Atlasiet eksperimentālās funkcijas, kuras vēlaties izmēģināt!

Šis dokuments ir izvilkums no tīmekļa vietnes EUR-Lex.

Finanssialan digitaalinen häiriönsietokyky

TIIVISTELMÄ ASIAKIRJASTA:

Asetus (EU) 2022/2554 finanssialan digitaalisesta häiriönsietokyvystä

ASETUKSEN TARKOITUS

Asetuksella (EU) 2022/2554 vahvistetaan yhdenmukaiset säännöt finanssiyhteisöjen, kuten pankkien, vakuutusyhtiöiden ja sijoituspalveluyritysten, verkko- ja tietojärjestelmien turvallisuudesta.

Se kattaa useita Euroopan unionin (EU) sääntelemiä rahoitusyhteisöjä, joiden on kestettävä tieto- ja viestintätekniikkaan (TVT) liittyvät häiriöt ja uhat sekä reagoitava niihin ja palauduttava niistä.

TÄRKEIMMÄT KOHDAT

Soveltamisala

Asetus kattaa seuraavat:

  • luottolaitokset, maksulaitokset, sähköisen rahan liikkeeseenlaskijalaitokset ja ammatillisia lisäeläkkeitä tarjoavat laitokset
  • tilitietopalvelun tarjoajat, kryptovarapalvelun tarjoajat, raportointipalvelujen tarjoajat ja TVT-palveluntarjoajana olevat kolmannet osapuolet
  • sijoituspalveluyritykset, vaihtoehtoiset sijoitusrahastot, rahastoyhtiöt, luottoluokituslaitokset ja kriittisten vertailuarvojen hallinnoijat
  • kauppatieto- ja arvopaperistamisrekisterit, arvopaperikeskukset, keskusvastapuolet ja kauppapaikat
  • vakuutus- ja jälleenvakuutusyritykset ja vakuutusedustajat.

TVT-riskin hallinta

Muiden finanssiyhteisöjen kuin mikroyritysten on toteutettava seuraavat toimet:

  • niillä on oltava käytössään sisäisiä hallinto- ja valvontatoimenpiteitä, joilla varmistetaan TVT-riskin tehokas ja järkevä hallinnointi
  • niiden on varmistettava, että ylin hallintoelin hyväksyy kaikki asiaankuuluvat järjestelyt sekä valvoo niitä ja on vastuussa niistä
  • niillä on oltava vankka, kattava ja hyvin dokumentoitu TVT-riskinhallintajärjestelmä, joka sisältää tarvittavat strategiat, toimintaperiaatteet, menettelyt, protokollat ja välineet nopeaa ja tehokasta reagointia varten
  • niiden on käytettävä ja pidettävä yllä ajantasaisia TVT-järjestelmiä, -protokollia ja -välineitä, jotka ovat tarkoituksenmukaisia, luotettavia ja teknisesti kestäviä ja joilla on riittävä kapasiteetti
  • niiden on yksilöitävä, luokiteltava ja asianmukaisesti dokumentoitava kaikki TVT:n tukemat liiketoiminnot, tehtävät ja vastuut ja tarkastelevat riskiskenaarioita
  • niiden on seurattava jatkuvasti TVT-järjestelmien ja -välineiden turvallisuutta ja toimintaa mahdollisen TVT-riskin vaikutusten minimoimiseksi
  • niiden on havaittava nopeasti poikkeamat ja yksilöitävä mahdolliset vikakohdat
  • niiden on otettava käyttöön kattavat TVT-liiketoiminnan jatkuvuutta koskevat toimintaperiaatteet sekä asianmukaiset suunnitelmat, menettelyt ja mekanismit
  • niiden on laadittava ja dokumentoitava varmuuskopiointikäytäntöjä sekä palautus- ja toipumismenettelyjä
  • niiden on käytettävä resursseja ja henkilöstöä arvioimaan haavoittuvuuksia ja kyberuhkia, TVT:hen liittyviä poikkeamia, erityisesti kyberhyökkäyksiä, ja analysoimaan näiden todennäköistä vaikutusta yhteisön digitaaliseen häiriönsietokykyyn
  • niiden on laadittava kriisiviestintäsuunnitelmia, joilla voidaan tiedottaa laajavaikutteisista TVT:hen liittyvistä poikkeamista tai haavoittuvuuksista asiakkaille, vastapuolille ja suurelle yleisölle.

TVT:hen liittyvä hallinnointi, luokittelu ja raportointi

Finanssiyhteisöjen on

  • määriteltävä, laadittava ja toteutettava toimenpiteitä TVT:hen liittyvien poikkeamien havaitsemiseksi, hallinnoimiseksi ja kirjaamiseksi sekä niistä ilmoittamiseksi
  • luokiteltava poikkeamat ja määriteltävä niiden vaikutukset kriteerien, kuten niiden asiakkaiden ja vastapuolten lukumäärän, johon poikkeama on vaikuttanut, keston, maantieteellisen laajuuden ja datan menetysten, perusteella
  • raportoitava merkittävistä TVT:hen liittyvistä poikkeamista niiden nimetylle toimivaltaiselle viranomaiselle, joka välittää raportin korkeammalle elimelle, kuten Euroopan keskuspankille tai Euroopan pankkiviranomaiselle.

Digitaalisen häiriönsietokyvyn testaus

Muiden finanssiyhteisöjen kuin mikroyritysten on

  • laadittava vankka ja kattava digitaalisen häiriönsietokyvyn testausohjelma, joka sisältää tarvittavat arvioinnit, testit, menetelmät, käytännöt ja välineet, ja pidettävä sitä yllä ja tarkistettava sitä
  • suoritettava vähintään kolmen vuoden välein uhkaperusteinen tunkeutumistestaus riskiprofiilinsa perusteella ja ottaen huomioon toimintaolosuhteet – ja käytettävä vain testaajia, joilla on sertifiointi, tarvittava asiantuntemus ja soveltuvuus sekä ammatillinen vastuuvakuutus.

Kolmansiin osapuoliin liittyvän TVT-riskin hallinta

Finanssiyhteisöjen on

  • hallinnoitava kolmansiin osapuoliin liittyvää riskiä erottamattomana osana niiden yleistä TVT-riskiä
  • tehtävä sopimusjärjestelyjä TVT-palveluista hoitaakseen liiketoimintaansa täysin asiaa koskevan lainsäädännön mukaisesti
  • otettava huomioon TVT:hen liittyvien riippuvuuksien ja mahdollisten riskien luonne, laajuus, monitahoisuus ja tärkeys
  • punnittava vaihtoehtoisten ratkaisujen hyötyjä ja kustannuksia määrittäessään ja arvioidessaan niihin liittyviä riskejä
  • sisällytettävä sopimukseen kunkin osapuolen oikeudet ja velvoitteet ja palvelusopimus.

Kriittisten TVT-palveluntarjoajina olevien kolmansien osapuolten valvontakehys

Kehyksellä

  • annetaan Euroopan valvontaviranomaisten (EVV) tehtäväksi
    • nimetä selkeiden kriteerien perusteella finanssiyhteisöjen kannalta kriittiset TVT-palveluntarjoajina olevat kolmannet osapuolet
    • nimittää kullekin kriittiselle palveluntarjoajana olevalle kolmannelle osapuolelle päävalvojaksi Euroopan valvontaviranomainen, joka on vastuussa kyseisestä finanssiyhteisöstä
  • perustetaan valvontafoorumi, jonka tehtävänä on
    • keskustella TVT-riskin ja -haavoittuvuuksien kehityksestä ja edistää johdonmukaista EU:n seurannan lähestymistapaa
    • arvioida valvontatoimia vuosittain, edistää toimia digitaalisen häiriönsietokyvyn parantamiseksi ja edistää parhaita käytäntöjä
    • toimittaa kriittisiä TVT-palveluntarjoajina olevia kolmansia osapuolia koskevia kattavia vertailuarvoja
  • valtuutetaan päävalvoja
    • olemaan kriittisten TVT-palveluntarjoajina olevien kolmansien osapuolten ensisijainen yhteyspiste
    • arvioimaan, onko kullakin kriittisellä palveluntarjoajalla kattavat, luotettavat ja toimivat säännöt, menettelyt, mekanismit ja järjestelyt
    • pyytämään kaikki asiaankuuluvat tiedot ja asiakirjat, suorittamaan tutkimuksia ja tarkastuksia (myös EU:n ulkopuolisissa maissa), erittelemään korjaavia toimia ja antamaan suosituksia
  • annetaan Euroopan pankkiviranomaiselle, Euroopan vakuutus- ja lisäeläkeviranomaiselle ja Euroopan arvopaperimarkkinaviranomaiselle mahdollisuus työskennellä EU:n ulkopuolisten sääntely- ja valvontaviranomaisten kanssa kolmansiin osapuoliin liittyvien TVT-riskien osalta
  • edellytetään, että Euroopan valvontaviranomaiset toimittavat joka viides vuosi Euroopan parlamentille, Euroopan unionin neuvostolle ja Euroopan komissiolle luottamuksellisen selvityksen yhteyksistään EU:n ulkopuolisten maiden viranomaisiin.

Kriittisten palveluntarjoajien nimeämisperusteet

Delegoidun asetuksen (EU) 2024/1502 nojalla TVT-palveluntarjoajina olevat kolmannet osapuolet voidaan nimetä kriittisiksi ja saattaa Euroopan valvontaviranomaisten suoran valvonnan alaisiksi kaksivaiheisen arvioinnin jälkeen.

  • Vaihe 1 – määrälliset kriteerit

Palveluntarjoajan on täytettävä mitattavissa olevat kynnysarvot, joita ovat esimerkiksi seuraavat:

  • Vaihe 2 – laadulliset kriteerit

Vaiheen 1 kriteerit täyttäneitä palveluntarjoajia arvioidaan tämän jälkeen laajempien näkökohtien perusteella. Näitä näkökohtia ovat muun muassa seuraavat:

  • mahdolliset järjestelmävaikutukset, jos palveluntarjoajan palvelut häiriintyisivät
  • samaa palveluntarjoajaa käyttävien finanssiyhteisöjen keskinäisen riippuvuuden aste
  • tuettujen toimintojen kriittisyys
  • riippuvuus samoista alihankkijoista.

Palveluntarjoaja nimetään kriittiseksi vain, jos se täyttää molempien vaiheiden kriteerit.

Tietojenvaihtojärjestelyt

Finanssiyhteisöt voivat vaihtaa keskenään kyberuhkia koskevia tietoja ja tiedustelutietoja edellyttäen, että

  • sillä on tarkoitus vahvistaa niiden digitaalista häiriönsietokykyä
  • se tapahtuu niiden luotetuissa yhteisöissä
  • siinä suojellaan liikesalaisuuksien luottamuksellisuutta ja henkilötietoja ja noudatetaan kilpailupolitiikan sääntöjä.

Seuraamukset ja korjaavat toimenpiteet

Toimivaltaisilla viranomaisilla

  • on kaikki tehtäviensä hoitamiseen tarvittavat valtuudet valvoa, tutkia ja määrätä seuraamuksia
  • ne määräävät ja julkaisevat verkkosivustoillaan kansallisessa lainsäädännössä määritellyt hallinnolliset seuraamukset ja korjaavat toimenpiteet.

Euroopan valvontaviranomaiset laativat teknisiä sääntelystandardeja TVT-riskinhallintavälineitä, TVT:hen liittyvien poikkeamien luokittelua ja raportointia ja valvontatoimien toteuttamista varten.

Komissio

  • on valtuutettu antamaan delegoituja säädöksiä
  • toimittaa mennessä parlamentille ja neuvostolle asetuksen uudelleentarkastelun kuultuaan Euroopan valvontaviranomaisia ja Euroopan järjestelmäriskikomiteaa.

Asetuksella muutetaan asetusta (EY) N:o 1060/2009, asetuksia (EU) N:o 648/2012, 909/2014 ja 600/2014 sekä asetusta (EU) 2016/1011.

MISTÄ ALKAEN ASETUSTA SOVELLETAAN?

Sitä on sovellettu alkaen.

TAUSTAA

Vuoden 2008 finanssikriisin jälkeen toteutetuilla uudistuksilla vahvistettiin ensisijaisesti alan rahoitusvakautta. TVT-riskejä käsiteltiin vain epäsuorasti joillakin aloilla, ja ne aiheuttivat edelleen haasteita EU:n rajoitusjärjestelmän häiriönsietokyvylle, toiminnalle ja vakaudelle.

DORA-nimellä tunnettu asetus on osa laajempaa digitaalisen rahoituksen pakettia, jolla pyritään edistämään tekniikan kehitystä ja varmistamaan rahoitusvakaus ja kuluttajansuoja. Paketin muut osat kattavat digitaalisen rahoituksen strategian, kryptovarojen markkinat ja hajautetun tilikirjan teknologian.

Ks. lisätietoja:

ASIAKIRJA

Euroopan parlamentin ja neuvoston asetus (EU) 2022/2554, annettu , finanssialan digitaalisesta häiriönsietokyvystä ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014, (EU) N:o 909/2014 ja (EU) 2016/1011 muuttamisesta (EUVL L 333, , s. 1–79).

Viimeisin päivitys:

Augša