(1)

Sąjunga turi tinkamai ir visapusiškai spręsti skaitmeninės rizikos, kylančios visiems finansų sektoriaus subjektams dėl to, kad teikiant finansines paslaugas ir jomis naudojantis vis dažniau naudojamos informacinės ir ryšių technologijos (IRT), problemą, tokiu būdu padėdama išnaudoti skaitmeninių finansų potencialą skatinti inovacijas ir skatinti konkurenciją saugioje skaitmeninėje aplinkoje;

(2)

finansų sektoriaus subjektai kasdienėje veikloje yra labai priklausomi nuo naudojimosi skaitmeninėmis technologijomis. Todėl labai svarbu užtikrinti jų skaitmeninės veiklos atsparumą IRT rizikai. Šis poreikis tapo dar aktualesnis dėl proveržio technologijų, visų pirma technologijų, sudarančių sąlygas skaitmeninę vertės arba teisių išraišką perleisti ir saugoti elektroniniu būdu, naudojant paskirstytojo registro ar panašią technologiją (kriptoturtą), ir su tuo turtu susijusių paslaugų augimo rinkoje;

(3)

Sąjungos lygmens reikalavimai, susiję su IRT rizikos finansų sektoriui valdymu, šiuo metu yra numatyti Europos Parlamento ir Tarybos direktyvose 2009/65/EB (4), 2009/138/EB (5), 2011/61/ES (6), 2013/36/ES (7), 2014/59/ES (8), 2014/65/ES (9), (ES) 2015/2366 (10) ir (ES) 2016/2341 (11).

Tie reikalavimai yra nevienodi ir tam tikrais atvejais neišsamūs. Kai kuriais atvejais IRT riziką siekta mažinti tik netiesiogiai kaip operacinės rizikos dalį, o kitais atvejais jai visai neskirta dėmesio. Tos problemos yra sprendžiamos priimant Europos Parlamento ir Tarybos reglamentą (ES) 2022/2554 (12). Todėl tos direktyvos turėtų būti iš dalies pakeistos, kad būtų užtikrintas suderinamumas su tuo reglamentu. Šia direktyva įtvirtinami pakeitimai, kurie yra būtini siekiant užtikrinti teisinį aiškumą ir nuoseklumą tada, kai finansų sektoriaus subjektai, gavę veiklos leidimus ir prižiūrimi pagal tas direktyvas, taiko įvairius skaitmeninės veiklos atsparumo reikalavimus, būtinus jų veiklai vykdyti ir paslaugoms teikti, taip užtikrinant sklandų vidaus rinkos veikimą. Reikia užtikrinti tų reikalavimų adekvatumą rinkos pokyčiams, kartu skatinant proporcingumą, visų pirma finansų sektoriaus subjektų dydžio ir konkretaus režimo, kuris jiems taikomas, atžvilgiu, siekiant sumažinti reikalavimų laikymosi išlaidas;

(4)

banko paslaugų sričiai Direktyvoje 2013/36/ES šiuo metu nustatytos tik bendrosios vidaus valdymo taisyklės ir operacinės rizikos nuostatos, kuriose nustatyti reikalavimai nenumatytų atvejų ir veiklos tęstinumo planams, kuriais netiesiogiai remiamasi sprendžiant IRT rizikos klausimus. Tačiau, siekiant IRT rizikos klausimą spręsti aiškiai ir nedviprasmiškai, reikalavimai nenumatytų atvejų ir veiklos tęstinumo planams turėtų būti iš dalies pakeisti, kad taip pat būtų įtraukti veiklos tęstinumo planai ir reagavimo ir veiklos atkūrimo planai, taikomi IRT rizikos atveju, laikantis Reglamente (ES) 2022/2554 nustatytų reikalavimų. Be to, vertinant operacinę riziką IRT rizika tik netiesiogiai įtraukiama į priežiūrinio tikrinimo ir vertinimo procesą (SREP), kurį atlieka kompetentingos institucijos, o jos vertinimo kriterijai šiuo metu apibrėžti Europos priežiūros institucijos (Europos bankininkystės institucijos) (EBI), įsteigtos pagal Europos Parlamento ir Tarybos reglamentą (ES) Nr. 1093/2010 (13), gairėse dėl IRT rizikos vertinimo per priežiūrinio tikrinimo ir vertinimo procesą (SREP). Siekiant suteikti teisinį aiškumą ir užtikrinti, kad bankų priežiūros institucijos veiksmingai nustatytų IRT riziką ir stebėtų, kaip ją valdo finansų sektoriaus subjektai pagal naująją skaitmeninės veiklos atsparumo sistemą, SREP taikymo sritis taip pat turėtų būti iš dalies pakeista, kad būtų aiškiai įtraukti Reglamente (ES) 2022/2554 nustatyti reikalavimai ir ji visų pirma apimtų riziką, nustatytą remiantis pranešimais apie didelius su IRT susijusius incidentus ir pagal tą reglamentą finansų sektoriaus subjektų atlikto skaitmeninės veiklos atsparumo testavimo rezultatais;

(5)

skaitmeninės veiklos atsparumas yra labai svarbus siekiant išsaugoti finansų sektoriaus subjekto ypatingos svarbos funkcijas ir pagrindines verslo linijas jo pertvarkymo atveju ir taip išvengti realiosios ekonomikos ir finansų sistemos sutrikdymo. Dideli operaciniai incidentai gali trukdyti finansų sektoriaus subjektui toliau vykdyti veiklą ir kelti grėsmę pertvarkymo tikslams. Tam tikri sutartimi įforminti susitarimai dėl IRT paslaugų naudojimo yra labai svarbūs siekiant užtikrinti veiklos tęstinumą ir teikti būtinus duomenis pertvarkymo atveju. Kad Direktyva 2014/59/ES būtų suderinta su Sąjungos veiklos atsparumo sistemos tikslais, ji atitinkamai turėtų būti iš dalies pakeista siekiant užtikrinti, kad planuojant finansų sektoriaus subjektų pertvarkymą ir vertinant pertvarkymo galimybes būtų atsižvelgiama į su veiklos atsparumu susijusią informaciją;

(6)

Direktyvoje 2014/65/ES nustatytos griežtesnės IRT rizikos taisyklės investicinėms įmonėms ir prekybos vietoms, kurios vykdo algoritminę prekybą. Duomenų teikimo paslaugoms ir sandorių duomenų saugykloms taikomi ne tokie išsamūs reikalavimai. Be to, Direktyvoje 2014/65/ES nepakankamai minimos informacijos tvarkymo sistemų kontrolės ir apsaugos priemonės ir mažai kalbama apie atitinkamų sistemų, išteklių ir procedūrų naudojimą verslo paslaugų tęstinumui ir reguliarumui užtikrinti. Ta direktyva taip pat turėtų būti suderinta su Reglamentu (ES) 2022/2554, kiek tai susiję su investicinių paslaugų teikimo ir investicinės veiklos tęstinumu bei reguliarumu, veiklos atsparumu, prekybos sistemų pajėgumu, veiklos tęstinumo priemonių veiksmingumu ir rizikos valdymu;

(7)

Direktyvoje (ES) 2015/2366 nustatytos specialios IRT saugumo kontrolės taisyklės ir rizikos mažinimo elementai, susiję su veiklos leidimo teikti mokėjimo paslaugas gavimu. Tos veiklos leidimų suteikimo taisyklės turėtų būti iš dalies pakeistos, siekiant jas suderinti su Reglamentu (ES) 2022/2554. Be to, siekiant sumažinti administracinę naštą ir išvengti sudėtingumo ir besidubliuojančių pranešimų teikimo reikalavimų, toje direktyvoje nustatytos pranešimų apie incidentus teikimo taisyklės nebeturėtų būti taikomos mokėjimo paslaugų teikėjams, kurie yra reguliuojami pagal tą direktyvą, ir kuriems taip pat taikomas Reglamentas (ES) 2022/2554, tokiu būdu sudarant sąlygas tiems mokėjimo paslaugų teikėjams naudotis vienu visiškai suderintu pranešimų apie incidentus teikimo mechanizmu dėl visų su mokėjimu susijusių operacinių ar saugumo incidentų nepriklausomai nuo to, ar tokie incidentai yra susiję su IRT;

(8)

IRT rizika iš dalies aptariama direktyvų 2009/138/EB ir (ES) 2016/2341 bendrosiose valdymo ir rizikos valdymo nuostatose, o tam tikrus reikalavimus reikia patikslinti deleguotuosiuose aktuose, darant konkrečias nuorodas į IRT riziką arba ne. Panašiai tik bendrosios taisyklės taikomos alternatyvaus investavimo fondų valdytojams, kuriems taikoma Direktyva 2011/61/ES, ir valdymo įmonėms, kurioms taikoma Direktyva 2009/65/EB. Todėl tos direktyvos turėtų būti suderintos su Reglamente (ES) 2022/2554 nustatytais IRT sistemų ir priemonių valdymo reikalavimais;

(9)

daugeliu atvejų papildomi IRT rizikos reikalavimai jau buvo nustatyti deleguotuosiuose ir įgyvendinimo aktuose, priimtuose remiantis kompetentingos Europos priežiūros institucijos parengtais reguliavimo techninių standartų projektais ir įgyvendinimo techninių standartų projektais. Kadangi Reglamento (ES) 2022/2554 nuostatos bus finansų sektoriaus subjektų IRT rizikos teisine sistema, direktyvose 2009/65/EB, 2009/138/EB, 2011/61/ES ir 2014/65/ES nustatyti atitinkami įgaliojimai priimti deleguotuosius įgyvendinimo aktus turėtų būti iš dalies pakeisti pašalinant IRT rizikos nuostatas iš tų įgaliojimų taikymo srities;

(10)

siekiant užtikrinti nuoseklų naujos finansų sektoriaus skaitmeninės veiklos atsparumo sistemos įgyvendinimą, valstybės narės turėtų taikyti nacionalinės teisės aktų, kuriais į nacionalinę teisę perkeliama ši direktyva, nuostatas nuo Reglamento (ES) 2022/2554 taikymo dienos;

(11)

Direktyvos 2009/65/EB, 2009/138/EB, 2011/61/ES, 2013/36/ES, 2014/59/ES, 2014/65/ES, (ES) 2015/2366 ir (ES) 2016/2341 buvo priimtos remiantis Sutarties dėl Europos Sąjungos veikimo (SESV) 53 straipsnio 1 dalimi ar 114 straipsniu, arba remiantis abiem straipsniais. Dėl pakeitimų dalyko ir tikslų tarpusavio sąsajų šia direktyva padaryti pakeitimai buvo įtraukti į vieną teisėkūros procedūra priimamą aktą. Todėl ši direktyva turėtų būti priimta remiantis SESV 53 straipsnio 1 dalimi ir 114 straipsniu;

(12)

kadangi šios direktyvos tikslų valstybės narės negali deramai pasiekti, nes jais siekiama direktyvose jau nustatytų reikalavimų suderinimo, o dėl veiksmo masto ir poveikio tų tikslų būtų geriau siekti Sąjungos lygmeniu, laikydamasi Europos Sąjungos sutarties 5 straipsnyje nustatyto subsidiarumo principo, Sąjunga gali patvirtinti priemones. Pagal tame straipsnyje nustatytą proporcingumo principą šia direktyva neviršijama to, kas būtina nurodytiems tikslams pasiekti;

(13)

pagal 2011 m. rugsėjo 28 d. bendrą valstybių narių ir Komisijos politinį pareiškimą dėl aiškinamųjų dokumentų (14) valstybės narės įsipareigojo pagrįstais atvejais prie pranešimų apie perkėlimo priemones pridėti vieną ar daugiau dokumentų, kuriuose paaiškinamos direktyvos sudėtinių dalių ir nacionalinių perkėlimo priemonių atitinkamų dalių sąsajos. Šios direktyvos atveju teisės aktų leidėjas laikosi nuomonės, kad tokių dokumentų perdavimas yra pagrįstas,