu ārpakalpojumu gadījumā finanšu vienība joprojām ir pilnībā atbildīga par IKT riska pārvaldības prasību izpildes pārbaudi.

1.   Regulas 6. panta 1. punktā minētās IKT riska pārvaldības sistēmas ietvaros finanšu vienības identificē, klasificē un pienācīgi dokumentē visas IKT atbalstītās uzņēmējdarbības funkcijas, uzdevumus un pienākumus, minēto funkciju atbalstošos informācijas aktīvus un IKT aktīvus, un to uzdevumus un atkarības saistībā ar IKT risku. Finanšu vienības pēc vajadzības, bet ne retāk kā reizi gadā izvērtē šīs klasifikācijas un jebkuru attiecīgo dokumentu piemērotību.

2.   Finanšu vienības pastāvīgi identificē visus IKT riska avotus, jo īpaši pakļautību riskam, kur iesaistītas citas finanšu vienības, un izvērtē kiberdraudus un IKT ievainojamību, kam ir nozīme to IKT atbalstītajās uzņēmējdarbības funkcijās, informācijas aktīvos un IKT aktīvos. Finanšu vienības regulāri, bet ne retāk kā reizi gadā izvērtē riska scenārijus, kas tās ietekmē.

3.   Finanšu vienības, kas nav mikrouzņēmumi, veic riska novērtējumu pēc katrām būtiskām tīklu un informācijas sistēmas infrastruktūras, procesu vai procedūru izmaiņām, kas ietekmē to IKT atbalstītās uzņēmējdarbības funkcijas, informācijas aktīvus vai IKT aktīvus.

4.   Finanšu vienības identificē visus informācijas aktīvus un IKT aktīvus, tostarp tos, kas atrodas attālās vietnēs, tīkla resursus un aparatūras iekārtas, un kartē tās, kuras uzskata par kritiski svarīgām. Tās kartē informācijas aktīvu un IKT aktīvu konfigurāciju, kā arī dažādu informācijas aktīvu un IKT aktīvu saites un savstarpējo atkarību.

5.   Finanšu vienības identificē un dokumentē visus procesus, kas ir atkarīgi no trešām personām, kas sniedz IKT pakalpojumus, un identificē savstarpējus savienojumus ar trešām personām, kas sniedz IKT pakalpojumus, kuri palīdz nodrošināt kritiski svarīgas vai svarīgas funkcijas.

6.   Šā panta 1., 4. un 5. punkta nolūkiem finanšu vienības uztur attiecīgos krājumus un atjaunina tos periodiski un katru reizi, kad notiek jebkādas būtiskas izmaiņas, kā minēts 3. punktā.

7.   Finanšu vienības, kas nav mikrouzņēmumi, visu mantoto IKT sistēmu IKT riska īpašu novērtējumu veic regulāri un vismaz reizi gadā, un jebkurā gadījumā pirms tehnoloģiju, lietojumprogrammu vai sistēmu savienošanas, kā arī pēc tās.

1.   Lai pienācīgi aizsargātu IKT sistēmas un ar mērķi organizēt reaģēšanas pasākumus, finanšu vienības pastāvīgi uzrauga un kontrolē IKT sistēmu un rīku drošību un darbību un pēc iespējas samazina IKT riska ietekmi uz IKT sistēmām, ieviešot attiecīgus IKT drošības rīkus, rīcībpolitiku un procedūras.

2.   Finanšu vienības izstrādā, sagādā un īsteno IKT drošības rīcībpolitiku, procedūras, protokolus un rīkus, kuru mērķis ir nodrošināt IKT sistēmu noturību, nepārtrauktību un pieejamību, jo īpaši to sistēmu, kuras atbalsta kritiski svarīgu vai svarīgu funkciju izpildi, un uzturēt augstus datu pieejamības, autentiskuma, integritātes un konfidencialitātes standartus neatkarīgi no tā, vai tie tiek glabāti, lietoti vai pārsūtīti.

3.   Lai sasniegtu 2. punktā minētos mērķus, finanšu vienības izmanto IKT risinājumus un procesus, kas ir piemēroti saskaņā ar 4. pantu. Minētie IKT risinājumi un procesi:

4.   Šā panta 6. panta 1. punktā minētās IKT riska pārvaldības sistēmas ietvaros finanšu vienības:

Pirmās daļas b) apakšpunkta vajadzībām finanšu vienības projektē tīkla savienojuma infrastruktūru tā, lai to varētu nekavējoties pārtraukt vai segmentēt nolūkā pēc iespējas samazināt kaitīgas ietekmes izplatīšanos, jo īpaši attiecībā uz savstarpēji savienotiem finanšu procesiem.

Pirmās daļas e) apakšpunkta vajadzībām IKT izmaiņu pārvaldības procesu apstiprina atbilstīga hierarhiskā vadība, un tam ir ieviesti īpaši protokoli.

1.   Finanšu vienības saskaņā ar 17. pantu ievieš mehānismus, lai nekavējoties atklātu anomālas darbības, tostarp IKT tīkla veiktspējas problēmas un ar IKT saistītus incidentus, kā arī identificētu iespējamās būtiskās atsevišķu ķēdes punktu kļūdainas darbības.

Visus pirmajā daļā minētos atklāšanas mehānismus regulāri testē saskaņā ar 25. pantu.

2.   Šā panta 1. punktā minētie atklāšanas mehānismi ļauj veikt vairākslāņu kontroli, nosaka brīdināšanas mehānismu robežvērtības un kritērijus, atbilstīgi kuriem tiek ierosināti un uzsākti ar IKT saistīto incidentu reaģēšanas procesi, tostarp automātiskus mehānismus, lai brīdinātu attiecīgo personālu, kas atbild par reaģēšanu uz incidentiem, kas saistīti ar IKT.

3.   Finanšu vienības atvēl pietiekamus resursus un spējas, ar ko uzraudzīt lietotāju darbības, IKT anomāliju un ar IKT saistīto incidentu, jo īpaši kiberuzbrukumu, iestāšanos.

4.   Datu ziņošanas pakalpojumu sniedzējs papildus minētajam ir ieviesis sistēmas, kas ļauj efektīvi pārbaudīt tirdzniecības ziņojumu pilnīgumu, identificēt izlaidumus un acīmredzamas kļūdas, kā arī pieprasīt minēto ziņojumu atkārtotu nosūtīšanu.

1.   Regulas 6. panta 1. punktā minētās IKT riska pārvaldības sistēmas ietvaros un pamatojoties uz 8. pantā noteiktajām identifikācijas prasībām, finanšu vienības ievieš visaptverošu IKT darbības nepārtrauktības politiku, ko var pieņemt kā īpašu, atsevišķu politiku un kas veido finanšu vienības vispārējas darbības nepārtrauktības politikas neatņemamu daļu.

2.   Finanšu vienības īsteno IKT darbības nepārtrauktības politiku, izmantojot īpašu, piemērotu un dokumentētu kārtību, plānus, procedūras un mehānismus, kuru mērķis ir:

3.   Regulas 6. panta 1. punktā minētās IKT riska pārvaldības sistēmas ietvaros finanšu vienības īsteno saistītu IKT reaģēšanas un seku novēršanas plānus, uz kuriem finanšu vienību, kas nav mikrouzņēmumi, gadījumā attiecas neatkarīgas iekšējas revīzijas pārskatīšanas.

4.   Finanšu vienības ievieš, uztur un periodiski testē attiecīgus IKT darbības nepārtrauktības plānus, jo īpaši attiecībā uz kritiski svarīgām vai svarīgām funkcijām, kas ir uzticētas ārpakalpojumā vai par ko noslēgts līgums ar trešām personām, kas sniedz IKT pakalpojumus.

5.   Kā daļu no vispārējās darbības nepārtrauktības politikas finanšu vienības veic uzņēmējdarbības ietekmes analīzi (UIA) saistībā ar savu pakļautību nopietnu uzņēmējdarbības traucējumu riskam. UIA ietvaros finanšu vienības novērtē nopietnu uzņēmējdarbības traucējumu iespējamo ietekmi, izmantojot kvantitatīvus un kvalitatīvus kritērijus, attiecīgā gadījumā izmantojot iekšējo un ārējo datus un scenāriju analīzi. UIA ņem vērā identificēto un kartēto uzņēmējdarbības funkciju, atbalsta procesu, trešo personu atkarības un informācijas aktīvu svarīgumu un to savstarpējo atkarību. Finanšu vienības nodrošina, ka IKT aktīvi un IKT pakalpojumi tiek izstrādāti un izmantoti pilnīgā saskaņā ar UIA, jo īpaši attiecībā uz to, lai pienācīgi nodrošinātu visu kritiski svarīgo komponentu dublēšanos.

6.   Finanšu vienības kā daļu no visaptverošās IKT riska pārvaldības:

Pirmās daļas a) apakšpunkta vajadzībām finanšu vienības, kas nav mikrouzņēmumi, testēšanas plānos iekļauj scenārijus, kuros notiek kiberuzbrukumi un pārslēgšanās starp primāro IKT infrastruktūru un rezerves jaudu, rezerves kopijām un rezerves mehānismiem, kas vajadzīgi 12. pantā noteikto pienākumu izpildei.

Finanšu vienības regulāri pārskata savu IKT darbības nepārtrauktības politiku un IKT reaģēšanas un seku novēršanas plānus, ņemot vērā saskaņā ar panta pirmo daļu veikto testu rezultātus un ieteikumus, kas izriet no revīzijas pārbaudēm vai uzraudzības pārskatiem.

7.   Finanšu vienībām, kas nav mikrouzņēmumi, ir krīzes pārvarēšanas funkcija, kurā IKT darbības nepārtrauktības plānu vai IKT reaģēšanas un seku novēršanas plānu aktivizēšanas gadījumā cita starpā paredz skaidras procedūras, kā pārvaldīt iekšējo un ārējo krīzes saziņu saskaņā ar 14. pantu.

8.   Finanšu vienības uztur viegli pieejamu reģistru, kurā ietver pirms traucējuma un traucējuma laikā veiktās darbības, ja ticis aktivizēts IKT darbības nepārtrauktības plāns vai IKT reaģēšanas un seku novēršanas plāns.

9.   Centrālais vērtspapīru depozitārijs iesniedz kompetentajām iestādēm IKT darbības nepārtrauktības testu vai līdzīgu izmēģinājumu rezultātu kopijas.

10.   Finanšu vienības, kas nav mikrouzņēmumi, pēc kompetento iestāžu pieprasījuma ziņo tām par aplēsēm par kopējām gada izmaksām un zaudējumiem, ko radījuši būtiski ar IKT saistīti incidenti.

11.   Saskaņā ar Regulu (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010 16. pantu EUI ar Apvienotās komitejas starpniecību līdz 2024. gada 17. jūlijam izstrādā kopīgas pamatnostādnes attiecībā uz 10. punktā minēto kopējo gada izmaksu un zaudējumu aplēsi.

1.   Lai nodrošinātu IKT sistēmu un datu atjaunošanu ar minimāliem laika zaudējumiem, ierobežotiem traucējumiem un zaudējumiem, finanšu vienības kā daļu no IKT riska pārvaldības sistēmas izstrādā un dokumentē:

2.   Finanšu vienības izveido rezerves sistēmas, ko var aktivizēt saskaņā ar rezerves kopiju veidošanas politiku un procedūrām, kā arī atjaunošanas un atgūšanas procedūrām un metodēm. Rezerves sistēmu aktivizēšana neapdraud tīklu un informācijas sistēmu drošību vai datu pieejamību, autentiskumu, integritāti vai konfidencialitāti. Regulāri veic rezerves kopiju veidošanas procedūru un atjaunošanas, kā arī atgūšanas procedūru un metožu testēšanu.

3.   Atjaunojot rezerves kopijas datus, finanšu iestādes izmanto IKT sistēmas, kas ir fiziski un loģiski nošķirtas no avota IKT sistēmas. IKT sistēmas ir droši aizsargātas pret jebkādu neatļautu piekļuvi vai IKT bojājumiem un ļauj laikus atjaunot pakalpojumus, vajadzības gadījumā izmantojot datus un sistēmu rezerves kopijas.

Centrālo darījumu partneru seku novēršanas plāni atļauj atjaunot visus darījumus pārtraukšanas brīdī, lai centrālais darījumu partneris varētu turpināt droši darboties un pabeigt norēķinus paredzētajā dienā.

Datu ziņošanas pakalpojumu sniedzēji papildus uztur pienācīgus resursus un nodrošina rezerves kopijas un atjaunošanas iekārtas, lai jebkurā laikā piedāvātu un uzturētu savus pakalpojumus.

4.   Finanšu vienības, kas nav mikrouzņēmumi, uztur rezerves IKT jaudu, kam ir uzņēmējdarbības vajadzību nodrošināšanai pienācīgi resursi, spējas un funkcijas. Mikrouzņēmumi, pamatojoties uz to riska profilu, novērtē vajadzību uzturēt šādu rezerves IKT jaudu.

5.   Centrālie vērtspapīru depozitāriji uztur vismaz vienu rezerves apstrādes vietu, kam ir uzņēmējdarbības vajadzību nodrošināšanai pienācīgi resursi, spējas, funkcijas un personāls.

Rezerves apstrādes vieta:

6.   Nosakot mērķus attiecībā uz katras funkcijas atgūšanas laiku un atgūšanas punktu, finanšu vienības ņem vērā to, vai attiecīgā funkcija ir kritiski svarīga vai svarīga, un iespējamo kopējo ietekmi uz tirgus efektivitāti. Šie laika mērķi nodrošina noteiktā pakalpojumu līmeņa izpildi ekstremālos scenārijos.

7.   Novēršot ar IKT saistītā incidenta sekas, finanšu vienības veic vajadzīgās pārbaudes, tostarp vairākas pārbaudes un saskaņošanu, lai nodrošinātu, ka datu integritāte tiek saglabāta visaugstākajā līmenī. Šīs pārbaudes veic arī, atjaunojot datus no ārējām ieinteresētajām personām, lai nodrošinātu, ka sistēmu dati ir savstarpēji sakritīgi.

1.   Finanšu vienībām ir spējas un personāls, kas var apkopot informāciju par ievainojamību un kiberdraudiem, ar IKT saistītiem incidentiem, jo īpaši kiberuzbrukumiem, un analizēt ietekmi, kas tiem varētu būt uz to digitālās darbības noturību.

2.   Finanšu vienības ievieš ar IKT saistītu incidentu pārskatīšanu gadījumiem, kad būtisks ar IKT saistīts incidents traucē to pamatdarbības; tajā tiek analizēti traucējumu cēloņi un noteikti nepieciešamie uzlabojumi IKT darbībās vai IKT darbības nepārtrauktības politikā, kas minēta 11. pantā.

Finanšu vienības, kas nav mikrouzņēmumi, pēc pieprasījuma paziņo kompetentajām iestādēm par izmaiņām, kas veiktas pēc pirmajā daļā minētās ar IKT saistīto incidentu pārskatīšanas.

Pirmajā daļā minētajā ar IKT saistītā incidenta pārskatīšanā nosaka, vai tika ievērotas noteiktās procedūras un vai veiktās darbības bija efektīvas, tostarp attiecībā uz:

3.   IKT riska novērtējuma procesā pastāvīgi iekļauj pieredzi, kas gūta saskaņā ar 26. un 27. pantu veiktās digitālās darbības noturības testos un no reāliem ar IKT saistītiem incidentiem, jo īpaši kiberuzbrukumiem, kā arī saistībā ar problēmām, ar ko saskaras, aktivizējot IKT darbības nepārtrauktības plānus un IKT reaģēšanas un seku novēršanas plānus, kopā ar attiecīgo informāciju, kas koplietota ar darījumu partneriem un novērtēta uzraudzības pārbaudēs. Minētie konstatējumi ir pamats 6. panta 1. punktā minētās IKT riska pārvaldības sistēmas attiecīgo komponentu pienācīgai pārskatīšanai.

4.   Finanšu vienības uzrauga 6. panta 8. punktā noteiktās digitālās darbības noturības stratēģijas īstenošanas efektivitāti. Tās kartē IKT riska attīstību laika gaitā, analizē ar IKT saistīto incidentu biežumu, veidus, mērogu un attīstību, jo īpaši kiberuzbrukumus un to modeļus, lai izprastu, cik lielā mērā tās ir pakļautas IKT riskam, jo īpaši saistībā ar kritiski svarīgām vai svarīgām funkcijām, un palielinātu finanšu vienības kiberbriedumu un sagatavotību.

5.   Augstākā līmeņa IKT darbinieki vismaz reizi gadā ziņo vadības struktūrai par 3. punktā minētajiem konstatējumiem un sniedz ieteikumus.

6.   Finanšu vienības savās personāla apmācības shēmās kā obligātos moduļus izstrādā IKT drošības izpratnes veidošanas programmas un digitālās darbības noturības mācības. Minētās programmas un mācības attiecas uz visiem darbiniekiem un augstākās vadības darbiniekiem, un to sarežģītības pakāpe ir samērīga ar viņu funkciju jomu. Attiecīgā gadījumā finanšu vienības iekļauj arī trešās personas, kas sniedz IKT pakalpojumus, savās attiecīgajās mācību shēmās saskaņā ar 30. panta 2. punkta i) apakšpunktu.

7.   Finanšu vienības, kas nav mikrouzņēmumi, pastāvīgi uzrauga attiecīgo tehnoloģisko attīstību, tostarp lai izprastu šādu jaunu tehnoloģiju ieviešanas iespējamo ietekmi uz IKT drošības prasībām un digitālās darbības noturību. Tās seko jaunākajiem IKT riska pārvaldības procesiem, lai efektīvi apkarotu pašreizējās vai jaunās kiberuzbrukumu formas.

1.   Regulas 6. panta 1. punktā minētās IKT riska pārvaldības sistēmas ietvaros finanšu vienībām ir krīzes saziņas plāni, kas ļauj vismaz būtiskus ar IKT saistītos incidentus vai ievainojamības atbildīgi atklāt klientiem un darījumu partneriem, kā arī sabiedrībai.

2.   IKT riska pārvaldības sistēmas ietvaros finanšu vienības īsteno saziņas politiku attiecībā uz iekšējo personālu un ārējām ieinteresētajām personām. Ar personālu saistītajā saziņas politikā ņem vērā vajadzību nošķirt personālu, kas ir jāinformē, no IKT riska pārvaldībā, jo īpaši par reaģēšanu un seku novēršanu, atbildīgā personāla.

3.   Vismaz vienai personai finanšu vienībā ir uzdots īstenot saziņas stratēģiju ar IKT saistītu incidentu gadījumā un šim nolūkam pildīt publisko un mediju funkciju.

1.   Šīs regulas 5.–15. pantu nepiemēro nelielām un savstarpēji nesaistītām ieguldījumu brokeru sabiedrībām, maksājumu iestādēm, kam piemēro atbrīvojumu, ievērojot Direktīvu (ES) 2015/2366; iestādēm, kam piemēro atbrīvojumu, ievērojot Direktīvu 2013/36/ES, un attiecībā uz kurām dalībvalstis ir nolēmušas nepiemērot šīs regulas 2. panta 4. punktā minēto iespēju; elektroniskās naudas iestādēm, kam piemēro atbrīvojumu, ievērojot Direktīvu 2009/110/EK; un nelielām arodpensijas kapitāla uzkrāšanas institūcijām.

Neskarot pirmo daļu, tajā uzskaitītās vienības:

2.   IKT riska pārvaldības sistēmu, kas minēta 1. punkta otrās daļas a) apakšpunktā, dokumentē un pārskata periodiski un pēc būtiskiem ar IKT saistītiem incidentiem, ievērojot uzraudzības norādījumus. To pastāvīgi uzlabo, balstoties uz īstenošanas un uzraudzības gaitā gūtajām atziņām. Ziņojumu par IKT riska pārvaldības sistēmas pārskatīšanu kompetentajai iestādei iesniedz pēc tās pieprasījuma.

3.   EUI ar Apvienotās komitejas starpniecību, apspriežoties ar ENISA, izstrādā kopīgu regulatīvo tehnisko standartu projektu, lai:

Izstrādājot minēto regulatīvo tehnisko standartu projektu, EUI ņem vērā finanšu vienības lielumu un vispārējo riska profilu, kā arī tās pakalpojumu, darbību un operāciju veidu, apmēru un sarežģītību.

EUI iesniedz Komisijai minēto īstenošanas tehnisko standartu projektus līdz 2024. gada 17. janvārim.

Komisijai tiek deleģētas pilnvaras papildināt šo regulu, pieņemot pirmajā daļā minētos regulatīvos tehniskos standartus saskaņā ar 10.–14. pantu Regulās (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010.

1.   Finanšu vienības nosaka, izveido un īsteno ar IKT saistītu incidentu pārvaldības procesu, lai atklātu ar IKT saistītus incidentus, pārvaldītu tos un ziņotu par tiem.

2.   Finanšu vienības reģistrē visus ar IKT saistītos incidentus un būtiskus kiberdraudus. Finanšu vienības izveido attiecīgas procedūras un procesus, lai nodrošinātu ar IKT saistītu incidentu konsekventu un integrētu uzraudzību, apstrādi un turpmāko kontroli, lai nodrošinātu, ka ir identificēti, dokumentēti un novērsti to pamatā esošie cēloņi, lai nepieļautu šādu incidentu atkārtošanos.

3.   Šā panta 1. punktā minētajā ar IKT saistītu incidentu pārvaldības procesā:

1.   Finanšu vienības klasificē ar IKT saistītus incidentus un nosaka to ietekmi, pamatojoties uz šādiem kritērijiem:

2.   Finanšu vienības kiberdraudus klasificē kā nozīmīgus, pamatojoties uz riskam pakļauto pakalpojumu kritiskumu, tostarp finanšu vienības darījumiem un darbībām, par mērķi izvirzīto klientu vai finanšu darījumu partneru skaitu un/vai relevanci un riskam pakļauto teritoriju ģeogrāfisko izplatību.

3.   EUI ar Apvienotās komitejas starpniecību un apspriežoties ar ECB un ENISA izstrādā kopēju regulatīvo tehnisko standartu projektu, tajā sīkāk nosakot:

4.   Izstrādājot šā panta 3. punktā minēto kopējo regulatīvo tehnisko standartu projektus, EUI ņem vērā 4. panta 2. punktā izklāstītos kritērijus, kā arī starptautiskos standartus, norādījumus un ENISA izstrādātās un publicētās specifikācijas, tostarp – attiecīgā gadījumā – citu ekonomikas nozaru specifikācijas. Lai piemērotu 4. panta 2. punktā izklāstītos kritērijus, EUI pienācīgi apsver vajadzību mikrouzņēmumiem un maziem un vidējiem uzņēmumiem mobilizēt pietiekamus resursus un spējas, lai nodrošinātu ar IKT saistītu incidentu ātru pārvaldību.

Minētos kopējo regulatīvo tehnisko standartu projektus EUI iesniedz Komisijai līdz 2024. gada 17. janvārim.

Komisijai tiek deleģētas pilnvaras papildināt šo regulu, pieņemot 3. punktā minētos regulatīvos tehniskos standartus saskaņā ar 10.–14. pantu Regulās (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010.

1.   Finanšu vienības par būtiskiem ar IKT saistītiem incidentiem ziņo 46. pantā minētajai attiecīgajai kompetentajai iestādei saskaņā ar šā panta 4. punktu.

Ja finanšu vienību uzrauga vairāk nekā viena 46. pantā minētā valsts kompetentā iestāde, dalībvalstis izraugās vienu kompetento iestādi par attiecīgo kompetento iestādi, kas ir atbildīga par šajā pantā paredzēto funkciju un pienākumu izpildi.

Kredītiestādes, kas saskaņā ar Regulas (ES) Nr. 1024/2013 6. panta 4. punktu klasificētas kā nozīmīgas, ziņo par būtiskiem ar IKT saistītiem incidentiem attiecīgajai valsts kompetentajai iestādei, kura izraudzīta saskaņā ar Direktīvas 2013/36/ES 4. pantu un kura nekavējoties nosūta minēto ziņojumu ECB.

Piemērojot šā punkta pirmo daļu, finanšu vienības pēc visas attiecīgās informācijas ievākšanas un analīzes, sagatavo sākotnējo paziņojumu un šā panta 4. punktā minētos ziņojumus, izmantojot 20. pantā minētās veidnes, un iesniedz tos kompetentajai iestādei. Ja tehniska neiespējamība liedz iesniegt sākotnējo paziņojumu, izmantojot veidni, finanšu vienības par to paziņo kompetentajai iestādei, izmantojot alternatīvus līdzekļus.

Sākotnējā paziņojumā un 4. punktā minētajos ziņojumos ietver visu informāciju, kas nepieciešama kompetentajai iestādei, lai noteiktu būtiskā ar IKT saistītā incidenta nozīmīgumu un izvērtētu iespējamo pārrobežu ietekmi.

Neskarot ziņošanu attiecīgajai kompetentajai iestādei, kuru finanšu vienība īsteno, ievērojot pirmo daļu, dalībvalstis var papildus noteikt, ka dažas vai visas finanšu vienības, izmantojot 20. pantā minētās veidnes, sniedz arī sākotnējo paziņojumu un katru no šā panta 4. punktā minētajiem ziņojumiem kompetentajām iestādēm vai datordrošības incidentu reaģēšanas vienībām (CSIRT), kas izraudzītas vai izveidotas saskaņā ar Direktīvu (ES) 2022/2555.

2.   Finanšu vienības var brīvprātīgi paziņot attiecīgajai kompetentajai iestādei par būtiskiem kiberdraudiem, ja tās uzskata, ka apdraudējums ir būtisks finanšu sistēmai, pakalpojumu lietotājiem vai klientiem. Attiecīgā kompetentā iestāde var sniegt šādu informāciju citām attiecīgajām iestādēm, kas minētas 6. punktā.

Kredītiestādes, kas saskaņā ar Regulas (ES) Nr. 1024/2013 6. panta 4. punktu klasificētas kā nozīmīgas, var brīvprātīgi ziņot par būtiskiem kiberdraudiem attiecīgajai valsts kompetentajai iestādei, kura izraudzīta saskaņā ar Direktīvas 2013/36/ES 4. pantu un kura nekavējoties nosūta minēto ziņojumu ECB.

Dalībvalstis var noteikt, ka minētās finanšu vienības, kuras veic brīvprātīgo paziņošanu saskaņā ar pirmo daļu, var nosūtīt minēto paziņojumu arī CSIRT, kas izraudzītas vai izveidotas saskaņā ar Direktīvu (ES) 2022/2555.

3.   Ja notiek būtisks ar IKT saistīts incidents, un tas ietekmē klientu finanšu intereses, finanšu vienības, tiklīdz tās par to uzzina, bez nepamatotas kavēšanās informē savus klientus par būtisko ar IKT saistīto incidentu un par pasākumiem, kas veikti, lai mazinātu šā incidenta nelabvēlīgo ietekmi.

Būtiska kiberdrauda gadījumā finanšu vienības attiecīgā gadījumā informē savus klientus, kurus minētais drauds varētu potenciāli ietekmēt, par jebkādiem piemērotiem aizsardzības pasākumiem, ko viņi varētu apsvērt veikt.

4.   Finanšu vienības termiņā, kas jānosaka saskaņā ar 20. panta pirmās daļas a) apakšpunkta ii) punktu, attiecīgajai kompetentajai iestādei iesniedz:

5.   Finanšu vienības saskaņā ar Savienības un valsts nozaru tiesību aktiem šajā pantā noteikto ziņošanas pienākumu var nodot trešās puses ārpakalpojumu sniedzējam. Šādas ārpakalpojumu izmantošanas gadījumā finanšu vienība joprojām pilnībā atbild par incidentu paziņošanas prasību izpildi.

6.   Saņemot sākotnējo paziņojumu un katru 4. punktā minēto ziņojumu, kompetentā iestāde savlaicīgi sniedz informāciju par būtisko ar IKT saistīto incidentu šādiem saņēmējiem, attiecīgā gadījumā pamatojoties uz to attiecīgajām kompetencēm:

7.   Pēc informācijas saņemšanas saskaņā ar 6. punktu EBI, EVTI vai EAAPI un ECB, apspriežoties ar ENISA un sadarbojoties ar attiecīgo kompetento iestādi, novērtē, vai būtiskais ar IKT saistītais incidents ir relevants kompetentajām iestādēm citās dalībvalstīs. Pēc minētā novērtējuma EBI, EVTI vai EAAPI pēc iespējas drīz attiecīgi informē attiecīgās kompetentās iestādes citās dalībvalstīs. ECB paziņo Eiropas Centrālo banku sistēmas locekļiem par jautājumiem, kuri attiecas uz maksājumu sistēmu. Pamatojoties uz minēto paziņojumu, kompetentās iestādes vajadzības gadījumā veic visus pasākumus, kas nepieciešami, lai īstermiņā aizsargātu finanšu sistēmas drošību.

8.   Paziņojums, kas EVTI jāveic, ievērojot šā panta 7. punktu, neskar kompetentās iestādes atbildību steidzami nosūtīt sīku informāciju par būtisko ar IKT saistīto incidentu attiecīgajai iestādei uzņēmējā dalībvalstī, ja centrālajam vērtspapīru depozitārijam uzņēmējā dalībvalstī ir nozīmīga pārrobežu darbība, ja būtiskais ar IKT saistītais incidents, visticamāk, radīs smagas sekas uzņēmējas dalībvalsts finanšu tirgiem un ja starp kompetentajām iestādēm ir sadarbības mehānismi saistībā ar finanšu vienību uzraudzību.

1.   EUI ar Apvienotās komitejas starpniecību un apspriežoties ar ECB un ENISA, sagatavo kopīgu ziņojumu, kurā izvērtē iespēju turpināt centralizēt ziņošanu par incidentiem, izveidojot vienotu ES centrmezglu finanšu vienību ziņojumiem par būtiskiem ar IKT saistītiem incidentiem. Kopīgajā ziņojumā aplūko veidus, kā atvieglot ar IKT saistītu incidentu paziņošanas plūsmu, samazināt ar to saistītās izmaksas un izmantot tematiskās analīzes, lai uzlabotu uzraudzības konverģenci.

2.   Šā panta 1. punktā minētajā kopīgajā ziņojumā ir vismaz šādi elementi:

3.   EUI iesniedz 1. punktā minēto ziņojumu Eiropas Parlamentam, Padomei un Komisijai līdz 2025. gada 17. janvārim.

1.   Neskarot tehnisko informāciju, konsultācijas vai tiesiskās aizsardzības līdzekļus un turpmākos pasākumus, ko CSIRT attiecīgā gadījumā var īstenot saskaņā ar valsts tiesību aktiem, ievērojot Direktīvu (ES) 2022/2555, kompetentā iestāde, saņemot sākotnējo paziņojumu un katru ziņojumu, kā minēts 19. panta 4. punktā, apstiprina paziņojuma saņemšanu un var, ja iespējams, savlaicīgi sniegt relevantu un samērīgu atgriezenisko saiti vai augsta līmeņa norādījumus finanšu vienībai, jo īpaši, darot pieejamu jebkādu attiecīgu anonimizētu informāciju un izlūkdatus par līdzīgiem draudiem, un var apspriest tiesiskās aizsardzības līdzekļus, kas piemēroti finanšu vienības līmenī, un veidus, kā pēc iespējas samazināt un mīkstināt nelabvēlīgo ietekmi visā finanšu nozarē. Neskarot saņemto uzraudzības atgriezenisko saiti, finanšu vienības ir pilnībā atbildīgas par tādu ar IKT saistītu incidentu apstrādi, par kuriem ziņots, ievērojot 19. panta 1. punktu, un par šādu incidentu sekām.

2.   EUI ar Apvienotās komitejas starpniecību katru gadu sniedz anonimizētu un apkopotu informāciju par būtiskiem ar IKT saistītiem incidentiem, par kuriem saskaņā ar 19. panta 6. punktu sīkas ziņas sniedz kompetentās iestādes, izklāstot vismaz būtisko ar IKT saistīto incidentu skaitu, to būtību un to ietekmi uz finanšu vienību vai klientu darbību, veiktos korektīvos pasākumus un radušās izmaksas.

EUI izdod brīdinājumus un sagatavo augsta līmeņa statistiku, lai atbalstītu IKT apdraudējumu un ievainojamības novērtējumus.

1.   Lai novērtētu gatavību apstrādāt ar IKT saistītus incidentus, identificēt vājās vietas, trūkumus un nepilnības digitālās darbības noturībā un nekavējoties īstenot korektīvos pasākumus, finanšu vienības, kas nav mikrouzņēmumi, ņemot vērā 4. panta 2. punktā izklāstītos kritērijus, izveido, uztur un pārskata stabilu un visaptverošu digitālās darbības noturības testēšanas programmu kā 6. pantā minētās IKT riska pārvaldības sistēmas neatņemamu daļu.

2.   Digitālās darbības noturības testēšanas programma ietver virkni novērtējumu, testu, metožu, prakšu un rīku, ko piemēro saskaņā ar 25. un 26. pantu.

3.   Veicot šā panta 1. punktā minēto digitālās darbības noturības testēšanas programmu, finanšu vienības, kas nav mikrouzņēmumi, ievēro uz risku balstītu pieeju, ņemot vērā 4. panta 2. punktā izklāstītos kritērijus, pienācīgi ņemot vērā IKT riska mainīgo ainu, jebkādus īpašus riskus, kuriem attiecīgā finanšu vienība ir vai varētu būt pakļauta, informācijas aktīvu un sniegto pakalpojumu kritisko svarīgumu, kā arī jebkuru citu faktoru, ko finanšu vienība uzskata par nozīmīgu.

4.   Finanšu vienības, kas nav mikrouzņēmumi, nodrošina, ka testēšanu veic neatkarīgas personas, kas var būt iekšējas vai ārējas. Ja testus veic iekšējais testētājs, finanšu vienības šā uzdevuma veikšanai piešķir pietiekamus resursus un nodrošina, ka visā testa izstrādes un izpildes laikā netiek pieļauti interešu konflikti.

5.   Finanšu vienības, kas nav mikrouzņēmumi, izveido procedūras un politikas pasākumus, lai noteiktu par prioritārām, klasificētu un novērstu visas problēmas, kuru pastāvēšana ir atklāta visā testu veikšanas procesā, un izveido iekšējās validēšanas metodiku, lai pārliecinātos, ka visas konstatētās vājās vietas, trūkumi vai nepilnības ir pilnībā novērsti.

6.   Finanšu vienības, kas nav mikrouzņēmumi, nodrošina, ka vismaz reizi gadā pienācīgi tiek testētas visas IKT sistēmas un lietojumprogrammas, kas atbalsta kritiski svarīgas vai svarīgas funkcijas.

1.   Regulas 24. pantā minētā digitālās darbības noturības testēšanas programma saskaņā ar 4. panta 2. punktā izklāstītajiem kritērijiem paredz tādu atbilstīgu testu veikšanu kā, piemēram, ievainojamības novērtējumi un skenēšana, atklātā pirmkoda analīze, tīkla drošības novērtējumi, nepilnību analīze, fiziskās drošības pārbaudes, anketas un skenēšanas programmatūras risinājumi, pirmkodu pārskatīšanas, ja iespējams, uz scenārijiem balstīti testi, saderības testēšana, veiktspējas testēšana, pilnīga testēšana (“no gala līdz galam”) un ielaušanās testēšana.

2.   Centrālie vērtspapīru depozitāriji un centrālie darījumu partneri veic ievainojamības novērtējumu, pirms tiek ieviestas vai atkārtoti ieviestas jaunas vai esošas lietojumprogrammas un infrastruktūras komponenti, un IKT pakalpojumi, kas atbalsta finanšu vienības kritiski svarīgas vai svarīgas funkcijas.

3.   Mikrouzņēmumi 1. punktā minētos testus veic, uz risku balstītu pieeju kombinējot ar IKT testēšanas stratēģisko plānošanu, pienācīgi ņemot vērā nepieciešamību saglabāt līdzsvarotu pieeju starp resursu mērogu un laiku, kas jāpiešķir šajā pantā paredzētajai IKT testēšanai, no vienas puses, un steidzamību, riska veidu, informācijas aktīvu un sniegto pakalpojumu kritisko svarīgumu, kā arī jebkādus citus relevantus faktorus, cita starpā finanšu vienības spēju uzņemties aprēķinātu risku, no otras puses.

1.   Finanšu vienības, kas nav 16. panta 1. punkta pirmajā daļā minētās vienības un kas nav mikrouzņēmumi, kuri ir identificēti saskaņā ar šā panta 8. punkta trešo daļu, vismaz reizi trijos gados veic padziļinātu testēšanu, izmantojot DVIT. Pamatojoties uz finanšu vienības riska profilu un ņemot vērā operacionālos apstākļus, kompetentā iestāde vajadzības gadījumā var pieprasīt finanšu vienībai samazināt vai palielināt šo biežumu.

2.   Katrs draudu vadīts ielaušanās tests aptver vairākas vai visas finanšu vienības kritiski svarīgās vai svarīgās funkcijas, un to veic aktīvā izstrādes sistēmā, kas atbalsta šīs funkcijas.

Finanšu vienības identificē visas attiecīgās pamatā esošās IKT sistēmas, procesus un tehnoloģijas, kas atbalsta kritiski svarīgas vai svarīgas funkcijas un IKT pakalpojumus, tostarp tos, kas atbalsta kritiski svarīgas vai svarīgas funkcijas, kas nodotas ārpakalpojumā vai par ko noslēgts līgums ar trešām personām, kas sniedz IKT pakalpojumus.

Finanšu vienības novērtē, kuras kritiski svarīgās vai svarīgās funkcijas ir jāiekļauj DVIT. Šā novērtējuma rezultāts nosaka precīzu DVIT jomu, un to validē kompetentās iestādes.

3.   Ja DVIT joma aptver trešās personas, kas sniedz IKT pakalpojumus, finanšu vienība veic nepieciešamos pasākumus un aizsardzības pasākumus, lai nodrošinātu šādu trešo personu, kas sniedz IKT pakalpojumus, dalību DVIT, un nepārtraukti saglabā pilnīgu atbildību par to, lai tiktu nodrošināta atbilstība šai regulai.

4.   Neskarot 2. punkta pirmo un otro daļu, – ja ir pamatoti sagaidāms, ka trešās personas, kas sniedz IKT pakalpojumus, 3. punktā minētajai dalībai DVIT būs nelabvēlīga ietekme uz to pakalpojumu kvalitāti vai drošību, kurus trešā persona, kas sniedz IKT pakalpojumus, sniedz klientiem, kas ir vienības, kuras neietilpst šīs regulas darbības jomā, vai uz to datu konfidencialitāti, kas saistīti ar šādiem pakalpojumiem, finanšu vienība un trešā persona, kas sniedz IKT pakalpojumus, var rakstiski vienoties par to, ka trešā persona, kas sniedz IKT pakalpojumus, tieši noslēdz līgumiskas vienošanās ar ārēju testētāju, lai vienas izraudzītas finanšu vienības vadībā veiktu apvienotu DVIT, kurā iesaistītas vairākas finanšu vienības (apvienotā testēšana), kurām trešā persona, kas sniedz IKT pakalpojumus, sniedz IKT pakalpojumus.

Minētā apvienotā testēšana aptver attiecīgo IKT pakalpojumu klāstu, ar kuriem atbalsta kritiski svarīgās vai svarīgās funkcijas, par kurām finanšu vienības ir noslēgušas līgumu ar attiecīgo trešo personu, kas sniedz IKT pakalpojumus. Apvienoto testēšanu uzskata par DVIT, ko veic finanšu vienības, kuras piedalās apvienotajā testēšanā.

To finanšu vienību skaitu, kas piedalās apvienotajā testēšanā, pienācīgi kalibrē, ņemot vērā iesaistīto pakalpojumu sarežģītību un veidus.

5.   Finanšu vienības, sadarbojoties ar trešām personām, kas sniedz IKT pakalpojumus, un citām iesaistītajām pusēm, tostarp testētājiem, bet ne kompetentajām iestādēm, piemēro efektīvu riska pārvaldības kontroli, lai mazinātu riskus, ka varētu tikt ietekmēti pašas finanšu vienības, tās darījumu partneru vai finanšu nozares dati, bojāti aktīvi un traucētas kritiski svarīgas vai svarīgas funkcijas, pakalpojumi vai darbības.

6.   Pēc testa beigām, kad apstiprināti ziņojumi un sanācijas plāni, finanšu vienība un attiecīgā gadījumā ārējie testētāji iesniedz iestādei, kas izraudzīta saskaņā ar 9. vai 10. punktu, attiecīgo konstatējumu kopsavilkumu, sanācijas plānus un dokumentus, kas apliecina, ka DVIT ir veikta atbilstīgi prasībām.

7.   Iestādes finanšu vienībām sniedz apliecinājumu, kas apstiprina, ka tests tika veikts saskaņā ar prasībām, kā apliecināts dokumentos, lai starp kompetentajām iestādēm būtu iespējama draudu vadītu ielaušanās testu savstarpēja atzīšana. Finanšu vienība paziņo attiecīgajai kompetentajai iestādei par apliecinājumu, attiecīgo konstatējumu kopsavilkumu un sanācijas plānus.

Neskarot šādu apliecinājumu, finanšu vienības nepārtraukti ir pilnībā atbildīgas par 4. punktā minēto testu ietekmi.

8.   Finanšu vienības slēdz līgumus ar testētājiem, lai veiktu DVIT saskaņā ar 27. pantu. Ja finanšu vienības DVIT veikšanas nolūkā izmanto iekšējos testētājus, tās katra trešā testa veikšanai slēdz līgumu ar ārēju testētāju.

Kredītiestādes, kas saskaņā ar Regulas (ES) Nr. 1024/2013 6. panta 4. punktu ir klasificētas kā nozīmīgas, saskaņā ar 27. panta 1. punkta a)–e) apakšpunktu izmanto tikai ārējos testētājus.

Kompetentās iestādes identificē finanšu vienības, kam ir pienākums veikt DVIT, ņemot vērā 4. panta 2. punktā izklāstītos kritērijus, pamatojoties uz šādu faktoru izvērtējumu:

9.   Dalībvalstis finanšu nozarē var izraudzīties vienotu publisku iestādi, lai tā valsts līmenī būtu atbildīga par jautājumiem, kuri saistīti ar DVIT finanšu nozarē, un šajā nolūkā tai uztic visas kompetences un uzdevumus.

10.   Ja nav notikusi izraudzīšanās saskaņā ar šā panta 9. punktu un neskarot pilnvaras identificēt finanšu vienības, kam prasīts veikt DVIT, kompetentā iestāde dažu vai visu šajā pantā un 27. pantā minēto uzdevumu izpildi var deleģēt citai valsts iestādei finanšu nozarē.

11.   EUI, vienojoties ar ECB, izstrādā kopēju regulatīvo tehnisko standartu projektu saskaņā ar TIBER–EU sistēmu, lai sīkāk precizētu:

Izstrādājot minēto regulatīvo tehnisko standartu projektus, EUI pienācīgi ņem vērā visas īpašās iezīmes, kas izriet no darbību atšķirīgā rakstura dažādās finanšu pakalpojumu nozarēs.

Minētos regulatīvo tehnisko standartu projektus EUI iesniedz Komisijai līdz 2024. gada 17. jūlijam.

Komisijai tiek deleģētas pilnvaras papildināt šo regulu, pieņemot pirmajā daļā minētos regulatīvos tehniskos standartus saskaņā ar 10.–14. pantu Regulās (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010.

1.   Finanšu vienības DVIT veikšanai izmanto tikai testētājus:

2.   Izmantojot iekšējos testētājus, finanšu iestādes nodrošina, ka papildus 1. punkta prasībām, tiek izpildīti šādi nosacījumi:

3.   Finanšu vienības nodrošina, ka ar ārējiem testētājiem noslēgtajos līgumos ir obligāti noteikts stabili pārvaldīt DVIT rezultātus un ka jebkāda datu apstrāde, tostarp izveidošana, glabāšana, apkopošana, izstrāde, ziņošana, paziņošana vai iznīcināšana, nerada riskus finanšu vienībai.

1.   Finanšu vienības savās IKT riska pārvaldības sistēmās, kā minēts 6. panta 1. punktā, pārvalda ar trešo personu saistīto IKT risku kā IKT riska neatņemamu daļu saskaņā ar turpmāk izklāstītajiem principiem:

2.   Finanšu vienības, kas nav 16. panta 1. punkta pirmajā daļā minētās vienības un kas nav mikrouzņēmumi, kā daļu no savas IKT riska pārvaldības sistēmas pieņem un regulāri pārskata ar trešo personu saistītā IKT riska stratēģiju, attiecīgā gadījumā ņemot vērā 6. panta 9. punktā minēto vairāku piegādātāju stratēģiju. Ar trešo personu saistītā IKT riska stratēģijā ietver rīcībpolitiku par tādu IKT pakalpojumu izmantošanu, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas, ko nodrošina trešās personas, kas sniedz IKT pakalpojumus, un to piemēro individuāli un attiecīgā gadījumā subkonsolidēti un konsolidēti. Vadības struktūra, pamatojoties uz finanšu vienības vispārējā riska profila un uzņēmējdarbības pakalpojumu apmēra un sarežģītības novērtējumu, regulāri pārskata apzinātos riskus attiecībā uz līgumiskajām vienošanām par tādu IKT pakalpojumu izmantošanu, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas.

3.   Finanšu vienības IKT riska pārvaldības sistēmas ietvaros vienības līmenī, kā arī subkonsolidētajā un konsolidētajā līmenī uztur un atjaunina informācijas reģistru saistībā ar katru līgumisku vienošanos par izmantotajiem IKT pakalpojumiem, ko sniedz trešās personas.

Pirmajā daļā minētās līgumiskās vienošanās attiecīgi dokumentē, nošķirot tās, kas attiecas uz IKT pakalpojumiem, ar ko atbalsta kritiski svarīgas vai svarīgas funkcijas, no tām, kas uz tiem neattiecas.

Finanšu vienības vismaz reizi gadā ziņo kompetentajām iestādēm par jaunu vienošanos skaitu attiecībā uz IKT pakalpojumu izmantošanu, trešo personu, kas sniedz IKT pakalpojumus, kategorijām, līgumisku vienošanos veidiem un nodrošinātajiem IKT pakalpojumiem un funkcijām.

Finanšu vienības dara kompetentajai iestādei pieejamu pilno informācijas reģistru vai konkrētas tā daļas pēc tās pieprasījuma, kā arī jebkādu informāciju, ko uzskata par nepieciešamu finanšu vienības efektīvas uzraudzības nodrošināšanai.

Finanšu vienības laikus informē kompetento iestādi par visām plānotajām līgumiskajām vienošanām par tādu IKT pakalpojumu izmantošanu, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas, kā arī par to, ka funkcija ir kļuvusi par kritiski svarīgu vai svarīgu.

4.   Finanšu vienības, pirms tās noslēdz līgumisku vienošanos par IKT pakalpojumu izmantošanu:

5.   Līgumiskas vienošanās ar trešām personām, kas sniedz IKT pakalpojumus, finanšu vienības var slēgt tikai tad, ja attiecīgo trešo personu darbība atbilst attiecīgiem informācijas drošības standartiem. Kad minētās līgumiskās vienošanās attiecas uz kritiski svarīgām vai svarīgām funkcijām, finanšu vienības pirms vienošanos noslēgšanas pienācīgi ņem vērā to, kā trešās personas, kas sniedz IKT pakalpojumus, izmanto visjaunākos un kvalitatīvākos informācijas drošības standartus.

6.   Īstenojot piekļuves, pārbaudes un revīzijas tiesības attiecībā uz trešo personu, kas sniedz IKT pakalpojumus, finanšu vienības, pamatojoties uz risku balstītu pieeju, iepriekš nosaka revīziju un pārbaužu biežumu un revidējamās jomas, ievērojot vispārpieņemtus revīzijas standartus un atbilstīgi uzraudzības norādījumiem par šādu revīzijas standartu izmantošanu un iestrādāšanu.

Ja līgumiskas vienošanās, kas noslēgtas ar trešām personām, kas sniedz IKT pakalpojumus, par IKT pakalpojumu izmantošanu rada lielu tehnisku sarežģītību, finanšu vienība pārbauda, vai revidentiem – gan iekšējiem, gan ārējiem revidentiem, vai revidentu grupai – ir atbilstīgas prasmes un zināšanas, lai efektīvi veiktu attiecīgās revīzijas un novērtējumus.

7.   Finanšu vienības nodrošina, ka līgumiskas vienošanās par IKT pakalpojumu izmantošanu var izbeigt jebkurā no šādiem gadījumiem:

8.   Attiecībā uz IKT pakalpojumiem, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas, finanšu vienības ievieš atkāpšanās stratēģijas. Atkāpšanās stratēģijās ņem vērā riskus, kas var rasties trešo personu, kas sniedz IKT pakalpojumus, līmenī, jo īpaši to saistību iespējamu neizpildi, sniegto IKT pakalpojumu kvalitātes pasliktināšanos, jebkādus uzņēmējdarbības traucējumus IKT pakalpojumu neatbilstīgas vai nesekmīgas sniegšanas dēļ vai jebkādu būtisku risku, kas rodas saistībā ar attiecīgā IKT pakalpojuma pienācīgu un nepārtrauktu izvēršanu, vai līgumiskas vienošanās izbeigšanu ar trešām personām, kas sniedz IKT pakalpojumus, jebkuru no 7. punktā minēto apstākļu dēļ.

Finanšu vienības nodrošina, ka tās var atkāpties no līgumiskas vienošanās:

Atkāpšanās plāni ir visaptveroši, dokumentēti un saskaņā ar 4. panta 2. punktā noteiktajiem kritērijiem tiek pietiekami pārbaudīti un periodiski pārskatīti.

Finanšu vienības identificē alternatīvus risinājumus un izstrādā pārejas plānus, kas tām ļauj ar līgumu noteiktos IKT pakalpojumus un attiecīgos datus pārvietot no trešās personas, kas sniedz IKT pakalpojumus, un droši un vienoti nodot tos citiem pakalpojumu sniedzējiem vai atkārtoti iekļaut vienības iekšienē.

Finanšu vienības veic attiecīgus ārkārtas pasākumus, lai nodrošinātu darbības nepārtrauktību pirmajā daļā minēto apstākļu gadījumā.

9.   EUI ar Apvienotās komitejas starpniecību izstrādā īstenošanas tehnisko standartu projektus, lai izveidotu standarta veidnes 3. punktā minētā informācijas reģistra vajadzībām, tostarp informāciju, kas ir kopīga visām līgumiskajām vienošanām par IKT pakalpojumu izmantošanu. EUI iesniedz minētos īstenošanas tehnisko standartu projektus Komisijai līdz 2024. gada 17. janvārim.

Komisijai tiek deleģētas pilnvaras pieņemt pirmajā daļā minētos īstenošanas tehniskos standartus saskaņā ar 15. pantu Regulās (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010.

10.   EUI ar Apvienotās komitejas starpniecību izstrādā regulatīvo tehnisko standartu projektus, lai sīkāk precizētu 2. punktā minētās rīcībpolitikas detalizēto saturu saistībā ar līgumisko vienošanos par tādu IKT pakalpojumu izmantošanu, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas, ko nodrošina trešās personas, kas sniedz IKT pakalpojumus.

Izstrādājot minēto regulatīvo tehnisko standartu projektus, EUI ņem vērā finanšu vienības lielumu un vispārējo riska profilu, kā arī tās pakalpojumu, darbību un darbību veidu, apmēru un sarežģītību. Minēto regulatīvo tehnisko standartu projektu EUI iesniedz Komisijai līdz 2024. gada 17. janvārim.

Komisijai tiek deleģētas pilnvaras papildināt šo regulu, pieņemot pirmajā daļā minētos regulatīvos tehniskos standartus saskaņā ar 10.–14. pantu Regulās (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010.

1.   Veicot 28. panta 4. punkta c) apakšpunktā minētā riska identificēšanu un novērtēšanu, finanšu vienības ņem vērā arī to, vai plānotā līgumiskas vienošanās noslēgšana par IKT pakalpojumiem, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas, radītu kādas no šādām sekām:

Finanšu vienības izvērtē izmaksas un ieguvumus no alternatīvu risinājumu izmantošanas, piemēram, dažādu trešo personu, kas sniedz IKT pakalpojumus, izmantošanas, ņemot vērā, vai un kā paredzētie risinājumi atbilst digitālās darbības noturības stratēģijā izklāstītajām uzņēmējdarbības vajadzībām un mērķiem.

2.   Ja līgumiskās vienošanās par IKT pakalpojumu, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas, izmantošanu ietver iespēju, ka trešā persona, kas sniedz IKT pakalpojumus, IKT pakalpojumus, ar kuriem atbalsta kritiski svarīgu vai svarīgu funkciju, nodod tālāk apakšuzņēmējiem – citām trešām personām, kas sniedz IKT pakalpojumus, finanšu vienības izvērtē ieguvumus un riskus, kas varētu rasties saistībā ar šādu nodošanu apakšuzņēmējiem, jo īpaši, ja IKT apakšuzņēmējs ir iedibināts trešā valstī.

Ja līgumiskas vienošanās attiecas uz IKT pakalpojumiem, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas, finanšu vienības pienācīgi ņem vērā maksātnespējas tiesību aktu noteikumus, ko piemērotu, ja trešā persona, kas sniedz IKT pakalpojumus, bankrotē, kā arī jebkādus ierobežojumus, kas varētu rasties saistībā ar finanšu vienības datu steidzamu atgūšanu.

Ja līgumisko vienošanos par IKT pakalpojumu, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas, izmantošanu slēdz ar trešo personu, kas sniedz IKT pakalpojumus un kas ir iedibināta trešā valstī, līdztekus pirmajā un otrajā daļā minētajiem apsvērumiem finanšu vienības apsver arī atbilstību Savienības datu aizsardzības noteikumiem un tiesību aktu efektīvu izpildi minētajā trešā valstī.

Ja līgumiskajās vienošanās par tādu IKT pakalpojumu izmantošanu, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas, paredz apakšuzņēmuma līgumu slēgšanu, finanšu vienības vērtē, vai un kā iespējamās garās vai sarežģītās apakšuzņēmēju ķēdes varētu ietekmēt to spēju pilnībā uzraudzīt ar līgumu nodotās funkcijas un kompetentās iestādes spēju šajā ziņā efektīvi uzraudzīt finanšu vienību.

1.   Finanšu vienības un trešās personas, kas sniedz IKT pakalpojumus, tiesības un pienākumus sadala skaidri un noformulē rakstiski. Pilns līgums ietver pakalpojuma līmeņa vienošanās, un to dokumentē vienā rakstiskā dokumentā, kas pusēm ir pieejams papīra formātā, vai dokumentā, kam ir cits lejupielādējams, noturīgs un piekļūstams formāts.

2.   Līgumiskas vienošanās par IKT pakalpojumu izmantošanu ietver vismaz šādus elementus:

3.   Papildus 2. punktā minētajiem elementiem līgumiskās vienošanās par tādu IKT pakalpojumu izmantošanu, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas, ietver vismaz:

Atkāpjoties no e) apakšpunkta, trešā persona, kas sniedz IKT pakalpojumus, un finanšu vienība, kas ir mikrouzņēmums, var vienoties, ka finanšu vienības piekļuves, pārbaudes un revīzijas veikšanas tiesības ir iespējams deleģēt neatkarīgai trešai personai, kuru iecēlusi trešā persona, kas sniedz IKT pakalpojumus, un ka finanšu vienība no šādas trešās personas jebkurā brīdī var pieprasīt informāciju un garantiju par izpildes rezultātu, kuru nodrošina trešā persona, kas sniedz IKT pakalpojumus.

4.   Sarunās par līgumisku vienošanos finanšu vienības un trešās personas, kas sniedz IKT pakalpojumus, apsver iespēju izmantot līguma standartklauzulas, ko publiskās iestādes izstrādājušas attiecībā uz konkrētiem pakalpojumiem.

5.   EUI ar Apvienotās komitejas starpniecību izstrādā regulatīvo tehnisko standartu projektus, lai sīkāk precizētu 2. punkta a) apakšpunktā minētos elementus, kas finanšu vienībai jānosaka un jānovērtē, slēdzot apakšuzņēmuma līgumus par IKT pakalpojumiem, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas.

Izstrādājot minēto regulatīvo tehnisko standartu projektus, EUI ņem vērā finanšu vienības lielumu un vispārējo riska profilu, kā arī tās pakalpojumu, darbību un operāciju veidu, apmēru un sarežģītību.

Minēto regulatīvo tehnisko standartu projektus EBI iesniedz Komisijai līdz 2024. gada 17. jūlijam.

Komisijai tiek deleģētas pilnvaras papildināt šo regulu, pieņemot pirmajā daļā minētos regulatīvos tehniskos standartus saskaņā ar 10.–14. pantu Regulās (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010.

1.   EUI ar Apvienotās komitejas starpniecību un pēc saskaņā ar 32. panta 1. punktu izveidotā Pārraudzības foruma ieteikuma:

2.   Šā panta 1. punkta a) apakšpunktā minētās izraudzīšanās pamatā ir visi turpmāk minētie kritēriji attiecībā uz IKT pakalpojumiem, ko sniedz trešā persona, kas sniedz IKT pakalpojumus:

3.   Ja trešā persona, kas sniedz IKT pakalpojumus, pieder pie grupas, 2. punktā minētos kritērijus ņem vērā saistībā ar IKT pakalpojumiem, ko sniedz grupa kopumā.

4.   Kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus un ir daļa no grupas, izraugās vienu juridisku personu par koordinācijas punktu, lai nodrošinātu pienācīgu pārstāvību un saziņu ar galveno pārraugu.

5.   Galvenais pārraugs paziņo trešai personai, kas sniedz IKT pakalpojumus, par novērtējuma rezultātiem, pēc kuriem notiek 1. punkta a) apakšpunktā minētā izraudzīšanās. Trešā persona, kas sniedz IKT pakalpojumus, sešu nedēļu laikā no paziņojuma dienas var iesniegt galvenajam pārraugam argumentētu paziņojumu ar visu būtisko informāciju novērtējuma vajadzībām. Galvenais pārraugs izskata argumentēto paziņojumu un var pieprasīt papildu informāciju, kas iesniedzama 30 kalendāro dienu laikā no šāda paziņojuma saņemšanas.

Pēc tam, kad trešā persona, kas sniedz IKT pakalpojumus, ir izraudzīta par kritiski svarīgu, EUI ar Apvienotās komitejas starpniecību paziņo trešai personai, kas sniedz IKT pakalpojumus, par šādu izraudzīšanu un par sākuma datumu, no kura uz to faktiski attieksies pārraudzības darbības. Minētais sākuma datums ir ne vēlāk kā vienu mēnesi pēc paziņojuma. Trešā persona, kas sniedz IKT pakalpojumus, paziņo finanšu vienībām, kurām tā sniedz pakalpojumus, par to, ka tā ir izraudzīta par kritiski svarīgu.

6.   Komisija tiek pilnvarota līdz 2024. gada 17. jūlijam pieņemt deleģēto aktu saskaņā ar 57. pantu, lai papildinātu šo regulu, sīkāk precizējot šā panta 2. punktā minētos kritērijus.

7.   Šā panta 1. punkta a) apakšpunktā minēto izraudzīšanu neizmanto, kamēr Komisija saskaņā ar 6. punktu nav pieņēmusi deleģēto aktu.

8.   Šā panta 1. punkta a) apakšpunktā minēto izraudzīšanu nepiemēro:

9.   EUI ar Apvienotās komitejas starpniecību nosaka, publicē un katru gadu atjaunina Savienības līmeņa kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, sarakstu.

10.   Šā panta 1. punkta a) apakšpunkta mērķiem kompetentās iestādes katru gadu apkopotā veidā nosūta 28. panta 3. punkta trešajā daļā minētos ziņojumus saskaņā ar 32. pantu izveidotajam Pārraudzības forumam. Pārraudzības forums izvērtē finanšu vienību atkarību no trešām personām, kas sniedz IKT pakalpojumus, balstoties uz informāciju, kas saņemta no kompetentajām iestādēm.

11.   Trešās personas, kas sniedz IKT pakalpojumus un kuras nav iekļautas 9. punktā minētajā sarakstā, var pieprasīt, lai tās saskaņā ar 1. punkta a) apakšpunktu izraugās par kritiski svarīgām.

Pirmās daļas vajadzībām trešā persona, kas sniedz IKT pakalpojumus, iesniedz argumentētu pieteikumu EBI, EVTI vai EAAPI, kas ar Apvienotās komitejas starpniecību lemj, vai izraudzīties minēto trešo personu, kas sniedz IKT pakalpojumus, par kritiski svarīgu saskaņā ar 1. punkta a) apakšpunktu.

Otrajā daļā minēto lēmumu pieņem un par to paziņo trešai personai, kas sniedz IKT pakalpojumus, sešu mēnešu laikā no pieteikuma saņemšanas.

12.   Finanšu vienības izmanto pakalpojumus, ko sniedz trešā valstī iedibināta trešā persona, kas sniedz IKT pakalpojumus un kas ir izraudzīta kā kritiski svarīga saskaņā ar 1. punkta a) apakšpunktu, ja minētā persona 12 mēnešu laikā no izraudzīšanas ir iedibinājusi meitasuzņēmumu Savienībā.

13.   Šā panta 12. punktā minētā kritiski svarīgā trešā persona, kas sniedz IKT pakalpojumus, informē galveno pārraugu par visām izmaiņām Savienībā iedibinātā meitasuzņēmuma vadības struktūrā.

1.   Apvienotā komiteja saskaņā ar 57. panta 1. punktu Regulās (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010 izveido Pārraudzības forumu kā apakškomiteju, lai tā atbalstītu 31. panta 1. punkta b) apakšpunktā minēto Apvienotās komitejas un galvenā pārrauga darbību ar trešām personām saistīta IKT riska jomā visās finanšu nozarēs. Pārraudzības forums izstrādā Apvienotās komitejas kopīgās nostājas projektus un kopīgo aktu projektus šajā jomā.

Pārraudzības forums regulāri apspriež attiecīgās norises saistībā ar IKT risku un ievainojamību un veicina saskaņotas pieejas izmantošanu, uzraugot ar trešām personām saistīto IKT risku Savienības līmenī.

2.   Pārraudzības forums katru gadu veic attiecībā uz visām kritiski svarīgajām trešām personām, kas sniedz IKT pakalpojumus, veikto pārraudzības darbību rezultātu un konstatējumu kolektīvu novērtējumu un veicina koordinēšanas pasākumus, lai palielinātu finanšu vienību digitālās darbības noturību, veicinātu labāko praksi IKT koncentrācijas riska risināšanā un izpētītu atbildību mīkstinošus faktorus pārrobežu riska nodošanas gadījumos.

3.   Pārraudzības forums saskaņā ar 56. panta 1. punktu Regulās (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010 iesniedz visaptverošus kritiski svarīgo trešo personu, kas sniedz IKT pakalpojumus, kritērijus, ko Apvienotā komiteja pieņem kā EUI kopīgās nostājas.

4.   Pārraudzības forumu veido:

Pārraudzības forums attiecīgā gadījumā var vērsties pēc padoma pie neatkarīgiem ekspertiem, kas iecelti saskaņā ar 6. punktu.

5.   Katra dalībvalsts izraugās attiecīgo kompetento iestādi, kuras personāla loceklis ir 4. punkta pirmās daļas b) apakšpunktā minētais augsta līmeņa pārstāvis, un par to informē galveno pārraugu.

EUI savā tīmekļa vietnē publicē sarakstu ar dalībvalstu izraudzītiem augsta līmeņa pārstāvjiem no attiecīgās kompetentās iestādes pašreizējā personāla.

6.   Neatkarīgos ekspertus, kas minēti 4. punkta otrajā daļā, ieceļ Pārraudzības forums no ekspertu kopuma, kas atlasīti pēc publiska un pārredzama pieteikšanās procesa.

Neatkarīgos ekspertus ieceļ, pamatojoties uz viņu speciālajām zināšanām finansiālās stabilitātes, digitālās darbības noturības un IKT drošības jautājumos. Viņi rīkojas neatkarīgi un objektīvi vienīgi Savienības interesēs kopumā un nelūdz, un nepieņem Savienības iestāžu vai struktūru, jebkuras dalībvalsts valdības vai citas valsts vai privātas struktūras norādījumus.

7.   EUI saskaņā ar 16. pantu Regulās (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010 līdz 2024. gada 17. jūlijam izdod pamatnostādnes par EUI un kompetento iestāžu sadarbību šīs iedaļas vajadzībām, kurās izklāstītas detalizētas procedūras un nosacījumi attiecībā uz uzdevumu sadali un izpildi starp kompetentajām iestādēm un EUI, un ziņas par informācijas apmaiņu, kas kompetentajām iestādēm nepieciešama, lai nodrošinātu turpmāku rīcību pēc ieteikumiem, kuri saskaņā ar 35. panta 1. punkta d) apakšpunktu adresēti kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus.

8.   Šajā iedaļā izklāstītās prasības neskar Direktīvas (ES) 2022/2555 un citu Savienības noteikumu par mākoņdatošanas pakalpojumu sniedzēju pārraudzību piemērošanu.

9.   EUI ar Apvienotās komitejas starpniecību un pamatojoties uz Pārraudzības foruma veikto sagatavošanās darbu katru gadu iesniedz Eiropas Parlamentam, Padomei un Komisijai ziņojumu par šīs iedaļas piemērošanu.

1.   Galvenais pārraugs, kurš iecelts saskaņā ar 31. panta 1. punkta b) apakšpunktu, veic norīkoto kritiski svarīgo trešo personu, kas sniedz IKT pakalpojumus, pārraudzību, un visos jautājumos, kas saistīti ar pārraudzību, ir galvenais kontaktpunkts minētajām trešām personām, kas sniedz IKT pakalpojumus.

2.   Šā panta 1. punkta nolūkos galvenais pārraugs novērtē, vai katrai kritiski svarīgajai trešai personai, kas sniedz IKT pakalpojumus, ir ieviesti visaptveroši, stabili un efektīvi noteikumi, procedūras, mehānismi un kārtība, lai pārvaldītu IKT risku, ko tā var radīt finanšu vienībām.

Pirmajā daļā minētajā novērtējumā galvenā uzmanība tiek pievērsta IKT pakalpojumiem, ko sniedz tā kritiski svarīgā trešā persona, kas sniedz IKT pakalpojumus un kura atbalsta kritiski svarīgās vai svarīgās finanšu vienību funkcijas. Ja tas ir nepieciešams, lai pievērstos visiem attiecīgajiem riskiem, minētais novērtējums tiek attiecināts arī uz IKT pakalpojumiem, kas atbalsta funkcijas, kas nav tikai kritiski svarīgas vai svarīgas.

3.   Šā panta 2. punktā minētais novērtējums ietver:

4.   Pamatojoties uz 2. punktā minēto novērtējumu un koordinācijā ar 34. panta 1. punktā minēto Kopīgo pārraudzības tīklu (JON), galvenais pārraugs attiecībā uz katru kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, pieņem skaidru, detalizētu un pamatotu individuālo pārraudzības plānu, kurā aprakstīti ikgadējie pārraudzības mērķi un plānotās galvenās pārraudzības darbības. Šo plānu katru gadu paziņo kritiski svarīgajai trešai personai, kas sniedz IKT pakalpojumus.

Pirms pārraudzības plāna pieņemšanas galvenais pārraugs kritiski svarīgajai trešai personai, kas sniedz IKT pakalpojumus, paziņo pārraudzības plāna projektu.

Saņēmusi pārraudzības plāna projektu, kritiski svarīgā trešā persona, kas sniedz IKT pakalpojumus, 15 kalendāro dienu laikā var iesniegt argumentētu paziņojumu, kurā pamatoti izklāstītas gaidāmās sekas klientiem, kas ir vienības, kuras neietilpst šīs regulas darbības jomā, un attiecīgā gadījumā formulēti risinājumi risku mazināšanai.

5.   Tiklīdz 4. punktā minētie gada pārraudzības plāni ir pieņemti un paziņoti kritiski svarīgajām trešām personām, kas sniedz IKT pakalpojumus, kompetentās iestādes attiecībā uz šādām kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, var veikt pasākumus tikai ar galvenā pārrauga piekrišanu.

1.   Lai nodrošinātu konsekventu pieeju pārraudzības darbībām un lai būtu iespējamas koordinētas vispārējas pārraudzības stratēģijas un saskaņotas darbības pieejas un darba metodika, trīs galvenie pārraugi, kuri iecelti saskaņā ar 31. panta 1. punkta b) apakšpunktu, izveido JON, lai veiktu savstarpēju koordināciju sagatavošanās posmos un lai koordinētu pārraudzības darbību veikšanu pār to attiecīgajām pārraugāmajām kritiski svarīgajām trešām personām, kas sniedz IKT pakalpojumus, kā arī jebkuras rīcības gaitā, kas var būt nepieciešama, ievērojot 42. pantu.

2.   Šā panta 1. punkta nolūkos galvenie pārraugi izstrādā kopīgu pārraudzības protokolu, kurā norādītas detalizētas procedūras, kas jāievēro, veicot ikdienas koordināciju un lai nodrošinātu raitu apmaiņu un reaģēšanu. Protokolu periodiski pārskata, lai atspoguļotu darbības vajadzības, jo īpaši izmaiņas pārraudzības praktiskajā kārtībā.

3.   Galvenie pārraugi ad hoc kārtībā var vērsties pēc tehniskām konsultācijām pie ECB un ENISA, dalīties praktiskā pieredzē vai piedalīties konkrētās JON koordinācijas sanāksmēs.

1.   Pildot šajā iedaļā paredzētos pienākumus, galvenajam pārraugam ir šādas pilnvaras attiecībā uz kritiski svarīgajām trešām personām, kas sniedz IKT pakalpojumus:

2.   Īstenojot šajā pantā minētās pilnvaras, galvenais pārraugs:

3.   Pirms 1. punktā minēto pilnvaru īstenošanas galvenais pārraugs apspriežas ar Pārraudzības forumu.

Pirms sniegt ieteikumus saskaņā ar 1. punkta d) apakšpunktu, galvenais pārraugs dod iespēju trešai personai, kas sniedz IKT pakalpojumus, 30 kalendāro dienu laikā sniegt attiecīgu informāciju, kurā pamatoti izklāstītas gaidāmās sekas klientiem, kas ir vienības, kuras neietilpst šīs regulas darbības jomā, un attiecīgā gadījumā formulēti risinājumi risku mazināšanai.

4.   Galvenais pārraugs informē JON par 1. punkta a) un b) apakšpunktā minēto pilnvaru īstenošanas rezultātiem. Galvenais pārraugs bez nepamatotas kavēšanās 1. punkta c) apakšpunktā minētos ziņojumus nosūta JON un to finanšu vienību kompetentajām iestādēm, kuras izmanto attiecīgās kritiski svarīgās trešās personas sniegtos IKT pakalpojumus.

5.   Kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus, labticīgi sadarbojas ar galveno pārraugu un palīdz tam pildīt tā uzdevumus.

6.   Gadījumā, ja pilnībā vai daļēji netiek veikti pasākumi, kurus ir noteikts pienākums veikt, ievērojot saskaņā ar 1. punkta a), b) un c) apakšpunktā paredzēto pilnvaru īstenošanu, un pēc tam, kad ir pagājušas vismaz 30 kalendārās dienas no dienas, kurā kritiski svarīgā trešā persona, kas sniedz IKT pakalpojumus, saņēma paziņojumu par attiecīgajiem pasākumiem, galvenais pārraugs pieņem lēmumu, ar ko piemēro periodisku soda maksājumu, lai piespiestu kritiski svarīgo trešo personu, kas sniedz IKT pakalpojumus, ievērot minētos pasākumus.

7.   Šā panta 6. punktā minēto periodisko soda maksājumu piemēro katru dienu, līdz tiek panākta atbilstības prasību ievērošana, un ne ilgāk kā sešus mēnešus pēc tam, kad par lēmumu piemērot periodisku soda maksājumu ir paziņots kritiski svarīgajai trešai personai, kas sniedz IKT pakalpojumus.

8.   Periodiskā soda maksājuma summa, rēķinot no lēmumā par periodiska soda maksājuma piemērošanu paredzētā datuma, nepārsniedz 1 % no kritiski svarīgās trešās personas, kas sniedz IKT pakalpojumus, dienas vidējā apgrozījuma pasaulē iepriekšējā finanšu gadā. Nosakot soda maksājuma lielumu, galvenais pārraugs ņem vērā šādus kritērijus attiecībā uz neatbilstību 6. punktā minētajiem pasākumiem:

Pirmās daļas nolūkos, lai panāktu konsekventu pieeju, galvenais pārraugs iesaistās apspriedēs JON ietvaros.

9.   Soda maksājums ir administratīvs un izpildāms piespiedu kārtā. Izpildi reglamentē tās valsts spēkā esošās civilprocesa normas, kurā veic pārbaudes un notiek piekļuve. Attiecīgās dalībvalsts tiesām ir piekritīgas ar izpildes procesa pārkāpumiem saistītās sūdzības. Soda maksājumu summas ieskaita Eiropas Savienības vispārējā budžetā.

10.   Galvenais pārraugs publisko informāciju par visiem piemērotajiem periodiskajiem soda maksājumiem, ja vien šādas informācijas publiskošana būtiski nekaitē finanšu tirgiem vai nerada nesamērīgu kaitējumu iesaistītajām personām.

11.   Galvenais pārraugs pirms periodiska soda maksājuma piemērošanas saskaņā ar 6. punktu nodrošina procesā iesaistītās kritiski svarīgās trešās personas, kas sniedz IKT pakalpojumus, pārstāvjiem tiesības tikt uzklausītiem attiecībā uz konstatējumiem, kā arī pamato savus lēmumus tikai ar konstatējumiem, par kuriem procesā iesaistītajām kritiski svarīgajām trešām personām, kas sniedz IKT pakalpojumus, ir bijis iespējams izteikties.

Lietas izskatīšanā pilnībā ievēro procesā iesaistīto personu tiesības uz aizstāvību. Procesā iesaistītā kritiski svarīgā trešā persona, kas sniedz IKT pakalpojumus, ir tiesīga piekļūt lietas materiāliem, ievērojot citu personu likumīgās intereses attiecībā uz viņu komercnoslēpumu aizsardzību. Tiesības piekļūt lietas materiāliem neattiecas uz konfidenciālu informāciju vai galvenā pārrauga iekšējiem darba sagatavošanas dokumentiem.

1.   Ja pārraudzības mērķus nevar sasniegt, mijiedarbojoties ar 31. panta 12. punkta nolūkā izveidoto meitasuzņēmuma struktūru vai īstenojot pārraudzības darbības Savienībā esošās telpās, galvenais pārraugs var īstenot pilnvaras, kas minētas turpmāk minētajos noteikumos, jebkādās telpās, kas atrodas trešā valstī un kas pieder kritiski svarīgai trešai persona, kas sniedz IKT pakalpojumus, vai ko tā izmanto jebkādā veidā pakalpojumu sniegšanai Savienības finanšu vienībām, saistībā ar tās uzņēmējdarbību, funkcijām vai pakalpojumiem, tostarp jebkādos administratīvajos, darījumu vai darbības birojos, telpās, zemēs, ēkās vai citos īpašumos:

Pirmajā daļā minētās pilnvaras var īstenot, ievērojot visus turpmāk minētos nosacījumus:

2.   Neskarot Savienības iestāžu un dalībvalstu attiecīgo kompetenci, 1. punkta nolūkos EBI, EVTI vai EAAPI noslēdz administratīvās sadarbības vienošanās ar trešās valsts attiecīgo iestādi, lai galvenais pārraugs un tā izraudzītā darba grupa nosūtījumam attiecīgajā trešajā valstī varētu raiti veikt pārbaudes minētajā trešā valstī. Minētās sadarbības vienošanās nerada juridiskas saistības attiecībā uz Savienību un tās dalībvalstīm, nedz arī liedz dalībvalstīm un to kompetentajām iestādēm slēgt divpusējas vai daudzpusējas vienošanās ar minētajām trešām valstīm un to attiecīgajām iestādēm.

Minētajās sadarbības vienošanās norāda vismaz šādus elementus:

3.   Ja galvenais pārraugs nespēj veikt 1. un 2. punktā minētās pārraudzības darbības ārpus Savienības, galvenais pārraugs:

Šā punkta b) apakšpunktā minētās iespējamās sekas tiek ņemtas vērā galvenā pārrauga ieteikumos, ko izdod, ievērojot 35. panta 1. punkta d) apakšpunktu.

1.   Galvenais pārraugs ar vienkāršu pieprasījumu vai lēmumu var noteikt, ka kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, ir jāsniedz visa informācija, kas galvenajam pārraugam ir nepieciešama, lai pildītu šajā regulā noteiktos pienākumus, tostarp visus attiecīgos uzņēmējdarbības vai darbības dokumentus, līgumus, rīcībpolitikas, dokumentāciju, IKT drošības revīzijas ziņojumus, ar IKT saistītu incidentu ziņojumus, kā arī jebkuru informāciju, kas ir saistīta ar personām, kam kritiski svarīga trešā persona, kas sniedz IKT pakalpojumus, ir nodevusi ārpakalpojumā darbības funkcijas vai darbības.

2.   Sūtot vienkāršu pieprasījumu sniegt informāciju saskaņā ar 1. punktu, galvenais pārraugs:

3.   Ar lēmumu pieprasot sniegt informāciju saskaņā ar 1. punktu, galvenais pārraugs:

4.   Pieprasīto informāciju sniedz kritiski svarīgo trešo personu, kas sniedz IKT pakalpojumus, pārstāvji. Juristi, kas ir attiecīgi pilnvaroti rīkoties, var sniegt informāciju savu klientu vārdā. Kritiski svarīga trešā persona, kas sniedz IKT pakalpojumus, ir pilnībā atbildīga, ja sniegtā informācija ir nepilnīga, nepareiza vai maldinoša.

5.   Galvenais pārraugs nekavējoties nosūta lēmuma par informācijas sniegšanu kopiju to finanšu vienību kompetentajām iestādēm, kuras izmanto attiecīgo kritiski svarīgo trešo personu, kas sniedz IKT pakalpojumus, sniegtos pakalpojumus, un JON.

1.   Lai veiktu savus pienākumus saskaņā ar šo regulu, galvenais pārraugs, kam palīdz 40. panta 1. punktā minētā kopīgā pārbaudes grupa, vajadzības gadījumā var veikt izmeklēšanu par kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus.

2.   Galvenais pārraugs ir pilnvarots:

3.   Amatpersonas un citas personas, ko galvenais pārraugs pilnvarojis veikt 1. punktā minēto izmeklēšanu, īsteno savas pilnvaras, uzrādot rakstisku atļauju, kurā norādīts izmeklēšanas priekšmets un mērķis.

Minētajā atļaujā norāda arī 35. panta 6. punktā paredzētos periodiskos soda maksājumus, ja pieprasīto uzskaites dokumentu, datu, dokumentētu procedūru vai citu materiālu sagatavošana vai atbilžu sniegšana uz trešās personas, kas sniedz IKT pakalpojumus, pārstāvjiem uzdotajiem jautājumiem nenotiek vai ir nepilnīga.

4.   Kritiski svarīgo trešo personu, kas sniedz IKT pakalpojumus, pārstāvjiem ir jāpakļaujas izmeklēšanai, pamatojoties uz galvenā pārrauga lēmumu. Lēmumā nosaka izmeklēšanas priekšmetu un mērķi, periodiskos soda maksājumus, kas paredzēti 35. panta 6. punktā, tiesiskās aizsardzības līdzekļus, kuri pieejami saskaņā ar Regulām (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010, un tiesības vērsties Tiesā, lai šo lēmumu pārskatītu.

5.   Pirms izmeklēšanas sākuma galvenais pārraugs laicīgi informē to finanšu vienību kompetentās iestādes, kas izmanto IKT pakalpojumus, ko sniedz šī kritiski svarīgā trešā persona, kas sniedz IKT pakalpojumus, par paredzēto izmeklēšanu un atļauju saņēmušo personu identitāti.

Galvenais pārraugs paziņo JON visu informāciju, kas nodota saskaņā ar pirmo daļu.

1.   Lai veiktu savus pienākumus saskaņā ar šo regulu, galvenais pārraugs, kam palīdz 40. panta 1. punktā minētās kopīgās pārbaudes grupas, var ieiet un veikt visas vajadzīgās pārbaudes uz vietas visās trešo personu, kas sniedz IKT pakalpojumus, uzņēmuma telpās, zemes gabalos vai īpašumos, piemēram, galvenajos birojos, operāciju centros, rezerves telpās, kā arī veikt pārbaudes bezsaistē.

Lai īstenotu pirmajā daļā minētās pilnvaras, galvenais pārraugs apspriežas ar JON.

2.   Amatpersonas un citas personas, kuras galvenais pārraugs pilnvarojis veikt pārbaudi uz vietas, ir tiesīgas:

Amatpersonas un citas personas, kuras galvenais pārraugs pilnvarojis, īsteno savas pilnvaras, uzrādot rakstisku atļauju, kurā norādīts pārbaudes priekšmets un mērķis, kā arī 35. panta 6. punktā paredzētie periodiskie soda maksājumi gadījumam, ja attiecīgo kritiski svarīgo trešo personu, kas sniedz IKT pakalpojumus, pārstāvji nepakļaujas pārbaudei.

3.   Pirms pārbaudes sākuma galvenais pārraugs laicīgi informē to finanšu vienību kompetentās iestādes, kas izmanto IKT pakalpojumus, ko sniedz minētā trešā persona.

4.   Pārbaudes aptver visu attiecīgo IKT sistēmu, tīklu, ierīču, informācijas un datu klāstu, ko vai nu izmanto IKT pakalpojumu sniegšanai finanšu vienībām, vai kas sekmē šādu pakalpojumu sniegšanu.

5.   Pirms jebkādas plānotas pārbaudes uz vietas galvenais pārraugs saprātīgā termiņā par to paziņo kritiski svarīgajām trešām personām, kas sniedz IKT pakalpojumus, ja vien šāds paziņojums nav iespējams ārkārtas vai krīzes situācijas dēļ vai ja tas radītu situāciju, kad pārbaude vai revīzija vairs nebūtu efektīva.

6.   Kritiski svarīga trešā persona, kas sniedz IKT pakalpojumus, pakļaujas pārbaudei uz vietas, ko uzdots veikt ar galvenā pārrauga lēmumu. Šajā lēmumā norāda pārbaudes priekšmetu un mērķi, nosaka dienu, kurā pārbaude sāksies, un norāda periodiskos soda maksājumus, kas paredzēti 35. panta 6. punktā, tiesiskās aizsardzības līdzekļus, kas pieejami saskaņā ar Regulām (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010, kā arī tiesības vērsties Tiesā, lai šo lēmumu pārskatītu.

7.   Ja galvenā pārrauga pilnvarotās amatpersonas un citas personas konstatē, ka kritiski svarīga trešā persona, kas sniedz IKT pakalpojumus, iebilst pret pārbaudi, kas noteikta saskaņā ar šo pantu, galvenais pārraugs informē kritiski svarīgo trešo personu, kas sniedz IKT pakalpojumus, par šāda iebilduma sekām, tostarp par iespēju attiecīgo finanšu vienību kompetentajām iestādēm prasīt finanšu vienībām izbeigt ar minēto kritiski svarīgo trešo personu, kas sniedz IKT pakalpojumus, noslēgtās līgumiskās vienošanās.

1.   Veicot pārraudzības darbības, jo īpaši vispārēju izmeklēšanu vai pārbaudes, galvenajam pārraugam palīdz katrai kritiski svarīgajai trešai personai, kas sniedz IKT pakalpojumus, izveidota kopīga pārbaudes grupa.

2.   Šā panta 1. punktā minētās kopīgās pārbaudes grupas sastāvā ir darbinieki no:

Kopīgās pārbaudes grupas dalībniekiem ir zināšanas IKT jautājumos un operacionālā riska jomā. Kopīgā pārbaudes grupa strādā iecelta galvenā pārrauga darbinieka (“galvenā pārrauga koordinators”) vadībā.

3.   Trīs mēnešu laikā pēc tam, kad pabeigta izmeklēšana vai pārbaude, galvenais pārraugs, apspriedies ar Pārraudzības forumu, pieņem ieteikumus, ko saskaņā ar 35. pantā minētajām pilnvarām adresē kritiski svarīgajai trešai personai, kas sniedz IKT pakalpojumus.

4.   Šā panta 3. punktā minētos ieteikumus nekavējoties paziņo kritiski svarīgajai trešai personai, kas sniedz IKT pakalpojumus, un to finanšu vienību kompetentajām iestādēm, kurām tas sniedz IKT pakalpojumus.

Lai izpildītu pārraudzības darbības, galvenais pārraugs var ņemt vērā visus attiecīgos trešās personas izsniegtos sertifikātus un trešās personas, kas sniedz IKT pakalpojumus, iekšējās vai ārējās revīzijas ziņojumus, ko darījusi pieejamus kritiski svarīgā trešā persona, kas sniedz IKT pakalpojumus.

1.   EUI ar Apvienotās komitejas starpniecību izstrādā regulatīvo tehnisko standartu projektus, lai noteiktu:

2.   Minēto regulatīvo tehnisko standartu projektu EUI iesniedz Komisijai līdz 2024. gada 17. jūlijam.

Komisijai tiek deleģētas pilnvaras papildināt šo regulu, pieņemot 1. punktā minētos regulatīvos tehniskos standartus saskaņā ar 10.–14. pantu Regulās (ES) Nr. 1093/2010, (ES) Nr. 1095/2010 un (ES) Nr. 1094/2010.

1.   60 kalendāro dienu laikā pēc galvenā pārrauga sniegto ieteikumu saņemšanas saskaņā ar 35. panta 1. punkta d) apakšpunktu kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus, vai nu informē galveno pārraugu par savu nodomu ievērot ieteikumus, vai sniedz pamatotu paskaidrojumu par minēto ieteikumu neievērošanu. Galvenais pārraugs nekavējoties nosūta šo informāciju attiecīgo finanšu vienību kompetentajām iestādēm.

2.   Galvenais pārraugs publisko informāciju, ja kritiski svarīga trešā persona, kas sniedz IKT pakalpojumus, neinformē galveno pārraugu saskaņā ar 1. punktu vai ja kritiski svarīgās trešās personas, kas sniedz IKT pakalpojumus, sniegtais skaidrojums netiek uzskatīts par pietiekamu. Publicētajā informācijā atklāj kritiski svarīgās trešās personas, kas sniedz IKT pakalpojumus, identitāti, kā arī informāciju par neatbilstības veidu un būtību. Šāda informācija attiecas tikai uz to, kas ir būtisks un samērīgs, lai nodrošinātu sabiedrības informētību, izņemot gadījumus, kad šāda publicēšana radītu nesamērīgu kaitējumu iesaistītajām pusēm vai varētu nopietni apdraudēt finanšu tirgu pienācīgu darbību un integritāti vai visas Savienības finanšu sistēmas vai tās daļas stabilitāti.

Galvenais pārraugs informē trešo personu, kas sniedz IKT pakalpojumus, par šādu publiskošanu.

3.   Kompetentās iestādes informē attiecīgās finanšu vienības par riskiem, kas identificēti kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, adresētajos ieteikumos saskaņā ar 35. panta 1. punkta d) apakšpunktu.

Pārvaldot ar trešo personu saistītu IKT risku, finanšu vienības ņem vērā pirmajā daļā minētos riskus.

4.   Ja kompetentā iestāde uzskata, ka finanšu vienība ar trešo personu saistīta IKT riska pārvaldībā neņem vērā vai pietiekami nenovērš ieteikumos apzinātos konkrētos riskus, tā paziņo finanšu vienībai par iespēju 60 kalendāro dienu laikā pēc šāda paziņojuma saņemšanas, ievērojot 6. punktu, pieņemt lēmumu, ja nav atbilstīgu līgumisku vienošanos, kuru mērķis ir novērst šādus riskus.

5.   Pēc 35. panta 1. punkta c) apakšpunktā minēto ziņojumu saņemšanas un pirms šā panta 6. punktā minētā lēmuma pieņemšanas kompetentās iestādes var brīvprātīgi apspriesties ar kompetentajām iestādēm, kas izraudzītas vai izveidotas saskaņā ar Direktīvu (ES) 2022/2555 un kas ir atbildīgas par tādas būtiskas vai svarīgas vienības uzraudzību, kura ir izraudzīta par kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, uz kuru attiecas minētā direktīva.

6.   Kompetentās iestādes kā galējo līdzekli pēc paziņojuma saņemšanas un attiecīgā gadījumā pēc apspriešanās, kā izklāstīts šā panta 4. un 5. punktā, saskaņā ar 50. pantu var noteikt finanšu vienībām pienākumu īslaicīgi pilnībā vai daļēji apturēt tāda IKT pakalpojuma izmantošanu vai izvietošanu, ko sniedz kritiski svarīga trešā persona, kamēr nav novērsti kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, adresētajos ieteikumos identificētie riski. Ja nepieciešams, tās var noteikt, ka finanšu vienībām ir pilnībā vai daļēji jāizbeidz attiecīgās līgumiskās vienošanās, kas ir noslēgtas ar kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus.

7.   Ja kritiski svarīga trešā persona, kas sniedz IKT pakalpojumus, atsakās apstiprināt ieteikumus, pamatojoties uz pieeju, kas atšķiras no tās, kuru iesaka galvenais pārraugs, un šāda atšķirīga pieeja var negatīvi ietekmēt lielu skaitu finanšu vienību vai ievērojamu finanšu nozares daļu, un kompetento iestāžu atsevišķi brīdinājumi nav devuši konsekventu pieeju, lai mazinātu iespējamo risku finanšu stabilitātei, galvenais pārraugs pēc apspriešanās ar Pārraudzības forumu var kompetentajām iestādēm sniegt nesaistošus un nepubliskus atzinumus, lai vajadzības gadījumā veicinātu konsekventus un saskaņotus pārraudzības pēcpasākumus.

8.   Pēc 35. panta 1. punkta c) apakšpunktā minēto ziņojumu saņemšanas kompetentās iestādes, pieņemot šā panta 6. punktā minēto lēmumu, ņem vērā kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus, nenovērstā riska veidu un tā lielumu, kā arī neatbilstības smagumu saskaņā ar šādiem kritērijiem:

Kompetentās iestādes piešķir finanšu vienībām nepieciešamo laiku, lai tās varētu pielāgot līgumiskās vienošanās ar kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, lai izvairītos no negatīvas ietekmes uz to digitālās darbības noturību un ļautu tām izmantot atkāpšanās stratēģijas un pārejas plānus, kā minēts 28. pantā.

9.   Šā panta 6. punktā minēto lēmumu paziņo 32. panta 4. punkta a), b) un c) apakšpunktā minētajiem Pārraudzības foruma dalībniekiem un JON.

Kritiski svarīgās trešās personas, kas sniedz IKT pakalpojumus, kuras skar 6. punktā paredzētie lēmumi, pilnībā sadarbojas ar ietekmētajām finanšu vienībām, jo īpaši saistībā ar to līgumisko vienošanos apturēšanas vai izbeigšanas procesu.

10.   Kompetentās iestādes regulāri informē galveno pārraugu par pieejām un pasākumiem, ko tās veikušas, pildot finanšu vienību uzraudzības uzdevumus, kā arī par līgumiskajām vienošanām, ko noslēgušas finanšu vienības, ja kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus, nav daļēji vai pilnībā apstiprinājušas galvenā pārrauga tām adresētos ieteikumus.

11.   Galvenais pārraugs pēc pieprasījuma var sniegt papildu skaidrojumus par sniegtajiem ieteikumiem, lai palīdzētu kompetentajām iestādēm veikt turpmākus pasākumus.

1.   Galvenais pārraugs saskaņā ar šā panta 2. punktā minēto deleģēto aktu iekasē no kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, maksas, kas pilnībā sedz galvenā pārrauga nepieciešamos izdevumus saistībā ar pārraudzības uzdevumu veikšanu saskaņā ar šo regulu, tostarp visu to izmaksu atlīdzināšanu, kas var rasties 40. pantā minētās kopīgās pārbaudes grupas veiktā darba rezultātā, kā arī izmaksas par konsultācijām, ko sniedz neatkarīgie eksperti, kā minēts 32. panta 4. punkta otrajā daļā, saistībā ar jautājumiem, kas ir tiešās pārraudzības darbību jomā.

Kritiski svarīgai trešai personai, kas sniedz IKT pakalpojumus, piemērotās maksas sedz visas izmaksas, kas izriet no šajā iedaļā izklāstīto pienākumu izpildes, un ir proporcionālas tā apgrozījumam.

2.   Komisija tiek pilnvarota līdz 2024. gada 17. jūlijam pieņemt deleģēto aktu saskaņā ar 57. pantu, lai papildinātu šo regulu, nosakot maksas apmēru un tās samaksas veidu.

1.   Neskarot 36. pantu, EBI, EVTI un EAAPI attiecīgi saskaņā ar 33. pantu Regulās (ES) Nr. 1093/2010, (ES) Nr. 1095/2010 un (ES) Nr. 1094/2010 var noslēgt administratīvas vienošanās ar trešo valstu regulatīvajām un uzraudzības iestādēm, lai veicinātu starptautisku sadarbību ar trešo personu saistītā IKT riska jomā dažādās finanšu nozarēs, jo īpaši izstrādājot IKT riska pārvaldības labākās prakses un kontroles, ietekmes mazināšanas pasākumu un incidentu atbilžu pārskatīšanas labāko praksi.

2.   EUI ar Apvienotās komitejas starpniecību ik pēc pieciem gadiem iesniedz Eiropas Parlamentam, Padomei un Komisijai kopīgu konfidenciālu ziņojumu, kurā apkopoti secinājumi par attiecīgajām diskusijām ar 1. punktā minētajām trešo valstu iestādēm, veltot uzmanību ar trešo personu saistītā IKT riska attīstībai un ietekmei uz finanšu stabilitāti, tirgus integritāti, ieguldītāju aizsardzību un iekšējā tirgus darbību.

1.   Finanšu vienības var savstarpēji apmainīties ar informāciju par kiberdraudiem un izlūkdatiem, tostarp pazīmēm, kas liecina par kompromitēšanu, taktiku, paņēmieniem un procedūrām, kiberdraudu trauksmes signāliem un konfigurēšanas rīkiem, ciktāl šāda informācijas un izlūkdatu koplietošana:

2.   Šā panta 1. punkta c) apakšpunkta vajadzībām informācijas apmaiņas kārtība nosaka dalības nosacījumus un vajadzības gadījumā sīkāk nosaka valsts iestāžu iesaisti un statusu, kādā tās var būt saistītas ar informācijas apmaiņas kārtību, par trešo personu, kas sniedz IKT pakalpojumus, iesaistīšanos un par darbības elementiem, tostarp specializētu IT platformu izmantošanu.

3.   Finanšu vienības paziņo kompetentajām iestādēm par savu dalību 1. punktā minētajos informācijas apmaiņas pasākumos pēc to dalības atzīšanas vai attiecīgā gadījumā – dalības izbeigšanas, kad tā stājusies spēkā.

1.   Lai veicinātu sadarbību un nodrošinātu pārraudzības apmaiņu starp kompetentajām iestādēm, kas izraudzītas saskaņā ar šo regulu, un sadarbības grupu, kas izveidota ar Direktīvas (ES) 2022/2555 14. pantu, EUI un kompetentās iestādes var piedalīties sadarbības grupas darbībās, kas attiecas uz to pārraudzības darbībām attiecībā uz finanšu vienībām. EUI un kompetentās iestādes var lūgt, lai tās uzaicina piedalīties sadarbības grupas darbībās, kas saistītas ar būtiskām vai svarīgām vienībām, uz kurām attiecas Direktīva (ES) 2022/2555 un kuras arī ir izraudzītas par kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, ievērojot šīs regulas 31. pantu.

2.   Attiecīgā gadījumā kompetentās iestādes var apspriesties un dalīties informācijā ar vienotajiem kontaktpunktiem un CSIRT, kas izraudzītas vai izveidotas saskaņā ar Direktīvu (ES) 2022/2555.

3.   Attiecīgā gadījumā kompetentās iestādes var pieprasīt jebkādas attiecīgas tehniskas konsultācijas un palīdzību no kompetentajām iestādēm, kas izraudzītas vai izveidotas saskaņā ar Direktīvu (ES) 2022/2555, un izveidot sadarbības kārtību, lai varētu izveidot efektīvus un ātrus koordinācijas mehānismus.

4.   Šā panta 3. punktā minētajos pasākumos cita starpā var precizēt procedūras uzraudzības un pārraudzības darbību koordinēšanai attiecībā uz būtiskām vai svarīgām vienībām, kuras, ievērojot šīs regulas 31. pantu, ir izraudzītas par kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus un uz kurām attiecas Direktīva (ES) 2022/2555, tostarp attiecībā uz izmeklēšanas un pārbaužu uz vietas veikšanu saskaņā ar valsts tiesību aktiem, kā arī mehānismiem informācijas apmaiņai starp kompetentajām iestādēm saskaņā ar šo regulu un tām kompetentajām iestādēm, kas izraudzītas vai izveidotas saskaņā ar minēto direktīvu, kas ietver piekļuvi informācijai, ko pieprasa pēdējās minētās iestādes.

1.   Kompetentās iestādes cieši sadarbojas savā starpā un attiecīgā gadījumā ar galveno pārraugu.

2.   Kompetentās iestādes un galvenais pārraugs laikus savstarpēji apmainās ar visu attiecīgo informāciju par kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, kura tiem ir vajadzīga, lai veiktu savus attiecīgos pienākumus saskaņā ar šo regulu, jo īpaši attiecībā uz identificētajiem riskiem, pieejām un pasākumiem, kas veikti kā daļa no galvenā pārrauga pārraudzības uzdevumiem.

1.   EUI ar Apvienotās komitejas starpniecību un sadarbībā ar kompetentajām iestādēm, noregulējuma iestādēm, kā minēts Direktīvas 2014/59/ES 3. pantā, ECB, Vienoto noregulējuma valdi attiecībā uz informāciju par vienībām, uz kurām attiecas Regula (ES) Nr. 806/2014, ESRK un ENISA, attiecīgi, var izveidot mehānismus, kas ļauj apmainīties ar efektīvu praksi starp finanšu nozarēm, lai uzlabotu situācijas apzināšanos un apzinātu kopēju kiberievainojamību un riskus dažādās nozarēs.

Tās var izstrādāt krīzes pārvarēšanas un ārkārtas situāciju pasākumus, kuros ietilpst kiberuzbrukuma scenāriji, lai attīstītu saziņas kanālus un pakāpeniski nodrošinātu efektīvu Savienības līmeņa koordinētu reakciju, ja būtisks pārrobežu IKT incidents vai ar to saistīts apdraudējums radītu sistēmisku ietekmi uz Savienības finanšu nozari kopumā.

Minētajās mācībās vajadzības gadījumā var arī pārbaudīt finanšu nozares atkarību no citām ekonomikas nozarēm.

2.   Kompetentās iestādes, EUI un ECB cieši sadarbojas savā starpā un apmainās ar informāciju, lai veiktu savus pienākumus saskaņā ar 47.–54. pantu. Tās cieši koordinē uzraudzību, lai apzinātu un novērstu šīs regulas pārkāpumus, izstrādātu un sekmētu labāko praksi, veicinātu sadarbību, stiprinātu interpretācijas saskaņotību un nodrošinātu vairākjurisdikciju novērtējumus jebkādu domstarpību gadījumā.

1.   Kompetentajām iestādēm ir visas uzraudzības, izmeklēšanas un sankciju pilnvaras, kas vajadzīgas, lai izpildītu pienākumus saskaņā ar šo regulu.

2.   Šā panta 1. punktā minētās pilnvaras ietver vismaz šādas pilnvaras:

3.   Neskarot dalībvalstu tiesības piemērot kriminālsodus saskaņā ar 52. pantu, dalībvalstis paredz noteikumus, ar ko nosaka attiecīgus administratīvos sodus un korektīvus pasākumus šīs regulas pārkāpumu gadījumos, kā arī nodrošina to efektīvu īstenošanu.

Šiem sodiem un pasākumiem jābūt iedarbīgiem, samērīgiem un atturošiem.

4.   Dalībvalstis piešķir kompetentajām iestādēm pilnvaras par šīs regulas pārkāpumiem piemērot vismaz šādus administratīvos sodus vai korektīvus pasākumus:

5.   Ja 2. punkta c) apakšpunkts un 4. punkts attiecas uz juridiskām personām, dalībvalstis piešķir kompetentajām iestādēm pilnvaras, ievērojot valsts tiesību aktos paredzētos nosacījumus, piemērot administratīvos sodus un korektīvos pasākumus vadības struktūras locekļiem un citām personām, kas saskaņā ar valsts tiesību aktiem ir saucamas pie atbildības par pārkāpumu.

6.   Dalībvalstis nodrošina, ka jebkurš lēmums, ar ko piemēro 2. punkta c) apakšpunktā minētos administratīvos sodus vai korektīvos pasākumus, ir pienācīgi pamatots un ka to var pārsūdzēt.

1.   Kompetentās iestādes pēc vajadzības īsteno pilnvaras uzlikt 50. pantā minētos administratīvos sodus un korektīvos pasākumus saskaņā ar attiecīgās valsts tiesisko regulējumu attiecīgā gadījumā šādi:

2.   Kompetentās iestādes, nosakot saskaņā ar 50. pantu uzlikta administratīvā soda vai korektīva pasākuma veidu un apmēru, ņem vērā visus nozīmīgos apstākļus, tostarp to, cik lielā mērā pārkāpums izdarīts tīši vai izriet no neuzmanības, un visus citus attiecīgos apstākļus, tostarp attiecīgā gadījumā šādus:

1.   Dalībvalstis var nolemt neparedzēt noteikumus par administratīviem sodiem vai korektīviem pasākumiem attiecībā uz pārkāpumiem, par kuriem saskaņā ar attiecīgās valsts tiesību aktiem piemēro kriminālsodus.

2.   Ja dalībvalstis izvēlējušās noteikt kriminālsodus par šīs regulas pārkāpumiem, tās nodrošina, ka ir ieviesti atbilstoši pasākumi, lai kompetentajām iestādēm attiecīgajā tiesību sistēmā būtu visas nepieciešamās pilnvaras koordinēt sadarbību ar tiesu, prokuratūras un tiesībaizsardzības iestādēm, kas vajadzīgas, lai saņemtu konkrētu informāciju, kas saistīta ar kriminālizmeklēšanu vai procedūrām, kas sāktas attiecībā uz šīs regulas pārkāpumiem, un lai to pašu informāciju sniegtu citām kompetentajām iestādēm un EBI, EVTI vai EAAPI, lai izpildītu pienākumu sadarboties šīs regulas vajadzībām.

1.   Kompetentās iestādes savā oficiālajā tīmekļa vietnē bez nepamatotas kavēšanās publicē jebkuru lēmumu, ar kuru piemērots administratīvais sods, kas nav pārsūdzams, pēc tam, kad par minēto lēmumu ir paziņots soda adresātam.

2.   Publikācijā, kas minēta 1. punktā, ietver informāciju par pārkāpuma veidu un būtību, par pārkāpumu atbildīgo personu identitāti un par piemērotajiem sodiem.

3.   Ja kompetentā iestāde, novērtējusi katru gadījumu atsevišķi, uzskata, ka identitātes publicēšana juridisku personu gadījumā vai identitātes un personas datu publicēšana fizisko personu gadījumā būtu nesamērīga, tostarp radītu riskus saistībā ar personas datu aizsardzību, apdraudētu finanšu tirgu stabilitāti vai notiekošu kriminālizmeklēšanu vai, ciktāl to var noteikt, radītu nesamērīgu kaitējumu iesaistītajai personai, tā attiecībā uz lēmumu, ar ko uzliek administratīvo sodu, pieņem vienu no šādiem risinājumiem:

4.   Gadījumā, ja tiek pieņemts lēmums publicēt administratīvo sodu anonīmi, kā minēts 3. punkta b) apakšpunktā, attiecīgo datu publicēšanu var atlikt.

5.   Ja kompetentā iestāde publicē lēmumu, ar ko uzliek administratīvu sodu, kurš ir pārsūdzēts attiecīgajās tiesu iestādēs, kompetentās iestādes nekavējoties savā oficiālajā tīmekļa vietnē ievieto arī šo informāciju un vēlāk – jebkādu vēlāku ar to saistītu informāciju par šādas pārsūdzības iznākumu. Publicē arī jebkuru tiesas nolēmumu, ar ko atceļ lēmumu par administratīvā soda uzlikšanu.

6.   Kompetentās iestādes nodrošina, lai jebkura publikācija, kas minēta 1.–4. punktā, tās oficiālajā tīmekļa vietnē būtu pieejama tikai tik ilgi, cik tas ir nepieciešams šā panta piemērošanai. Šis laikposms nepārsniedz piecus gadus pēc tās publicēšanas.

1.   Uz konfidenciālu informāciju, kas saņemta, ar ko veikta apmaiņa vai kas nosūtīta, ievērojot šo regulu, attiecas 2. punktā izklāstītie nosacījumi par dienesta noslēpumu.

2.   Dienesta noslēpuma ievērošanas pienākums attiecas uz visām personām, ko, ievērojot šo regulu, nodarbina vai ir nodarbinājušas kompetentās iestādes vai kāda cita iestāde vai tirgus uzņēmums, vai fiziska vai juridiska persona, kurai kompetentās iestādes ir deleģējušas savas pilnvaras, tostarp arī to nolīgtiem revidentiem un ekspertiem.

3.   Informāciju, uz ko attiecas dienesta noslēpums, tostarp informācijas apmaiņu starp kompetentajām iestādēm saskaņā ar šo regulu un tām kompetentajām iestādēm, kas izraudzītas vai izveidotas saskaņā ar Direktīvu (ES) 2022/2555, neatklāj nevienai citai personai vai iestādei citādi, nekā ir paredzēts Savienības vai valsts tiesību noteikumos;

4.   Visu informāciju, ar ko kompetentās iestādes apmainās, ievērojot šo regulu, un kas attiecas uz darījumu vai darbības apstākļiem un citiem ekonomiskiem vai personiskiem jautājumiem, uzskata par konfidenciālu, un tai piemēro dienesta noslēpuma prasības, ja vien kompetentā iestāde, sniedzot attiecīgo informāciju, nav atļāvusi to izpaust vai ja šāda izpaušana nav nepieciešama tiesvedībai.

1.   EUI un kompetentajām iestādēm ir atļauts apstrādāt personas datus tikai tad, ja tas ir nepieciešams, lai tās, ievērojot šo regulu, pildītu savus attiecīgos pienākumus un uzdevumus, jo īpaši veiktu izmeklēšanu, pārbaudi, informācijas pieprasījumu, paziņošanu, publicēšanu, izvērtēšanu, verifikāciju, novērtēšanu un pārraudzības plānu izstrādi. Personas datus apstrādā saskaņā ar Regulu (ES) 2016/679 vai Regulu (ES) 2018/1725, atkarībā no tā, kura ir piemērojama.

2.   Ja vien citos nozares tiesību aktos nav noteikts citādi, 1. punktā minētos personas datus glabā līdz piemērojamo uzraudzības pienākumu izpildei un jebkurā gadījumā ne ilgāk kā 15 gadus, izņemot gadījumus, kad notiek tiesvedība, kuras vajadzībām šādi dati jāglabā ilgāk.

1.   Pilnvaras pieņemt deleģētos aktus Komisijai piešķir, ievērojot šajā pantā izklāstītos nosacījumus.

2.   Pilnvaras pieņemt 31. panta 6. punktā un 43. panta 2. punktā minētos deleģētos aktus Komisijai piešķir uz piecu gadu laikposmu no 2024. gada 17. janvāra. Komisija sagatavo ziņojumu par pilnvaru deleģēšanu vēlākais deviņus mēnešus pirms piecu gadu laikposma beigām. Pilnvaru deleģēšana tiek automātiski pagarināta uz tāda paša ilguma laikposmiem, ja vien Eiropas Parlaments vai Padome neiebilst pret šādu pagarinājumu vēlākais trīs mēnešus pirms katra laikposma beigām.

3.   Eiropas Parlaments vai Padome jebkurā laikā var atsaukt 31. panta 6. punktā un 43. panta 2. punktā minēto pilnvaru deleģēšanu. Ar lēmumu par atsaukšanu izbeidz tajā norādīto pilnvaru deleģēšanu. Lēmums stājas spēkā nākamajā dienā pēc tā publicēšanas Eiropas Savienības Oficiālajā Vēstnesī vai vēlākā dienā, kas tajā norādīta. Tas neskar jau spēkā esošos deleģētos aktus.

4.   Pirms deleģētā akta pieņemšanas Komisija apspriežas ar katras dalībvalsts ieceltajiem ekspertiem saskaņā ar principiem, kas noteikti 2016. gada 13. aprīļa Iestāžu nolīgumā par labāku likumdošanas procesu.

5.   Tiklīdz Komisija pieņem deleģēto aktu, tā par to paziņo vienlaikus Eiropas Parlamentam un Padomei.

6.   Saskaņā ar 31. panta 6. punktu un 43. panta 2. punktu pieņemts deleģētais akts stājas spēkā tikai tad, ja trijos mēnešos no dienas, kad minētais akts paziņots Eiropas Parlamentam un Padomei, ne Eiropas Parlaments, ne Padome nav izteikuši iebildumus vai ja pirms minētā laikposma beigām gan Eiropas Parlaments, gan Padome ir informējuši Komisiju par savu nodomu neizteikt iebildumus. Pēc Eiropas Parlamenta vai Padomes iniciatīvas šo laikposmu pagarina par trim mēnešiem.

1.   Komisija līdz 2028. gada 17. janvārim pēc apspriešanās ar, attiecīgi, EUI un ESRK, veic pārskatīšanu un iesniedz ziņojumu Eiropas Parlamentam un Padomei, vajadzības gadījumā pievienojot tiesību akta priekšlikumu. Pārskatīšanā ir iekļauti vismaz šādi elementi:

2.   Saistībā ar Direktīvas (ES) 2015/2366 pārskatīšanu Komisija novērtē to, vai ir jāpalielina maksājumu sistēmu un maksājumu apstrādes darbību kibernoturība, un to, cik lietderīgi ir paplašināt šīs regulas darbības jomu, iekļaujot tajā maksājumu sistēmu operatorus un maksājumu apstrādes darbībās iesaistītās vienības. Ņemot vērā šo novērtējumu, Komisija Direktīvas (ES) 2015/2366 pārskatīšanas ietvaros iesniedz ziņojumu Eiropas Parlamentam un Padomei ne vēlāk kā 2023. gada 17. jūlijā.

Pamatojoties uz minēto pārskata ziņojumu un apspriedusies ar EUI, ECB un ESRK, Komisija attiecīgā gadījumā un kā daļu no tiesību akta priekšlikuma, ko tā var pieņemt, ievērojot Direktīvas (ES) 2015/2366 108. panta otro daļu, var iesniegt priekšlikumu nodrošināt, lai visiem maksājumu sistēmu operatoriem un maksājumu apstrādes darbībās iesaistītajām vienībām tiktu piemērota pienācīga pārraudzība, vienlaikus ņemot vērā jau pastāvošu centrālās bankas pārraudzību.

3.   Komisija līdz 2026. gada 17. janvārim, apspriedusies ar EUI un Eiropas Revīzijas pārraudzības struktūru komiteju, veic pārskatīšanu un iesniedz ziņojumu Eiropas Parlamentam un Padomei, vajadzības gadījumā tam pievienojot tiesību akta priekšlikumu, par to, cik lietderīgi ir noteikt stingrākas prasības obligātajiem revidentiem un revīzijas uzņēmumiem attiecībā uz digitālās darbības noturību, iekļaujot obligātos revidentus un revīzijas uzņēmumus šīs regulas darbības jomā vai veicot grozījumus Eiropas Parlamenta un Padomes Direktīvā 2006/43/EK (39).