Lai meklētu precīzu frāzi, ielieciet to pēdiņās. Lai atrastu meklējamā vārda variācijas, pievienojiet zvaigznīti (*). (Piemēri: transp*, 32019R*) Ar jautājuma zīmi (?) varat meklējamā vārdā aizstāt vienu rakstzīmi, lai atrastu arī tā variācijas (ja ierakstīsiet ca?e, sistēma atradīs case, cane, care).
Asetuksella (EU) 2022/2554 vahvistetaan yhdenmukaiset säännöt finanssiyhteisöjen, kuten pankkien, vakuutusyhtiöiden ja sijoituspalveluyritysten, verkko- ja tietojärjestelmien turvallisuudesta.
Se kattaa useita Euroopan unionin (EU) sääntelemiä rahoitusyhteisöjä, joiden on kestettävä tieto- ja viestintätekniikkaan (TVT) liittyvät häiriöt ja uhat sekä reagoitava niihin ja palauduttava niistä.
luottolaitokset, maksulaitokset, sähköisen rahan liikkeeseenlaskijalaitokset ja ammatillisia lisäeläkkeitä tarjoavat laitokset
tilitietopalvelun tarjoajat, kryptovarapalvelun tarjoajat, raportointipalvelujen tarjoajat ja TVT-palveluntarjoajana olevat kolmannet osapuolet
sijoituspalveluyritykset, vaihtoehtoiset sijoitusrahastot, rahastoyhtiöt, luottoluokituslaitokset ja kriittisten vertailuarvojen hallinnoijat
kauppatieto- ja arvopaperistamisrekisterit, arvopaperikeskukset, keskusvastapuolet ja kauppapaikat
vakuutus- ja jälleenvakuutusyritykset ja vakuutusedustajat.
TVT-riskin hallinta
Muiden finanssiyhteisöjen kuin mikroyritysten on toteutettava seuraavat toimet:
niillä on oltava käytössään sisäisiä hallinto- ja valvontatoimenpiteitä, joilla varmistetaan TVT-riskin tehokas ja järkevä hallinnointi
niiden on varmistettava, että ylin hallintoelin hyväksyy kaikki asiaankuuluvat järjestelyt sekä valvoo niitä ja on vastuussa niistä
niillä on oltava vankka, kattava ja hyvin dokumentoitu TVT-riskinhallintajärjestelmä, joka sisältää tarvittavat strategiat, toimintaperiaatteet, menettelyt, protokollat ja välineet nopeaa ja tehokasta reagointia varten
niiden on käytettävä ja pidettävä yllä ajantasaisia TVT-järjestelmiä, -protokollia ja -välineitä, jotka ovat tarkoituksenmukaisia, luotettavia ja teknisesti kestäviä ja joilla on riittävä kapasiteetti
niiden on yksilöitävä, luokiteltava ja asianmukaisesti dokumentoitava kaikki TVT:n tukemat liiketoiminnot, tehtävät ja vastuut ja tarkastelevat riskiskenaarioita
niiden on seurattava jatkuvasti TVT-järjestelmien ja -välineiden turvallisuutta ja toimintaa mahdollisen TVT-riskin vaikutusten minimoimiseksi
niiden on havaittava nopeasti poikkeamat ja yksilöitävä mahdolliset vikakohdat
niiden on otettava käyttöön kattavat TVT-liiketoiminnan jatkuvuutta koskevat toimintaperiaatteet sekä asianmukaiset suunnitelmat, menettelyt ja mekanismit
niiden on laadittava ja dokumentoitava varmuuskopiointikäytäntöjä sekä palautus- ja toipumismenettelyjä
niiden on käytettävä resursseja ja henkilöstöä arvioimaan haavoittuvuuksia ja kyberuhkia, TVT:hen liittyviä poikkeamia, erityisesti kyberhyökkäyksiä, ja analysoimaan näiden todennäköistä vaikutusta yhteisön digitaaliseen häiriönsietokykyyn
niiden on laadittava kriisiviestintäsuunnitelmia, joilla voidaan tiedottaa laajavaikutteisista TVT:hen liittyvistä poikkeamista tai haavoittuvuuksista asiakkaille, vastapuolille ja suurelle yleisölle.
TVT:hen liittyvä hallinnointi, luokittelu ja raportointi
Finanssiyhteisöjen on
määriteltävä, laadittava ja toteutettava toimenpiteitä TVT:hen liittyvien poikkeamien havaitsemiseksi, hallinnoimiseksi ja kirjaamiseksi sekä niistä ilmoittamiseksi
luokiteltava poikkeamat ja määriteltävä niiden vaikutukset kriteerien, kuten niiden asiakkaiden ja vastapuolten lukumäärän, johon poikkeama on vaikuttanut, keston, maantieteellisen laajuuden ja datan menetysten, perusteella
raportoitava merkittävistä TVT:hen liittyvistä poikkeamista niiden nimetylle toimivaltaiselle viranomaiselle, joka välittää raportin korkeammalle elimelle, kuten Euroopan keskuspankille tai Euroopan pankkiviranomaiselle.
Digitaalisen häiriönsietokyvyn testaus
Muiden finanssiyhteisöjen kuin mikroyritysten on
laadittava vankka ja kattava digitaalisen häiriönsietokyvyn testausohjelma, joka sisältää tarvittavat arvioinnit, testit, menetelmät, käytännöt ja välineet, ja pidettävä sitä yllä ja tarkistettava sitä
suoritettava vähintään kolmen vuoden välein uhkaperusteinen tunkeutumistestaus riskiprofiilinsa perusteella ja ottaen huomioon toimintaolosuhteet – ja käytettävä vain testaajia, joilla on sertifiointi, tarvittava asiantuntemus ja soveltuvuus sekä ammatillinen vastuuvakuutus.
Kolmansiin osapuoliin liittyvän TVT-riskin hallinta
Finanssiyhteisöjen on
hallinnoitava kolmansiin osapuoliin liittyvää riskiä erottamattomana osana niiden yleistä TVT-riskiä
tehtävä sopimusjärjestelyjä TVT-palveluista hoitaakseen liiketoimintaansa täysin asiaa koskevan lainsäädännön mukaisesti
otettava huomioon TVT:hen liittyvien riippuvuuksien ja mahdollisten riskien luonne, laajuus, monitahoisuus ja tärkeys
punnittava vaihtoehtoisten ratkaisujen hyötyjä ja kustannuksia määrittäessään ja arvioidessaan niihin liittyviä riskejä
sisällytettävä sopimukseen kunkin osapuolen oikeudet ja velvoitteet ja palvelusopimus.
Kriittisten TVT-palveluntarjoajina olevien kolmansien osapuolten valvontakehys
nimetä selkeiden kriteerien perusteella finanssiyhteisöjen kannalta kriittiset TVT-palveluntarjoajina olevat kolmannet osapuolet
nimittää kullekin kriittiselle palveluntarjoajana olevalle kolmannelle osapuolelle päävalvojaksi Euroopan valvontaviranomainen, joka on vastuussa kyseisestä finanssiyhteisöstä
perustetaan valvontafoorumi, jonka tehtävänä on
keskustella TVT-riskin ja -haavoittuvuuksien kehityksestä ja edistää johdonmukaista EU:n seurannan lähestymistapaa
arvioida valvontatoimia vuosittain, edistää toimia digitaalisen häiriönsietokyvyn parantamiseksi ja edistää parhaita käytäntöjä
toimittaa kriittisiä TVT-palveluntarjoajina olevia kolmansia osapuolia koskevia kattavia vertailuarvoja
valtuutetaan päävalvoja
olemaan kriittisten TVT-palveluntarjoajina olevien kolmansien osapuolten ensisijainen yhteyspiste
arvioimaan, onko kullakin kriittisellä palveluntarjoajalla kattavat, luotettavat ja toimivat säännöt, menettelyt, mekanismit ja järjestelyt
pyytämään kaikki asiaankuuluvat tiedot ja asiakirjat, suorittamaan tutkimuksia ja tarkastuksia (myös EU:n ulkopuolisissa maissa), erittelemään korjaavia toimia ja antamaan suosituksia
Delegoidun asetuksen (EU) 2024/1502 nojalla TVT-palveluntarjoajina olevat kolmannet osapuolet voidaan nimetä kriittisiksi ja saattaa Euroopan valvontaviranomaisten suoran valvonnan alaisiksi kaksivaiheisen arvioinnin jälkeen.
Vaihe1– määrälliset kriteerit
Palveluntarjoajan on täytettävä mitattavissa olevat kynnysarvot, joita ovat esimerkiksi seuraavat:
niiden finanssiyhteisöjen lukumäärä tai osuus niiden varojen kokonaisarvosta, jotka riippuvat palveluntarjoajan palveluista
voidaanko palveluntarjoajan palvelut korvata vai olisiko siirtyminen käyttämään toista palveluntarjoajaa vaikeaa tai kallista.
Vaihe2– laadulliset kriteerit
Vaiheen 1 kriteerit täyttäneitä palveluntarjoajia arvioidaan tämän jälkeen laajempien näkökohtien perusteella. Näitä näkökohtia ovat muun muassa seuraavat:
mahdolliset järjestelmävaikutukset, jos palveluntarjoajan palvelut häiriintyisivät
samaa palveluntarjoajaa käyttävien finanssiyhteisöjen keskinäisen riippuvuuden aste
tuettujen toimintojen kriittisyys
riippuvuus samoista alihankkijoista.
Palveluntarjoaja nimetään kriittiseksi vain, jos se täyttää molempien vaiheiden kriteerit.
Tietojenvaihtojärjestelyt
Finanssiyhteisöt voivat vaihtaa keskenään kyberuhkia koskevia tietoja ja tiedustelutietoja edellyttäen, että
sillä on tarkoitus vahvistaa niiden digitaalista häiriönsietokykyä
se tapahtuu niiden luotetuissa yhteisöissä
siinä suojellaan liikesalaisuuksien luottamuksellisuutta ja henkilötietoja ja noudatetaan kilpailupolitiikan sääntöjä.
Seuraamukset ja korjaavat toimenpiteet
Toimivaltaisilla viranomaisilla
on kaikki tehtäviensä hoitamiseen tarvittavat valtuudet valvoa, tutkia ja määrätä seuraamuksia
ne määräävät ja julkaisevat verkkosivustoillaan kansallisessa lainsäädännössä määritellyt hallinnolliset seuraamukset ja korjaavat toimenpiteet.
Euroopan valvontaviranomaiset laativat teknisiä sääntelystandardeja TVT-riskinhallintavälineitä, TVT:hen liittyvien poikkeamien luokittelua ja raportointia ja valvontatoimien toteuttamista varten.
Komissio
on valtuutettu antamaan delegoituja säädöksiä
toimittaa mennessä parlamentille ja neuvostolle asetuksen uudelleentarkastelun kuultuaan Euroopan valvontaviranomaisia ja Euroopan järjestelmäriskikomiteaa.
Vuoden 2008 finanssikriisin jälkeen toteutetuilla uudistuksilla vahvistettiin ensisijaisesti alan rahoitusvakautta. TVT-riskejä käsiteltiin vain epäsuorasti joillakin aloilla, ja ne aiheuttivat edelleen haasteita EU:n rajoitusjärjestelmän häiriönsietokyvylle, toiminnalle ja vakaudelle.
DORA-nimellä tunnettu asetus on osa laajempaa digitaalisen rahoituksen pakettia, jolla pyritään edistämään tekniikan kehitystä ja varmistamaan rahoitusvakaus ja kuluttajansuoja. Paketin muut osat kattavat digitaalisen rahoituksen strategian, kryptovarojen markkinat ja hajautetun tilikirjan teknologian.
Euroopan parlamentin ja neuvoston asetus (EU) 2022/2554, annettu , finanssialan digitaalisesta häiriönsietokyvystä ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014, (EU) N:o 909/2014 ja (EU) 2016/1011 muuttamisesta (EUVL L 333, , s. 1–79).
MUUT ASIAAN LIITTYVÄT ASIAKIRJAT
Komission delegoitu asetus (EU) 2024/1502, annettu , Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/2554 täydentämisestä täsmentämällä kriteerit TVT-palveluntarjoajana olevien kolmansien osapuolten nimeämiseksi finanssiyhteisöjen kannalta kriittisiksi (EUVL L, 2024/1502, ).
Komission tiedonanto Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle EU:n digitaalisen rahoituksen strategiasta (COM(2020) 591 final, ).
Euroopan parlamentin ja neuvoston asetus (EU) 2016/1011, annettu , rahoitusvälineissä ja rahoitussopimuksissa vertailuarvoina tai sijoitusrahastojen arvonkehityksen mittaamisessa käytettävistä indekseistä ja direktiivien 2008/48/EY ja 2014/17/EU sekä asetuksen (EU) N:o 596/2014 muuttamisesta (EUVL L 171, , s. 1–65).
Asetukseen (EU) 2016/1011 tehdyt peräkkäiset muutokset on sisällytetty alkuperäiseen tekstiin. Konsolidoitu toisinto on tarkoitettu ainoastaan dokumentointitarkoituksiin.
Euroopan parlamentin ja neuvoston asetus (EU) N:o 909/2014, annettu , arvopaperitoimituksen parantamisesta Euroopan unionissa sekä arvopaperikeskuksista ja direktiivien 98/26/EY ja 2014/65/EU sekä asetuksen (EU) N:o 236/2012 muuttamisesta (EUVL L 257, , s. 1–72)
Euroopan parlamentin ja neuvoston asetus (EU) N:o 600/2014, annettu , rahoitusvälineiden markkinoista sekä asetuksen (EU) N:o 648/2012 muuttamisesta (EUVL L 173, , s. 84–148).
Euroopan parlamentin ja neuvoston asetus (EU) N:o 648/2012, annettu , OTC-johdannaisista, keskusvastapuolista ja kauppatietorekistereistä (EUVL L 201, , s. 1–59).