This document is an excerpt from the EUR-Lex website
Document 02022R2554-20221227
Consolidated text: Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета от 14 декември 2022 година относно оперативната устойчивост на цифровите технологии във финансовия сектор и за изменение на регламенти (ЕО) № 1060/2009, (ЕС) № 648/2012, (ЕС) № 600/2014, (ЕС) № 909/2014 и (ЕС) 2016/1011 (текст от значение за ЕИП)
Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета от 14 декември 2022 година относно оперативната устойчивост на цифровите технологии във финансовия сектор и за изменение на регламенти (ЕО) № 1060/2009, (ЕС) № 648/2012, (ЕС) № 600/2014, (ЕС) № 909/2014 и (ЕС) 2016/1011 (текст от значение за ЕИП)
02022R2554 — BG — 27.12.2022 — 000.007
Този текст служи само за информационни цели и няма правно действие. Институциите на Съюза не носят отговорност за неговото съдържание. Автентичните версии на съответните актове, включително техните преамбюли, са версиите, публикувани в Официален вестник на Европейския съюз и налични в EUR-Lex. Тези официални текстове са пряко достъпни чрез връзките, публикувани в настоящия документ
|
РЕГЛАМЕНТ (ЕС) 2022/2554 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 14 декември 2022 година относно оперативната устойчивост на цифровите технологии във финансовия сектор и за изменение на регламенти (ЕО) № 1060/2009, (ЕС) № 648/2012, (ЕС) № 600/2014, (ЕС) № 909/2014 и (ЕС) 2016/1011 (ОВ L 333, 27.12.2022 г., стp. 1) |
Поправен със:
РЕГЛАМЕНТ (ЕС) 2022/2554 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА
от 14 декември 2022 година
относно оперативната устойчивост на цифровите технологии във финансовия сектор и за изменение на регламенти (ЕО) № 1060/2009, (ЕС) № 648/2012, (ЕС) № 600/2014, (ЕС) № 909/2014 и (ЕС) 2016/1011
(текст от значение за ЕИП)
ГЛАВА I
Общи разпоредби
Член 1
Предмет
За да се постигне високо общо равнище на оперативна устойчивост на цифровите технологии, с настоящия регламент се установяват единни изисквания за сигурността на мрежовите и информационните системи, които поддържат работните процеси на финансовите субекти, както следва:
изисквания към финансовите субекти във връзка с:
управлението на риска при информационните и комуникационните технологии (ИКТ);
докладването пред компетентните органи за съществени инциденти с ИКТ и уведомяването им на доброволни начала за значителни киберзаплахи;
докладването пред компетентните органи за съществени операционни или свързани със сигурността инциденти, свързани с плащания, от страна на финансовите субекти, посочени в член 2, параграф 1, букви а)—г);
тестването на оперативната устойчивост на цифровите технологии;
обмена на информация и разузнавателни сведения за киберзаплахите и уязвимите места;
мерките за стабилното управление на риска в областта на ИКТ, пораждан от трети страни;
изисквания във връзка с договорните споразумения, сключвани между третите страни доставчици на услуги в областта на ИКТ и финансовите субекти;
правила за създаването и изпълнението на надзорната рамка за третите страни критични доставчици на услуги в областта на ИКТ при предоставянето на услуги на финансовите субекти;
правила за сътрудничеството между компетентните органи, както и за надзора и правоприлагането от компетентните органи по всички обхванати от настоящия регламент въпроси.
Член 2
Обхват
Без да се засягат параграфи 3 и 4, настоящият регламент се прилага за следните субекти:
кредитни институции;
платежни институции, включително платежни институции, освободени съгласно Директива (ЕС) 2015/2366;
доставчици на услуги по предоставяне на информация за сметка;
институции за електронни пари, включително институции за електронни пари, освободени съгласно Директива 2009/110/ЕО;
инвестиционни посредници;
доставчици на услуги за криптоактиви, лицензирани съгласно Регламента на Европейския парламент и на Съвета относно пазарите на криптоактиви и за изменение на регламенти (ЕС) № 1093/2010 и (ЕС) № 1095/2010 и на директиви 2013/36/ЕС и (ЕС) 2019/1937 (наричан по-нататък „Регламентът относно пазарите на криптоактиви“), и емитенти на токени, обезпечени с активи;
централни депозитари на ценни книжа;
централни контрагенти;
места на търговия;
регистри на трансакции;
лица, управляващи алтернативни инвестиционни фондове;
управляващи дружества;
доставчици на услуги за докладване на данни;
застрахователни и презастрахователни предприятия;
застрахователни посредници, презастрахователни посредници и посредници, предлагащи застрахователни продукти като допълнителна дейност;
институции за професионално пенсионно осигуряване;
агенции за кредитен рейтинг;
администратори на критични бенчмаркове;
доставчици на услуги за колективно финансиране;
регистри на секюритизации;
трети страни доставчици на услуги в областта на ИКТ.
Настоящият регламент не се прилага за:
лицата, управляващи алтернативни инвестиционни фондове, посочени в член 3, параграф 2 от Директива 2011/61/ЕС;
застрахователните и презастрахователните предприятия, посочени в член 4 от Директива 2009/138/ЕО;
институциите за професионално пенсионно осигуряване, които управляват пенсионни схеми, в които участват общо не повече от 15 членове;
физическите или юридическите лица, освободени съгласно членове 2 и 3 от Директива 2014/65/ЕС;
застрахователните посредници, презастрахователните посредници и посредниците, предлагащи застрахователни продукти като допълнителна дейност, които са микро-, малки или средни предприятия;
пощенските джиро институции, посочени в член 2, параграф 5, точка 3 от Директива 2013/36/ЕС.
Член 3
Определения
За целите на настоящия регламент се прилагат следните определения:
„оперативна устойчивост на цифровите технологии“ означава способността на финансов субект да изгражда, осигурява и преглежда своята оперативна цялост и надеждност, като осигурява пряко или непряко — чрез ползване на услуги, предоставяни от трети страни доставчици на услуги в областта на ИКТ, пълния набор от свързан с ИКТ капацитет, необходим за сигурността на използваните от него мрежови и информационни системи, и който поддържа непрекъснатото предоставяне на финансови услуги и тяхното качество, включително при смущения;
„мрежова и информационна система“ означава мрежова и информационна система съгласно определението в член 6, точка 1 от Директива (ЕС) 2022/2555;
„наследена система на ИКТ“ означава система на ИКТ, която е достигнала края на жизнения си цикъл, която не е подходяща за модернизиране или поправка поради технологични или търговски причини или вече не се поддържа от своя доставчик или от трета страна доставчик на услуги в областта на ИКТ, но която все още се използва и поддържа функциите на финансовия субект;
„сигурност на мрежовите и информационните системи“ означава сигурност на мрежовите и информационните системи съгласно определението в член 6, точка 2 от Директива (ЕС) 2022/2555;
„риск в областта на ИКТ“ означава всяко установимо при обичайни условия обстоятелство във връзка с използването на мрежови и информационни системи, което, ако се реализира, може да застраши сигурността на мрежовите и информационните системи, на зависим от технологиите инструмент или процес, на операциите или процесите, или на предоставянето на услуги, като предизвика неблагоприятни последици в цифровата или физическата среда;
„информационен актив“ означава материална или нематериална съвкупност от информация, която си струва да се защитава;
„актив на ИКТ“ означава софтуерен или хардуерен актив в мрежовите и информационните системи, използвани от финансовия субект;
„инцидент с ИКТ“ означава единично събитие или поредица от свързани събития, които не са планирани от финансовия субект, застрашават сигурността на мрежовите и информационните системи и имат неблагоприятно въздействие върху наличността, автентичността, цялостността или поверителността на данните, или върху предоставяните от финансовия субект услуги;
„операционен или свързан със сигурността инцидент, свързан с плащания“ означава единично събитие или поредица от свързани събития, които не са планирани от финансовите субекти, посочени в член 2, параграф 1, букви а)—г), независимо дали са свързани с ИКТ или не, и имат неблагоприятно въздействие върху наличността, автентичността, цялостността или поверителността на свързаните с плащания данни, или върху свързаните с плащания услуги, предоставяни от финансовия субект;
„съществен инцидент с ИКТ“ означава инцидент с ИКТ, който има силно неблагоприятно въздействие върху мрежовите и информационните системи, поддържащи критични или важни функции на финансовия субект;
„съществен операционен или свързан със сигурността инцидент, свързан с плащания“ означава операционен или свързан със сигурността инцидент, свързан с плащания, който има силно неблагоприятно въздействие върху предоставяните услуги, свързани с плащания;
„киберзаплаха“ означава киберзаплаха съгласно определението в член 2, точка 8 от Регламент (ЕС) 2019/881;
„значителна киберзаплаха“ означава киберзаплаха, чиито технически характеристики показват, че би могла да доведе до съществен инцидент с ИКТ или до съществен операционен или свързан със сигурността инцидент, свързан с плащания;
„кибератака“ означава инцидент с ИКТ в резултат на злонамерен акт, причинен от опит на източник на заплаха с цел унищожаване, разкриване, промяна, деактивиране, открадване или получаване на непозволен достъп или непозволено използване на актив;
„разузнавателни сведения за заплахи“ означава информация, която е обобщена, обработена, анализирана, разтълкувана или обогатена, за да се осигури необходимият контекст с оглед на вземането на решения и за да се създадат условия за адекватно и достатъчно разбиране с оглед ограничаването на последствията от инцидент с ИКТ или от киберзаплаха, включително техническите белези на дадена кибератака, отговорните за нея лица и техният начин на действие и мотивация;
„уязвимо място“ означава слабост, тенденция или недостатък на актив, система, процес или контролна функция, които могат да бъдат използвани;
„тестване за проникване (TLPT)“ означава симулиране на тактиката, техниките и процедурите на реални източници на заплаха, за които се счита, че представляват истинска киберзаплаха; тази симулация представлява контролиран, специално разработен и опиращ се на разузнавателни сведения (червен екип) тест на критичните оперативни производствени системи на финансовия субект;
„риск в областта на ИКТ, пораждан от трета страна“ означава риск в областта на ИКТ, който може да възникне за финансов субект във връзка с използваните от него услуги в областта на ИКТ, предоставяни от трета страна доставчик на такива услуги или от нейни поддоставчици, включително чрез споразумения за възлагане на дейности на външни изпълнители;
„трета страна доставчик на услуги в областта на ИКТ“ означава предприятие, което предоставя услуги в областта на ИКТ;
„вътрешногрупов доставчик на услуги в областта на ИКТ“ означава предприятие, което е част от финансова група и предоставя предимно услуги в областта на ИКТ на финансови субекти от същата група или на финансови субекти, които са част от една и съща институционална защитна схема, включително на техните предприятия майки, дъщерни предприятия, клонове или други субекти, намиращи се в обща собственост или под общ контрол;
„услуги в областта на ИКТ“ означава цифрови услуги и услуги за данни, предоставяни непрекъснато чрез системите на ИКТ на един или повече вътрешни или външни ползватели, включително хардуер като услуга и хардуерни услуги, което включва техническа поддръжка чрез актуализации на софтуер или фърмуер от доставчика на хардуер и изключва традиционните аналогови телефонни услуги;
„критична или важна функция“ означава функция, чието смущение би намалило съществено финансовите резултати на даден финансов субект, или стабилността или непрекъснатостта на неговите услуги и дейности, или функция, чието прекъсване, неизправност или срив би намалило съществено възможността на даден финансов субект да продължи да изпълнява условията и задълженията, свързани с неговия лиценз или останалите си задължения съгласно приложимото право в областта на финансовите услуги;
„трета страна критичен доставчик на услуги в областта на ИКТ“ означава трета страна, която е доставчик на услуги в областта на ИКТ, определен като имащ критично значение в съответствие с член 31;
„трета страна доставчик на услуги в областта на ИКТ, установен в трета държава“ означава трета страна доставчик на услуги в областта на ИКТ, който е установено в трета държава юридическо лице, което е сключило договорно споразумение с финансов субект за предоставяне на услуги в областта на ИКТ;
„дъщерно предприятие“ означава дъщерно предприятие по смисъла на член 2, точка 10 и член 22 от Директива 2013/34/ЕС;
„група“ означава група съгласно определението в член 2, точка 11 от Директива 2013/34/ЕС;
„предприятие майка“ означава предприятие майка по смисъла на член 2, точка 9 и член 22 от Директива 2013/34/ЕС;
„поддоставчик на ИКТ, установен в трета държава“ означава поддоставчик на ИКТ, който е установено в трета държава юридическо лице, което е сключило договорно споразумение с трета страна доставчик на услуги в областта на ИКТ или с трета страна доставчик на услуги в областта на ИКТ, установен в трета държава;
„риск от концентрация при ИКТ“ означава експозиция към дадена трета страна критичен доставчик на услуги в областта на ИКТ или към множество свързани такива доставчици, която поражда известна степен на зависимост от такива доставчици, така че ако съответният доставчик не бъде достъпен, престане да предоставя услугите си или понесе друг вид неизправност, това потенциално може да застраши способността на финансовия субект да изпълнява критични или важни функции или да му причини други видове неблагоприятни последици, включително големи загуби, или да застраши финансовата стабилност на Съюза като цяло;
„ръководен орган“ означава ръководен орган съгласно определението в член 4, параграф 1, точка 36 от Директива 2014/65/ЕС, член 3, параграф 1, точка 7 от Директива 2013/36/ЕС, член 2, параграф 1, буква т) от Директива 2009/65/ЕО на Европейския парламент и на Съвета ( 1 ), член 2, параграф 1, точка 45 от Регламент (ЕС) № 909/2014, член 3, параграф 1, точка 20 от Регламент (ЕС) 2016/1011 и относимата разпоредба от Регламента относно пазарите на криптоактиви, или еквивалентните лица, които действително управляват субекта или изпълняват ключови функции в съответствие с приложимото право на Съюза или национално право;
„кредитна институция“ означава кредитна институция съгласно определението в член 4, параграф 1, точка 1 от Регламент (ЕС) № 575/2013 на Европейския парламент и на Съвета ( 2 );
„институция, освободена съгласно Директива 2013/36/ЕС“ означава субект, посочен в член 2, параграф 5, точки 4—23 от Директива 2013/36/ЕС;
„инвестиционен посредник“ означава инвестиционен посредник съгласно определението в член 4, параграф 1, точка 1 от Директива 2014/65/ЕС;
„малък и невзаимосвързан инвестиционен посредник“ означава инвестиционен посредник, който отговаря на условията по член 12, параграф 1 от Регламент (ЕС) 2019/2033 на Европейския парламент и на Съвета ( 3 );
„платежна институция“ означава платежна институция съгласно определението в член 4, точка 4 от Директива (ЕС) 2015/2366;
„платежна институция, освободена съгласно Директива (ЕС) 2015/2366“ означава платежна институция, освободена съгласно член 32, параграф 1 от Директива (ЕС) 2015/2366;
„доставчик на услуги по предоставяне на информация за сметка“ означава доставчик на услуги по предоставяне на информация за сметка, както е посочено в член 33, параграф 1 от Директива (ЕС) 2015/2366;
„институция за електронни пари“ означава институция за електронни пари съгласно определението в член 2, точка 1 от Директива 2009/110/ЕО на Европейския парламент и на Съвета;
„институция за електронни пари, освободена съгласно Директива 2009/110/ЕО“ означава институция за електронни пари, ползваща се от освобождаване, както е посочено в член 9, параграф 1 от Директива 2009/110/ЕО;
„централен контрагент“ означава централен контрагент съгласно определението в член 2, точка 1 от Регламент (ЕС) № 648/2012;
„регистър на трансакции“ означава регистър на трансакции съгласно определението в член 2, точка 2 от Регламент (ЕС) № 648/2012;
„централен депозитар на ценни книжа“ означава централен депозитар на ценни книжа съгласно определението в член 2, параграф 1, точка 1 от Регламент (ЕС) № 909/2014;
„място на търговия“ означава място на търговия съгласно определението в член 4, параграф 1, точка 24 от Директива 2014/65/ЕС;
„лице, управляващо алтернативни инвестиционни фондове“ означава лице, управляващо алтернативни инвестиционни фондове съгласно определението в член 4, параграф 1, буква б) от Директива 2011/61/ЕС;
„управляващо дружество“ означава управляващо дружество съгласно определението в член 2, параграф 1, буква б) от Директива 2009/65/ЕО;
„доставчик на услуги за докладване на данни“ означава доставчик на услуги за докладване на данни по смисъла на Регламент (ЕС) № 600/2014, както е посочен в член 2, параграф 1, точки 34—36;
„застрахователно предприятие“ означава застрахователно предприятие съгласно определението в член 13, точка 1 от Директива 2009/138/ЕО;
„презастрахователно предприятие“ означава презастрахователно предприятие съгласно определението в член 13, точка 4 от Директива 2009/138/ЕО;
„застрахователен посредник“ означава застрахователен посредник съгласно определението в член 2, параграф 1, точка 3 от Директива (ЕС) 2016/97 на Европейския парламент и на Съвета ( 4 );
„посредник, предлагащ застрахователни продукти като допълнителна дейност“ означава посредник, предлагащ застрахователни продукти като допълнителна дейност съгласно определението в член 2, параграф 1, точка 4 от Директива (ЕС) 2016/97;
„презастрахователен посредник“ означава презастрахователен посредник съгласно определението в член 2, параграф 1, точка 5 от Директива (ЕС) 2016/97;
„институция за професионално пенсионно осигуряване“ означава институция за професионално пенсионно осигуряване съгласно определението в член 6, точка 1 от Директива (ЕС) 2016/2341;
„малка институция за професионално пенсионно осигуряване“ означава институция за професионално пенсионно осигуряване, която управлява пенсионни схеми, в които участват общо по-малко от 100 членове;
„агенция за кредитен рейтинг“ означава агенция за кредитен рейтинг съгласно определението в член 3, параграф 1, буква б) от Регламент (ЕО) № 1060/2009;
„доставчик на услуги за криптоактиви“ означава доставчик на услуги за криптоактиви съгласно определението в относимата разпоредба от Регламента относно пазарите на криптоактиви;
„емитент на токени, обезпечени с активи“ означава емитент на токени, обезпечени с активи съгласно определението в относимата разпоредба от Регламента относно пазарите на криптоактиви;
„администратор на критични бенчмаркове“ означава администратор на критични бенчмаркове съгласно определението в член 3, параграф 1, точка 25 от Регламент (ЕС) 2016/1011;
„доставчик на услуги за колективно финансиране“ означава доставчик на услуги за колективно финансиране съгласно определението в член 2, параграф 1, буква д) от Регламент (ЕС) 2020/1503 на Европейския парламент и на Съвета ( 5 );
„регистър на секюритизации“ означава регистър на секюритизации съгласно определението в член 2, точка 23 от Регламент (ЕС) 2017/2402 на Европейския парламент и на Съвета ( 6 );
„микропредприятие“ означава финансов субект, различен от място на търговия, централен контрагент, регистър на трансакции или централен депозитар на ценни книжа, който има под 10 служители и чийто годишен оборот и/или общо салдо по годишния счетоводен баланс не надхвърля 2 милиона евро;
„водещ надзорник“ означава Европейският надзорен орган, назначен в съответствие с член 31, параграф 1, буква б) от настоящия регламент;
„Съвместен комитет“ означава комитетът, посочен в член 54 от регламенти (ЕС) № 1093/2010, (ЕС) № 1094/2010 и (ЕС) № 1095/2010;
„малко предприятие“ означава финансов субект, който има 10 или повече служители, но по-малко от 50 служители и чийто годишен оборот и/или общо салдо по годишния счетоводен баланс надхвърля 2 милиона евро, но не надхвърля 10 милиона евро;
„средно предприятие“ означава финансов субект, който не е малко предприятие и има под 250 служители и чийто годишен оборот не надхвърля 50 милиона евро и/или чието общо салдо по годишния счетоводен баланс не надхвърля 43 милиона евро;
„публичен орган“ означава всеки държавен орган или друг орган на публичната администрация, включително националните централни банки.
Член 4
Принцип на пропорционалност
ГЛАВА II
Управление на риска в областта на ИКТ
Член 5
Управление и организация
За целите на първа алинея ръководният орган:
носи крайната отговорност за управлението на риска в областта на ИКТ за финансовия субект;
въвежда политики, които имат за цел да осигурят поддържането на високи стандарти за наличността, автентичността, цялостността и поверителността на данните;
определя ясни роли и отговорности за всички свързани с ИКТ длъжности и установява подходящи правила за управление, за да се гарантират ефективна и навременна комуникация, сътрудничество и координация между тези длъжности;
носи цялостната отговорност за изготвянето и одобряването на стратегията за оперативна устойчивост на цифровите технологии, посочена в член 6, параграф 8, включително за определянето на подходящото ниво на толерантност към риска в областта на ИКТ за финансовия субект, както е посочено в член 6, параграф 8, буква б);
одобрява, упражнява надзор и периодично прави преглед на изпълнението на политиката на финансовия субект за непрекъснатост на дейността на ИКТ и на плановете му за реакция и възстановяване на ИКТ, посочени в член 11, съответно параграфи 1 и 3, които може да се приемат като целенасочена специфична политика, представляваща неразделна част от цялостната политика на финансовия субект за непрекъснатост на дейността и от плана за реакция и възстановяване;
одобрява и периодично прави преглед на плановете на финансовия субект за вътрешен одит на ИКТ, на одитите на ИКТ и на съществените промени в тях;
разпределя и периодично прави преглед на подходящия бюджет за покриване на потребностите на финансовия субект във връзка с оперативната устойчивост на цифровите технологии по отношение на всички видове ресурси, включително съответните програми за повишаване на осведомеността за сигурността на ИКТ и обучението за оперативната устойчивост на цифровите технологии, посочени в член 13, параграф 6, както и уменията в областта на ИКТ на целия персонал;
одобрява и периодично прави преглед на политиката на финансовия субект относно споразуменията за използването на услуги в областта на ИКТ, предоставяни от трети страни доставчици на такива услуги;
въвежда канали за докладване на корпоративно равнище, които му позволяват да бъде надлежно информиран за:
споразуменията, сключени с трети страни доставчици на услуги в областта на ИКТ относно използването на такива услуги,
всякакви относими планирани съществени промени по отношение на третите страни доставчици на услуги в областта на ИКТ,
потенциалното отражение на такива промени върху критичните или важните функции, предмет на тези споразумения, включително обобщен анализ на риска, за да се оцени въздействието на тези промени, и поне съществените инциденти с ИКТ и тяхното въздействие, както и мерките за реакция и възстановяване и корективните мерки.
Член 6
Рамка за управление на риска в областта на ИКТ
Рамката за управление на риска в областта на ИКТ включва стратегия за оперативна устойчивост на цифровите технологии, в която се описва нейното прилагане. За тази цел в стратегията за оперативна устойчивост на цифровите технологии се посочват методите за противодействие на риска в областта на ИКТ и за постигането на конкретни цели в областта на ИКТ, както следва:
обяснява се как рамката за управление на риска в областта на ИКТ подпомага стратегията и целите, които финансовият субект си е поставил за своята стопанска дейност;
определя се нивото на толерантност към риска в областта на ИКТ според склонността на финансовия субект за поемане на риск и се проучва допустимата степен на въздействие при смущения на ИКТ;
залагат се ясни цели за сигурност на информацията, включително ключови показатели за ефективност и ключови рискови показатели;
обяснява се референтната архитектура на ИКТ и всички промени, необходими за постигането на конкретни цели за дейността;
очертават се различните въведени механизми за откриване на инциденти с ИКТ, за предотвратяване на тяхното въздействие и за осигуряване на защита срещу него;
демонстрира се текущото състояние на оперативната устойчивост на цифровите технологии въз основа на броя на съществените инциденти с ИКТ, за които е било съобщено, и ефективността на превантивните мерки;
извършва се тестване на оперативната устойчивост на цифровите технологии в съответствие с глава IV от настоящия регламент;
очертава се комуникационната стратегия при настъпване на инциденти с ИКТ, чието оповестяване се изисква в съответствие с член 14.
Член 7
Системи и протоколи на ИКТ и основани на ИКТ инструменти
С цел да се справят с риска в областта на ИКТ и да го управляват, финансовите субекти използват и поддържат в актуален вид системи и протоколи на ИКТ и основани на ИКТ инструменти, които са:
съобразени с мащаба на операциите, посредством които те провеждат дейността си, в съответствие с принципа на пропорционалност, посочен в член 4;
надеждни;
с достатъчен капацитет за точното обработване на данните, необходими за изпълнението на дейностите и за своевременното предоставяне на услуги, както и за справянето със скокове в обема на поръчките, съобщенията или обемите на операциите според нуждите, включително при въвеждането на нови технологии;
технологично устойчиви, така че да могат адекватно да удовлетворяват необходимостта от допълнително обработване на информация, изисквано при неблагоприятни пазарни условия или други проблематични ситуации.
Член 8
Идентифициране
Член 9
Защита и предотвратяване
За постигане на целите, посочени в параграф 2, финансовите субекти използват ИКТ решения и процеси, които са подходящи в съответствие с член 4. Тези ИКТ решения и процеси:
гарантират сигурността на средствата за предаване на данни;
свеждат до минимум риска от увреждане или загуба на данните, непозволен достъп и технически недостатъци, които могат да попречат на стопанската дейност;
предотвратяват липсата на наличност, нарушаването на автентичността, цялостността и поверителността и загубата на данни;
гарантират, че данните са защитени от рискове, произтичащи от управлението на данните, включително лошо администриране, рискове, свързани с обработването им, и човешка грешка.
Като част от посочената в член 6, параграф 1 рамка за управление на риска в областта на ИКТ финансовите субекти:
разработват и документират политика за сигурност на информацията, в която определят правила за защита на наличността, автентичността, цялостността и поверителността на данните, информационните активи и активите на ИКТ, включително тези на техните клиенти, когато е приложимо;
създават, следвайки подход, при който се отчита рискът, стабилна структура за управление на мрежите и инфраструктурата с помощта на подходящи техники, методи и протоколи, което може да включва използването на автоматизирани механизми за обособяване на засегнатите при кибератаки информационни активи;
прилагат политики, които ограничават физическия или логическия достъп до информационните активи и активите на ИКТ единствено до необходимото с оглед на законните и одобрени функции и дейности, като за тази цел създават набор от политики, процедури и механизми за контрол на правата на достъп, и гарантират разумното им управление;
прилагат политики и протоколи за стабилни механизми за удостоверяване на автентичността, като използват съответните стандарти и специални системи за проверки и предпазни мерки за криптографските ключове, с които данните са криптирани след одобрено тяхно класифициране и извършена оценка на риска в областта на ИКТ;
прилагат документирани политики, процедури и контролни механизми за управление на промените в ИКТ — включително на промените в софтуера, хардуера, компонентите на фърмуера, параметрите на системите или сигурността — които почиват на подход с оценка на риска и са неразделна част от цялостния процес на управление на промените от страна на финансовия субект с цел да се гарантира контролираното записване, тестване, оценяване, одобряване, прилагане и проверяване на всички промени в системите на ИКТ;
разполагат с подходящи и обстойни документирани политики за коригиране и актуализиране.
За целите на първа алинея, буква б) финансовите субекти разработват инфраструктурата за мрежова връзка така, че да бъде възможно моменталното ѝ изваждане от експлоатация или сегментиране, за да се сведе до минимум и да се предотврати разпространяването на даден проблем, особено при взаимосвързаните финансови процеси.
За целите на първа алинея, буква д) процесът на управление на промените в ИКТ се одобрява от подходяща йерархична стълбица и за него се въвеждат специални протоколи.
Член 10
Откриване
Механизмите по първа алинея се тестват редовно, както е посочено в член 25.
Член 11
Реакция и възстановяване
Финансовите субекти прилагат политиката за непрекъснатост на дейността на ИКТ чрез специални, подходящи и документирани правила, планове, процедури и механизми, които имат за цел:
да се осигури непрекъснатостта на критичните или важните функции на финансовия субект;
да се предприемат бързи, подходящи и ефективни ответни действия и разрешаване на всички инциденти с ИКТ, така че да се ограничават щетите и да се отдава приоритет на възобновяването на функционирането и на възстановяването на информацията;
след всеки вид инцидент с ИКТ да се задействат без забавяне специални планове за прилагане на мерки, процеси и технологии за овладяването му и за предотвратяването на допълнителни щети, както и специални процедури за реакция и възстановяване, установени в член 12;
да се прави оценка на предварителните последици, щети и загуби;
да се определят действията за комуникация и за управление на кризи с цел актуализираната информация да се предаде на всички имащи отношение вътрешни служители и външни заинтересовани страни — както е посочено в член 14, и да се докладва на компетентните органи — както е посочено в член 19.
Като част от широкообхватното си управление на риска в областта на ИКТ финансовите субекти:
тестват плановете за непрекъснатост на дейността на ИКТ и плановете за реакция и възстановяване на ИКТ във връзка със системите на ИКТ, поддържащи всички функции, най-малко веднъж годишно, както и при съществени промени в системите на ИКТ, които поддържат критични или важни функции;
тестват изготвените в съответствие с член 14 планове за комуникация при криза.
За целите на първа алинея, буква а) финансовите субекти, без микропредприятията, предвиждат в тестовите си планове сценарии за кибератаки и преминаване от първичната инфраструктура на ИКТ към възпроизвеждащия я капацитет, резервни копия и възпроизвеждащи системи, необходими за изпълнение на задълженията по член 12.
Финансовите субекти извършват редовен преглед на своята политика за непрекъснатост на дейността на ИКТ и на плановете си за реакция и възстановяване на ИКТ, като вземат предвид резултатите тестовете, от проведени съгласно първа алинея, и препоръките от одитните проверки или надзорните прегледи.
Член 12
Политики и процедури за съхраняване на резервни копия, процедури и методи за възстановяване на информацията
С цел да се осигури максимално бързо възстановяване на системите на ИКТ и на данните, с ограничени смущения и загуби, финансовите субекти разработват и документират като част от рамката си за управление на риска в областта на ИКТ:
политики и процедури за съхраняване на резервни копия на данните, в които се определя обхватът на данните, за които се съхраняват резервни копия, както и минималната честота на това копиране, въз основа на това доколко е критично значението на данните и какво е нивото им на поверителност;
процедури и методи за възстановяване на информацията.
При централните контрагенти плановете за възстановяване осигуряват възможност за възстановяването на всички трансакции към момента на смущението, така че централният контрагент да може да продължи да функционира по надежден начин и да приключи сетълмента на определената дата.
Доставчиците на услуги за докладване на данни освен това поддържат достатъчно ресурси и разполагат с резервни механизми и механизми за възстановяване, за да предлагат и поддържат услугите си по всяко време.
Допълнителният обект за обработка:
се намира на физическо разстояние от основния обект за обработка, така че да има различен рисков профил и да не бъде засегнат от събитието, засегнало основния обект;
притежава капацитет, равен на този на основния обект, за осигуряване на непрекъснатостта на критичните или важните функции или за предоставяне на такова ниво на обслужване, което позволява на финансовия субект да извършва операциите от критично значение в рамките на заложените цели за възстановяване на информацията;
е непосредствено достъпен за персонала на финансовия субект, в случай че основният обект за обработка е станал недостъпен, така че да се осигури непрекъснатостта на критичните или важните функции.
Член 13
Обучение и развитие
При поискване финансовите субекти, без микропредприятията, съобщават на компетентните органи промените, които са били въведени след посочените в първа алинея прегледи на възникналите инциденти с ИКТ.
С посочените в първа алинея прегледи на възникналите инциденти с ИКТ се установява дали са били спазени въведените процедури и дали са били ефективни предприетите действия, включително по отношение на следното:
бързината на реагиране на предупредителните сигнали и установяване на въздействието на инцидентите с ИКТ и на тяхната сериозност;
качеството и бързината на техническата експертиза, когато извършването на такава е счетено за целесъобразно;
ефективността на процедурата на финансовия субект за пренасочване на управлението на инцидентите;
ефективността на вътрешната и външната комуникация.
Член 14
Комуникация
Член 15
Допълнително хармонизиране на инструментите, методите, процесите и политиките за управление на риска в областта на ИКТ
В рамките на съвместния комитет и в консултации с Агенцията на Европейския съюз за киберсигурност (ENISA) ЕНО разработват общи проекти на регулаторни технически стандарти с оглед на следното:
определяне на допълнителните елементи, които да бъдат включени в посочените в член 9, параграф 2 стратегии, политики, процедури, протоколи и инструменти за сигурност на ИКТ, така че мрежите да бъдат сигурни, да се създадат подходящи механизми срещу проникване и срещу злоупотреба с данните, да се запазят, включително чрез криптиране, наличността, автентичността, цялостността и поверителността на данните, както и да се осигури точното и бързо предаване на данните, без съществени смущения и неоправдано забавяне;
разработване на допълнителни компоненти на посочените в член 9, параграф 4, буква в) механизми за контрол на правата на управление на достъпа и на свързаната с тях политика за човешките ресурси, в които се определят правата на достъп, процедурите за предоставяне и отнемане на права, както и за наблюдаване на необичайното поведение във връзка с риска в областта на ИКТ чрез подходящи показатели за моделите на използване на мрежата, за часовите пояси, за дейността, свързана с информационните технологии, и за неизвестните устройства;
доразработване на посочените в член 10, параграф 1 механизми за бързо откриване на необичайните дейности, както и на посочените в член 10, параграф 2 критерии за задействане на процесите за откриване на инциденти при ИКТ и за реакция;
доуточняване на компонентите на посочената в член 11, параграф 1 политика за непрекъснатост на дейността на ИКТ;
доуточняване на изискванията за тестване на посочените в член 11, параграф 6 планове за непрекъснатост на дейността на ИКТ с цел тестването надлежно да обхваща всички сценарии, при които критична или важна функция се предоставя с неприемливо ниско качество или не се предоставя изобщо, както и надлежно да отчита потенциалното въздействие на изпадането в несъстоятелност или възникването на други проблеми при съответните трети страни доставчици на услуги в областта на ИКТ, а когато е приложимо — и политическия риск в юрисдикциите на съответните доставчици;
доуточняване на компонентите на посочените в член 11, параграф 3 планове за реакция и възстановяване на ИКТ;
доуточняване на съдържанието и формата на посочения в член 6, параграф 5 доклад за прегледа на рамката за управление на риска в областта на ИКТ;
Когато разработват тези проекти на регулаторни технически стандарти, ЕНО вземат предвид размера и цялостния рисков профил на финансовия субект и естеството, мащаба и сложността на неговите услуги, дейности и операции, като същевременно надлежно отчитат всяка специфична характеристика, произтичаща от различното естество на дейностите в различните сектори на финансовите услуги.
ЕНО предават на Комисията тези проекти на регулаторни технически стандарти до 17 януари 2024 г.
На Комисията се делегират правомощия да допълни настоящия регламент, като приеме посочените в първа алинея регулаторни технически стандарти в съответствие с членове 10—14 от регламенти (ЕС) № 1093/2010, (ЕС) № 1094/2010 и (ЕС) № 1095/2010.
Член 16
Опростена рамка за управление на риска в областта на ИКТ
Без да се засяга първа алинея посочените в нея субекти:
въвеждат и поддържат стабилна и документирана рамка за управление на риска в областта на ИКТ, в която се описват подробно механизмите и мерките, насочени към бързо, ефикасно и многоаспектно управление на риска в областта на ИКТ, включително за защита на съответните физически компоненти и инфраструктури;
непрекъснато наблюдават сигурността и функционирането на всички системи на ИКТ;
свеждат до минимум въздействието на риска в областта на ИКТ чрез използване на стабилни, устойчиви и поддържани в актуален вид системи и протоколи на ИКТ и основани на ИКТ инструменти, които са подходящи да подпомагат изпълнението на техните дейности и предоставянето на услуги, и защитават адекватно наличността, автентичността, цялостността и поверителността на данните в мрежовите и информационните системи;
осигуряват възможност за бързо установяване и откриване на източниците на риск в областта на ИКТ и аномалии в мрежовите и информационните системи и за бързо справяне с инциденти с ИКТ;
определят ключовите зависимости от третите страни доставчици на услуги в областта на ИКТ;
осигуряват непрекъснатостта на критичните и важните функции чрез планове за непрекъснатост на дейността и мерки за реакция и възстановяване, които включват най-малко мерки за съхраняване на резервни копия и възстановяване;
редовно тестват плановете и мерките, посочени в буква е), както и ефективността на мерките за контрол, предприети в съответствие с букви а) и в);
прилагат, по целесъобразност, съответните оперативни заключения, произтичащи от тестовете, посочени в буква ж), и от анализа след инциденти в процеса на оценка на риска в областта на ИКТ, и разработват, в съответствие с нуждите и профила на риска в областта на ИКТ, програми за повишаване на осведомеността за сигурността на ИКТ и обучения по оперативна устойчивост на цифровите технологии за персонала и ръководството.
В рамите на съвместния комитет и в консултации с ENISA ЕНО разработват общи проекти на регулаторни технически стандарти с оглед на следното:
доуточняване на елементите, които да бъдат включени в рамката за управление на риска в областта на ИКТ, посочена в параграф 1, втора алинея, буква а);
доуточняване на елементите във връзка със системите, протоколите и инструментите за свеждане до минимум на въздействието на риска в областта на ИКТ, посочено в параграф 1, втора алинея, буква в), така че да се гарантира сигурността на мрежите, да се създадат подходящи защитни механизми срещу проникване и срещу злоупотреба с данните, да се запазят наличността, автентичността, цялостността и поверителността на данните;
доуточняване на компонентите на плановете за непрекъснатост на дейността на ИКТ, посочени в параграф 1, втора алинея, буква е);
доуточняване на правилата за тестване на плановете за непрекъснатост на дейността и гарантиране на ефективността на мерките за контрол, посочени в параграф 1, втора алинея, буква ж), и гарантиране това тестване надлежно да обхваща всички сценарии, при които критична или важна функция се предоставя с неприемливо ниско качество или не се предоставя изобщо;
доуточняване на съдържанието и формата на доклада за прегледа на рамката за управление на риска в областта на ИКТ, посочен в параграф 2.
Когато разработват тези проекти на регулаторни технически стандарти, ЕНО вземат предвид размера и цялостния рисков профил на финансовите субекти и естеството, мащаба и сложността на техните услуги, дейности и операции.
ЕНО предават на Комисията тези проекти на регулаторни технически стандарти до 17 януари 2024 г.
На Комисията се делегират правомощия да допълни настоящия регламент, като приеме посочените в първа алинея регулаторни технически стандарти в съответствие с членове 10—14 от регламенти (ЕС) № 1093/2010, (ЕС) № 1094/2010 и (ЕС) № 1095/2010.
ГЛАВА III
Инциденти с ИКТ — управление, класифициране и докладване
Член 17
Процес за управление на инцидентите с ИКТ
С посочения в параграф 1 процес за управление на инцидентите с ИКТ се постига следното:
определят се показатели за ранно предупреждение;
въвеждат се процедури за установяване, проследяване, регистриране, категоризиране и класифициране на инцидентите с ИКТ според техния приоритет и тежест и според критичността на засегнатите услуги — в съответствия с критериите по член 18, параграф 1;
определят се ролите и задачите, които трябва да се задействат при отделните видове и сценарии на инциденти с ИКТ;
изготвят се планове за комуникация с персонала, външните заинтересовани страни и медиите в съответствие с член 14, както и планове за уведомяване на клиентите, за процедури за вътрешно пренасочване на управлението на инцидентите, включително на оплакванията на клиентите във връзка с ИКТ, както и планове за предоставяне на информация на контрагентите — финансови субекти, ако това е необходимо;
гарантира се, че поне съществените инциденти с ИКТ се докладват на съответното висше ръководство и че ръководният орган се уведомява поне за съществените инциденти с ИКТ, като се обяснява оказаното въздействие и реакцията и се посочва какви допълнителни контролни мерки трябва да се въведат в резултат на такива инциденти с ИКТ;
въвеждат се процедури за реакция при инцидент с ИКТ, за да се ограничат последиците и своевременно да се възобнови обичайното и сигурно функциониране на услугите.
Член 18
Класифициране на инцидентите с ИКТ и киберзаплахите
Финансовите субекти класифицират инцидентите с ИКТ и определят въздействието им по следните критерии:
броя и/или значимостта на клиентите или финансовите контрагенти, засегнати от инцидента с ИКТ, и, когато е приложимо, размера или броя на трансакциите, засегнати от инцидента с ИКТ, както и евентуално въздействие на инцидента с ИКТ върху репутацията;
продължителността на инцидента с ИКТ, включително периода на прекъсване на услугата;
географския обхват, т.е. райони, засегнати от инцидента с ИКТ, особено ако са засегнати повече от две държави членки;
загубата на данни в резултат на инцидента с ИКТ, във връзка с наличността, автентичността, цялостността или поверителността на данните;
критичната значимост на засегнатите услуги, включително на сделките и операциите на финансовия субект;
икономическите последици, по-специално преките и непреките разходи и загуби, от инцидента с ИКТ в абсолютно и в относително изражение.
В рамките на съвместния комитет и в консултации с ЕЦБ и ENISA ЕНО разработват общи проекти на регулаторни технически стандарти за доуточняване на:
критериите по параграф 1, включително праговете на същественост за определяне на съществените инциденти с ИКТ или, ако е приложимо, съществените операционни или свързани със сигурността инциденти, свързани с плащания, които трябва да бъдат докладвани по силата на член 19, параграф 1;
критериите, които компетентните органи трябва да прилагат, когато оценяват значението на съществени инциденти с ИКТ или, ако е приложимо, съществени операционни или свързани със сигурността инциденти, свързани с плащания, за съответните компетентни органи в други държави членки, и информацията в докладите за съществени инциденти с ИКТ или, ако е приложимо, съществени операционни или свързани със сигурността инциденти, свързани с плащания, която трябва да бъде споделяна с други компетентни органи по силата на член 19, параграфи 6 и 7;
критериите по параграф 2 от настоящия член, включително високите прагове на същественост за определяне на значителните киберзаплахи.
ЕНО предават на Комисията тези общи проекти на регулаторни технически стандарти до 17 януари 2024 г.
На Комисията се делегират правомощия да допълни настоящия регламент, като приеме посочените в параграф 3 регулаторни технически стандарти в съответствие с членове 10—14 от регламенти (ЕС) № 1093/2010, (ЕС) № 1094/2010 и (ЕС) № 1095/2010.
Член 19
Докладване за съществените инциденти с ИКТ и уведомяване на доброволен принцип за значителни киберзаплахи
Когато финансов субект подлежи на надзор от повече от един национален компетентен орган, посочен в член 46, държавите членки определят един-единствен орган за компетентен орган, който отговаря за изпълнението на функциите и задълженията, предвидени в настоящия член.
Кредитните институции, класифицирани като значими в съответствие с член 6, параграф 4 от Регламент (ЕС) № 1024/2013, докладват за съществените инциденти с ИКТ на съответния национален компетентен орган, определен в съответствие с член 4 от Директива 2013/36/ЕС, който незабавно предава този доклад на ЕЦБ.
За целите на първа алинея финансовите субекти събират и проучват цялата съответна информация, след което по образеца, посочен в член 20, изготвят първоначалното уведомление и докладите по параграф 4 от настоящия член, които предават на компетентния орган. В случай че техническа невъзможност възпрепятства подаването на първоначалното уведомление по образеца, финансовите субекти уведомяват компетентния орган за това чрез алтернативни средства.
Първоначалното уведомление и докладите по параграф 4 съдържат цялата информация, която е необходима на компетентния орган, за да определи доколко даденият инцидент с ИКТ е съществен и да оцени възможните последици в трансграничен план.
Без да се засяга докладването по първа алинея от финансовия субект на съответния компетентен орган, държавите членки могат допълнително да определят, че някои или всички финансови субекти предоставят също първоначалното уведомление и всички доклади по параграф 4 от настоящия член по образците, посочени в член 20, на компетентните органи или на екипите за реагиране при инциденти с компютърната сигурност (ЕРИКС), определени или установени в съответствие с Директива (ЕС) 2022/2555.
Кредитните институции, класифицирани като значими в съответствие с член 6, параграф 4 от Регламент (ЕС) № 1024/2013, могат на доброволен принцип да уведомяват за значителни киберзаплахи съответния национален компетентен орган, определен в съответствие с член 4 от Директива 2013/36/ЕС, който незабавно предава това уведомление на ЕЦБ.
Държавите членки могат да определят, че финансовите субекти, които уведомяват на доброволен принцип в съответствие с първа алинея, могат също така да предават това уведомление на ЕРИКС, определени или установени в съответствие с Директива (ЕС) 2022/2555.
В случай на значителна киберзаплаха финансовите субекти информират, когато е приложимо, клиентите си, които са потенциално засегнати, за всички подходящи мерки за защита, които клиентите биха могли да предприемат.
В сроковете, които се определят в съответствие с член 20, първа алинея, буква а), точка ii), финансовите субекти предоставят на съответния компетентен орган следното:
първоначално уведомление;
неокончателен доклад след първоначалното уведомление по буква а), веднага след като статусът на първоначалния инцидент се промени значително или справянето със съществения инцидент с ИКТ се промени въз основа на нова налична информация, последван, по целесъобразност, от актуализирани уведомления всеки път, когато съответният статус бъде актуализиран или ако компетентният орган специално поиска такива уведомления;
окончателен доклад, когато първопричината бъде проучена, независимо дали мерките за ограничаване на последиците са били вече предприети, и когато са налице действителните стойности на въздействието, с които могат да се заместят прогнозните.
При получаване на първоначалното уведомление и на всеки доклад по параграф 4 компетентният орган своевременно предоставя подробна информация за съществения инцидент с ИКТ на следните получатели, според случая, въз основа на съответните им компетенции:
ЕБО, ЕОЦКП или ЕОЗППО;
ЕЦБ, когато става въпрос за финансовите субекти по член 2, параграф 1, букви а), б) и г);
компетентните органи, единните звена за контакт или ЕРИКС, определени или установени в съответствие с Директива (ЕС) 2022/2555;
органите за преструктуриране, посочени в член 3 от Директива 2014/59/ЕС, и Единния съвет за преструктуриране (ЕСП) по отношение на субектите, посочени в член 7, параграф 2 от Регламент (ЕС) № 806/2014 на Европейския парламент и на Съвета ( 7 ), и по отношение на субектите и групите, посочени в член 7, параграф 4, буква б) и параграф 5 от Регламент (ЕС) № 806/2014, ако тази подробна информация се отнася до инциденти, които представляват риск за осигуряването на критични функции по смисъла на член 2, параграф 1, точка 35 от Директива 2014/59/ЕС; и
други имащи отношение публични органи съгласно националното право.
Член 20
Хармонизиране на съдържанието и на образците за докладване
В рамките на съвместния комитет и в консултации с ЕЦБ и ENISA ЕНО разработват:
общи проекти на регулаторни технически стандарти:
за установяване на съдържанието на докладите за съществени инциденти с ИКТ, за да се отразят критериите по член 18, параграф 1 и да се включат допълнителни елементи, като например подробна информация за установяване на значението на докладването за други държави членки и дали инцидентът представлява или не съществен операционен или свързан със сигурността инцидент, свързан с плащания;
за определяне на сроковете за първоначалното уведомление и за всеки доклад по член 19, параграф 4;
за установяване на съдържанието на уведомлението за значителни киберзаплахи.
При разработването на тези проекти на регулаторни технически стандарти ЕНО вземат предвид размера и цялостния рисков профил на финансовите субекти и естеството, мащаба и сложността на техните услуги, дейности и операции, и по-специално с цел да се гарантира, че за целите на настоящия параграф, буква а), точка ii) различните срокове могат да отразяват, когато е целесъобразно, особеностите на финансовите сектори, без да се засяга поддържането на последователен подход към докладването на инциденти с ИКТ съгласно настоящия регламент и Директива (ЕС) 2022/2555. Ако е приложимо, ЕНО предоставят обосновка, когато се отклоняват от подходите, възприети в контекста на посочената директива;
общи проекти на технически стандарти за изпълнение за установяване на стандартните формуляри, образци и процедури, с които финансовите субекти да докладват за съществени инциденти с ИКТ и да уведомяват за значителни киберзаплахи.
ЕНО предават на Комисията общите проекти на регулаторни технически стандарти, посочени в първа алинея, буква а) и общите проекти на технически стандарти за изпълнение по първи параграф, буква б) до 17 юли 2024 г.
На Комисията се делегират правомощия да допълни настоящия регламент, като приеме посочените в първа алинея, буква а) общи регулаторни технически стандарти в съответствие с членове 10—14 от регламенти (ЕС) № 1093/2010, (ЕС) № 1094/2010 и (ЕС) № 1095/2010.
На Комисията се предоставя правомощието да приеме посочените в първа алинея, буква б) общи технически стандарти за изпълнение в съответствие с член 15 от регламенти (ЕС) № 1093/2010, (ЕС) № 1094/2010 и (ЕС) № 1095/2010.
Член 21
Централизиране на докладването за съществени инциденти с ИКТ
Съвместният доклад по параграф 1 съдържа като минимум следните елементи:
предварителните условия за създаването на единен портал на ЕС;
ползата, ограниченията и рисковете, включително рисковете, свързани с високата концентрация на чувствителна информация;
необходимия капацитет за осигуряване на оперативна съвместимост с други съответни схеми за докладване;
елементите на оперативното управление;
условията за членство;
техническите договорености за достъп на финансовите субекти и националните компетентни органи до единния портал на ЕС;
предварителна оценка на финансовите разходи за създаването на оперативната платформа на единния портал на ЕС, включително за необходимия експертен опит.
Член 22
Обратна информация от надзорните органи
ЕНО отправят предупреждения и изготвят статистически данни на високо равнище в подкрепа на оценяването на заплахите и на уязвимите места при ИКТ.
Член 23
Операционни или свързани със сигурността инциденти, свързани с плащания, засягащи кредитни институции, платежни институции, доставчици на услуги по предоставяне на информация за сметка и институции за електронни пари
Изискванията, посочени в настоящата глава, се прилагат и по отношение на операционните или свързаните със сигурността инциденти, свързани с плащания, както и по отношение на съществените операционни или свързани със сигурността инциденти, свързани с плащания, когато те засягат кредитни институции, платежни институции, доставчици на услуги по предоставяне на информация за сметка и институции за електронни пари.
ГЛАВА IV
Тестване на оперативната устойчивост на цифровите технологии
Член 24
Общи изисквания за тестването на оперативната устойчивост на цифровите технологии
Член 25
Тестване на инструментите и системите на ИКТ
Член 26
Обстойно тестване на инструментите, системите и процесите на ИКТ чрез тестване за проникване
Финансовите субекти идентифицират всички относими основни системи, процеси и технологии в областта на ИКТ, които поддържат критични или важни функции, както и услугите в областта на ИКТ, включително такива, поддържащи критични или важни функции, които са възложени на външен изпълнител или с договор на трети страни доставчици на услуги в областта на ИКТ.
Финансовите субекти оценяват кои критични или важни функции е необходимо да бъдат обхванати от тестването за проникване. Точният обхват на тестването за проникване се определя в зависимост от резултата от тази оценка и се валидира от компетентните органи.
Съвкупното тестване обхваща съответната гама услуги в областта на ИКТ, поддържащи критичните или важните функции, възложени с договор от финансовите субекти на съответната трета страна доставчик на услуги в областта на ИКТ. Съвкупното тестване се счита за тестване за проникване, извършено от финансовите субекти, участващи в съвкупното тестване.
Броят на финансовите субекти, участващи в съвкупното тестване, се планира внимателно предвид сложността и вида на обхванатите услуги.
Без да се засяга това удостоверяване, финансовите субекти във всеки един момент са изцяло отговорни за въздействието на тестовете, посочени в параграф 4.
Кредитните институции, класифицирани като значими в съответствие с член 6, параграф 4 от Регламент (ЕС) № 1024/2013, използват само външни лица, провеждащи тестове, в съответствие с член 27, параграф 1, букви а)—д).
Компетентните органи определят финансовите субекти, от които се изисква да извършват тестване за проникване, като вземат предвид критериите, посочени в член 4, параграф 2, въз основа на оценка на следното:
фактори за въздействието, по-специално до каква степен предоставяните от финансовия субект услуги и предприеманите от него дейности оказват въздействие върху финансовия сектор;
евентуални опасения за финансовата стабилност, включително системния характер на финансовия субект на равнището на Съюза или на национално равнище, доколкото е приложимо;
свойствения за финансовия субект профил на риска в областта на ИКТ, степента на рутинност на неговите ИКТ или съответните технически спецификации.
Съгласувано с ЕЦБ ЕНО разработват съвместни проекти за регулаторни технически стандарти съгласно рамката TIBER-EU за доуточняване на:
използваните критерии за целите на прилагането на параграф 8, втора алинея;
изискванията и стандартите, уреждащи използването на вътрешни лица, провеждащи тестове;
изискванията във връзка със:
обхвата на тестването за проникване, посочен в параграф 2;
тестовата методика и подход за всеки етап от тестването;
резултатите, приключването на процеса и корективните мерки;
вида на необходимото сътрудничество за надзорни и други цели с оглед на изпълнението на тестването за проникване, както и за улесняване на взаимното признаване на тестването, при финансовите субекти с дейност в повече от една държава членка, така че да се осигури подходяща степен на участие на надзорните органи и гъвкаво прилагане, съобразено със спецификите на финансовите подсектори или на местните финансови пазари.
При разработването на тези проекти на регулаторни технически стандарти ЕНО надлежно отчитат всяка специфична характеристика, произтичаща от различното естество на дейностите в различните сектори на финансовите услуги.
ЕНО представят тези проекти на регулаторни технически стандарти на Комисията до 17 юли 2024 г.
На Комисията се делегират правомощия да допълни настоящия регламент, като приеме посочените в първа алинея регулаторни технически стандарти в съответствие с членове 10—14 от регламенти (ЕС) № 1093/2010, (ЕС) № 1094/2010 и (ЕС) № 1095/2010.
Член 27
Изисквания към лицата, провеждащи тестване за проникване
За провеждането на тестване за проникване финансовите субекти използват само лица, провеждащи такива тестове, които:
са най-подходящи за целта и са с най-добра репутация;
разполагат с необходимия технически и организационен капацитет и притежават специална експертни познания в областта на разузнавателните сведения за заплахи, тестването за проникване и тестването на защитните механизми при симулиране на реални условия (червен екип);
са акредитирани от акредитиращ орган на държава членка или се придържат към официални етични кодекси или изисквания;
предоставят независима гаранция или одитен доклад за доброто управление на рисковете, свързани с провеждането на тестване за проникване, включително подходяща защита на поверителната информация на финансовия субект и средства за правна защита във връзка с рисковете за дейността на финансовия субект;
разполагат с надлежно и цялостно застрахователно покритие за професионална отговорност, включително срещу риска от неправомерно поведение и небрежност.
При използване на вътрешни лица, провеждащи тестове, финансовите субекти гарантират, че наред с изискванията по параграф 1, са изпълнени и следните условия:
такова използване е одобрено от съответния компетентен орган или от единния публичен орган, определен в съответствие с член 26, параграфи 9 и 10;
съответният компетентен орган се е уверил, че финансовият субект отделя достатъчно ресурси и гарантира, че конфликтите на интереси се избягват по време на етапите на проектиране и изпълнение на теста; и
доставчикът на разузнавателни сведения за заплахи е външно лице спрямо финансовия субект.
ГЛАВА V
Управление на риска в областта на ИКТ, пораждан от трети страни
Член 28
Общи принципи
Финансовите субекти управляват риска в областта на ИКТ, пораждан от трети страни като неразделна част от компонента „риск в областта на ИКТ“ на своята рамка за управление на риска в областта на ИКТ, както е посочено в член 6, параграф 1 и съобразно следните принципи:
финансовите субекти, които с оглед на стопанската си дейност са сключили договорни споразумения за услуги в областта на ИКТ, във всеки един момент са изцяло отговорни за спазването на всички задължения по силата на настоящия регламент и на приложимото право в областта на финансовите услуги, както и за преценката, че тези задължения са изпълнени;
финансовите субекти управляват риска в областта на ИКТ, пораждан от трети страни, съобразно принципа на пропорционалност, като вземат предвид:
естеството, мащаба, сложността и значението на зависимостите във връзка с ИКТ,
рисковете, свързани с договорните споразумения за услуги в областта на ИКТ, сключени с трети страни доставчици на услуги в областта на ИКТ, като отчитат критичния или важен характер на съответната услуга, процес или функция, както и потенциалното въздействие на тези рискове върху непрекъснатостта и наличността на финансовите услуги и дейности на равнището на отделния субект и на групата.
Договорните споразумения по първа алинея се документират по подходящ начин, като тези, които се отнасят до услуги на ИКТ в подкрепа на критични или важни функции, се обособяват от останалите.
Поне веднъж годишно финансовите субекти осведомяват компетентните органи за броя нови споразумения за услуги в областта на ИКТ, за категориите трети страни доставчици на такива услуги, за вида на договорните споразумения и за предоставяните услуги и функции в областта на ИКТ.
При поискване от компетентния орган финансовите субекти му предоставят пълния информационен регистър или поисканите части от него, както и всички сведения, които компетентният орган е сметнал за необходими с оглед на упражняването на ефективен надзор върху финансовия субект.
Финансовите субекти своевременно уведомяват компетентния орган за намерението си да сключат договорно споразумение за услуги в областта на ИКТ, поддържащи критични или важни функции, както и когато дадена функция се е превърнала в критична или важна.
Преди да сключат договорно споразумение за услуги в областта на ИКТ финансовите субекти:
преценяват дали договорното споразумение се отнася до услуги в областта на ИКТ, поддържащи критична или важна функция;
оценяват дали са изпълнени надзорните изисквания за договорно възлагане на дадените услуги;
идентифицират и оценяват всички съответни рискове, свързани с договорното споразумение, включително вероятността такова договорно споразумение допринесе за засилване на риска от концентрация в областта на ИКТ, както е посочено в член 29;
надлежно проверяват бъдещите трети страни доставчици на услуги в областта на ИКТ и неотклонно по време на процеса на подбор и оценка се уверяват, че даденият доставчик е подходящ;
идентифицират и оценяват конфликтите на интереси, които договорното споразумение може да породи.
При договорните споразумения с третите страни доставчици на услуги в областта на ИКТ, които съдържат технически аспекти със значителна сложност, финансовите субекти се уверяват, че одиторите — независимо дали са вътрешни или външни или са група от одитори, притежават подходящите знания и умения, за да извършат ефективно съответните одити и оценки.
Финансовите субекти правят необходимото, за да гарантират, че договорните споразумения за ползването на услуги в областта на ИКТ могат да бъдат прекратени при всяко от следните обстоятелства:
при съществено нарушение на приложимите законови или подзаконови актове или на разпоредбите на договора, извършено от третата страна доставчик на услуги в областта на ИКТ;
при наличието на обстоятелства, установени при наблюдението на риска в областта на ИКТ, пораждан от трета страна, за които се смята, че могат да променят изпълнението на предоставяните по силата на договорното споразумение функции, включително съществени промени, които засягат договора или положението на третата страна доставчик на услуги в областта на ИКТ;
ако са налице свидетелства за слабости в цялостното управление на риска в областта на ИКТ от третата страна доставчик на услуги в областта на ИКТ, и по-специално в начина, по който той осигурява наличността, автентичността, цялостността и поверителността на данните, независимо дали става въпрос за лични данни, други чувствителни данни, или за данни, които не са от личен характер;
ако условията на съответното договорно споразумение или свързани с него обстоятелства не позволяват на компетентния орган да продължи да упражнява ефективен надзор върху финансовия субект.
Финансовите субекти се уверяват, че могат да прекратят всяко договорно споразумение, без това:
да прекъсне стопанската им дейност,
да ограничи спазването на регулаторните изисквания;
да бъде в ущърб на непрекъснатостта и качеството на предоставяните на клиентите услуги.
Изходните планове са изчерпателни, документирани и, в съответствие с критериите, посочени в член 4, параграф 2, достатъчно се тестват и периодично се подлагат на преглед.
Финансовите субекти подготвят алтернативни решения и преходни планове за оттегляне от третата страна доставчик на услуги в областта на ИКТ на договорно възложените ѝ услуги в областта на ИКТ и на съответните данни, както и за сигурното им предаване на алтернативни доставчици или за реинтегрирането им в собствените системи.
Финансовите субекти въвеждат подходящи мерки за действие при извънредни ситуации, за да осигурят непрекъснатост на дейността при възникване на обстоятелствата, посочени в първа алинея.
Комисията се оправомощава да приеме посочените в първа алинея технически стандарти за изпълнение в съответствие с член 15 от регламенти (ЕС) № 1093/2010, (ЕС) № 1094/2010 и (ЕС) № 1095/2010.
Когато разработват тези проекти на регулаторни технически стандарти, ЕНО вземат предвид размера на финансовите субекти, цялостния им рисков профил, както и естеството, мащаба и сложността на техните услуги, дейности и операции. ЕНО представят тези проекти на регулаторни технически стандарти на Комисията до 17 януари 2024 г.
На Комисията се делегира правомощието да допълни настоящия регламент, като приеме посочените в първа алинея регулаторни технически стандарти в съответствие с членове 10—14 от регламенти (ЕС) № 1093/2010, (ЕС) № 1094/2010 и (ЕС) № 1095/2010.
Член 29
Предварителна оценка на риска от концентрация на ИКТ на равнището на субектите
При идентифицирането и оценяването на риска от концентрация на ИКТ, посочен в член 28, параграф 4, буква в), финансовите субекти преценяват също дали предвижданото договорно споразумение за услуги в областта на ИКТ, подпомагащи критични или важни функции, би довело при сключването си до някое от следните последствия:
договор с трета страна доставчик на услуги в областта на ИКТ, която не може да бъде лесно заменена; или
множество договорни споразумения за услуги в областта на ИКТ, подпомагащи критични или важни функции, сключени с една и съща трета страна доставчик на такива услуги или с тясно взаимосвързани трети страни доставчици на такива услуги.
Финансовите субекти проучват разходите и ползите от алтернативни решения — например прибягване до различни трети страни доставчици на услуги в областта на ИКТ, като преценяват дали и как разглежданите решения съответстват на потребностите и целите на тяхната дейност, както са заложени в тяхната стратегия за устойчивост на цифровите технологии.
Когато договорното споразумение е за услуги в областта на ИКТ, поддържащи критични или важни функции, финансовите субекти надлежно вземат предвид приложимите правни норми при несъстоятелност на третата страна доставчик на услуги в областта на ИКТ, както и евентуалните ограничения, ако спешно им се наложи да получат обратно данните си от въпросния доставчик.
Когато договорното споразумение за услуги в областта на ИКТ, поддържащи критични или важни функции, е сключено с трета страна доставчик на услуги в областта на ИКТ, установена в трета държава, финансовите субекти, в допълнение към съображенията, посочени във втора алинея, вземат предвид също така съблюдаването на правилата на Съюза за защита на личните данни и ефективното прилагане на правото във въпросната трета държава.
Когато в договорното споразумение за услуги в областта на ИКТ, поддържащи критични или важни функции, е предвидено възлагане на дейностите на подизпълнители, финансовите субекти преценяват дали и как потенциално дългите или сложни вериги от подизпълнители могат да засегнат способността им да следят изцяло договорно възложените функции, както и способността на компетентния орган да упражнява върху тях ефективен надзор в това отношение.
Член 30
Основни договорни клаузи
Договорните споразумения за услуги в областта на ИКТ съдържат най-малко следните елементи:
ясно и пълно описание на всички функции и услуги в областта на ИКТ, които третата страна доставчик на услуги в областта на ИКТ трябва да предостави, като се посочва дали се позволява възлагане на подизпълнители на услуга в областта на ИКТ, поддържаща критична или важна функция, или на съществени части от нея, както и, ако такава възможност е предвидена, приложимите условия при такова възлагане на подизпълнители;
местата, а именно регионите или държавите, където трябва да бъдат предоставяни договорно възложените функции и услуги в областта на ИКТ или тези, възложени на подизпълнители, както и мястото, на което трябва да бъдат обработвани данните, включително мястото им на съхранение, както и изискването към третата страна доставчик на услуги в областта на ИКТ да уведоми предварително финансовия субект, ако възнамерява да промени тези места;
разпоредби относно наличността, автентичността, цялостността и поверителността във връзка със защитата на данните, включително личните данни;
разпоредби за осигуряване на достъп до обработваните от финансовия субект лични данни и такива без личен характер, и за възстановяването и връщането им в лесно достъпен формат в случай на несъстоятелност, преструктуриране или прекратяване на стопанската дейност на третата страна доставчик на услуги в областта на ИКТ, или в случай на прекратяване на договорното споразумение;
описание на нивото на обслужване, включително на актуализиране и преглед на предоставяните услуги;
задължението на третата страна доставчик на услуги в областта на ИКТ да предоставя помощ на финансовия субект без допълнителни разходи или на предварително определена цена, когато възникне инцидент с ИКТ, свързан с предоставяната на финансовия субект услуга в областта на ИКТ;
задължението на третата страна доставчик на услуги в областта на ИКТ да оказва пълно съдействие на компетентните органи и на органите за преструктуриране на финансовия субект, включително и на лицата, назначени от тях;
правото на прекратяване на договорните споразумения и свързаните с него минимални срокове за предизвестие — съобразно очакванията на компетентните органи и органите за преструктуриране;
условията за участие на третите страни доставчици на услуги в областта на ИКТ в програмите на финансовите субекти за повишаване на осведомеността относно сигурността на ИКТ и в обучението по оперативна устойчивост на цифровите технологии в съответствие с член 13, параграф 6.
В допълнение към елементите, посочени в параграф 2, договорните споразумения за услуги в областта на ИКТ, поддържащи критични или важни функции, включват най-малко следното:
обстойно описание на нивото на обслужване, включително на актуализиране и преглед на предоставяните услуги, с точни количествени и качествени цели за ефективност в рамките на договореното ниво на обслужване, така че финансовият субект да може ефективно да следи риска в областта на ИКТ, пораждан от трети страни и да предприеме възможно най-бързо подходящите корективни мерки, ако договореното ниво на обслужване не се спазва;
задълженията на третата страна доставчик на услуги в областта на ИКТ да докладва на финансовия субект, както и съответните срокове за това, включително задължението да го уведомява за всяко обстоятелство, което би могло да засегне съществено способността на третата страна доставчик на услуги в областта на ИКТ да предоставя ефективно услуги в областта на ИКТ или да изпълнява ефективно критични или важни функции в съответствие с договореното ниво на обслужване;
изисквания към третата страна доставчик на услуги в областта на ИКТ да прилага и тества планове за действие при извънредни ситуации, както и да разполага с мерки, инструменти и политики за сигурност на ИКТ, които осигуряват подходящо ниво на сигурност за предоставянето на услуги от финансовия субект, както е предвидено в отнасящата се до него нормативна уредба;
задължението на третата страна доставчик на услуги в областта на ИКТ да участва и да оказва пълно съдействие при тестването за проникване на финансовия субект, както е посочено в членове 26 и 27;
правото на финансовия субект текущо да наблюдава ефективността на третата страна доставчик на услуги в областта на ИКТ, което включва:
неограничено право на достъп, проверка и одит от страна на финансовия субект или определена за целта трета страна, както и от страна на компетентния орган, а също и право да бъдат взети копия на съответната документация на място, ако тя е от ключово значение за операциите на третата страна доставчик на услуги в областта на ИКТ, като други договорни споразумения или политики за изпълнение не възпрепятстват, нито ограничават ефективното упражняване на това право;
правото да бъдат договаряни алтернативни нива на сигурност, ако са засегнати права на други клиенти на финансовия субект;
ангажимента от страна на третата страна доставчик на услуги в областта на ИКТ да сътрудничи изцяло при проверките и одитите на място, извършвани от компетентните органи, водещия надзорник, финансовия субект или от определена за целта трета страна; и
задължението да предоставя подробна информация относно обхвата, процедурите, които трябва да бъдат следвани, и честотата на такива проверки и одити;
изходни стратегии, по-специално определяне на задължителен подходящ преходен период:
по време на който третата страна доставчик на услуги в областта на ИКТ продължава да предоставя съответните функции или услуги в областта на ИКТ с цел да се ограничи рискът за финансовия субект от смущение в дейността или да се гарантира ефективната му реорганизация или преструктуриране;
който позволява на финансовия субект да се прехвърли към друга трета страна доставчик на услуги в областта на ИКТ или да внедри собствени решения съобразно сложността на предоставяната услуга.
Чрез дерогация от буква д) третата страна доставчик на услуги в областта на ИКТ и финансовият субект, който е микропредприятие, може да се споразумеят, че правата на финансовия субект на достъп, проверка и одит може да бъдат делегирани на независима трета страна, определена от третата страна доставчик на услуги в областта на ИКТ, както и че финансовият субект може да поиска във всеки един момент информация и гаранции относно резултатите от дейността на третата страна доставчик на услуги в областта на ИКТ.
Когато разработват тези проекти на регулаторни технически стандарти, ЕНО вземат предвид размера на финансовите субекти, цялостния им рисков профил, както и естеството, мащаба и сложността на техните услуги, дейности и операции.
ЕНО представят тези проекти на регулаторни технически стандарти на Комисията до 17 юли 2024 г.
На Комисията се делегират правомощия да допълни настоящия регламент, като приеме посочените в първа алинея регулаторни технически стандарти в съответствие с членове 10—14 от регламенти (ЕС) № 1093/2010, (ЕС) № 1094/2010 и (ЕС) № 1095/2010.
Член 31
Определяне на третите страни критични доставчици на услуги в областта на ИКТ
В рамките на съвместния си комитет и по препоръка на създадения с член 32, параграф 1 надзорен форум ЕНО:
определят след оценка, при която се вземат под внимание посочените в параграф 2 критерии, критичните за финансовите субекти трети страни доставчици на услуги в областта на ИКТ;
определят за водещ надзорник на всяка от третите страни критични доставчици на услуги в областта на ИКТ отговорния ЕНО в съответствие с регламенти (ЕС) № 1093/2010, (ЕС) № 1094/2010 или (ЕС) № 1095/2010 за финансовите субекти, които съвместно притежават най-големия дял от общите активи спрямо стойността на общите активи на всички финансови субекти, използващи услугите на съответната трета страна критичен доставчик на услуги в областта на ИКТ, в съответствие със сбора на отделните счетоводни баланси на тези финансови субекти.
Определянето по параграф 1, буква а) се основава на всеки от следните критерии във връзка с услугите в областта на ИКТ, предоставяни от трета страна доставчик на услуги в областта на ИКТ:
системното въздействие върху стабилността, непрекъснатостта или качеството на предоставяните финансови услуги, в случай че дадена трета страна доставчик на услуги в областта на ИКТ бъде изправена пред мащабна оперативна неспособност да предоставя услугите си — предвид броя финансови субекти, които се ползват от услугите ѝ, и общата стойност на техните активи;
системния характер или значение на финансовите субекти, които обслужва дадената трета страна доставчик на услуги в областта на ИКТ — те се оценяват по следните параметри:
броя глобални системно значими институции (Г-СЗИ) или други системно значими институции (Д-СЗИ), които обслужва съответната трета страна доставчик на услуги в областта на ИКТ;
взаимозависимостта между посочените в точка i) Г-СЗИ или Д-СЗИ и други финансови субекти, включително ситуациите, при които Г-СЗИ или Д-СЗИ предоставят на други финансови субекти услуги, свързани с финансовата инфраструктура;
степента, в която критичните или важните функции на даден финансов субект зависят от услугите, предоставяни от една и съща трета страна доставчик на услуги в областта на ИКТ, без значение дали тази зависимост е пряка, непряка или възникнала поради възлагане на услугите на подизпълнители услуги;
степента, в която дадена трета страна доставчик на услуги в областта на ИКТ може да бъде заменена — тя се оценява по следните параметри:
отсъствие на реална, дори частична, алтернатива поради: ограничения брой присъстващи на съответния пазар трети страни доставчици на услуги в областта на ИКТ; пазарния дял на дадения такъв доставчик; наличието на висока техническа или друга сложност, включително използването от дадения доставчик на собствена технология; спецификата на организацията или дейността на дадения доставчик;
трудности по отношение на частичното или пълно прехвърляне на съответните данни и работно натоварване от дадената трета страна доставчик на услуги в областта на ИКТ към друга трета страна доставчик на такива услуги поради значителния ресурс — финансови разходи, време или друг ресурс, който прехвърлянето може да изиска, или поради увеличаване в резултат на прехвърлянето на риска в областта на ИКТ или на други операционни рискове за финансовия субект.
След като определят дадена трета страна за критичен доставчик на услуги в областта на ИКТ, ЕНО, чрез съвместния комитет, уведомяват за това съответната трета страна доставчик на услуги в областта на ИКТ, като я информират и за началната дата, от която тя подлежи на надзор. Тази начална дата е не по-късно от един месец след уведомлението. Третата страна доставчик на услуги в областта на ИКТ уведомява финансовите субекти, на които предоставя услуги, че е определена за критичен доставчик.
Определянето, посочено в параграф 1, буква а), не се прилага по отношение на:
финансови субекти, предоставящи услуги в областта на ИКТ на други финансови субекти;
третите страни доставчици на услуги от областта на ИКТ, които са обхванати от надзорни рамки, създадени с оглед на задачите, посочени в член 127, параграф 2 от Договора за функционирането на Европейския съюз;
вътрешногрупови доставчици на услуги в областта на ИКТ;
трети страни доставчици на услуги в областта на ИКТ, които предоставят услуги в областта на ИКТ само в една държава членка на финансови субекти, които извършват дейност само в тази държава членка.
За целите на първа алинея съответната трета страна доставчик на услуги в областта на ИКТ подава до ЕБО, ЕОЦКП или ЕОЗППО обосновано заявление, а посочените органи решават в рамките на съвместния комитет дали да я определят за критичен доставчик в съответствие с параграф 1, буква а).
Решението, посочено във втора алинея, се приема и съобщава на третата страна доставчика на услуги в областта на ИКТ в 6-месечен срок, считано от получаването на заявлението.
Член 32
Структура на надзорната рамка
В надзорния форум редовно се обсъждат съответните обстоятелства във връзка с риска в областта на ИКТ и с уязвимите места на ИКТ, като се насърчава последователен подход за наблюдаване на равнището на Съюза на риска в областта на ИКТ, пораждан от трети страни.
В състава на надзорния форум влизат:
председателите на ЕНО;
по един представител на високо равнище от настоящия персонал на съответния компетентен орган, посочен в член 46, от всяка държава членка;
изпълнителните директори на всеки ЕНО, както и по един представител от Комисията, от ЕССР, от ЕЦБ и от ENISA, като наблюдатели.
когато е целесъобразно, по един допълнителен представител на компетентен орган, посочен в член 46, от всяка държава членка като наблюдател;
ако е приложимо, по един представител на компетентните органи, определени или установени в съответствие с Директива (ЕС) 2022/2555, отговарящи за надзора на съществен или важен субект, попадащ в обхвата на посочената директива, който е определен за трета страна критичен доставчик на услуги в областта на ИКТ, като наблюдател.
Надзорният форум може, когато е целесъобразно, да потърси съвет от независими експерти, назначени в съответствие с параграф 6.
ЕНО публикуват на уебсайта си списъка на представителите на високо равнище от настоящия персонал на съответния компетентен орган, определени от държавите членки.
Независимите експерти се назначават въз основа на експертния им опит по въпросите на финансовата стабилност, оперативната устойчивост на цифровите технологии и по въпроси, свързани със сигурността на ИКТ. Те действат независимо и обективно единствено в интерес на Съюза като цяло, като нямат право да искат, нито да приемат указания от институциите или органите на Съюза, от правителства на държави членки или от други публични органи или частни организации.
Член 33
Задачи на водещия надзорник
Оценката, посочена в първа алинея, е насочена главно към услугите в областта на ИКТ, предоставяни от третата страна критичен доставчик на услуги в областта на ИКТ, поддържащи критичните или важните функции на финансовите субекти. Когато е необходимо за справяне с всички съответни рискове, тази оценка обхваща и услуги в областта на ИКТ, поддържащи функции, които не са критични или важни.
Оценката, посочена в параграф 2, обхваща:
изискванията във връзка с ИКТ за гарантиране по-специално на сигурността, наличността, непрекъснатостта, капацитета за увеличаване и качеството на услугите, предоставяни на финансовите субекти от третата страна критичен доставчик на услуги в областта на ИКТ, както и способността неотклонно да се спазват високи стандарти за наличност, автентичност, цялостност или поверителност на данните;
физическата сигурност, която допринася за гарантиране на сигурността на ИКТ, включително сигурността на помещенията, оборудването, центровете за данни);
процесите по управление на риска, включително политиките за управление на риска в областта на ИКТ, политиката за непрекъснатост на дейността на ИКТ и плановете за реакция и възстановяване на ИКТ;
управленските механизми за ефективно управление на риска в областта на ИКТ, включително организационна структура с ясни, прозрачни и последователни области на отговорност и правила за отчетността;
идентифицирането, наблюдаването и своевременното уведомяване на финансовите субекти за съществените инциденти с ИКТ, управлението и отстраняването на такива инциденти, в частност — на кибератаките;
механизмите за преносимост на данните, за преносимост на приложенията и за оперативна съвместимост, чрез които се осигурява ефективно упражняване от финансовите субекти на правото на прекратяване на деловите взаимоотношения;
тестването на системите, инфраструктурата и контролните механизми на ИКТ;
одитите на ИКТ;
използването на съответни национални и международни стандарти, приложими за предоставянето на услугите в областта на ИКТ на финансовите субекти.
Преди приемането на плана за надзор водещият надзорник предава проекта на плана за надзор на третата страна критичен доставчик на услуги в областта на ИКТ.
При получаване на проекта на плана за надзор третата страна критичен доставчик на услуги в областта на ИКТ, може в срок от 15 календарни дни да представи мотивирано становище, в което да докаже очакваното въздействие върху клиентите, които са субекти извън обхвата на настоящия регламент, и когато е целесъобразно, да формулира решения за смекчаване на рисковете.
Член 34
Оперативна координация между водещите надзорници
Член 35
Правомощия на водещия надзорник
За изпълнението на предвидените в настоящия раздел задачи водещият надзорник разполага със следните правомощия по отношение на критичните трети страни доставчици на услуги в областта на ИКТ:
да изисква цялата имаща отношение информация и документация съгласно член 37;
да провежда общи разследвания и проверки съгласно съответно членове 38 и 39;
да изисква след приключване на надзорните действия доклади, в които да са посочени предприетите от третите страни критични доставчици на услуги в областта на ИКТ, действия или корективни мерки по посочените в буква г) от настоящия параграф препоръки;
да издава препоръки в областите, посочени в член 33, параграф 3, по-специално за следното:
използване на специфични изисквания или процеси за сигурност и качество на ИКТ, по-специално за въвеждане на софтуерни пачове, актуализиране, криптиране и други мерки за защита, които водещият надзорник счита за необходими с оглед на сигурността на услугите в областта на ИКТ, предоставяни на финансовите субекти;
използване на условия и изисквания — като се отчита и техническото им изпълнение, които третите страни критични доставчици на услуги в областта на ИКТ трябва да съблюдават, когато предоставят такива услуги на финансовите субекти, и които водещият надзорник смята, че са необходими, за да се предотврати появата или разрастването на точки, повредата в които може да доведе до общ отказ на системата, или за да се сведе до минимум възможното системно въздействие върху финансовия сектор на Съюза на материализирал се риск от концентрация на ИКТ;
всяко планирано възлагане на подизпълнители, когато водещият надзорник прецени, че възлагането на подизпълнители, включително споразуменията за възлагане на подизпълнители, които третата страна критичен доставчик на услуги в областта на ИКТ възнамерява да сключи с трети страни доставчици на услуги в областта на ИКТ, или с поддоставчици на ИКТ, установени в трета държава, може да породи рискове за предоставянето на услуги от финансовия субект или рискове за финансовата стабилност въз основа на прегледа на събраната в съответствие с членове 37 и 38 информация;
въздържане от възлагане на подизпълнители, ако са изпълнени кумулативно следните условия:
За целите на точка iv) от настоящата буква третите страни доставчици на услуги в областта на ИКТ, като използват образеца, посочен в член 41, параграф 1, буква б), предават на водещия надзорник информацията относно възлагането на подизпълнители.
При упражняване на правомощията, посочени в настоящия член, водещият надзорник:
осигурява редовна координация в рамките на СМН и по-специално търси съгласувани подходи, когато е целесъобразно, по отношение на надзора над третите страни критичните доставчици на услуги в областта на ИКТ;
взема надлежно предвид рамката, установена с Директива (ЕС) 2022/2555, и при необходимост се консултира със съответните компетентни органи, определени и установени в съответствие с посочената директива, с цел избягване на дублиране на технически и организационни мерки, които биха могли да са приложими за третите страни критични доставчици на услуги в областта на ИКТ, съгласно посочената директива;
се стреми да сведе до минимум, доколкото е възможно, риска от смущение в услугите, предоставяни от третите страни критични доставчици на услуги в областта на ИКТ, на клиенти, които са субекти извън обхвата на настоящия регламент.
Преди да издаде препоръките в съответствие с параграф 1, буква г), водещият надзорник дава възможност на третата страна доставчик на услуги в областта на ИКТ да предостави в срок от 30 календарни дни съответната информация, доказваща очакваното въздействие върху клиентите, които са субекти извън обхвата на настоящия регламент, и когато е целесъобразно, да формулира решения за намаляване на рисковете.
Размерът на периодичните наказателни плащания се изчислява от датата, посочена в решението за налагането им, и представлява до 1 % от средния дневен световен оборот на третата страна критичен доставчик на услуги в областта на ИКТ, през предходната финансова година. При определяне на размера на наказателното плащане водещият надзорник взема предвид следните критерии относно неспазването на мерките, посочени в параграф 6:
тежестта и продължителността на неспазването;
дали неспазването е било умишлено или поради небрежност;
степента на сътрудничество на третата страна доставчик на услуги в областта на ИКТ с водещия надзорник;
За целите на първа алинея, за да се гарантира последователен подход, водещият надзорник участва в консултации в рамките на СМН.
Правото на защита на страната, срещу която е възбудено дело, се съблюдава строго в хода на производството. Третата страна критичен доставчик на услуги в областта на ИКТ, срещу която е възбудено дело, има право на достъп до преписката по делото при зачитане на законния интерес на други лица от опазване на търговските им тайни. Правото на достъп до преписката не се отнася до поверителната информация, нито до вътрешните подготвителни документи на водещия надзорник.
Член 36
Упражняване на правомощията на водещия надзорник извън Съюза
Когато целите на надзора не могат да бъдат постигнати чрез взаимодействие с дъщерното предприятие, създадено за целите на член 31, параграф 12, или чрез упражняване на надзорни дейности в помещения, намиращи се в Съюза, водещият надзорник може да упражнява правомощията, посочени в следните разпоредби, в помещения, разположени в трета държава, които са притежавани или използвани по някакъв начин за целите на предоставянето на услуги на финансови субекти от Съюза от трета страна критичен доставчик на услуги в областта на ИКТ, във връзка с неговите стопански операции, функции или услуги, включително административни, стопански или оперативни офиси, помещения, терени, сгради или други имоти:
в член 35, параграф 1, буква а), и
в член 35, параграф 1, буква б) в съответствие с член 38, параграф 2, букви а), б) и г) и член 39, параграф 1 и параграф 2, буква а).
Правомощията, посочени в първа алинея, може да бъдат упражнявани при спазване на всяко едно от следните условия:
водещият надзорник счита, че извършването на проверка в трета държава е необходимо, за да може той да изпълнява изцяло и ефективно задълженията си съгласно настоящия регламент;
проверката в трета държава е пряко свързана с предоставянето на услуги в областта на ИКТ на финансови субекти в Съюза;
съответната трета страна критичен доставчик на услуги в областта на ИКТ, е дал съгласието си за извършване на проверка в трета държава; както и
съответният орган на въпросната трета държава е бил официално уведомен от водещия надзорник и не е повдигнал възражения.
В споразуменията за сътрудничество се посочват най-малко следните елементи:
процедурите за координиране на надзорните дейности, извършвани съгласно настоящия регламент, и всяко аналогично наблюдение на риска в областта на ИКТ, пораждан от трета страна във финансовия сектор, упражнявано от съответния орган на засегнатата трета държава, включително подробности за предаване на съгласието на този орган, което да позволи на водещия надзорник и определения от него екип да проведат общи разследвания и проверки на място, както е посочено в параграф 1, първа алинея, на територията под негова юрисдикция;
механизма за предаване на всяка имаща отношение информация между ЕБО, ЕОЦКП или ЕОЗППО и съответния орган на засегнатата трета държава, по-специално във връзка с информацията, която може да бъде поискана от водещия надзорник съгласно член 37;
механизмите за своевременно уведомяване на ЕБО, ЕОЦКП или ЕОЗППО от съответния орган на засегнатата трета държава за случаите, в които за трета страна доставчик на услуги в областта на ИКТ, установена в трета държава и определена като критична съгласно член 31, параграф 1, буква а), се счита, че е нарушила изискванията, които съгласно приложимото право на тази трета държава е длъжна да спазва при предоставянето на услуги на финансови институции на нейна територия, както и приложените корективни мерки и санкции;
редовното предаване на актуална информация за промените в нормативната или надзорната уредба във връзка с наблюдението на риска в областта на ИКТ, пораждан от трети страни по отношение на финансовите институции в засегнатата трета държава;
подробностите, позволяващи, ако е необходимо, участието на един представител на съответния орган на третата държава в проверките, извършвани от водещия надзорник и определения екип.
Когато водещият надзорник не е в състояние да извършва надзорни дейности извън Съюза, съгласно посоченото в параграфи 1 и 2, водещият надзорник:
упражнява правомощията си по член 35 въз основа на всички факти и документи, с които разполага;
документира и обяснява всяка последица от невъзможността си да извърши предвидените надзорни дейности, както е посочено в настоящия член.
Потенциалните последици, посочени в буква б) от настоящия параграф, се вземат предвид в препоръките на водещия надзорник, издавани съгласно член 35, параграф 1, буква г).
Член 37
Искане за информация
Когато по силата на параграф 1 водещият надзорник изпраща обикновено искане за информация, той:
се позовава на настоящия член като правно основание за искането;
посочва целта на искането;
уточнява каква информация се изисква;
определя срока за предоставяне на информацията;
уведомява представителя на третата страна критичен доставчик на услуги в областта на ИКТ, от когото се иска информация, че не е задължен да я предостави, но че ако доброволно реши да го направи, предоставената информация трябва да бъде точна и неподвеждаща.
Когато по силата на параграф 1 водещият надзорник изисква с решение да му се предостави дадена информация, той:
се позовава на настоящия член като правно основание за искането;
посочва целта на искането;
уточнява каква информация се изисква;
определя срока за предоставяне на информацията;
посочва предвидените в член 35, параграф 6 периодични наказателни плащания при предоставяне на непълна информация или когато такава информация не е предоставена в срока, посочен в буква г) от настоящия параграф;
посочва предвиденото в членове 60 и 61 от регламенти (ЕС) № 1093/2010, (ЕС) № 1094/2010 и (ЕС) № 1095/2010 право на обжалване на решението пред апелативния съвет на ЕНО и на оспорването му пред Съда на Европейския съюз (наричан по-нататък „Съдът на ЕС“).
Член 38
Общи разследвания
Водещият надзорник разполага с правомощия:
да проверява записи, данни, процедури и други материали с отношение към изпълнението на неговите задачи, независимо от носителя, на който се съхраняват;
да взима или получава заверени копия или извлечения от тези записи, данни, документирани процедури, както и от всякакви други материали;
да призовава представителите на трета страна критичен доставчик на услуги в областта на ИКТ да дават устно или писмено обяснение на факти или документи, свързани с предмета и целта на разследването, и да записва отговорите;
да задава въпроси на всяко друго физическо или юридическо лице, което даде съгласие за това, с цел да събере информация, свързана с предмета на разследването;
да изисква записи на телефонни разговори и регистрирани преноси на данни.
В разрешението се посочват и предвидените в член 35, параграф 6 периодични наказателни плащания, в случай че изисканите записи, данни, документирани процедури или други материали, или отговорите на въпросите, зададени на представителите на третата страна доставчик на услуги в областта на ИКТ, не бъдат представени или бъдат непълни.
Водещият надзорник подава на СМН цялата информация, получена съгласно първа алинея.
Член 39
Проверки
За целите на упражняването на правомощията, посочени в първа алинея, водещият надзорник се консултира със СМН.
Длъжностните лица и други лица, упълномощени от водещия надзорник да извършват проверка, имат право:
да влизат във всички тези служебни помещения, терени или имоти; и
да запечатват всички тези служебни помещения, счетоводни книги или документи за срока и в степента, необходими за проверката.
Ако представителите на дадено трета страна критичен доставчик на услуги в областта на ИКТ, не се подчинят на дадена проверка, длъжностните лица и други лица, упълномощени от водещия надзорник, упражняват правомощията си след представяне на писмено разрешение, в което са посочени предметът и целта на проверката, както и предвидените в член 35, параграф 6 периодични наказателни плащания.
Член 40
Текущ надзор
Съвместният разследващ екип, посочен в параграф 1, се състои от служители от:
ЕНО;
съответните компетентни органи, упражняващи надзор на финансовите субекти, на които третата страна критичен доставчик на услуги в областта на ИКТ, предоставя услуги в областта на ИКТ;
националния компетентен орган, посочен в член 32, параграф 4, буква д), на доброволен принцип;
един национален компетентен орган от държавата членка, в която е установено третата страна критичен доставчик на услуги в областта на ИКТ, на доброволен принцип.
Членовете на съвместния разследващ екип притежават експертен опит в сферата на ИКТ и операционния риск. Работата на съвместния разследващ екип се координира от определен за целта служител на водещия надзорник („координатор на водещия надзорник“).
С оглед на надзорните действия водещият надзорник може да взима под внимание съответни издадени от трета страна удостоверения и вътрешни или външни одиторски доклади за ИКТ, предоставени от трета страна критичен доставчик на услуги в областта на ИКТ.
Член 41
Хармонизиране на условията за извършване на надзорните дейности
В рамките на съвместния си комитет ЕНО разработват проекти на регулаторни технически стандарти за:
информацията, която да бъде представена от трета страна доставчик на услуги в областта на ИКТ в заявлението за доброволно искане да бъде определен като критичен по смисъла на член 31, параграф 11;
съдържанието, структурата и формата на информацията, която се подава, оповестява или докладва от третите страни доставчици на услуги в областта на ИКТ съгласно член 35, параграф 1, включително образеца за предоставяне на информация за споразуменията за възлагане на подизпълнители;
критериите за определяне състава на съвместния проверяващ екип, осигуряващи балансирано участие на служителите на ЕНО и на съответните компетентни органи, тяхното определяне, задачи и работни договорености;
оценяването, което по силата на член 42, параграф 3 компетентните органи извършват на мерките, предприети от трети страни критични доставчици на услуги в областта на ИКТ, вследствие на препоръките на водещия надзорник.
На Комисията се делегират правомощия да допълни настоящия регламент, като приеме посочените в параграф 1 регулаторни технически стандарти в съответствие с процедурата, предвидена в членове 10—14 от регламенти (ЕС) № 1093/2010, (ЕС) № 1094/2010 и (ЕС) № 1095/2010.
Член 42
Последващи действия на компетентните органи
Водещият надзорник уведомява за това публично оповестяване третата страна доставчик на услуги в областта на ИКТ.
При управлението на риска при ИКТ, пораждан от трета страна финансовите субекти вземат предвид рисковете, посочени в първа алинея.
След получаването на докладите, посочени в член 35, параграф 1, буква в), когато вземат решение съгласно параграф 6 от настоящия член, компетентните органи отчитат вида и размера на риска, на който третата страна критичен доставчик на услуги в областта на ИКТ, не е обърнала внимание, както и доколко сериозно е неспазването, като се отчитат следните критерии:
тежестта и продължителността на неспазването;
дали неспазването е разкрило сериозни слабости в процедурите, системите за управление, управлението на риска и вътрешния контрол на третата страна критичен доставчик на услуги в областта на ИКТ;
дали неспазването е благоприятствало, предизвикало или по друг начин довело до финансово престъпление;
дали неспазването е било умишлено или поради небрежност;
дали спирането или прекратяването на договорните споразумения поражда риск за непрекъснатостта на стопанската дейност на финансовия субект, независимо от усилията на финансовия субект да избегне смущения в предоставянето на своите услуги;
ако е приложимо, поисканото на доброволен принцип в съответствие с параграф 5 от настоящия член становище на компетентните органи, определени или установени в съответствие с Директива (ЕС) 2022/2555, отговарящи за съществен или важен субект, попадащ в обхвата на посочената директива, който е определен за трета страна критичен доставчик на услуги в областта на ИКТ.
Компетентните органи предоставят на финансовите субекти необходимия срок, за да могат те да адаптират договорните споразумения с третите страни критични доставчици на услуги в областта на ИКТ, за да се избегнат неблагоприятните последици за тяхната оперативна устойчивост на цифровите технологии и да им се даде възможност да приложат изходните стратегии и преходните планове, посочени в член 28.
Третите страни критични доставчици на услуги в областта на ИКТ, засегнати от решенията по параграф 6, оказват пълно съдействие на засегнатите финансови субекти, по-специално в процеса на спиране на действието или прекратяване на договорните им споразумения.
Член 43
Такси за упражняване на надзор
Таксата, която се начислява на трета страна критичен доставчик на услуги в областта на ИКТ, покрива всички разходи, произтичащи от изпълнението на задълженията, предвидени в настоящия раздел, и е съобразена с неговия оборот.
Член 44
Международно сътрудничество
ГЛАВА VI
Споразумения за обмен на информация
Член 45
Споразумения за обмен на информация и разузнавателни сведения за киберзаплахи
Финансовите субекти могат да обменят помежду си информация и разузнавателни сведения за киберзаплахи, включително показатели за застрашена сигурност, тактики, техники и процедури, предупреждения във връзка с киберсигурността и инструменти за конфигуриране, доколкото този обмен на информация и разузнавателни сведения:
има за цел да подобри оперативната устойчивост на цифровите технологии при финансовите субекти, по-специално чрез повишаване на осведомеността за киберзаплахите, ограничаване или възпрепятстване на способността на киберзаплахите да се разпространяват, подпомагане на отбранителните способности, на техниките за откриване на заплахи, на стратегиите за ограничаване на риска или на етапите на реакция и възстановяване;
се извършва в ползващи се с доверие общности от финансови субекти;
се извършва чрез споразумения за обмен на информация, които защитават потенциално чувствителния характер на споделената информация и се подчиняват на етични правила при пълно зачитане на търговската тайна, защитата на личните данни съгласно Регламент (ЕС) 2016/679 и насоките за политиката в областта на конкуренцията.
ГЛАВА VII
Компетентни органи
Член 46
Компетентни органи
Без да се засягат разпоредбите, отнасящи се до посочената в глава V, раздел II от настоящия регламент надзорна рамка за трети страни критични доставчици на услуги в областта на ИКТ, спазването на настоящия регламент, се осигурява от следните компетентни органи, оправомощени със съответните правни актове:
за кредитните институции и за институциите, освободени съгласно Директива 2013/36/ЕС — компетентният орган, определен в съответствие с член 4 от посочената директива, а за кредитните институции, класифицирани като значими в съответствие с член 6, параграф 4 от Регламент (ЕС) № 1024/2013 — ЕЦБ съгласно правомощията и задачите, възложени ѝ с посочения регламент;
за платежните институции, включително платежните институции, освободени съгласно Директива (ЕС) 2015/2366, институциите за електронни пари, включително освободените съгласно Директива 2009/110/ЕО, и доставчиците на услуги по предоставяне на информация за сметка, посочени в член 33, параграф 1 от Директива (ЕС) 2015/2366 — компетентният орган, определен в съответствие с член 22 от Директива (ЕС) 2015/2366;
за инвестиционните посредници — компетентният орган, определен в съответствие с член 4 от Директива (ЕС) 2019/2034 на Европейския парламент и на Съвета ( 8 );
за доставчиците на услуги за криптоактиви, лицензирани съгласно Регламента относно пазарите на криптоактиви, и емитентите на токени, обезпечени с активи — компетентният орган, определен съгласно относимата разпоредба от посочения регламент;
за централните депозитари на ценни книжа — компетентният орган, определен в съответствие с член 11 от Регламент (ЕС) № 909/2014;
за централните контрагенти — компетентният орган, определен в съответствие с член 22 от Регламент (ЕС) № 648/2012;
за местата на търговия и доставчиците на услуги за докладване на данни —компетентният орган, определен съгласно член 67 от Директива 2014/65/ЕС, и компетентният орган, определен в член 2, параграф 1, точка 18 от Регламент (ЕС) № 600/2014;
за регистрите на трансакции — компетентният орган, определен в съответствие с член 22 от Регламент (ЕС) № 648/2012;
за лицата, управляващи алтернативни инвестиционни фондове — компетентният орган, определен в съответствие с член 44 от Директива 2011/61/ЕС;
за управляващите дружества — компетентният орган, определен в съответствие с член 97 от Директива 2009/65/ЕО;
за застрахователните и презастрахователните предприятия — компетентният орган, определен в съответствие с член 30 от Директива 2009/138/ЕО;
за застрахователните посредници, презастрахователните посредници и посредниците, предлагащи застрахователни продукти като допълнителна дейност — компетентният орган, определен в съответствие с член 12 от Директива (ЕС) 2016/97;
за институциите за професионално пенсионно осигуряване — компетентният орган, определен в съответствие с член 47 от Директива (ЕС) 2016/2341;
за агенциите за кредитен рейтинг — компетентният орган, определен в съответствие с член 21 от Регламент (ЕО) № 1060/2009;
за администраторите на критични бенчмаркове — компетентният орган, определен в съответствие с членове 40 и 41 от Регламент (ЕС) 2016/1011;
за доставчиците на услуги за колективно финансиране — компетентният орган, определен в съответствие с член 29 от Регламент (ЕС) 2020/1503;
за регистрите на секюритизации — компетентният орган, определен в съответствие с член 10 и член 14, параграф 1 от Регламент (ЕС) 2017/2402.
Член 47
Сътрудничество със структурите и органите, създадени с Директива (ЕС) 2022/2555
Член 48
Сътрудничество между органите
Член 49
Симулации, комуникация и сътрудничество сред финансовите сектори
Те могат да разработят симулационни сценарии за управление на кризи и действие при извънредни ситуации в резултат на кибератаки, с цел да се изградят комуникационни канали и постепенно да се създадат условия за ефективни координирани ответни действия на равнището на Съюза при съществен трансграничен инцидент с ИКТ или свързана с него заплаха със системно въздействие върху целия финансов сектор на Съюза.
Ако е необходимо, при тези симулации може да се тества и зависимостта на финансовия сектор от други икономически сектори.
Член 50
Административни санкции и коригиращи мерки
Правомощията по параграф 1 включват най-малко следните правомощия:
достъп до всякакви документи или съхранявани под каквато и да е форма данни, които компетентният орган смята за важни за изпълнението на задълженията си, и на получаване на копие от тях или на копирането им;
извършване на проверки на място или разследвания, които включват, но не се ограничават до:
призоваването на представителите на финансовите субекти да дават устно или писмено обяснение на факти или документи, свързани с предмета и целта на разследването, и записване на отговорите;
интервюирането на всякакви други физически или юридически лица, които дадат съгласие за това, с цел да бъде събрана информация, свързана с предмета на разследването;
изискване за прилагане на корективни и коригиращи мерки при нарушения на изискванията на настоящия регламент.
Тези санкции и мерки са ефективни, съразмерни и възпиращи.
Държавите членки оправомощават компетентните органи да налагат най-малко следните административни санкции или коригиращи мерки при нарушение на настоящия регламент:
разпореждане, с което от физическото или юридическото лице се изисква да спре действието, с което нарушава настоящия регламент и да се въздържа от повтаряне на това действие;
изискване за временно или постоянно прекратяване на практики или поведение, които компетентният орган смята, че са в нарушение на разпоредбите на настоящия регламент, и за недопускането им в бъдеще;
приемане на всякакви мерки, включително с парично измерение, за да се осигури непрекъснатото спазване на правните изисквания от финансовите субекти;
при сериозно подозрение за нарушение на настоящия регламент и доколкото позволява националното право — изискване за предоставяне на съхраняваните от телекомуникационен оператор записи на потоците от данни, които могат да са от значение за разследването на такова нарушение; както и
публикуване на известия, включително на публични изявления, в които се посочва самоличността — при физически лица или наименованието — при юридически лица, както и естеството на нарушението.
Член 51
Упражняване на правомощията за налагане на административни санкции и коригиращи мерки
Компетентните органи упражняват съгласно националната си правна уредба посочените в член 50 правомощия за налагане на административни санкции и коригиращи мерки, ако е целесъобразно, както следва:
пряко;
в сътрудничество с други органи;
на своя отговорност, като оправомощават други органи; или
като отнасят въпросите пред компетентните съдебни органи.
Когато определят вида и размера на налаганите по силата на член 50 административни санкции или корективни мерки компетентните органи се съобразяват с това доколко нарушението е умишлено или произтича от небрежност, както и с всички други съответни обстоятелства, включително, според случая, със следното:
съществеността, тежестта и продължителността на нарушението;
степента на отговорност на физическото или юридическото лице нарушител;
финансовите възможности на отговорното физическо или юридическо лице;
размера на реализираната печалба или избегнатата загуба от отговорното физическо или юридическо лице, доколкото може да бъде определен;
загубите за трети страни в резултат на нарушението, доколкото могат да бъдат определени;
доколко отговорното физическо или юридическо лице съдейства на компетентния орган, без това да засяга принудителното връщане от това физическо или юридическо лице на реализираната печалба или избегнатата загуба;
предишните нарушения на отговорното физическо или юридическо лице.
Член 52
Наказателноправни санкции
Член 53
Задължения за уведомяване
Държавите членки уведомяват Комисията, ЕОЦКП, ЕБО и ЕОЗППО относно законовите, подзаконовите и административните разпоредби за прилагане на настоящата глава, включително относно всички приложими наказателноправни разпоредби, до 17 януари 2025 г. При всяко последващо изменение на тези разпоредби държавите членки своевременно уведомяват Комисията, ЕОЦКП, ЕБО и ЕОЗППО.
Член 54
Публикуване на административните санкции
Ако компетентният орган прецени за даден случай, че публикуването на наименованието — при юридически лица, или на самоличността и лични данни — при физически лица, би било прекомерна мярка, включваща рискове по отношение на защитата на личните данни, която би застрашила стабилността на финансовите пазари или провеждането на текущо наказателно разследване, или би причинила несъразмерни вреди на засегнатото лице — доколкото могат да бъдат определени, той приема едно от следните решения по отношение на решението за налагане на административна санкция:
отлага публикуването му, докато не изчезнат всички причини за това то да не бъде публикувано;
публикува го анонимно, съблюдавайки националното право; или
въздържа се от публикуването му, ако сметне, че вариантите по букви а) и б) не са достатъчни, за да се премахне всяка опасност за стабилността на финансовите пазари, или ако въпросното публикуване би било непропорционално на наложената санкция, ако е била намалена.
Член 55
Професионална тайна
Член 56
Защита на данните
ГЛАВА VIII
Делегирани актове
Член 57
Упражняване на делегирането
ГЛАВА IX
Преходни и заключителни разпоредби
Член 58
Клауза за преглед
До 17 януари 2028 г., след като се допита, по целесъобразност, до ЕБО, ЕОЦКП, ЕОЗППО и ЕССР, Комисията извършва преглед и представя доклад на Европейския парламент и на Съвета, придружен, ако е целесъобразно, от законодателно предложение. Прегледът включва най-малко следното:
критериите по член 31, параграф 2 за определяне на третите страни критични доставчици на услуги в областта на ИКТ;
доброволния характер на уведомяването за значителни киберзаплахи, посочени в член 19;
режима, посочен в член 31, параграф 12, и правомощията на водещия надзорник, предвидени в член 35, параграф 1, буква г), точка iv), първо тире, с цел да се оцени ефективността на тези разпоредби по отношение на осигуряването на ефективен надзор на установените в трета държава трети страни критични доставчици на услуги в областта на ИКТ, както и необходимостта от създаване на дъщерно предприятие в Съюза.
За целите на първата алинея от настоящата буква прегледът включва анализ на режима, посочен в член 31, параграф 12, включително на условията за достъп на финансовите субекти от Съюза до услуги от трети държави и наличността на такива услуги на пазара на Съюза, и взема предвид други събития на пазарите на услугите, обхванати от настоящия регламент, практическия опит на финансовите субекти и органите за финансов надзор по отношение на прилагането и съответно надзора на този режим, както и всички съответни промени в нормативната и надзорната област, които настъпват на международно равнище.
целесъобразността на включването в обхвата на настоящия регламент на финансовите субекти, посочени в член 2, параграф 3, буква д), като се използват автоматизирани системи за продажба, с оглед на бъдещото развитие на пазара във връзка с използването на такива системи;
функционирането и ефективността на СМН в подкрепа на съгласуваността на надзора и ефикасността на обмена на информация в рамките на надзорната рамка.
Въз основа на посочения доклад за преглед и след консултация с ЕБО, ЕЦБ и ЕССР Комисията може да представи, ако е целесъобразно и като част от законодателното предложение, което може да приеме съгласно член 108, втори параграф от Директива (ЕС) 2015/2366, предложение, с което да се гарантира, че всички оператори на платежни системи и субекти, участващи в дейности по обработване на плащания, са обект на подходящ надзор, като същевременно се отчита съществуващият надзор от страна на централната банка.
Член 59
Изменения на Регламент (ЕО) № 1060/2009
Регламент (ЕО) № 1060/2009 се изменя, както следва:
В приложение I, раздел А, точка 4 първата алинея се заменя със следното:
„Агенциите за кредитен рейтинг разполагат с надеждни административни и счетоводни процедури, механизми за вътрешен контрол, ефективни процедури за оценка на риска и ефективни контролни и защитни механизми за управление на системите на ИКТ, както се изисква от Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета ( *1 ).
В приложение III точка 12 се заменя със следното:
Агенцията за кредитен рейтинг нарушава член 6, параграф 2, във връзка с раздел А, точка 4 от приложение I, ако не разполага с надеждни административни или счетоводни процедури, с механизми за вътрешен контрол, с ефективни процедури за оценка на риска, или с ефективни контролни или защитни механизми за управление на системите на ИКТ в съответствие с Регламент (ЕС) 2022/2554; или ако не прилага или не поддържа процедурите за вземане на решение или организационните структури, изисквани съгласно посочената точка.“
Член 60
Изменения на Регламент (ЕС) № 648/2012
Регламент (ЕС) № 648/2012 се изменя, както следва:
Член 26 се изменя, както следва:
параграф 3 се заменя със следното:
параграф 6 се заличава.
Член 34 се изменя, както следва:
параграф 1 се заменя със следното:
в параграф 3 първата алинея се заменя със следното:
В член 56, параграф 3 първата алинея се заменя със следното:
В член 79 параграфи 1 и 2 се заменят със следното:
В член 80 параграф 1 се заличава.
В приложение I раздел II се изменя, както следва:
букви а) и б) се заменят със следното:
регистър на трансакции нарушава член 79, параграф 1, ако не идентифицира източниците на операционен риск или не сведе до минимум тези рискове чрез разработването на подходящи системи, механизми за контрол и процедури, включително системи на ИКТ, управлявани в съответствие с Регламент (ЕС) 2022/2554;
регистър на трансакции нарушава член 79, параграф 2, ако не създаде, не прилага или не поддържа адекватна политика за непрекъснатост на дейността и план за възстановяване от катастрофа, изготвени в съответствие с Регламент (ЕС) 2022/2554, с които се цели осигуряване на поддържането на неговите функции, своевременното възобновяване на операциите и изпълнението на задълженията на регистъра на трансакции;“;
буква в) се заличава.
Приложение III се изменя, както следва:
раздел II се изменя, както следва:
буква в) се заменя със следното:
ЦК от ниво 2 нарушава член 26, параграф 3, ако не поддържа или не прилага организационна структура, която осигурява непрекъснатост и нормално функциониране при изпълнението на неговите услуги и дейности, или ако не използва подходящи и пропорционални системи, ресурси или процедури, включително системи на ИКТ, управлявани в съответствие с Регламент (ЕС) 2022/2554.“;
буква е) се заличава;
в раздел III буква а) се заменя със следното:
ЦК от ниво 2 нарушава член 34, параграф 1, ако не създаде, не прилага или не поддържа адекватна политика за непрекъснатост на дейността и план за реакция и възстановяване, създадени в съответствие с Регламент (ЕС) 2022/2554, с които се цели да се осигури поддържане на неговите функции, своевременно възстановяване на операциите и изпълнение на задълженията на ЦК, и позволяват най-малко възстановяването на всички трансакции към момента на смущението, за да може ЦК да продължи по надежден начин дейността си и да приключи сетълмента на определената дата;“.
Член 61
Изменения на Регламент (ЕС) № 909/2014
Член 45 от Регламент (ЕС) № 909/2014 се изменя, както следва:
Параграф 1 се заменя със следното:
Параграф 2 се заличава.
Параграфи 3 и 4 се заменят със следното:
Параграф 6 се заменя със следното:
В параграф 7 първата алинея се заменя със следното:
Член 62
Изменения на Регламент (ЕС) № 600/2014
Регламент (ЕС) № 600/2014 се изменя, както следва:
Член 27ж се изменя, както следва:
параграф 4 се заменя със следното:
ОМП отговаря на изискванията относно сигурността на мрежовите и информационните системи, определени в Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета ( *4 ).
в параграф 8 буква в) се заменя със следното:
конкретните организационни изисквания, посочени в параграфи 3 и 5.“
Член 27з се изменя, както следва:
параграф 5 се заменя със следното:
в параграф 8 буква д) се заменя със следното:
конкретните организационни изисквания, посочени в параграф 4.“
Член 27и се изменя, както следва:
параграф 3 се заменя със следното:
в параграф 5 буква б) се заменя със следното:
конкретните организационни изисквания, посочени в параграфи 2 и 4.“
Член 63
Изменение на Регламент (ЕС) 2016/1011
В член 6 от Регламент (ЕС) 2016/1011 се добавя следният параграф:
Администраторите на критични бенчмаркове разполагат с надеждни административни и счетоводни процедури, механизми за вътрешен контрол, ефективни процедури за оценка на риска и ефективни контролни и защитни механизми за управление на системите на ИКТ съгласно Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета ( *5 ).
Член 64
Влизане в сила и прилагане
Настоящият регламент влиза в сила на двадесетия ден след публикуването му в Официален вестник на Европейския съюз.
Прилага се от 17 януари 2025 г.
Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.
( 1 ) Директива 2009/65/ЕО на Европейския парламент и на Съвета от 13 юли 2009 г. относно координирането на законовите, подзаконовите и административните разпоредби относно предприятията за колективно инвестиране в прехвърлими ценни книжа (ПКИПЦК) (ОВ L 302, 17.11.2009 г., стр. 32).
( 2 ) Регламент (ЕС) № 575/2013 на Европейския парламент и на Съвета от 26 юни 2013 г. относно пруденциалните изисквания за кредитните институции, и за изменение на Регламент (ЕС) № 648/2012 (ОВ L 176, 27.6.2013 г., стр. 1).
( 3 ) Регламент (ЕС) 2019/2033 на Европейския парламент и на Съвета от 27 ноември 2019 г. относно пруденциалните изисквания за инвестиционните посредници и за изменение на регламенти (ЕС) № 1093/2010, (ЕС) № 575/2013, (ЕС) № 600/2014 и (ЕС) № 806/2014 (ОВ L 314, 5.12.2019 г., стр. 1).
( 4 ) Директива (ЕС) 2016/97 на Европейския парламент и на Съвета от 20 януари 2016 г. относно разпространението на застрахователни продукти (ОВ L 26, 2.2.2016 г., стр. 19).
( 5 ) Регламент (ЕС) 2020/1503 на Европейския парламент и на Съвета от 7 октомври 2020 г. относно европейските доставчици на услуги за колективно финансиране на предприятията и за изменение на Регламент (ЕС) 2017/1129 и на Директива (ЕС) 2019/1937 (ОВ L 347, 20.10.2020 г., стр. 1).
( 6 ) Регламент (ЕС) 2017/2402 на Европейския парламент и на Съвета от 12 декември 2017 г. за определяне на обща рамка за секюритизациите и за създаване на специфична рамка за опростени, прозрачни и стандартизирани секюритизации, и за изменение на директиви 2009/65/ЕО, 2009/138/ЕО и 2011/61/ЕС, и регламенти (ЕО) № 1060/2009 и (ЕС) № 648/2012 (ОВ L 347, 28.12.2017 г., стр. 35).
( 7 ) Регламент (ЕС) № 806/2014 на Европейския парламент и на Съвета от 15 юли 2014 г. за установяването на еднообразни правила и еднообразна процедура за преструктурирането на кредитни институции и някои инвестиционни посредници в рамките на Единния механизъм за преструктуриране и Единния фонд за преструктуриране и за изменение на Регламент (ЕС) № 1093/2010 (ОВ L 225, 30.7.2014 г., стр. 1).
( 8 ) Директива (ЕС) 2019/2034 на Европейския парламент и на Съвета от 27 ноември 2019 г. относно пруденциалния надзор върху инвестиционните посредници и за изменение на директиви 2002/87/ЕО, 2009/65/ЕО, 2011/61/ЕС, 2013/36/ЕС, 2014/59/ЕС и 2014/65/ЕС (ОВ L 314, 5.12.2019 г., стр. 64).
( 9 ) Директива 2006/43/ЕО на Европейския парламент и на Съвета от 17 май 2006 г. относно задължителния одит на годишните счетоводни отчети и консолидираните счетоводни отчети, за изменение на Директиви 78/660/ЕИО и 83/349/ЕИО на Съвета и за отмяна на Директива 84/253/ЕИО на Съвета (ОВ L 157, 9.6.2006 г., стр. 87).
( *1 ) Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета от 14 декември 2022 г. относно оперативната устойчивост на цифровите технологии във финансовия сектор и за изменение на регламенти (ЕО) № 1060/2009, (ЕС) № 648/2012, (ЕС) № 600/2014, (ЕС) № 909/2014 и (ЕС) 2016/1011 (ОВ L 333, 27.12.2022 г., стр. 1).“;
( *2 ) Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета от 14 декември 2022 г. относно оперативната устойчивост на цифровите технологии във финансовия сектор и за изменение на регламенти (ЕО) № 1060/2009, (ЕС) № 648/2012, (ЕС) № 600/2014, (ЕС) № 909/2014 и (ЕС) 2016/1011 (ОВ L 333, 27.12.2022 г., стр. 1).;“
( *3 ) Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета от 14 декември 2022 г. относно оперативната устойчивост на цифровите технологии във финансовия сектор и за изменение на регламенти (ЕО) № 1060/2009, (ЕС) № 648/2012, (ЕС) № 600/2014, (ЕС) № 909/2014 и (ЕС) 2016/1011 (ОВ L 333, 27.12.2022 г., стр. 1).“
( *4 ) Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета от 14 декември 2022 г. относно оперативната устойчивост на цифровите технологии във финансовия сектор и за изменение на регламенти (ЕО) № 1060/2009, (ЕС) № 648/2012, (ЕС) № 600/2014, (ЕС) № 909/2014 и (ЕС) 2016/1011 (ОВ L 333, 27.12.2022 г., стр. 1).“;
( *5 ) Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета от 14 декември 2022 г. относно оперативната устойчивост на цифровите технологии във финансовия сектор и за изменение на регламенти (ЕО) № 1060/2009, (ЕС) № 648/2012, (ЕС) № 600/2014, (ЕС) № 909/2014 и (ЕС) 2016/1011 (ОВ L 333, 27.12.2022 г., стр. 1).“