Stanovisko Evropského hospodářského a sociálního výboru:

k návrhu nařízení Evropského parlamentu a Rady o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014 a (EU) č. 909/2014

[COM(2020) 595 final – 2020/0266 (COD)]

k návrhu směrnice Evropského parlamentu a Rady, kterou se mění směrnice 2006/43/ES, 2009/65/ES, 2009/138/ES, 2011/61/EU, 2013/36/EU, 2014/65/EU, (EU) 2015/2366 a (EU) 2016/2341

[COM(2020) 596 final – 2020/0268 (COD)]

(2021/C 155/06)

Zpravodaj:

Antonio GARCÍA DEL RIEGO

Žádost o vypracování stanoviska	Evropský parlament, 17. 12. 2020 Rada Evropské unie, 22. 12. 2020
Právní základ	čl. 53 odst. 1, čl. 114 odst. 1 a článek 304 SFEU
Odpovědná sekce	Hospodářská a měnová unie, hospodářská a sociální soudržnost
Přijato v sekci	12. 2. 2021
Přijato na plenárním zasedání	24. 2. 2021
Plenární zasedání č.	558
Výsledek hlasování (pro/proti/zdrželi se hlasování)	243/1/4

1. Závěry a doporučení

1.1

EHSV vítá návrh nařízení o digitální provozní odolnosti (nařízení DORA) vydaný Evropskou komisí, jehož cílem je zajistit právní srozumitelnost ustanovení o rizicích v oblasti IKT, zjednodušit právní úpravu, zavést společný soubor norem ke zmírnění rizik v oblasti IKT a usnadnit harmonizovaný přístup dohledu, za současného poskytnutí právní jistoty a nezbytných pojistek pro finanční podniky a poskytovatele služeb IKT. Nařízení DORA nejen zvyšuje odolnost odvětví vůči rizikům v oblasti IKT, ale je také v zájmu mnoha zúčastněných stran, včetně klientů, investorů a zaměstnanců, a přispívá k provádění udržitelného rozvoje.

1.2

EHSV doporučuje posílit účinnost nařízení DORA pomocí následujících kroků:

1.2.1

Zahrnout jakéhokoli poskytovatele kritických finančních služeb, který vyvíjí finanční aktivity, do působnosti nařízení DORA, a vyloučit z jeho působnosti využívání služeb IKT pro funkce, které nejsou kritické.

1.2.2

Zajištění souladu v definici a rozsahu mezi nařízením DORA a požadavky stanovenými ve stávajících pokynech vydaných evropskými orgány dohledu.

1.2.3

Pokud jde o správu IKT, upřednostnit rámec zaměřený na přístup založený na zásadách a rizicích, který usnadní provádění kontrol, které obstojí i v budoucnu, budou pružné a přiměřené rizikům.

1.2.4

Pokud jde o incidenty související s IKT, plné propojení se souborem nástrojů Rady pro finanční stabilitu pro obnovu a reakci na kybernetické bezpečnostní incidenty.

1.2.5

Pokud jde o testování digitální provozní odolnosti, zdůraznit nejen velikost finanční instituce, ale také složitost a kritickou povahu služby. Vyhnout se povinnému externímu zajištění služeb prováděnému omezeným počtem externích testerů a zajistit vzájemné uznávání výsledků testování.

1.2.6

Konsolidovat požadavky na externí zajištění služeb do jednoho souboru pravidel s cílem posílit právní jistotu pro všechny účastníky trhu a spolehlivě plnit očekávání v oblasti dohledu.

1.2.7

Zajistit plnou vymahatelnost doporučení vedoucích orgánů dohledu a jasný soubor úloh a povinností různých orgánů zapojených do dohledu nad kritickými poskytovateli služeb z řad třetích stran.

1.2.8

Zajistit přístup ke službám, které jsou považovány za kritické, zajišťovaným externě třetími stranami usazenými ve třetích zemích, aby se zabránilo omezení smluvní svobody společností a možnosti přístupu ke službám poskytovatelů s vysokou přidanou hodnotou.

1.2.9

Zahrnout proporcionalitu do režimu pokut s cílem zabránit překážkám, které poskytovatele služeb IKT odrazují od poskytování služeb finančním subjektům EU, a odklonit se od současného zaměření na celosvětový obrat.

1.2.10

Vyjasnit situaci ohledně schopnosti společností sdílet informace o kybernetických hrozbách tím, že se zajistí, aby byla taková opatření zavedena na dobrovolném základě, a do návrhu nařízení DORA se zahrne výslovné ustanovení umožňující výměnu osobních údajů.

1.2.11

Zvážit možnost zvýšení mezních hodnot pro výjimky na úroveň malých a středních podniků tak, jak je definuje čl. 2 odst. 2 přílohy I doporučení Komise 2003/361/ES (1), tedy jako podniky, které zaměstnávají méně než 50 osob a jejichž roční obrat nebo bilanční suma roční rozvahy nepřesahuje 10 milionů EUR, a omezení počtu požadavků vztahujících se na malé a střední podniky úměrně k profilu digitálních rizik daného subjektu.

1.3

2. Souvislosti

2.1

Evropští spotřebitelé a podniky se stále více spoléhají na digitální finanční služby, což jde ruku v ruce s tím, že účastníci trhu zavádějí stále více inovativních řešení založených na nových technologiích. Digitální transformace je klíčem k oživení v Evropě a k vytvoření udržitelné a odolné evropské ekonomiky.

2.2

V souladu s prioritami Evropské komise připravit Evropu na digitální věk a vybudovat ekonomiku připravenou na budoucnost, která bude sloužit lidem, předložila Komise balíček pro oblast digitálních financí. V tomto balíčku jsou popsána opatření, která mají dále uvolnit a podpořit potenciál digitálních financí v oblasti inovací a hospodářské soutěže a zároveň zmírnit rizika, která z nich vyplývají.

2.3

Kromě návrhu týkajícího se digitální provozní odolnosti obsahuje balíček pro oblast digitálních financí i novou strategii v oblasti digitálních financí pro finanční sektor EU (2) a návrh nařízení o trzích s kryptoaktivy spolu s návrhem nařízení o pilotním režimu pro tržní infrastruktury vedené na technologii sdíleného registru (3).

2.4

Digitální provozní odolnost je schopnost podniků přestát všechny druhy narušení a hrozeb souvisejících s informačními a komunikačními technologiemi (IKT). Stále větší závislost finančního sektoru na softwaru a digitálních procesech znamená, že rizika v oblasti IKT jsou s tímto sektorem neodmyslitelně spjata. Finanční podniky se stávají terčem kybernetických útoků, které mají pro spotřebitele a podniky za následek vážnou finanční újmu či poškození dobré pověsti. Tato rizika musí být dobře pochopena a řízena, zejména v době krize.

2.5

Zatímco reformy, které následovaly po finanční krizi v roce 2008, posílily odolnost finančního sektoru EU, rizika IKT byla řešena pouze nepřímo. Neexistence komplexního regulačního rámce pro digitální provozní odolnost na evropské úrovni vedla k tomu, že se spoléhalo na vnitrostátní regulační iniciativy. Ty však mají omezenou přeshraniční účinnost a vedou k fragmentaci jednotného trhu, což narušuje stabilitu a integritu finančního sektoru EU. V této souvislosti Komise navrhuje vytvořit komplexní rámec pro digitální provozní odolnost finančních subjektů EU.

2.6

Cílem legislativního návrhu o digitální provozní odolnosti (nařízení DORA) (4) je posílit a zefektivnit provádění řízení rizik v oblasti IKT ze strany finančních subjektů, zavést důkladné testování odolnosti systémů IKT, podpořit sdílení informací a zvýšit povědomí orgánů dohledu o kybernetických rizicích a incidentech souvisejících s IKT, jimž finanční subjekty čelí, a také dát orgánům finančního dohledu pravomoc k dohledu nad riziky vyplývajícími ze závislosti finančních subjektů na třetích stranách, které jim poskytují služby v oblasti IKT. Návrh má také vytvořit jednotný mechanismus hlášení incidentů, který by mohl pomoci snížit administrativní zátěž finančních subjektů a posílit účinnost dohledu.

2.7

Komise rovněž předložila návrh směrnice (5), jelikož pro dosažení cílů návrhu o digitální provozní odolnosti je nezbytné stanovit dočasnou výjimku pro mnohostranné obchodní systémy a změnit nebo vyjasnit některá ustanovení stávajících směrnic EU o finančních službách.

2.8

Odhaduje se, že trh IKT je jedním z největších průmyslových odvětví na světě, přičemž v roce 2019 měl hodnotu více než pět bilionů USD a do roku 2022 bude mít hodnotu více než šest bilionů. Neustálý růst slouží jako připomínka neustále rostoucí prevalence a významu technologie v dnešní společnosti. Podle posouzení dopadů legislativního návrhu je finanční sektor s přibližně 20 % z celkových výdajů na IKT jejich největším uživatelem.

2.9

Onemocnění COVID-19 vedlo k rozšíření digitálních finančních služeb, jelikož sítě poboček finančních institucí zůstávají nedostatečně využity. To podpoří investice do digitálních samoobslužných nástrojů, otevřených finančních aplikací a služeb s přidanou hodnotou. Celkově současná situace donutí finanční instituce investovat více do IT infrastruktury, upřednostnit migraci zásadních pracovních úkolů a aktualizovat stávající aplikace. Evropský finanční sektor již prochází významnou digitální transformací a jeho schopnost konkurovat v globálním měřítku bude do značné míry záviset na schopnosti evropských institucí těžit z nejpokročilejších technologií.

3. Obecné připomínky

3.1

EHSV vítá návrh o digitální provozní odolnosti (nařízení DORA) vydaný Evropskou komisí, který se zabývá mnoha požadavky vznesenými finančním sektorem a jehož cílem je zajistit právní srozumitelnost ustanovení o rizicích v oblasti IKT, zjednodušit právní úpravu a snížit administrativní zatížení vyplývající z různých pravidel, která se vztahují na finanční subjekty v celé EU. Nařízení DORA nejen zvyšuje odolnost odvětví vůči rizikům v oblasti IKT, ale je také v zájmu mnoha zúčastněných stran, včetně klientů, investorů a zaměstnanců, a přispívá k provádění udržitelného rozvoje.

3.2

EHSV považuje nařízení DORA za důležitý krok k vytvoření společného souboru norem ke zmírnění rizik v oblasti IKT a k usnadnění harmonizovaného přístupu v oblasti dohledu. Je však potřeba postupovat opatrně, aby se zabránilo vzniku překážek, které by mohly bránit finančním institucím EU v účasti na globálním inovačním procesu.

3.3

EHSV považuje za zastřešující cíl, aby orgány EU usilovaly o dosažení přiměřeného režimu založeného na posouzení rizik, který orgánům dohledu poskytne nástroje k řešení jejich obav a zároveň poskytne právní jistotu a nezbytné záruky finančním podnikům a poskytovatelům služeb IKT.

4. Konkrétní připomínky

4.1 Působnost a problematika překrývajících se předpisů

4.1.1 Zahrnutí dalších významných účastníků finančního trhu

Ačkoli EHSV oceňuje a vítá široký rámec účastníků finančního trhu, na něž cílí navrhovaná legislativa, který zajistí důsledné uplatňování jejích požadavků v celém finančním sektoru EU, doporučujeme, aby do něj tvůrci politik EU zahrnuli i finanční účastníky, kteří nejsou považováni za součást oblasti působnosti této navrhované legislativy, jako jsou poskytovatelé hypotečních a spotřebitelských úvěrů, a to ve vhodné míře dané rizikem, které pro systém mohou představovat. Na každého poskytovatele finančních služeb, který vyvíjí stejné činnosti a přijímá stejná rizika, by se měla vztahovat stejná pravidla a dohled tak, aby byl zajištěn stejný minimální rámec digitální odolnosti, který ochrání spotřebitele a finanční stabilitu.

4.1.2 Soulad na mezinárodní a unijní úrovni i se stávajícími předpisy

Je zásadní poskytnout srozumitelnost podnikům, zejména těm, které působí přeshraničně, a zajistit, aby definice a podmínky byly konzistentní a zabránilo se zdvojování, překrývání a různým výkladům toho, jak naplnit podobná regulační očekávání v různých právních režimech. EHSV doporučuje, aby tvůrci politik EU upravili definici provozní odolnosti tak, aby byla v souladu s definicí Basilejského výboru pro bankovní dohled (BCBS) (6), a zajistili, že půjde o hlavní režim použitelný na finanční instituce EU s cílem zabránit riziku výkladových rozporů s ostatními. Kromě toho je již řada zásad a požadavků stanovených v návrhu nařízení DORA definována ve stávajících obecných pokynech k outsourcingu (7). Rizika v oblasti IKT a požadavky na řízení bezpečnostních rizik jsou již definovány v pokynech Evropského orgánu pro bankovnictví (EBA). Pro dosažení harmonizace regulačních požadavků EU bude zásadní zajistit soulad v definici a oblasti působnosti mezi nařízením DORA a požadavky stanovenými ve stávajících pokynech.

4.1.3

EHSV rovněž doporučuje, aby Komise zajistila, aby probíhající přezkum směrnice o bezpečnosti sítí a informačních systémů a návrh nařízení DORA sdílely stejné definice a požadavky na politiku hlášení bezpečnostních incidentů pro finanční subjekty.

4.2 Řízení rizik v oblasti IKT

Některé prvky rámce se příliš zaměřují spíše na dodržování předpisů než na to, jak mohou podniky prokázat výsledky v přístupu založeném na zásadách a rizicích. Vzhledem k tomu, že jsou příliš normativní a podrobné, hrozí, že se postupem času stanou zastaralými s ohledem na vývoj prostředí kybernetických rizik a rizik v oblasti IKT. EHSV doporučuje přístup více založený na zásadách a rizicích, který usnadní provádění kontrol, které obstojí i do budoucna, budou flexibilní, přiměřené a odpovídající rizikům.

4.3 Incidenty související s IKT

EHSV doporučuje plné propojení s nedávno zveřejněným souborem nástrojů Rady pro finanční stabilitu pro obnovu a reakci na kybernetické bezpečnostní incidenty (8), který poskytuje osvědčené postupy pro hlášení incidentů a navrhované řízení, klasifikaci a hlášení incidentů souvisejících s IKT předvídaných v nařízení DORA. Dochází k překrývání, které vytváří regulační nejistotu a zvyšuje regulační zátěž pro podniky.

4.4 Testování digitální provozní odolnosti

4.4.1

Přestože EHSV vítá celoevropský režim penetračního testování na základě hrozeb v celé EU, neboť zvýší účinnost a sníží roztříštěnost, EHSV doporučuje, aby se orgány zaměřily nejen na rozměr nebo velikost finanční instituce, ale také na složitost a kritickou povahu služby, případně i s přihlédnutím k principu proporcionality, přičemž odstraní rozlišování mezi základním testováním u všech finančních institucí a pokročilejším testováním u významných finančních institucí a zajistí, že klienti menších finančních subjektů budou chráněni stejně a že budou vytvořeny rovné podmínky mezi všemi finančními subjekty.

4.4.2

EHSV doporučuje, aby externí zajištění služeb externích testerů nebylo povinné, neboť počet externích testerů je omezený. Podniky totiž mohou mít vlastní interní testovací týmy, které jsou obeznámeny s prostředím podniků a jsou schopny rychle přejít na pokročilejší a cílenější testy.

4.4.3

Mělo by být přezkoumáno zahrnutí poskytovatelů služeb IKT z řad třetích stran v rámci penetračního testování na základě hrozeb. Skutečnost, že poskytovatelé služeb IKT z řad třetích stran mohou pracovat pro řadu klientů, by mohla vést k významnému zdvojení testování, což by mohlo následně vytvořit významná rizika pro poskytovatele služeb IKT z řad třetích stran i klienty, pro které pracují.

4.4.4

EHSV dále doporučuje výslovně zmínit vzájemné uznávání výsledků testování vzhledem k jeho úloze při snižování rizika a zajištění hladkého fungování jednotného trhu, jakož i při zamezení zvyšování nákladů u finančních subjektů působících přeshraničně.

4.5 Řízení rizik v oblasti IKT spojených s třetími stranami a rámec dohledu nad kritickými poskytovateli služeb z řad třetích stran

4.5.1 Zajištění souladu se stávajícími pokyny k outsourcingu

EHSV vítá skutečnost, že nařízení DORA zavádí společný regulační rámec pro řádné řízení rizik v oblasti IKT spojených s třetími stranami pro všechny účastníky finančního trhu v celé Evropě. Bude však zásadní zajistit plný soulad mezi tímto společným základem stanoveným v klíčových zásadách (články 25, 26 a 27) a stávajícími pravidly, jako jsou pokyny evropských orgánů dohledu (ESA) k outsourcingu (tj. řešit stávající dichotomii v oblasti působnosti mezi „externím poskytováním služeb“ a „službami z řad třetích stran“ (9)). Dále se domníváme, že se jedná o skvělou příležitost pro orgány EU ke konsolidaci požadavků na externí poskytování služeb do jediného nařízení (s dostatečnou mírou podrobnosti, aby se zabránilo rozdílům ve výkladu), které by mohlo přinést právní jistotu všem účastníkům trhu a spolehlivě naplnit očekávání v oblasti dohledu.

4.5.2 Požadavky vztahující se na zásadní nebo důležité externě zajišťované činnosti

Při aplikaci samotného čl. 25 odst. 2 musí být nařízení – v zájmu zachování zaměření na rizika – konkrétnější v tom, jak bude uplatňována zásada proporcionality, s upřesněním požadavků, které by se vztahovaly na zásadní nebo důležité externě zajišťované činnosti, a požadavků, které by se vztahovaly na činnosti ostatní (10). EHSV doporučuje, aby využívání služeb v oblasti IKT pro funkce, jež nejsou kritické, spadalo mimo oblast působnosti nařízení DORA.

4.5.3 Rámec přímého dohledu nad kritickými poskytovateli služeb z řad třetích stran

EHSV vítá zavedení rámce přímého dohledu, který z důvodu absence horizontálního rámce nerozlišujícího mezi jednotlivými odvětvími v EU umožní finančním orgánům průběžné sledovat činnost kritických poskytovatelů služeb z řad třetích stran. Orgány EU by měly v navrhovaném nařízení uznat, že pokud kritický poskytovatel IKT spadá pod tento dohled, expozice finančních institucí rizikům se v důsledku nepřetržitého sledování jejich činností snižuje. Tento nový rámec dohledu by proto měl také pomoci zefektivnit postupy externího zajišťování služeb u bank zmírněním části zátěže, které v současné době finanční subjekty čelí, například v souvislosti s prováděním auditních a kontrolních postupů týkajících se třetích stran, které jsou považovány za kritické.

4.5.4

EHSV podporuje posílení postavení hlavních orgánů dohledu při provádění auditů a kontrolních postupů u kritických poskytovatelů služeb z řad třetích stran, jelikož hlavní orgány dohledu by měly lépe porozumět rizikům, která mohou tyto strany představovat, protože mají přímé znalosti o jejich postupech a prostorách, namísto toho, aby se spoléhaly na aktuální zprávy poskytované kontrolovanými finančními institucemi a kontroly provedené příslušnými vnitrostátními orgány. Ačkoli by politiky snižování rizik u finančních subjektů měly být zachovány, stejně jako jejich právní povinnosti, pokud by kontroly a audity již byly provedeny hlavním orgánem dohledu, měly by finanční instituce těžit z této dodatečné úrovně bezpečnosti a neměly by mít povinnost je znovu provádět.

4.5.5 Hlavní orgán dohledu a vnitrostátní příslušné orgány

Po dokončení procesu dohledu zohlední doporučení hlavního orgánu dohledu vnitrostátní příslušné orgány, které mohou mít svůj vlastní přístup k tomu, jak provádět zjištění hlavního orgánu dohledu u daných kritických poskytovatelů služeb z řad třetích stran. EHSV doporučuje zajistit plnou jasnost ohledně úloh a povinností různých orgánů, aby se předešlo situaci, kdy rozdílnost interpretací ovlivňuje každého z klientů kritických poskytovatelů služeb z řad třetích stran odlišně v závislosti na jejich příslušném orgánu, a tím snížit riziko roztříštěnosti. Tato doporučení by měla být rovněž plně vymahatelná s ohledem na současnou nejednoznačnost článku 37, pokud jde o jejich závaznost.

4.5.6 Pozastavení činnosti kritického poskytovatele služeb z řad třetích stran

Nařízení DORA dává vnitrostátním finančním regulačním orgánům pravomoc požadovat, aby klienti dočasně pozastavili nebo ukončili spolupráci s poskytovatelem služeb IKT, dokud nebudou vyřešena rizika uvedená v doporučeních. Požadavky na jakékoli okamžité ukončení spolupráce s kritickými poskytovateli služeb z řad třetích stran by rozhodně ovlivnily stávající i budoucí obchodní a komerční rozhodování (např. odrazením od investic v EU) a mohly by mít dopad na finanční stabilitu. Před přijetím tohoto rozhodnutí by příslušné orgány měly mimo jiné pečlivě zvážit potenciální negativní dopad ukončení služby na finanční subjekty využívající tohoto konkrétního kritického poskytovatele služeb z řad třetích stran (11), stanovit jasná kritéria pro takový požadavek a zvážit možné nápravné prostředky.

4.5.7

Kromě toho doporučujeme, aby byly finanční subjekty nakonec informovány v dostatečném předstihu a byl jim poskytnut dostatek času na ukončení smluvního vztahu.

4.6 Zachování globální konkurenceschopnosti evropských finančních podniků

4.6.1

Nový rámec musí zachovat schopnost evropských finančních podniků získat přístup minimálně ke stejným technologiím jako jejich globální konkurenti. Finanční podniky v EU soutěží v celosvětovém měřítku, a předkládaný regulační rámec EU by neměl tyto unijní podniky znevýhodňovat tím, že omezí jejich přístup k nejpokročilejším technologiím, pokud poskytovatelé těchto technologií splní normy EU v oblasti odolnosti a bezpečnosti.

4.6.2 Třetí strany usazené ve třetích zemích

Nařízení by nemělo omezovat možnost externího poskytování služeb, které jsou považovány za kritické, třetími stranami usazenými ve třetích zemích. Toto omezení by rozhodně omezilo smluvní svobodu jednotlivých subjektů a schopnost evropských finančních institucí získat přístup ke službám poskytovatelů s vysokou přidanou hodnotou, které v Evropě s největší pravděpodobností nenaleznou v dostatečném počtu. To je ještě významnější u navrhovaného rámce dohledu, který se omezuje na finanční sektor, což vytváří nerovné podmínky pro ostatní účastníky, na které se toto nařízení nevztahuje, a mohlo by to vést ke zvýšení rizika koncentrace, kterému se nařízení DORA snaží předejít.

4.6.3 Represivní sankce založené na celosvětovém obratu

Nařízení DORA zahrnuje represivní sankce s odkazem na celosvětový obrat poskytovatelů IKT, pokud nesplní požadavky orgánů finančního dohledu EU. Nepřiměřené uplatňování těchto sankcí by mohlo odradit světové poskytovatele IKT od spolupráce s finančními podniky v EU, což by de facto mohlo omezit výběr poskytovatelů, které by finanční podniky v EU mohly využít. Kromě toho by to odradilo poskytovatele z řad třetích stran nepovažované za kritické od toho, aby se rozhodli pro režim dohledu vzhledem k obavám z potrestání nepřiměřenými pokutami, což by vedlo k omezení hospodářské soutěže na předcházejícím trhu. EHSV se zasazuje o zavedení úrovně proporcionality do režimu sankcí, což je klíčové pro to, aby nedocházelo k odrazování poskytovatelů služeb IKT, kteří chtějí poskytovat služby finančním subjektům v EU.

4.7 Ujednání o sdílení informací

4.7.1

Vzhledem k tomu, že včasná výměna informací je nezbytná pro účinnou identifikaci vektorů útoků a pro izolaci a prevenci potenciálních hrozeb, EHSV vítá ustanovení, které usnadní zavádění dobrovolných ujednání o sdílení informací o kybernetických hrozbách mezi finančními institucemi.

4.7.2

Rovněž doporučujeme, aby orgány EU stanovily mezi podmínkami tohoto návrhu výslovný základ pro umožnění výměny osobních údajů (například IP adres), protože by to snížilo nejistotu a posílilo schopnost finančních subjektů zlepšit jejich obranné schopnosti, lépe identifikovat hrozby a snížit riziko vzájemné nákazy. Vzhledem k důvěrné a citlivé povaze těchto údajů je zapotřebí lepší vyjasnění.

V Bruselu dne 24. února 2021.

Předsedkyně Evropského hospodářského a sociálního výboru

Christa SCHWENG

(1) Úř. věst. L 124, 20.5.2003, s. 36.

(2) Viz stanovisko EHSV ECO/534 – Strategie EU v oblasti digitálních financí (viz strana 27 v tomto čísle Úředního věstníku).

(3) Viz stanovisko EHSV ECO/535 – Kryptoaktiva a technologie distribuované účetní knihy (viz strana 31 v tomto čísle Úředního věstníku).

(4) COM(2020) 595 final.

(5) COM(2020) 596 final.

(6) Basilejský výbor pro bankovní dohled, Principles for operational resilience (Zásady pro provozní odolnost), 6. listopadu 2020.

(7) Například v pokynech, které vypracovaly EBA a EIOPA, jakož i v návrhu pokynů ESMA, který byl předmětem konzultací.

(8) Rada pro finanční stabilitu, Final Report on Effective Practices for Cyber Incident Response and Recovery (Závěrečná zpráva o účinných postupech pro obnovu a reakci na kybernetické bezpečnostní incidenty), 19. říjen 2020.

(9) Nařízení DORA odkazuje pouze na „služby třetích stran poskytujících služby IKT“, pokud jde o klíčové zásady pro řádné řízení rizik v oblasti IKT spojených s třetími stranami (kapitola V), zatímco oblast působnosti Obecných pokynů k outsourcingu EBA je založena na definici externího zajištění služeb, což znamená, že činnost se provádí opakovaně nebo průběžně (odstavec 26). Obecné pokyny EBA rovněž stanoví seznam výjimek, které nejsou považovány za outsourcing (odstavec 28).

(10) Opět bude zásadní sjednotit definici „zásadních nebo důležitých funkcí“ jak v nařízení DORA, tak v pokynech EBA k outsourcingu. Pokyny EBA zejména definují faktory, které by finanční instituce měly vzít v úvahu při posuzování, zda se ujednání o outsourcingu týká funkce, která je zásadní nebo důležitá (odstavce 29, 30 a 31).

(11) Jedním z kritérií pro označení poskytovatele služeb IKT za kritického by byla míra zaměnitelnosti třetí strany s přihlédnutím k nedostatku skutečných alternativ nebo obtížím částečné nebo úplné migrace služeb (čl. 28 odst. 2). V takovém případě by bylo pro finanční instituce obtížné přenést službu k jinému poskytovateli. Kromě toho by požadavek, aby finanční instituce, které jsou vystaveny riziku, přešly k jinému poskytovateli služeb, nakonec přispěl ke zvýšené koncentraci na evropském trhu, což by bylo v přímém rozporu se záměrem tohoto nařízení.