2.3.2021   

DA

Den Europæiske Unions Tidende

L 71/11

KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 2021/369

af 1. marts 2021

om fastlæggelse af de tekniske specifikationer og procedurer for det sammenkoblingssystem for centrale registre, der er omhandlet i Europa-Parlamentets og Rådets direktiv (EU) 2015/849

(EØS-relevant tekst)

EUROPA-KOMMISSIONEN HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde,

under henvisning til Europa-Parlamentets og Rådets direktiv (EU) 2015/849 af 20. maj 2015 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme, om ændring af Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 og om ophævelse af Europa-Parlamentets og Rådets direktiv 2005/60/EF samt Kommissionens direktiv 2006/70/EF (1), særligt artikel 31a, og

ud fra følgende betragtninger:

(1)

Medlemsstaterne skal sammenkoble deres nationale centrale registre over reelt ejerskab via den europæiske centrale platform, der er oprettet ved artikel 22, stk. 1, i Europa-Parlamentets og Rådets direktiv (EU) 2017/1132 (2), og sammenkoblingen bør konfigureres i overensstemmelse med de tekniske specifikationer og procedurer, der indføres ved gennemførelsesretsakter, som Kommissionen vedtager i overensstemmelse med samme direktivs artikel 24. Forskellene mellem formålet, anvendelsesområdet og indholdet af de registre, der sammenkobles i henhold til direktiv (EU) 2017/1132, og de centrale registre over reelt ejerskab, som oprettes ved direktiv (EU) 2015/849, gør det imidlertid nødvendigt at fastlægge og vedtage yderligere tekniske specifikationer, foranstaltninger og andre krav, der sikrer ensartede betingelser for gennemførelsen af systemet.

(2)

Foranstaltningerne i denne forordning er i overensstemmelse med udtalelse fra Udvalget til Forebyggelse af Hvidvaskning af Penge og Finansiering af Terrorisme —

VEDTAGET DENNE FORORDNING:

Artikel 1

De tekniske specifikationer og procedurer for det registersammenkoblingssystem, der er omhandlet i artikel 30 og 31 i direktiv (EU) 2015/849, fremgår af bilaget.

Artikel 2

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den 1. marts 2021.

På Kommissionens vegne

Ursula VON DER LEYEN

Formand

(1)   EUT L 141 af 5.6.2015, s. 73.

(2)  Europa-Parlamentets og Rådets direktiv (EU) 2017/1132 af 14. juni 2017 om visse aspekter af selskabsretten (EUT L 169 af 30.6.2017, s. 46).

BILAG

Fastsættelse af de tekniske specifikationer og procedurer, der er omhandlet i artikel 1

1.   Genstand

Sammenkoblingssystemet for registre over reelt ejerskab (Beneficial Ownership Registers Interconnection System — BORIS) oprettes som et decentraliseret system til sammenkobling af de nationale centrale registre over reelt ejerskab og den europæiske e-justiceportal (1) gennem den centrale europæiske platform (2). BORIS fungerer som en central søgetjeneste, der giver adgang til alle oplysninger om reelt ejerskab i overensstemmelse med bestemmelserne i direktiv (EU) 2015/849 (3).

2.   Definitioner

a)

»register«: nationale centrale registre med oplysninger om reelt ejerskab som omhandlet i artikel 30 og 31 i direktiv (EU) 2015/849

b)

»kvalificeret bruger«: brugere af BORIS som omhandlet i artikel 30, stk. 5, litra a) og b), og i artikel 31, stk. 4, litra a) og b), i direktiv (EU) 2015/849

c)

»obligatoriske oplysninger«: det fælles sæt af oplysninger, som har den samme struktur og er af samme type i alle registre i medlemsstaterne

d)

»yderligere oplysninger«: det i fællesskab på forhånd fastsatte sæt af oplysninger, som medlemsstaterne kan vælge at dele — ud over de »obligatoriske oplysninger« — helt eller delvist gennem BORIS

e)

»nationalt registreringsnummer«: det individuelle identifikationsnummer, der i henhold til national ret er tildelt et selskab eller en anden juridisk enhed eller til en trust eller et lignende arrangement i registret over reelt ejerskab.

3.   Forholdet mellem det nationale registreringsnummer, den europæiske entydige identifikator og selskabsregistreringsnummeret

3.1.

 Registret over reelt ejerskab deler med den europæiske centrale platform det nationale registreringsnummer og, for selskaber, den europæiske entydige identifikator (EUID), de er tildelt i systemet til sammenkobling af selskabsregistre (Business Registers Interconnection System — BRIS) (4), samt selskabsregistreringsnummeret, hvis sidstnævnte adskiller sig fra det nationale registreringsnummer. Selskabsregistreringsnummeret bruges til at tildele EUID til selskaber, der ikke har et EUID i BRIS. For andre juridiske enheder, trusts eller lignende arrangementer tildeles EUID på grundlag af det nationale registreringsnummer.

3.2.

 Brugere af BORIS skal kunne søge efter selskaber, andre juridiske enheder, trusts eller lignende arrangementer ved hjælp af det nationale registreringsnummer og selskabsregistreringsnummeret, hvis det adskiller sig fra det nationale registreringsnummer.

3.3.

 Medlemsstaterne kan vælge ikke at oplyse nationale registreringsnumre for trusts eller lignende juridiske arrangementer. Hvad angår trusts eller lignende juridiske arrangementer oprettet i henhold til retten i den medlemsstat, hvor de er opført i registret over reelt ejerskab, gælder denne undtagelse kun i fem år regnet fra den dato, BORIS bliver operationel.

4.   Kommunikationsformer

BORIS benytter tjenestebaseret elektronisk kommunikation, såsom webtjenester, til sammenkoblingen af registre.

Kommunikationen mellem portalen og platformen og mellem et register og platformen er en-til-en.

5.   Kommunikationsprotokoller

Der anvendes sikre internetprotokoller, såsom HTTP, til kommunikationen mellem portalen, platformen og registrene.

Der anvendes standardkommunikationsprotokoller, såsom Single Object Access Protocol (SOAP), til transmissionen af data og metadata.

6.   Sikkerhedsstandarder

De tekniske foranstaltninger, der skal sikre overholdelse af minimumsstandarder for IT-sikkerhed i forbindelse med kommunikation og distribution af oplysninger via BORIS, omfatter:

a)

foranstaltninger, der sikrer oplysningernes fortrolighed, herunder ved at benytte sikre kanaler såsom HTTPS

b)

foranstaltninger, der sikrer dataenes integritet under udvekslingen

c)

foranstaltninger, der sikrer, dataafsenderens og datamodtagerens uafviselighed i BORIS

d)

foranstaltninger, der sikrer logning af sikkerhedshændelser i overensstemmelse med anerkendte internationale anbefalinger til IT-sikkerhedsstandarder

e)

foranstaltninger, der sikrer autentificering og autorisation af alle kvalificerede brugere, samt foranstaltninger, der kontrollerer identiteten af de systemer, der er forbundet med portalen, platformen eller registrene under BORIS

f)

hvor det er nødvendigt, foranstaltninger til beskyttelse mod automatiseret søgning og kopiering af registre, f.eks. ved at begrænse det antal søgeresultater, som hvert register giver, til et maksimalt antal, og ved at bruge en CAPTCHA (5)-funktionalitet.

7.   Data, der skal udveksles inden for rammerne af BORIS

7.1.

 Sættet af oplysninger i de nationale registre vedrørende et selskab eller en anden juridisk enhed eller en trust eller en lignende type juridisk arrangement betegnes »BO-fortegnelse«. »BO-fortegnelsen« indeholder data om den pågældende enheds eller det pågældende arrangements profil, om den pågældende enheds eller det pågældende arrangements reelle ejer(e)s person(er) samt om ejerens eller ejernes rettigheder.

7.2.

 I forbindelse med et selskab eller en anden juridisk enhed samt i forbindelse med en trust eller et lignende arrangement skal data om profilen omfatte oplysninger om navn, juridisk form samt registreringsadresse og nationalt registreringsnummer, hvis det foreligger.

7.3.

 Hver medlemsstat har mulighed for at tilføje yderligere oplysninger til de obligatoriske oplysninger. Hvad angår den reelle ejer og dennes rettigheder skal de obligatoriske oplysninger bestå af de data, der er omhandlet i artikel 30, stk. 5, andet afsnit, og i artikel 31, stk. 4, andet afsnit, i direktiv (EU) 2015/849. Hvad angår den reelle ejers identitet skal yderligere oplysninger omfatte mindst fødselsdato eller kontaktoplysninger, jf. artikel 30, stk. 5, sidste punktum, og artikel 31, stk. 4, tredje afsnit. Data fra BO-fortegnelsen modelleres på grundlag af den fastlagte grænsefladespecifikation.

7.4.

 Udvekslingen af oplysninger omfatter også meddelelser, der er nødvendige for systemets drift, såsom bekræftelse af modtagelse, logning og rapportering.

8.   Strukturen i det standardiserede meddelelsesformat

Udvekslingen af oplysninger mellem registrene, platformen og portalen bygger på standardiserede datastruktureringsmetoder og udtrykkes i et standardmeddelelsesformat som f.eks. XML (6).

9.   Data til platformen

9.1.

 I overensstemmelse med interoperabilitetskravene skal de tjenester, som hvert register giver mulighed for, være ensartede og have den samme grænseflade for at muliggøre interaktion med forespørgselsapplikationen, eksempelvis platformen, med en enkelt type grænseflade med et fælles sæt af dataelementer. Medlemsstaterne skal bringe deres interne datastruktur i overensstemmelse med hinanden ved hjælp af konverteringstabeller eller lignende tekniske tiltag for at opfylde kravene i grænsefladespecifikationerne fra Kommissionen.

9.2.

 Følgende data skal indgives, for at platformen kan fungere efter hensigten:

a)

data, der giver mulighed for at identificere systemer, der er forbundet med platformen. Disse data kan bestå af URL'er eller ethvert andet nummer eller kode, der entydigt identificerer hvert system i BORIS

b)

andre operationelle data, der er nødvendige, for at platformen kan sikre, at søgetjenesten fungerer korrekt og effektivt, og at der er interoperabilitet mellem registrene og platformen. Disse data kan omfatte kodelister, referencedata, glossarer og oversættelser af disse metadata samt lognings- og rapporteringsdata.

9.3.

 Data og metadata, der håndteres af platformen, behandles og opbevares i overensstemmelse med de sikkerhedsstandarder, der er beskrevet i afsnit 5.

10.   Systemets driftsmetoder og platformens IT-tjenester

10.1.

 Systemet bygger på følgende driftsmetode, hvad angår udlevering og udveksling af oplysninger:

Image 1

10.2.

 For at beskeder kan leveres på det relevante sprog, stiller den europæiske e-justiceportal referencedatakilder som f.eks. kodelister, kontrollerede ordlister og glossarer til rådighed. Hvis det er relevant, oversættes disse til de officielle EU-sprog. Der vil om muligt blive anvendt anerkendte standarder og standardiserede meddelelser.

10.3.

 Kommissionen skal give medlemsstaterne yderligere oplysninger om den tekniske driftsmetode og implementeringen af platformens IT-tjenester.

11.   Søgekriterier

11.1.

 Der skal vælges mindst ét land ved søgninger.

11.2.

 Portalen har følgende harmoniserede søgekriterier:

a)

hvad angår selskaber eller andre juridiske enheder, trusts eller lignende arrangementer:

i)

navnet på den juridiske enhed eller arrangementet

ii)

nationalt registreringsnummer.

Søgekriterierne under nr. i) og ii) kan anvendes alternativt.

b)

hvad angår personer som reelle ejere:

i)

den reelle ejers for- og efternavn

ii)

den reelle ejers fødselsdato.

Søgekriterierne under nr. i) og ii) anvendes kumulativt.

11.3.

 Portalen kan stille yderligere søgekriterier til rådighed.

12.   Betalingsmetoder og onlineregistrering

12.1.

 Når det drejer sig om bestemte data, for hvilke medlemsstaterne opkræver gebyrer, og som er gjort tilgængelige på portalen via BORIS, giver systemet brugerne mulighed for at betale online ved hjælp af almindeligt anvendte betalingsmetoder som f.eks. kredit- og debetkort.

12.2.

 BORIS skal omfatte foranstaltninger, der giver mulighed for onlineregistrering i henhold til artikel 30, stk. 5a, og artikel 31, stk. 4a, i direktiv (EU) 2015/849.

13.   Tjenesternes tilgængelighed

13.1.

 BORIS skal være tilgængelig døgnet rundt, syv dage om ugen, med en tilgængelighedsgrad på mindst 98 %, ekskl. planlagt vedligeholdelse.

13.2.

 Medlemsstaterne underretter Kommissionen om vedligeholdelsesarbejde som følger:

a)

fem arbejdsdage i forvejen for vedligeholdelsesopgaver, der kan gøre systemet utilgængeligt i op til 4 timer

b)

10 arbejdsdage i forvejen for vedligeholdelsesopgaver, der kan gøre systemet utilgængeligt i op til 12 timer

c)

30 arbejdsdage i forvejen for vedligeholdelse af infrastrukturen i datarum, der kan gøre systemet utilgængeligt i op til seks dage pr. år.

Vedligeholdelsesarbejdet planlægges så vidt muligt uden for arbejdstiden (kl. 19-8, centraleuropæisk tid).

13.3.

 Hvis medlemsstaterne har afsat et fast ugentligt vedligeholdelsestidspunkt, underretter de Kommissionen om klokkeslæt og ugedag. Uden at det berører forpligtelserne i andet afsnit, litra a)-c), kan medlemsstaterne, hvis deres systemer bliver utilgængelige på disse faste vedligeholdelsestidspunkter, vælge ikke at underrette Kommissionen om det.

13.4.

 I tilfælde af uventede tekniske fejl, der gør medlemsstaternes systemer utilgængelige i over en halv time, underretter medlemsstaterne uden ophold inden for normal arbejdstid (kl. 9-16, centraleuropæisk tid) Kommissionen om, at deres system ikke er tilgængeligt, og angiver om muligt, hvornår tjenesten forventes genoptaget.

13.5.

 I tilfælde af uventede fejl på den centrale platform eller portalen underretter Kommissionen uden ophold inden for normal arbejdstid (kl. 9-16, centraleuropæisk tid) medlemsstaterne om, at platformen eller portalen ikke er tilgængelig, og angiver om muligt, hvornår tjenesten forventes genoptaget.

14.   Transskriptions- og translitterationsregler

Hver medlemsstat transskriberer eller translittererer de søgeforespørgsler, der rettes mod dem, og søgeresultaterne i overensstemmelse med deres nationale standarder.

(1)  I det følgende benævnt »portalen«.

(2)  Den europæiske centrale platform (i det følgende benævnt »platformen«) er oprettet ved artikel 22, stk. 1, i Europa-Parlamentets og Rådets direktiv (EU) 2017/1132 af 14. juni 2017 om visse aspekter af selskabsretten (EUT L 169 af 30.6.2017, s. 46).

(3)  Dette berører ikke eventuelle andre funktionaliteter, BORIS måtte omfatte i fremtiden.

(4)  Artikel 16, stk. 1, i Europa-Parlamentets og Rådets direktiv (EU) 2017/1132 af 14. juni 2017 om visse aspekter af selskabsretten og punkt 8 i bilaget til Kommissionens gennemførelsesforordning (EU) 2015/884 af 8. juni 2015 om fastlæggelse af tekniske specifikationer og procedurer for det registersammenkoblingssystem, der oprettes ved Europa-Parlamentets og Rådets direktiv 2009/101/EF.

(5)  Completely Automated Public Turing test to tell Computers and Humans Apart.

(6)  Extensible Markup Language.