(1)

Unionen skal på fyldestgørende og fuldstændig vis imødegå digitale risici for alle finansielle enheder som følge af en øget anvendelse af informations- og kommunikationsteknologi (IKT) i forbindelse med levering og forbrug af finansielle tjenesteydelser og dermed bidrage til realisering af det potentiale, der ligger i digital finansiering med hensyn til at styrke innovation og fremmekonkurrence i et sikkert digitalt miljø.

(2)

Finansielle enheder er stærkt afhængige af brugen af digitale teknologier i deres daglige aktiviteter. Det er derfor yderst vigtigt at sikre deres digitale aktiviteters operationelle modstandsdygtighed over for IKT-risiko. Dette behov er blevet endnu mere presserende på grund af væksten i banebrydende teknologier på markedet, og navnlig de teknologier, der skaber mulighed for, at digitale repræsentationer af værdier eller rettigheder, der skal overføres og lagres elektronisk ved hjælp af distributed ledger-teknologi eller lignende teknologi (kryptoaktiver), og i tjenesteydelser forbundet med disse aktiver.

(3)

På EU-plan er kravene vedrørende styring af IKT-risikoen i den finansielle sektor fastsat i Europa-Parlamentets og Rådets direktiv 2009/65/EF (4), 2009/138/EF (5), 2011/61/EU (6), 2013/36/EU (7), 2014/59/EU (8), 2014/65/EU (9), (EU) 2015/2366 (10) og (EU) 2016/2341 (11).

Disse krav er forskellige og i nogle tilfælde ufuldstændige. I visse tilfælde er IKT-risikoen kun implicit omhandlet som en del af den operationelle risiko, og den er i andre overhovedet ikke omhandlet. Disse problemer udbedres ved vedtagelsen af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 (12). Nævnte direktiver bør derfor ændres for at sikre overensstemmelse med nævnte forordning. Nærværende direktiv introducerer en række ændringer, som forekommer nødvendige for at skabe juridisk klarhed og sammenhæng, når finansielle enheder, som er meddelt tilladelse og underlagt tilsyn i overensstemmelse med nævnte direktiver, anvender forskellige krav vedrørende digital operationel modstandsdygtighed, som er nødvendige for udøvelsen af deres aktiviteter og leveringen af ydelser og dermed garanterer et velfungerende indre marked. Det er nødvendigt at sikre, at disse krav er tilstrækkelige i forhold til markedsudviklingen, samtidig med at der tilskyndes til proportionalitet, navnlig med hensyn til de finansielle enheders størrelse og de specifikke ordninger som de er omfattet af, med henblik på at reducere overholdelsesomkostningerne.

(4)

På området for bankydelser fastsætter direktiv 2013/36/EU i øjeblikket kun generelle regler vedrørende intern ledelse og bestemmelser om operationel risiko, der omfatter krav vedrørende beredskabs- og kontinuitetsplaner, som implicit udgør grundlaget for håndtering af IKT-risiko. For at håndtere IKT-risiko eksplicit og tydeligt bør kravene vedrørende beredskabs- og kontinuitetsplaner imidlertid ændres, således at de også omfatter forretningskontinuitetsplaner samt planer for indsats- og genopretning vedrørende IKT-risiko i overensstemmelse med kravene i forordning (EU) 2022/2554. Desuden er IKT-risiko kun implicit medtaget, i forbindelse med operationelle risici, i den tilsynskontrol- og vurderingsproces (SREP), der udføres af de kompetente myndigheder, og kriterierne for vurderingen heraf er i øjeblikket fastlagt i Retningslinjer om IKT-risikovurdering under tilsynskontrol- og vurderingsprocessen (SREP), der er udsted af Den Europæiske Tilsynsmyndighed (Den Europæiske Banktilsynsmyndighed) (EBA), som blev oprettet ved Europa-Parlamentets og Rådets forordning (EU) nr. 1093/2010 (13). Med henblik på at skabe juridisk klarhed og sikre, at banktilsynsmyndighederne rent faktisk afdækker IKT-risiko og overvåger finansielle enheders styring heraf i overensstemmelse med den nye ramme for digital operationel modstandsdygtighed, bør anvendelsesområdet for SREP også ændres, så det eksplicit henviser til kravene i forordning (EU) 2022/2554 og navnlig dækker de risici, der afdækkes i indberetninger om større IKT-relaterede hændelser og af resultaterne af de test af den digitale operationelle modstandsdygtighed, som de finansielle enheder udfører i overensstemmelse med nævnte forordning.

(5)

Digital operationel modstandsdygtighed er en væsentlig forudsætning for at opretholde en finansiel enheds kritiske funktioner og centrale forretningsområder i tilfælde af dens afvikling og derved undgå forstyrrelser af realøkonomien og i det finansielle system. Større operationelle hændelser kan hæmme en finansiel enheds evne til at fortsætte driften og kan true afviklingsmålene. Visse kontraktlige ordninger for brugen af IKT-tjenester er vigtige for at sikre operationel kontinuitet og at levere de nødvendige data i tilfælde af afvikling. Med henblik på tilpasning til målene i EU's ramme for operationel modstandsdygtighed bør direktiv 2014/59/EU ændres i overensstemmelse hermed for at sikre, at oplysninger vedrørende operationel modstandsdygtighed tages i betragtning i forbindelse med afviklingsplanlægning og vurdering af finansieringsenheders afviklingsmuligheder.

(6)

Direktiv 2014/65/EU fastsætter kun strengere regler med hensyn til IKT-risiko for investeringsselskaber og markedspladser, der er involveret i algoritmisk handel. Der gælder mindre detaljerede krav for dataindberetningstjenester og transaktionsregistre. Direktiv 2014/65/EU omhandler også kun i begrænset omfang kontrol- og sikkerhedsforanstaltninger på edb-området og anvendelsen af passende systemer, ressourcer og procedurer til sikring af kontinuiteten og regelmæssigheden i forbindelse med erhvervstjenester. Desuden bør nævnte direktiv bringes i overensstemmelse med forordning (EU) 2022/2554 for så vidt angår kontinuitet og regelmæssighed i ydelsen af investeringsservice og udførelsen af investeringsaktiviteter, operationel modstandsdygtighed, handelssystemers kapacitet og effektivitet i forbindelse med ordninger til sikring af driftsstabilitet og risikostyring.

(7)

Direktiv (EU) 2015/2366 fastsætter særlige regler for IKT-sikkerhedskontroller og begrænsende elementer med henblik på tilladelse til at udbyde betalingstjenester. Disse regler om tilladelse bør ændres, så de bliver bragt i overensstemmelse med forordning (EU) 2022/2554. For at mindske den administrative byrde og undgå kompleksitet og overlappende indberetningskrav bør reglerne om indberetning af hændelser i nævnte direktiv desuden ophøre med at finde anvendelse på betalingstjenesteudbydere, der reguleres i henhold til nævnte direktiv og også er omfattet af forordning (EU) 2022/2554, således at disse betalingstjenesteudbydere kan benytte sig af en fælles og fuldt ud harmoniseret mekanisme til indberetning af hændelser med hensyn til alle operationelle hændelser eller sikkerhedsmæssig betalingsrelaterede hændelser, uanset om sådanne hændelser er IKT-relaterede.

(8)

Direktiv 2009/138/EF og (EU) 2016/2341 omfatter delvis IKT-risiko i de almindelige bestemmelser om ledelse og risikostyring, idet visse krav skal præciseres i delegerede retsakter med eller uden specifik henvisning til IKT-risiko. På tilsvarende vis er de regler, der finder anvendelse på forvaltere af alternative investeringsfonde som omhandlet i direktiv 2011/61/EU og administrationsselskaber som omhandlet i direktiv 2009/65/EF, udelukkende meget generelle. Nævnte direktiver bør derfor bringes i overensstemmelse med de krav, der er fastsat i forordning (EU) 2022/2554 for så vidt angår styringen af IKT-systemer og -værktøjer.

(9)

I mange tilfælde er der allerede fastlagt krav til IKT-risiko i delegerede retsakter og gennemførelsesretsakter, som er vedtaget på grundlag af udkast til reguleringsmæssige tekniske standarder og udkast til gennemførelsesmæssige tekniske standarder, som er udviklet af den kompetente europæiske tilsynsmyndighed. Eftersom bestemmelserne i forordning (EU) 2022/2554 fremover udgør den retlige ramme for IKT-risiko i den finansielle sektor, bør visse beføjelser til at vedtage delegerede retsakter og gennemførelsesretsakter i direktiv 2009/65/EF, 2009/138/EF, 2011/61/EU og 2014/65/EU ændres, således at bestemmelserne om IKT-risiko fjernes fra anvendelsesområdet for de pågældende beføjelser.

(10)

For at sikre en sammenhængende gennemførelse af den nye ramme for digital operationel modstandsdygtighed i den finansielle sektor, bør medlemsstaterne anvende bestemmelserne i national ret om gennemførelse af dette direktiv fra datoen for anvendelse af forordning (EU) 2022/2554.

(11)

Direktiv 2009/65/EF, 2009/138/EF, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341 er vedtaget på grundlag af artikel 53, stk. 1, eller artikel 114 i traktaten om Den Europæiske Unions funktionsmåde (TEUF), eller begge. Ændringerne i nærværende direktiv er blevet indarbejdet i én enkelt lovgivningsmæssig retsakt, da genstanden for og målene med ændringerne er indbyrdes forbundet. Nærværende direktiv bør derfor vedtages på grundlag af både artikel 53, stk. 1, og artikel 114 i TEUF.

(12)

Målene for dette direktiv kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, da de indebærer harmonisering af krav, der allerede er indeholdt i direktiver, men kan på grund af foranstaltningens omfang og virkninger bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går dette direktiv ikke videre, end hvad der er nødvendigt for at nå disse mål.

(13)

I henhold til den fælles politiske erklæring af 28. september 2011 fra medlemsstaterne og Kommissionen om forklarende dokumenter (14) har medlemsstaterne forpligtet sig til i tilfælde, hvor det er berettiget, at lade meddelelsen af gennemførelsesforanstaltninger ledsage af et eller flere dokumenter, der forklarer forholdet mellem et direktivs bestanddele og de tilsvarende dele i de nationale gennemførelsesinstrumenter. I forbindelse med dette direktiv finder lovgiver, at fremsendelse af sådanne dokumenter er berettiget —