Digital operativ motståndskraft för finanssektorn

VIKTIGA PUNKTER

Tillämpningsområde

Förordningen omfattar

• kreditinstitut, betalningsinstitut, institut för elektroniska pengar och tjänstepensionsinstitut,
• tjänsteleverantörer för kontoinformation, kryptotillgångar, datarapportering, gräsrotsfinansiering och IKT-tredjeparter,
• värdepappersföretag, alternativa investeringsfonder, förvaltningsbolag, kreditvärderingsinstitut och administratörer av kritiska referensvärden,
• transaktions- och värdepapperiseringsregister, värdepapperscentraler, centrala motparter och handelsplatser,
• försäkringar, försäkringsförmedlare och återförsäkringsföretag.

IKT-riskhantering

Finansiella entiteter som inte är mikroföretagska

• ha interna styrnings- och kontrollåtgärder som säkerställer en effektiv och ansvarsfull hantering av IKT-risker,
• säkerställa att deras ledningsorgan fastställer, godkänner, övervakar och ansvarar för alla relevanta arrangemang,
• ha en sund, omfattande och väldokumenterad ram för IKT-riskhantering med nödvändiga strategier, riktlinjer, förfaranden, protokoll och verktyg för att kunna reagera snabbt och effektivt,
• använda och underhålla uppdaterade IKT-system, IKT-protokoll och IKT-verktyg som är lämpliga, tillförlitliga, tekniskt motståndskraftiga och har tillräcklig kapacitet,
• identifiera, klassificera och på lämpligt sätt dokumentera alla IKT-stödda affärsfunktioner, roller och ansvarsområden samt se över riskscenarier,
• kontinuerligt övervaka säkerheten och driften av IKT-system och IKT-verktyg för att minimera effekterna av eventuella IKT-risker,
• snabbt upptäcka avvikelser och identifiera potentiella felpunkter,
• införa en övergripande IKT-kontinuitetspolicy med lämpliga planer, förfaranden och mekanismer,
• utveckla och dokumentera strategier för säkerhetskopiering samt förfaranden för återskapande och återställning,
• använda resurser och personal för att bedöma sårbarheter och cyberhot, IKT-relaterade incidenter, särskilt cyberangrepp, och analysera deras potentiella inverkan på entitetens digitala operativa motståndskraft,
• utarbeta kriskommunikationsplaner för att åtminstone avslöja större IKT-relaterade incidenter eller sårbarheter för kunder, motparter och allmänheten.

IKT-relaterad förvaltning, klassificering och rapportering

Finansiella entiteter ska

• fastställa, inrätta och genomföra åtgärder för att upptäcka, hantera, registrera och rapportera IKT-relaterade incidenter,
• klassificera incidenter och fastställa deras inverkan med hjälp av kriterier som antalet kunder och motparter som påverkas, varaktighet, geografisk spridning och dataförluster,
• rapportera större IKT-relaterade incidenter till sin utsedda behöriga myndighet, som vidarebefordrar dem till ett högre organ som Europeiska centralbanken eller Europeiska bankmyndigheten.

Testning av digital operativ motståndskraft

Finansiella entiteter som inte är mikroföretag ska

• upprätta, underhålla och se över ett sunt och omfattande program för testning av digital operativ motståndskraft som är utrustat med nödvändiga bedömningar, tester, metoder, praxis och verktyg,
• minst vart tredje år utföra penetrationstester på grundval av deras riskprofil och med beaktande av de operativa omständigheterna – och endast använda testare som är certifierade, har nödvändig sakkunskap och lämplighet och har professionell ansvarsförsäkring.

Hantering av IKT-tredjepartsrisk

Finansiella entiteter ska

• hantera tredjepartsrisker som en integrerad del av deras övergripande IKT-risk,
• ha kontraktsmässiga arrangemang som gör det möjligt för IKT-tjänster att bedriva sin affärsverksamhet i full överensstämmelse med relevant lagstiftning,
• ta hänsyn till IKT-relaterade beroendens karaktär, omfattning, komplexitet och betydelse och eventuella risker,
• väga fördelarna och kostnaderna med alternativa lösningar när de identifierar och bedömer eventuella risker,
• i kontraktet inkludera varje parts rättigheter och skyldigheter samt tjänsteavtalet.

Tillsynsram för kritiska tredjepartsleverantörer av IKT-tjänster

Genom ramen

• anförtros de europeiska tillsynsmyndigheterna att
• • på grundval av tydliga kriterier utse tredjepartsleverantörer av IKT-tjänster som anses vara kritiska för finansiella entiteter,
  • utse, i egenskap av ledande tillsynsmyndighet för varje kritisk tredjepartsleverantör av tjänster, den europeiska tillsynsmyndighet som är ansvarig för den berörda finansiella entiteten,
• inrättas ett tillsynsforum för att
• • diskutera relevant utveckling av IKT-risker och IKT-sårbarheter och främja en konsekvent övervakningsstrategi på EU-nivå,
  • bedöma tillsynsverksamheten årligen, främja åtgärder för att öka den digitala operativa motståndskraften och främja bästa praxis,
  • lägga fram heltäckande referensvärden för kritiska tredjepartsleverantörer av IKT-tjänster,
• ges den ledande tillsynsmyndigheten i uppdrag att
• • vara den primära kontaktpunkten för kritiska tredjepartsleverantörer av IKT-tjänster,
  • bedöma huruvida varje kritisk leverantör har infört omfattande, sunda och effektiva regler, förfaranden, mekanismer och arrangemang,
  • begära all relevant information och dokumentation, genomföra utredningar och inspektioner (även i länder utanför EU), specificera avhjälpande åtgärder och utfärda rekommendationer,
• görs det möjligt för Europeiska bankmyndigheten, Europeiska försäkrings- och tjänstepensionsmyndigheten och Europeiska värdepappers- och marknadsmyndigheten att samarbeta med reglerings- och tillsynsmyndigheter utanför EU när det gäller IKT-tredjepartsrisker,
• krävs det att de europeiska tillsynsmyndigheterna vart femte år lämnar en konfidentiell rapport till Europaparlamentet, Europeiska unionens råd och Europeiska kommissionen om sina kontakter med myndigheter i länder utanför EU.

Kriterier för utpekande av kritiska leverantörer

Enligt delegerad förordning (EU) 2024/1502 får tredjepartsleverantörer av IKT-tjänster utses till kritiska och ställas under de europeiska tillsynsmyndigheternas direkta tillsyn efter en bedömning i två steg.

• Steg 1 – kvantitativa kriterier

Leverantören måste uppfylla mätbara tröskelvärden, till exempel:

• antalet finansiella enheter, eller andelen av deras totala tillgångar, som är beroende av leverantörens tjänster,
• huruvida det tjänar systemviktiga institut (globala systemviktiga institut (G-SII:er) eller andra systemviktiga institut (O-SII:er)),
• om dess tjänster kan ersättas eller om det skulle vara svårt eller kostsamt att gå över till en annan leverantör.

• Steg2– kvalitativa kriterier

Leverantörer som uppfyller steg 1 bedöms därefter utifrån bredare överväganden, däribland:

• den potentiella systemiska påverkan om deras tjänster skulle störas,
• graden av ömsesidigt beroende mellan finansiella enheter som använder samma leverantör,
• kriticiteten hos de funktioner som stöds,
• beroende av gemensamma underleverantörer.

En leverantör betecknas som kritisk endast om den uppfyller kriterierna i båda stegen.

Arrangemang för informationsutbyte

Finansiella entiteter får sinsemellan utbyta information och underrättelser om cyberhot, under förutsättning att detta

• syftar till att stärka deras digitala operativa motståndskraft,
• äger rum inom deras betrodda grupper,
• skyddar affärshemligheter och personuppgifter och respekterar konkurrenspolitiska regler.

Sanktioner och avhjälpande åtgärder

Behöriga myndigheter

• har alla tillsyns-, utrednings- och sanktionsbefogenheter som krävs för att de ska kunna utföra sina skyldigheter,
• ålägger och på sina webbplatser offentliggör de administrativa sanktioner och avhjälpande åtgärder som fastställs i nationell lagstiftning.

De europeiska tillsynsmyndigheterna utarbetar förslag till tekniska standarder för hantering av IKT-risker, klassificering och rapportering av IKT-relaterade incidenter och genomförande av tillsynsverksamhet.

Kommissionen

• har befogenhet att anta delegerade akter,
• ska senast den 17 januari 2028 lämna in en översyn av förordningen, efter att ha konsulterat de europeiska tillsynsmyndigheterna och Europeiska systemrisknämnden, parlamentet och rådet.

Förordningen ändrar förordning (EG) nr 1060/2009, förordningarna (EU) nr 648/2012, 909/2014 och 600/2014 samt förordning (EU) 2016/1011.