Finantssektori digitaalne tegevuskerksus

 

KOKKUVÕTE:

määrus (EL) 2022/2554, mis käsitleb finantssektori digitaalset tegevuskerksust

MIS ON MÄÄRUSE EESMÄRK?

Määruses sätestatakse ühetaolised nõuded finantssektori ettevõtete (nt pangad, kindlustusseltsid ja investeerimisühingud) võrgu- ja infosüsteemide turvalisuse kohta.

See hõlmab arvukaid Euroopa Liidu (EL) reguleeritud finantssektori ettevõtteid, nõudes, et nad peaksid vastu mis tahes info- ja kommunikatsioonitehnoloogiaga (IKT) seotud häiretele või ohtudele, reageeriksid neile ja taastuksid neist.

PÕHIPUNKTID

Kohaldamisala

Määruses käsitletakse järgmist:

• krediidi-, makse-, e-raha ja tööandjapensioniasutused;
• kontoteabe, krüptovarateenuse, aruandlusteenuse, ühisrahastusteenuse ja kolmandast isikust IKT-teenuse osutajad;
• investeerimisühingud, alternatiivsed investeerimisfondid, fondivalitsejad, reitinguagentuurid ja kriitilise tähtsusega võrdlusaluste haldurid;
• kauplemis- ja väärtpaberistamise registrid, väärtpaberite keskdepositooriumid, kesksed vastaspooled ja kauplemiskohad;
• kindlustusandjad, kindlustusvahendajad ja edasikindlustusvahendajad.

IKT-riski juhtimine

Finantssektori ettevõtjad, v.a mikroettevõtjad, peavad

• kehtestama sisemise juhtimis- ja kontrolliraamistiku, mis tagab IKT-riski tulemusliku ja usaldusväärse juhtimise;
• tagama, et nende juhtorgan määrab kindlaks ja kiidab heaks kõigi asjaomaste meetmete rakendamise, korraldab nende üle järelevalve ja on nende eest vastutav;
• kehtestama usaldusväärse, laiahaardelise ja hästi dokumenteeritud IKT-riski juhtimise raamistiku vajalike strateegiate, põhimõtete, menetluste, protokollide ja vahenditega, et reageerida kiiresti ja tõhusalt;
• kasutama ja hooldama ajakohastatud IKT-süsteeme, -protokolle ja -vahendeid, mis on asjakohased, usaldusväärsed, tehnoloogiliselt vastupidavad ja piisavalt võimsad;
• selgitama välja, klassifitseerima ja asjakohaselt dokumenteerima kõik IKT-põhised ärifunktsioonid, rollid ja vastutusvaldkonnad ning vaatama läbi riskistsenaariumid;
• jooksvalt jälgima IKT-süsteemide ja -vahendite turvalisust ja toimimist, et vähendada kõiki IKT-riske;
• kiiresti avastama anomaalse tegevuse ja tegema kindlaks võimalikud nõrgad lülid;
• määrama kindlaks laiahaardelised IKT talitluspidevuse põhimõtted koos asjakohaste kavade, menetluste ja mehhanismidega;
• töötama välja ja dokumenteerima varunduspõhimõtted ning ennistamise ja taastamise menetlused;
• omama suutlikkust ja personali, et koguda teavet nõrkuse, küberohtude ja IKT intsidentide, eelkõige küberrünnete kohta, ning analüüsida mõju, mida need võivad avaldada nende digitaalsele tegevuskerksusele;
• koostama kriisikommunikatsioonikavad, mis võimaldavad teha klientidele, vastaspooltele ja üldsusele teatavaks vähemalt tõsiseid IKT intsidente või nõrkust.

IKT-ga seotud haldamine, liigitamine ja aruandlus

Finantssektori ettevõtjad

• määravad kindlaks, kehtestavad ja rakendavad IKT intsidentide haldamise protsessi nende avastamiseks, haldamiseks ja nendest teatamiseks;
• liigitavad IKT intsidendid ja määravad nende mõju kindlaks selliste kriteeriumide alusel nagu mõjutatud klientide või finantssektori vastaspoolte arv, kestus, mõjutatud geograafilised piirkonnad ja andmekadu;
• teavitavad tõsistest IKT intsidentidest nende kindlaksmääratud pädevale asutusele, kes edastab teabe kõrgemalseisvale asutusele, nagu Euroopa Keskpank või Euroopa Pangandusjärelevalve.

Digitaalse tegevuskerksuse testimine

Finantssektori ettevõtjad, v.a mikroettevõtjad, peavad

• looma usaldusväärse ja tervikliku digitaalse tegevuskerksuse testimise programmi, mis hõlmab vajalikke hindamisi, teste, meetodeid, tavasid ja vahendeid, hoidma seda jõus ja vaatama selle läbi;
• tegema vähemalt iga kolme aasta tagant nende riskiprofiili põhjal ohuteabel põhineva läbistustesti ning kasutama ainult sertifitseeritud testijaid, kes omavad vajalikke teadmisi ja sobivust ning ametialast vastutuskindlustust.

Kolmandast isikust tuleneva IKT-riski juhtimine

Finantssektori ettevõtjad

• juhivad kolmandast isikust tulenevat IKT-riski oma IKT-riski lahutamatu osana;
• kehtestavad lepingulised kokkulepped IKT-teenuste kasutamiseks oma äritegevuses, järgides täielikult asjaomaseid õigusakte;
• võtavad arvesse IKT-ga seotud probleemide ja ohtude laadi, ulatust, keerukust ja tähtsust;
• kaaluvad riskide väljaselgitamisel ja hindamisel alternatiivsete lahenduste kasutamise eeliseid ja kulusid;
• lisavad lepingusse iga lepinguosalise õigused ja kohustused ning teenuslepingu.

Kriitilise tähtsusega kolmandast isikust IKT-teenuste osutajate järelevaatamisraamistik

Raamistikuga

• usaldatakse Euroopa järelevalveasutustele (ESAd) järgmised ülesanded:
  • määrata finantssektori ettevõtjate jaoks selgete kriteeriumide alusel kriitilise tähtsusega kolmandast isikust IKT-teenuse osutajad;
  • määrata igale kriitilise tähtsusega kolmandast isikust teenuseosutajale asjakohase finantssektori ettevõtja eest vastutava ESA kui juhtiva järelevaatamisasutuse;
• asutada järelevaatamisfoorum, kes
  • arutab IKT-riski ja nõrkusega seotud muutusi ning edendab järjepidevat seiret ELi tasandil;
  • hindab igal aastal järelevaatamistegevust ning edendab meetmeid, et suurendada digitaalset tegevuskerksust ja parimaid tavasid;
  • esitab kriitilise tähtsusega kolmandast isikust IKT-teenuste osutajate põhjalikud võrdlusalused;
• volitab juhtivat järelevaatamisasutust
  • olema kriitilise tähtsusega kolmandast isikust IKT-teenuste osutajate peamine kontaktpunkt;
  • hindama, kas kõik kriitilise tähtsusega kolmandast isikust IKT-teenuste osutajad on kehtestanud põhjalikud, usaldusväärsed ja tulemuslikud reeglid, protsessid, mehhanismid ja korra;
  • taotlema kogu asjakohast teavet ja dokumente, viima läbi uurimisi ja kontrolle (sh kolmandates riikides), määrama kindlaks parandusmeetmed ja andma soovitusi;
• võimaldab Euroopa Pangandusjärelevalvel, Euroopa Kindlustus- ja Tööandjapensionide Järelevalvel ning Euroopa Väärtpaberiturujärelevalvel teha koostööd kolmandate riikide reguleerivate ja järelevalveasutustega kolmandast isikust IKT-riskide alal;
• nõuab, et järelevalveasutused esitaksid iga viie aasta järel Euroopa Parlamendile, Euroopa Liidu Nõukogule ja Euroopa Komisjonile konfidentsiaalse aruande oma suhete kohta kolmandate riikidega.

Teabe jagamise kokkulepped

Finantssektori ettevõtjad võivad omavahel vahetada küberohte käsitlevat teavet ja teadmust, kui see

• toimub nende digitaalse tegevuskerksuse suurendamise eesmärgil;
• toimub nende jaoks usaldusväärses kogukonnas;
• edendab ärisaladuse ja isikuandmete kaitset ning austab konkurentsipoliitika suuniseid.

Karistused ja parandusmeetmed

Pädevad asutused

• omavad kõiki oma ülesannete täitmiseks vajalikke järelevalve-, uurimis- ja karistuste määramise volitusi;
• kehtestavad ja avaldavad oma veebisaidil halduskaristused ja parandusmeetmed kooskõlas liikmesriigi õigusega.

ESAd töötavad välja regulatiivsete tehniliste standardite eelnõud IKT-riski juhtimise vahendite, liigitamise ning IKT intsidentidest teatamise ja järelevalvetegevuse jaoks.

Komisjon

• omab volitust delegeeritud õigusaktide vastuvõtmiseks;
• esitab Euroopa Parlamendile ja nõukogule 17. jaanuariks 2028 määruse läbivaatamise pärast Euroopa järelevalveasutuste ja Euroopa Süsteemsete Riskide Nõukoguga konsulteerimist.

Määrusega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 909/2014, (EL) nr 600/2014 ja (EL) 2016/1011.

MIS AJAST MÄÄRUST KOHALDATAKSE?

Seda kohaldatakse alates 17. jaanuarist 2025.

TAUST

2008. aasta finantskriisile järgnenud reformid tugevdasid peamiselt sektori finantsstabiilsust. IKT-riskiga tegeleti mõnes valdkonnas ainult kaudselt ning see ohustas jätkuvalt ELi finantssüsteemi tegevuskerksust, tulemuslikkust ja stabiilsust.

Niinimetatud DORA määrus kuulub ulatuslikumasse digirahanduse paketti, mille eesmärk on edendada tehnoloogilist arengut ning tagada finantsstabiilsus ja tarbijakaitse. Selle muud elemendid hõlmavad digirahanduse strateegiat, krüptovara turge ja hajusraamatu tehnoloogiat.

Lisateave

• Digirahanduse pakett (Euroopa Komisjon)

PÕHIDOKUMENT

Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta määrus (EL) 2022/2554, mis käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT L 333, 27.12.2022, lk 1–79)

SEONDUVAD DOKUMENDID

Komisjoni teatis Euroopa Parlamendile, nõukogule, Euroopa Majandus- ja Sotsiaalkomiteele ning Regioonide Komiteele ELi digirahanduse strateegia kohta (COM(2020) 591 final, 24.9.2020)

Euroopa Parlamendi ja nõukogu 8. juuni 2016. aasta määrus (EL) 2016/1011, mis käsitleb indekseid, mida kasutatakse võrdlusalustena finantsinstrumentide ja -lepingute puhul või investeerimisfondide tootluse mõõtmiseks, ning millega muudetakse direktiive 2008/48/EÜ ja 2014/17/EL ning määrust (EL) nr 596/2014 (ELT L 171, 29.6.2016, lk 1–65)

Määruse (EL) 2016/1011 hilisemad muudatused on algdokumenti lisatud. Käesoleval konsolideeritud versioonil on üksnes dokumenteeriv väärtus.

Euroopa Parlamendi ja nõukogu 23. juuli 2014. aasta määrus (EL) nr 909/2014, mis käsitleb väärtpaberiarvelduse parandamist Euroopa Liidus ja väärtpaberite keskdepositooriume ning millega muudetakse direktiive 98/26/EÜ ja 2014/65/EL ja määrust (EL) nr 236/2012 (ELT L 257, 28.8.2014, lk 1–72)

Vt konsolideeritud versioon.

Euroopa Parlamendi ja nõukogu 15. mai 2014. aasta määrus (EL) nr 600/2014 finantsinstrumentide turgude kohta ning millega muudetakse määrust (EL) nr 648/2012 (ELT L 173, 12.6.2014, lk 84–148)

Vt konsolideeritud versioon.

Euroopa Parlamendi ja nõukogu 4. juuli 2012. aasta määrus (EL) nr 648/2012 börsiväliste tuletisinstrumentide, kesksete vastaspoolte ja kauplemisteabehoidlate kohta (ELT L 201, 27.7.2012, lk 1–59)

Vt konsolideeritud versioon.

Euroopa Parlamendi ja nõukogu 16. septembri 2009. aasta määrus (EÜ) nr 1060/2009 reitinguagentuuride kohta (ELT L 302, 17.11.2009, lk 1–31)

Vt konsolideeritud versioon.

Viimati muudetud: 10.01.2024