Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Forordning (EU) 2022/2554 fastsætter ensartede regler om sikkerheden i netværks- og informationssystemer for finansielle enheder, såsom banker, forsikringsselskaber og investeringsselskaber.
Den dækker en bred vifte af EU-regulerede finansielle enheder og kræver, at de kan modstå, reagere på og genetablere efter alle typer driftsforstyrrelser og trusler der involverer informations- og kommunikationsteknologi (IKT).
have interne styrings- og kontrolforanstaltninger på plads, der sikrer effektiv og forsigtig styring af IKT-risici
sikre, at deres ledelsesorgan definerer, godkender, fører tilsyn med og er ansvarlig for alle relevante ordninger
have en forsvarlig, dækkende og veldokumenteret IKT-risikostyringsramme på plads med de nødvendige strategier, politikker, procedurer, protokoller og værktøjer til at reagere hurtigt og effektivt
bruge og vedligeholde opdaterede IKT-systemer, protokoller og værktøjer, der er passende, pålidelige, teknologisk modstandsdygtige og har tilstrækkelig kapacitet
identificere, klassificere og have tilstrækkelig dokumentation for alle IKT-understøttede forretningsfunktioner, roller og ansvarsområder og gennemgå risikoscenarier
løbende overvåge sikkerheden og driften af IKT-systemer og værktøjer for at minimere følgerne af enhver IKT-risiko
straks opdage uregelmæssigheder og identificere potentielle fejlområder
indføre en omfattende IKT-driftskontinuitetspolitik med relevante planer, procedurer og mekanismer
udvikle og dokumentere sikkerhedskopieringspolitikker og genopbyggelses- og gendannelsesprocedurer
tilvejebringe ressourcer og personale til at vurdere sårbarheder og cybertrusler, IKT-relaterede hændelser, især cyberangreb, og analysere deres potentielle indvirkning på enhedens digitale operationelle modstandsdygtighed
udarbejde krisekommunikationsplaner for mindst at kunne afsløre større IKT-relaterede hændelser eller sårbarheder overfor kunder, modparter og offentligheden
IKT-relateret ledelse, klassificering og rapportering
Finansielle enheder skal:
definere, fastsætte og implementere foranstaltninger til at opdage, styre, registrere og underrette om IKT-relaterede hændelser
klassificere hændelser og klarlægge deres indvirkning ved brug af kriterier som antal berørte kunder og modparter, varighed, geografisk spredning og datatab
Finansielle enheder, bortset fra mikrovirksomheder, skal:
etablere, vedligeholde og evaluere et solidt og omfattende digitalt operationelt testprogram udstyret med de nødvendige vurderinger, test, metoder, praksis og værktøjer
mindst hvert 3. år gennemføre en trusselsniveau-penetrationstest baseret på deres risikoprofil og under hensyntagen til driftsforholdene — og kun bruge testere, der er certificerede, besidder den nødvendige ekspertise og egnethed og har professionel ansvarsforsikring
Styre tredjeparts IKT-risiko
Finansielle enheder skal:
styre tredjepartsrisiko som en integreret komponent af deres samlede IKT-risiko
have indgået kontraktlige ordninger for, at IKT-tjenester kan drive deres forretningsdrift i fuld overensstemmelse med den relevante lovgivning
tage hensyn til arten, omfanget, kompleksiteten og vigtigheden af IKT-relaterede afhængigheder og eventuelle potentielle risici
afveje fordele og omkostninger ved alternative løsninger, når de identificerer og vurderer eventuelle risici
inkludere hver parts rettigheder og forpligtelser og serviceaftalen i kontrakten
Tilsynsramme for kritiske IKT-tredjepartstjenesteudbydere
udpege, på grundlag af klare kriterier, de IKT-tredjepartstjenesteudbydere, der anses for at være kritiske for finansielle enheder
udpege den ESA, der er ansvarlig for den berørte finansielle enhed, som ledende tilsynsførende for hver kritisk tredjepartstjenesteudbyder
oprette et Tilsynsforum, der skal:
diskutere relevant udvikling vedrørende IKT-risici og sårbarheder og fremme en konsekvent EU-overvågningsmetode
årligt vurdere tilsynsaktiviteter, fremme tiltag for at øge den digitale operationelle modstandsdygtighed og opnå bedste praksis
indsende omfattende benchmarks for kritiske IKT-tredjepartstjenesteudbydere
give den ledende tilsynsførende mandat til at:
være det primære kontaktpunkt for kritiske IKT-tredjepartstjenesteudbydere
vurdere, om hver kritisk udbyder har dækkende, forsvarlige og effektive regler, procedurer, mekanismer og ordninger på plads
anmode om alle relevante oplysninger og dokumentation, udføre undersøgelser og inspektioner (inklusive i lande uden for EU), specificere afhjælpende foranstaltninger og udstede anbefalinger
I henhold til delegeret forordning (EU) 2024/1502 kan tredjepartsudbydere af IKT-tjenester udpeges som kritiske og bringes under direkte tilsyn af ESA’erne efter en vurdering i to trin.
Trin1— kvantitative kriterier
Udbyderen skal opfylde målbare tærskelværdier, såsom:
antallet af finansielle enheder eller andelen af deres samlede aktiver, som er afhængige af udbyderens tjenester
om dennes tjenester kan erstattes, eller om det vil være vanskeligt eller dyrt at skifte til en anden udbyder.
Trin2— kvalitative kriterier
Udbydere, der opfylder trin 1, vurderes derefter ud fra bredere hensyn, herunder:
de potentielle systemiske konsekvenser, hvis deres tjenester blev afbrudt
graden af indbyrdes afhængighed mellem finansielle enheder, der anvender den samme udbyder
de understøttede funktioners kritiske betydning
afhængighed af de samme underleverandører.
En udbyder udpeges som kritisk, kun når denne opfylder kriterierne i begge trin.
Aftaler om udveksling af oplysninger
Finansielle enheder kan indbyrdes udveksle informationer og efterretninger om cybertrusler, forudsat at dette:
har til formål at styrke deres digitale operationelle modstandsdygtighed
sker i deres anerkendte fællesskaber
beskytter forretningsfortrolighed og personoplysninger og respekterer konkurrencepolitikkens regler
Sanktioner og afhjælpende foranstaltninger
Kompetente myndigheder:
har alle de tilsyns-, undersøgelses- og sanktionsbeføjelser, der er nødvendige for at udføre deres opgaver
pålægger og offentliggør på deres websteder de administrative sanktioner og afhjælpende foranstaltninger, der er fastsat i national lovgivning.
ESA’er udarbejder udkast til reguleringsmæssige tekniske standarder for IKT-risikostyringsværktøjer, klassificering og rapportering af IKT-relaterede hændelser og udførelse af tilsynsaktiviteter.
De reformer, der fulgte efter finanskrisen i 2008, styrkede primært sektorens finansielle stabilitet IKT-risici blev kun behandlet indirekte på nogle områder og udgør fortsat en udfordring for EU’s finansielle systems operationelle modstandskraft, ydeevne og stabilitet.
Forordningen, kendt som DORA, er en del af en større digital finanspakke, der har til formål at fremme teknologisk udvikling og sikre finansiel stabilitet og forbrugerbeskyttelse. Dens andre elementer dækker en digital finansstrategi, markeder for kryptoaktiver og distributet ledger-teknologi.
Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af om digital operationel modstandsdygtighed i den finansielle sektor og om ændring af forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 (EUT L 333 af , s. 1–79).
TILHØRENDE DOKUMENTER
Kommissionens delegerede forordning (EU) 2024/1502 af om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 for så vidt angår præcisering af kriterierne for udpegelse af tredjepartsudbydere af IKT-tjenester som kritiske for finansielle enheder (EUT L, 2024/1502, ).
Meddelelse fra Kommissionen til Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget om en strategi for digital finans for EU (COM(2020) 591 final af ).
Europa-Parlamentets og Rådets forordning (EU) 2016/1011 af om indeks, der bruges som benchmarks i finansielle instrumenter og finansielle kontrakter eller med henblik på at måle investeringsfondes økonomiske resultater, og om ændring af direktiv 2008/48/EF og 2014/17/EU samt forordning (EU) nr. 596/2014 (EUT L 171, , s. 1–65).
Efterfølgende ændringer til forordning (EU) 2016/1011 er blevet indarbejdet i grundteksten. Denne konsoliderede udgave har ingen retsvirkning.
Europa-Parlamentets og Rådets forordning (EU) nr. 909/2014 af om forbedring af værdipapirafviklingen i Den Europæiske Union og om værdipapircentraler samt om ændring af direktiv 98/26/EF og 2014/65/EU samt forordning (EU) nr. 236/2012 (EUT L 257 af , s. 1-72).
Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af om markeder for finansielle instrumenter og om ændring af forordning (EU) nr. 648/2012 (EUT L 173, , s. 84–148).
Europa-Parlamentets og Rådets forordning (EU) Nr. 648/2012 af om OTC-derivater, centrale modparter og transaktionsregistre EØS-relevant tekst (EUT L 201 af , s. 1-59)