1.   For at opnå et højt fælles niveau af digital operationel modstandsdygtighed fastsætter denne forordning ensartede krav til sikkerheden i de net- og informationssystemer, der understøtter finansielle enheders forretningsprocesser på følgende måde:

2.   For så vidt angår finansielle enheder, der er identificeret som væsentlige eller vigtige enheder i henhold til nationale bestemmelser om gennemførelse af artikel 3 i direktiv (EU) 2022/2555, betragtes denne forordning som en sektorspecifik EU-retsakt med henblik på artikel 4 i nævnte direktiv.

3.   Denne forordning berører ikke medlemsstaternes ansvar for så vidt angår væsentlige statslige funktioner vedrørende offentlig sikkerhed, forsvar og national sikkerhed i overensstemmelse med EU-retten.

1.   Med forbehold af stk. 3 og 4 finder denne forordning anvendelse på følgende enheder:

2.   Med henblik på denne forordning benævnes de enheder, der er omhandlet i stk. 1, litra a)-t), samlet »finansielle enheder«.

3.   Denne forordning finder ikke anvendelse på:

4.   Medlemsstaterne kan undtage de enheder, som er omhandlet i artikel 2, stk. 5, nr. 4)-23), i direktiv 2013/36/EU, og som er beliggende på deres respektive områder, fra denne forordnings anvendelsesområde. Hvis en medlemsstat gør brug af denne mulighed, underretter den Kommissionen herom og om eventuelle efterfølgende ændringer heraf. Kommissionen gør disse oplysninger offentligt tilgængelige på sit websted eller på anden let tilgængelig måde.

1.   Finansielle enheder gennemfører de regler, der er fastsat i kapitel II i overensstemmelse med proportionalitetsprincippet, under hensyntagen til deres størrelse og samlede risikoprofil samt karakteren, omfanget og kompleksiteten af deres tjenester, aktiviteter og operationer.

2.   Desuden skal finansielle enheders anvendelse af kapitel III, IV og kapitel V, afdeling I, stå i et rimeligt forhold til deres størrelse og samlede risikoprofil og til karakteren, omfanget og kompleksiteten af deres tjenester, aktiviteter og operationer, som specifikt fastsat i de relevante regler i de nævnte kapitler.

3.   De kompetente myndigheder tager hensyn til finansielle enheders anvendelse af proportionalitetsprincippet, når de gennemgår sammenhængen i rammen for IKT-risikostyring på grundlag af de indberetninger, som indgives efter anmodning fra de kompetente myndigheder i henhold til artikel 6, stk. 5, og artikel 16, stk. 2.

1.   Finansielle enheder skal have indført en intern forvaltnings- og kontrolramme, der sikrer en effektiv og forsigtig styring af IKT-risiko, i overensstemmelse med artikel 6, stk. 4, for at opnå et højt niveau af digital operationel modstandsdygtighed.

2.   Ledelsesorganet i den finansielle enhed fastlægger, godkender, fører tilsyn med og har ansvar for gennemførelsen af alle ordninger vedrørende de rammer for IKT-risikostyring, der er omhandlet i artikel 6, stk. 1.

Med henblik på første afsnit er det ledelsesorganet, som

3.   Finansielle enheder, som ikke er mikrovirksomheder, skal oprette en funktion med henblik på overvågning af de ordninger, der er indgået med tredjepartsudbydere af IKT-tjenester vedrørende brugen af IKT-tjenester, eller udpege et medlem af den øverste ledelse som tilsynsansvarlig for den dermed forbundne risikoeksponering og relevante dokumentation.

4.   Medlemmerne af den finansielle enheds ledelsesorgan holder aktivt den viden og de færdigheder, der er nødvendige for at forstå og vurdere IKT-risiko og dens indvirkning på den finansielle enheds drift, ajour, herunder ved regelmæssigt at følge særlige kurser, svarende til den IKT-risiko, der styres.

1.   Finansielle enheder indfører en robust, omfattende og veldokumenteret ramme for IKT-risikostyring som en del af deres samlede risikostyringssystem, der sætter dem i stand til at håndtere IKT-risikoen hurtigt, effektivt og fyldestgørende, og som sikrer et højt niveau af digital operationel modstandsdygtighed.

2.   Rammen for IKT-risikostyring skal som minimum omfatte strategier, politikker, procedurer, IKT-protokoller og -værktøjer, som er nødvendige for på behørig vis og i tilstrækkelig grad at beskytte alle informationsaktiver og IKT-aktiver, herunder computersoftware, -hardware og servere, samt for at beskytte alle relevante fysiske komponenter og infrastrukturer, såsom lokaler, datacentre og sensitive udpegede områder, for at sikre tilstrækkelig beskyttelse af alle informationsaktiver og IKT-aktiver mod risici, herunder skade og uautoriseret adgang eller brug.

3.   I overensstemmelse med deres ramme for IKT-risikostyring minimerer de finansielle enheder virkningerne af IKT-risiko ved at indføre passende strategier, politikker, procedurer, IKT-protokoller og -værktøjer. De forelægger fuldstændige og ajourførte oplysninger om IKT-risiko og om deres ramme for IKT-styring for de kompetente myndigheder på disses anmodning.

4.   Finansielle enheder, som ikke er mikrovirksomheder, overdrager ansvaret for styring af og tilsyn med IKT-risikoen til en kontrolfunktion og sikrer, at denne kontrolfunktion har et passende uafhængighedsniveau, således at interessekonflikter undgås. Finansielle enheder sikrer en passende adskillelse og uafhængighed af IKT-risikostyringsfunktioner, kontrolfunktioner og interne revisionsfunktioner efter modellen med tre forsvarslinjer eller en intern model for risikostyring og kontrol.

5.   Rammen for IKT-risikostyring skal dokumenteres og gennemgås mindst én gang om året, eller regelmæssigt for så vidt angår mikrovirksomheder, samt når der forekommer større IKT-relaterede hændelser, og i henhold til tilsynsmæssige instrukser eller konklusioner, som er udledt af relevant test af digital operationel modstandsdygtighed eller revisionsprocesser. Den skal forbedres løbende på grundlag af indhøstede gennemførelses- og overvågningserfaringer. Der skal forelægges en rapport om gennemgangen af rammen for IKT-risikostyring for den kompetente myndighed på dens anmodning.

6.   Revisorer foretager regelmæssigt intern revision af rammen for IKT-risikostyring for andre finansielle enheder end mikrovirksomheder i overensstemmelse med de finansielle enheders revisionsplan. Disse revisorer skal besidde tilstrækkelig viden, faglig kompetence og ekspertise med hensyn til IKT-risici og være tilstrækkeligt uafhængige. Hyppigheden af IKT-revisioner og deres fokus skal stå i rimeligt forhold til den finansielle enheds IKT-risiko.

7.   De finansielle enheder etablerer på baggrund af konklusioner fra den interne revisionsgennemgang en formel opfølgningsproces, herunder regler for rettidig efterprøvning og udbedring af kritiske resultater af IKT-revisioner.

8.   Rammen for IKT-risikostyring skal omfatte en strategi for digital operationel modstandsdygtighed, der fastsætter, hvordan rammen gennemføres. Med henblik herpå skal strategien for digital operationel modstandsdygtighed omfatte metoderne til håndtering af IKT-risiko og opfylde specifikke IKT-mål ved at

9.   Finansielle enheder kan i forbindelse med strategien for digital operationel modstandsdygtighed som omhandlet i stk. 8 fastlægge en helhedsorienteret strategi med flere IKT-udbydere på koncern- eller enhedsplan, som viser, hvor der er stor afhængighed af tredjepartsudbydere af IKT-tjenester, og begrunde den pågældende udbudssammensætning af tredjepartsudbydere af IKT-tjenester.

10.   Finansielle enheder kan i overensstemmelse med sektorspecifik EU-ret og national ret outsource de opgaver, der er forbundet med efterprøvning af overholdelsen af kravene til IKT-risikostyring, til koncerninterne eller eksterne virksomheder. I tilfælde af en sådan outsourcing er den finansielle enhed fortsat fuldt ud ansvarlig for at efterprøve overholdelsen af kravene til IKT-risikostyring.

1.   Som led i den ramme for IKT-risikostyring, der er omhandlet i artikel 6, stk. 1, foretager de finansielle enheder identifikation, klassificering og tilstrækkelig dokumentering af alle IKT-understøttede forretningsfunktioner, roller og ansvarsområder, informationsaktiver og IKT-aktiver, der understøtter disse funktioner, samt deres roller og afhængigheder med hensyn til IKT-risici. De finansielle enheder vurderer efter behov og mindst én gang om året, hvorvidt denne klassificering og eventuel relevant dokumentation er tilstrækkelig.

2.   De finansielle enheder identificerer løbende alle kilder til IKT-risiko, navnlig risikoeksponeringen for og fra andre finansielle enheder, og vurderer cybertrusler og IKT-sårbarheder, der er relevante for deres IKT-understøttede forretningsfunktioner, informationsaktiver og IKT-aktiver. De finansielle enheder gennemgår regelmæssigt og mindst én gang om året de risikoscenarier, der har virkninger for dem.

3.   Finansielle enheder, som ikke er mikrovirksomheder, foretager en risikovurdering efter hver større ændring af infrastrukturen i net- og informationssystemerne, i de processer eller procedurer, der påvirker deres IKT-understøttede forretningsfunktioner, informationsaktiver eller IKT-aktiver.

4.   De finansielle enheder identificerer alle informationsaktiver og IKT-aktiver, herunder på eksterne steder, netværksressourcer og hardwareudstyr, og kortlægger dem, der anses for kritiske. De kortlægger informationsaktivernes og IKT-aktivernes konfiguration samt forbindelserne og den indbyrdes forbundethed mellem de forskellige informationsaktiver og IKT-aktiver.

5.   De finansielle enheder identificerer og dokumenterer alle processer, der er afhængige af tredjepartsudbydere af IKT-tjenester, og identificerer sammenkoblinger med tredjepartsudbydere af IKT-tjenester, der udbyder tjenester, som understøtter kritiske eller vigtige funktioner.

6.   Med henblik på stk. 1, 4 og 5 opretholder finansielle enheder relevante fortegnelser og ajourfører dem regelmæssigt, og hver gang der sker større ændringer som omhandlet i stk. 3.

7.   Finansielle enheder, som ikke er mikrovirksomheder, foretager regelmæssigt og mindst én gang om året en specifik IKT-risikovurdering af alle legacy-IKT-systemer og i alle tilfælde før og efter sammenkobling af teknologier, applikationer eller systemer.

1.   Med henblik på at sikre passende beskyttelse af IKT-systemer og tilrettelægge indsatsforanstaltninger sikrer de finansielle enheder løbende overvågning af og kontrol med IKT-systemernes og -værktøjernes sikkerhed og af, hvordan de fungerer, og minimerer virkningerne af IKT-risikoen for IKT-systemer ved at indføre passende IKT-sikkerhedsværktøjer, -politikker og -procedurer.

2.   De finansielle enheder udformer, indkøber og gennemfører IKT-sikkerhedspolitikker, -procedurer, -protokoller og -værktøjer, der har til formål at sikre IKT-systemernes modstandsdygtighed, stabilitet og tilgængelighed, især for dem, der understøtter kritiske eller vigtige funktioner, og at opretholde høje standarder for, tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, hvad enten dataene er inaktive, i brug eller under overførsel.

3.   For at nå de i stk. 2 omhandlede mål anvender de finansielle enheder IKT-løsninger og -processer, som er hensigtsmæssige i overensstemmelse med artikel 4. Disse IKT-løsninger og -processer:

4.   Som led i den ramme for IKT-risikostyring, der er omhandlet i artikel 6, stk. 1, skal de finansielle enheder

Med henblik på første afsnit, litra b), udformer de finansielle enheder infrastrukturen for netværkstilslutning på en sådan måde, at den kan afbrydes eller segmenteres øjeblikkeligt for at minimere og forhindre afsmitning, navnlig i forbindelse med indbyrdes forbundne finansielle processer.

Med henblik på første afsnit, litra e), skal IKT-ændringsstyringsprocessen godkendes på passende ledelsesniveauer og omfatte specifikke protokoller.

1.   De finansielle enheder indfører mekanismer til omgående detektion af anormale aktiviteter i overensstemmelse med artikel 17, herunder problemer med IKT-netværkets ydeevne og IKT-relaterede hændelser, og til identifikation af potentielt væsentlige single points of failure.

De i første afsnit omhandlede mekanismer testes regelmæssigt i overensstemmelse med artikel 25.

2.   Ved de i stk. 1 omhandlede detektionsmekanismer skal det gøres muligt at anvende flere kontrollag, fastlægge varslingstærskler og -kriterier, som skal udløse og igangsætte indsatsforanstaltninger mod IKT-relaterede hændelser, herunder automatiske varslingsmekanismer for det relevante personale, som har ansvar for indsatsen mod IKT-relaterede hændelser.

3.   Finansielle enheder afsætter tilstrækkelige ressourcer og kapaciteter til overvågning af brugeraktiviteter, forekomsten af IKT-anomalier og IKT-relaterede hændelser, navnlig cyberangreb.

4.   Udbydere af dataindberetningstjenester indfører desuden systemer, som effektivt kan kontrollere, om handelsindberetningerne er fuldstændige, identificere udeladelser og åbenbare fejl og anmode om fornyet fremsendelse af disse indberetninger.

1.   Som led i den ramme for IKT-risikostyring, der er omhandlet i artikel 6, stk. 1, og baseret på de krav til identifikation, der er fastsat i artikel 8, indfører de finansielle enheder en omfattende politik for IKT-driftsstabilitet, som kan vedtages som en særlig specifik politik, der skal udgøre en integreret del af den finansielle enheds samlede politik for driftsstabilitet.

2.   De finansielle enheder gennemfører politikken for IKT-driftsstabilitet ved hjælp af særlige, passende og veldokumenterede ordninger, planer, procedurer og mekanismer, der tager sigte mod:

3.   Som led i den ramme for IKT-risikostyring, der er omhandlet i artikel 6, stk. 1, gennemfører de finansielle enheder dertil knyttede planer for IKT-indsats og -genopretning, som for finansielle enheder, der ikke er mikrovirksomheder, underkastes uafhængige interne revisionsgennemgange.

4.   De finansielle enheder indfører, vedligeholder og foretager regelmæssig testning af passende planer for IKT-driftsstabilitet, navnlig med hensyn til kritiske eller vigtige funktioner, som outsources eller udliciteres gennem ordninger, der er indgået med tredjepartsudbydere af IKT-tjenester.

5.   Som led i den samlede politik for driftsstabilitet foretager de finansielle enheder en forretningskonsekvensanalyse (BIA) af deres eksponering for alvorlige driftsforstyrrelser. De finansielle enheder vurderer i forbindelse med BIA'en de potentielle virkninger af alvorlige driftsforstyrrelser ved hjælp af kvantitative og kvalitative kriterier ved anvendelse af interne og eksterne data og scenarieanalyser, alt efter hvad der er relevant. BIA'en skal tage hensyn til den kritiske betydning af identificerede og kortlagte forretningsfunktioner, støtteprocesser, tredjepartsafhængighed og informationsaktiver samt deres indbyrdes afhængighed. De finansielle enheder sikrer, at IKT-aktiver og -tjenester udformes og anvendes i fuld overensstemmelse med BIA'en, navnlig med hensyn til tilstrækkeligt at sikre alle kritiske komponenters redundans.

6.   Som led i den omfattende IKT-risikostyring skal de finansielle enheder

Med henblik på første afsnit, litra a), medtager finansielle enheder, som ikke er mikrovirksomheder, cyberangrebsscenarier og omstillingsscenarier mellem den primære IKT-infrastruktur og redundante kapacitet, sikkerhedskopier og de redundante faciliteter, der er nødvendige for at opfylde de i artikel 12 fastsatte forpligtelser, i testplanerne.

De finansielle enheder gennemgår regelmæssigt deres politik for IKT-driftsstabilitet og planer for IKT-indsats og -genopretning under hensyntagen til resultaterne af de test, der er gennemført i overensstemmelse med første afsnit, og henstillinger, der bygger på revisionskontrol eller tilsynsmæssige gennemgange.

7.   Finansielle enheder, som ikke er mikrovirksomheder, skal have en krisestyringsfunktion, som, hvis deres planer for IKT-driftsstabilitet og planer for IKT-indsats og -genopretning aktiveres, bl.a. skal indeholde klare procedurer for forvaltning af intern og ekstern krisekommunikation i overensstemmelse med artikel 14.

8.   De finansielle enheder fører let tilgængelige registre over aktiviteter før og under driftsforstyrrelser, når deres planer for IKT-driftsstabilitet og planer for IKT-indsats og -genopretning aktiveres.

9.   Værdipapircentraler forelægger kopier af resultaterne af test af IKT-driftsstabiliteten eller lignende aktiviteter for de kompetente myndigheder.

10.   Finansielle enheder, som ikke er mikrovirksomheder, indberetter et overslag over de samlede årlige omkostninger og tab, der opstår som følge af større IKT-relaterede hændelser, til de kompetente myndigheder på deres anmodning.

11.   I overensstemmelse med artikel 16 i forordning (EU) nr. 1093/2010, (EU) nr. 1094/2010 og (EU) nr. 1095/2010, udarbejder ESA'erne via Det Fælles Udvalg senest den 17. juli 2024 fælles retningslinjer for overslaget over de samlede årlige omkostninger og tab, der er omhandlet i stk. 10.

1.   Med henblik på at sikre gendannelse af IKT-systemer og data med minimal nedetid, begrænsede forstyrrelser og tab udvikler og dokumenterer de finansielle enheder som led i deres ramme for IKT-risikostyring følgende:

2.   De finansielle enheder etablerer systemer for sikkerhedskopiering, der kan aktiveres i overensstemmelse med politikker og procedurer for sikkerhedskopiering, og procedurer og metoder for gendannelse og genopretning. Aktiveringen af systemerne for sikkerhedskopiering må ikke sætte sikkerheden i net- og informationssystemer eller tilgængeligheden, autenticiteten, integriteten eller fortroligheden af data over styr. Der foretages regelmæssig test af procedurer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning.

3.   Når de finansielle enheder gendanner sikkerhedskopierede data ved anvendelse af egne systemer, anvender de IKT-systemer, der er fysisk og logisk adskilt fra IKT-kildesystemet. IKT-systemerne skal være sikkert beskyttet mod uautoriseret adgang eller IKT-korruption og give mulighed for rettidig gendannelse af tjenester ved hjælp af data- og systemsikkerhedskopier efter behov.

For centrale modparter skal genopretningsplaner gøre det muligt at genoptage alle transaktioner fra det tidspunkt, hvor de blev afbrudt, således at den berørte centrale modpart kan opretholde driftssikkerheden og gennemføre afviklingen på den planlagte dato.

Udbydere af dataindberetningstjenester skal desuden sørge for at råde over passende ressourcer og sikkerhedskopierings- og gendannelsesfaciliteter for til enhver tid at kunne udbyde og opretholde deres tjenester.

4.   Finansielle enheder, der ikke er mikrovirksomheder, opretholder redundante IKT-kapaciteter, der er udstyret med passende ressourcer og funktioner med henblik på at sikre forretningsmæssige behov. Mikrovirksomheder vurderer behovet for at opretholde sådanne redundante IKT-kapaciteter på grundlag af deres risikoprofil.

5.   Værdipapircentraler bibeholder mindst ét sekundært afviklingssted, der er udstyret med passende ressourcer, kapaciteter, funktioner og personalemæssige ordninger med henblik på at sikre forretningsmæssige behov.

Det sekundære afviklingssted skal

6.   Når de finansielle enheder fastlægger målene for genopretningstid og genopretningspunkt for hver funktion, tager de hensyn til, om det er en kritisk eller vigtig funktion og de potentielle samlede virkninger for markedseffektiviteten. Sådanne tidsmål skal sikre, at de aftalte serviceniveauer overholdes i ekstreme scenarier.

7.   Når de finansielle enheder foretager genopretning efter en IKT-relateret hændelse, udfører de nødvendige kontroller, herunder eventuelt flere kontroller og afstemninger, for at sikre, at dataintegriteten bevares på højeste niveau. Disse kontroller foretages også i forbindelse med rekonstruktionen af data fra eksterne interessenter for at sikre, at alle systemernes data er sammenhængende.

1.   De finansielle enheder sørger for at råde over kapaciteter og personale, som kan indsamle oplysninger om sårbarheder og cybertrusler, IKT-relaterede hændelser, navnlig cyberangreb, og analysere de virkninger, de forventes at have på deres digitale operationelle modstandsdygtighed.

2.   De finansielle enheder foretager gennemgange af IKT-relaterede hændelser, efter at en større IKT-relateret hændelse forstyrrer deres kerneaktiviteter, analyserer årsagerne til forstyrrelserne og identificerer nødvendige forbedringer af IKT-operationerne eller inden for rammerne af den i artikel 11 omhandlede politik for IKT-driftsstabilitet.

Finansielle enheder, som ikke er mikrovirksomheder, underretter på anmodning de kompetente myndigheder om ændringer, der er blevet gennemført efter gennemgange af IKT–relaterede hændelser som omhandlet i første afsnit.

I forbindelse med de i første afsnit omhandlede gennemgange af IKT-relaterede hændelser skal det fastslås, om de fastlagte procedurer er blevet fulgt, og om de iværksatte foranstaltninger har været effektive, herunder i forhold til følgende:

3.   Erfaringer fra test af digital operationel modstandsdygtighed, som foretages i overensstemmelse med artikel 26 og 27, og fra faktiske IKT-relaterede hændelser, navnlig cyberangreb, samt udfordringer i forbindelse med aktiveringen af planer for IKT-driftsstabilitet og planer for IKT-indsats og -genopretning skal sammen med relevante oplysninger, der udveksles med modparter, og som vurderes i forbindelse med tilsynsmæssige gennemgange, løbende indarbejdes i IKT-risikovurderingsprocessen. Disse resultater danner grundlag for passende gennemgange af relevante komponenter i den ramme for IKT-risikostyring, der er omhandlet i artikel 6, stk. 1.

4.   De finansielle enheder overvåger effektiviteten af gennemførelsen af deres strategi for digital operationel modstandsdygtighed, jf. artikel 6, stk. 8. De kortlægger IKT-risikoens udvikling over tid, analyserer hyppigheden, typerne, omfanget af og udviklingen i IKT-relaterede hændelser, navnlig cyberangreb og mønstre forbundet hermed, med henblik på at forstå graden af IKT-risikoeksponering, navnlig i forbindelse med kritiske eller vigtige funktioner, og forbedre den finansielle enheds cybermodenhed og cyberberedskab.

5.   Højtstående IKT-personale skal mindst én gang om året aflægge rapport til ledelsesorganet om de i stk. 3 omhandlede resultater og fremsætte anbefalinger.

6.   De finansielle enheder udvikler programmer til bevidstgørelse om IKT-sikkerhed og kurser i digital operationel modstandsdygtighed som obligatoriske moduler i deres personaleuddannelsesordninger. Disse programmer og kurser skal omfatte alle medarbejdere og den øverste ledelse og skal have en grad af kompleksitet, der svarer til deres opgavers ansvarsområde. Hvis det er relevant, inddrager finansielle enheder også tredjepartsudbydere af IKT-tjenester i deres relevante uddannelsesordninger i overensstemmelse med artikel 30, stk. 2, litra i).

7.   Finansielle enheder, der ikke er mikrovirksomheder, overvåger løbende den relevante teknologiske udvikling også med henblik på at forstå den mulige virkning af indførelsen af sådanne nye teknologier for kravene til IKT-sikkerhed og digital operationel modstandsdygtighed. De skal holde sig ajour med de seneste IKT-risikostyringsprocesser for effektivt at bekæmpe aktuelle eller nye former for cyberangreb.

1.   Som led i den ramme for IKT-risikostyring, der er omhandlet i artikel 6, stk. 1, sørger de finansielle enheder for at have krisekommunikationsplaner, der giver mulighed for ansvarlig offentliggørelse af som minimum større IKT-relaterede hændelser eller sårbarheder for kunder og modparter samt for offentligheden, alt efter hvad der er relevant.

2.   Som led i rammen for IKT-risikostyring gennemfører de finansielle enheder kommunikationsplaner for internt personale og for eksterne interessenter. Kommunikationspolitikkerne for personalet skal tage hensyn til behovet for at skelne mellem personale, der er involveret i IKT-risikostyring, navnlig det personale, der er ansvarligt for indsats og genopretning, og personale, der skal underrettes.

3.   Mindst én person i den finansielle enhed skal have til opgave at gennemføre kommunikationsstrategien for IKT-relaterede hændelser og til dette formål varetage funktionen vedrørende offentligheden og medierne.

1.   Nærværende forordnings artikel 5-15 finder ikke anvendelse på små og ikke indbyrdes forbundne investeringsselskaber, betalingsinstitutter, der er undtaget i henhold til direktiv (EU) 2015/2366, institutter, der er fritaget i henhold til direktiv 2013/36/EU, og for hvilke medlemsstaterne har besluttet ikke at anvende den mulighed, der er omhandlet i nærværende forordnings artikel 2, stk. 4, e-pengeinstitutter, der er undtaget i henhold til direktiv 2009/110/EF, og små arbejdsmarkedsrelaterede pensionskasser.

Uden at det berører første afsnit skal de i første afsnit omhandlede enheder:

2.   Den i stk. 1, andet afsnit, litra a) omhandlede ramme for IKT-risikostyring skal dokumenteres og gennemgås regelmæssigt og ved forekomst af større IKT-relaterede hændelser i overensstemmelse med de tilsynsmæssige instrukser. Den skal forbedres løbende på grundlag af indhøstede erfaringer fra gennemførelse og overvågning. Der skal forelægges en rapport om gennemgangen af rammen for IKT-risikostyring for den kompetente myndighed på dennes anmodning.

3.   ESA'erne udarbejder via Det Fælles Udvalg og i samråd med ENISA fælles udkast til reguleringsmæssige tekniske standarder med henblik på:

Når ESA'erne udarbejder disse udkast til reguleringsmæssige tekniske standarder, tager de hensyn til den finansielle enheds størrelse og samlede risikoprofil og karakteren, omfanget og kompleksiteten af dens tjenester, aktiviteter og operationer.

ESA'erne forelægger disse udkast til reguleringsmæssige tekniske standarder for Kommissionen senest den 17. januar 2024.

Kommissionen tillægges beføjelse til at supplere denne forordning ved at vedtage de i første afsnit omhandlede reguleringsmæssige tekniske standarder i overensstemmelse med artikel 10-14 i forordning (EU) nr. 1093/2010, (EU) nr. 1094/2010 og (EU) nr. 1095/2010.

1.   De finansielle enheder definerer, fastlægger og gennemfører en proces for styring af IKT-relaterede hændelser for at detektere, styre og indberette IKT-relaterede hændelser.

2.   De finansielle enheder registrerer alle IKT-relaterede hændelser og væsentlige cybertrusler. De finansielle enheder fastlægger passende procedurer og processer, der skal sikre en konsekvent og integreret overvågning, håndtering og opfølgning af IKT-relaterede hændelser, således at de grundlæggende årsager identificeres, dokumenteres og håndteres for at forhindre, at sådanne hændelser forekommer.

3.   Som led i den proces for styring af IKT-relaterede hændelser, der er omhandlet i stk. 1:

1.   De finansielle enheder klassificerer IKT-relaterede hændelser og fastslår deres virkninger på grundlag af følgende kriterier:

2.   De finansielle enheder klassificerer cybertrusler som væsentlige på grundlag af de udsatte tjenesters kritiske betydning, herunder den finansielle enheds transaktioner og operationer, antallet og/eller relevansen af de kunder eller finansielle modparter, som rammes, og risikoområdernes geografiske udbredelse.

3.   ESA'erne udarbejder via Det Fælles Udvalg og i samråd med ECB og ENISA fælles udkast til reguleringsmæssige tekniske standarder, som yderligere præciserer følgende:

4.   Når ESA'erne udarbejder de i denne artikels stk. 3 omhandlede fælles udkast til reguleringsmæssige tekniske standarder, tager de hensyn til kriterierne i artikel 4, stk. 2, samt de internationale standarder, den vejledning og de specifikationer, der er udarbejdet og offentliggjort af ENISA, herunder, hvor det er relevant, specifikationer for andre økonomiske sektorer. Med henblik på anvendelse af kriterierne i artikel 4, stk. 2, tager ESA'erne behørigt hensyn til behovet for, at mikrovirksomheder og små og mellemstore virksomheder mobiliserer tilstrækkelige ressourcer og kapaciteter til at sikre, at IKT-relaterede hændelser håndteres hurtigt.

ESA'erne forelægger disse fælles udkast til reguleringsmæssige tekniske standarder for Kommissionen senest den 17. januar 2024.

Kommissionen tillægges beføjelse til at supplere denne forordning ved at vedtage de i stk. 3 omhandlede reguleringsmæssige tekniske standarder i overensstemmelse med artikel 10-14 i forordning (EU) nr. 1093/2010, (EU) nr. 1094/2010 og (EU) nr. 1095/2010.

1.   De finansielle enheder indberetter større IKT-relaterede hændelser til den relevante kompetente myndighed som omhandlet i artikel 46 i overensstemmelse med nærværende artikels stk. 4.

Hvis en finansiel enhed er underlagt tilsyn af mere end en national kompetent myndighed som omhandlet i artikel 46, udpeger medlemsstaterne en fælles kompetent myndighed som den relevante kompetente myndighed, der er ansvarlig for at udføre de i denne artikel omhandlede funktioner og opgaver.

Kreditinstitutter, der er klassificeret som signifikante i overensstemmelse med artikel 6, stk. 4, i forordning (EU) nr. 1024/2013, indberetter større IKT-relaterede hændelser til den relevante nationale kompetente myndighed, der er udpeget i overensstemmelse med artikel 4 i direktiv 2013/36/EU, og som øjeblikkeligt videresender den pågældende rapport til ECB.

Med henblik på første afsnit udarbejder de finansielle enheder efter indsamling og analyse af alle relevante oplysninger den indledende underretning og de rapporter, der er omhandlet i denne artikels stk. 4, ved brug af de modeller, der er omhandlet i artikel 20, og indgiver dem til den kompetente myndighed. Hvis det er teknisk umuligt at indgive den indledende underretning ved brug af modellen, meddeler de finansielle enheder den kompetente myndighed den på anden vis.

Den indledende underretning og de rapporter, der er omhandlet i stk. 4, skal indeholde alle de oplysninger, der er nødvendige for, at den kompetente myndighed kan fastslå, hvorvidt den større IKT-relaterede hændelse er væsentlig, og vurdere mulige grænseoverskridende virkninger.

Med forbehold af den finansielle enheds indberetning i henhold til første afsnit til den relevante kompetente myndighed kan medlemsstaterne derudover bestemme, at visse eller alle finansielle enheder også skal indgive den indledende underretning og hver enkelt rapport som omhandlet i denne artikels stk. 4 ved brug af de modeller, der er omhandlet i artikel 20, til de kompetente myndigheder eller til de enheder, der håndterer IT-sikkerhedshændelser (CSIRT'er), som er udpeget eller oprettet i overensstemmelse med direktiv (EU) 2022/2555.

2.   De finansielle enheder kan på frivillig basis underrette den relevante kompetente myndighed om væsentlige cybertrusler, når de anser truslen for at være relevant for det finansielle system, tjenestebrugere eller kunder. Den relevante kompetente myndighed kan give sådanne oplysninger til andre relevante myndigheder som omhandlet i stk. 6.

Kreditinstitutter, der er klassificeret som signifikante i overensstemmelse med artikel 6, stk. 4, i forordning (EU) nr. 1024/2013, kan på frivillig basis underrette den relevante nationale kompetente myndighed, der er udpeget i overensstemmelse med artikel 4 i direktiv 2013/36/EU, og som øjeblikkeligt videresender underretningen til ECB, om væsentlige cybertrusler.

Medlemsstaterne kan bestemme, at disse finansielle enheder, som på frivillig basis indgiver en underretning, jf. først afsnit, også kan videresende den pågældende underretning til de CSIRT'er, der er udpeget eller oprettet i overensstemmelse med direktiv (EU) 2022/2555

3.   Hvis en større IKT-relateret hændelse indtræffer og har indflydelse på kunders finansielle interesser, underretter de finansielle enheder uden unødigt ophold, så snart de får kendskab til den, deres kunder om den større IKT-relaterede hændelse og om de foranstaltninger, der er truffet for at afbøde de negative virkninger af en sådan hændelse.

I tilfælde af en væsentlig cybertrussel underretter de finansielle enheder, hvis det er relevant, de af deres kunder, som potentielt er berørt heraf, om eventuelle passende beskyttelsesforanstaltninger, som sidstnævnte kan overveje at træffe.

4.   De finansielle enheder indgiver inden for de frister, der skal fastsættes i overensstemmelse med artikel 20, stk. 1, litra a), nr. ii), følgende til den relevante kompetente myndighed:

5.   De finansielle enheder kan i overensstemmelse med EU- og national sektorspecifik ret outsource opfyldelsen af indberetningsforpligtelserne i henhold til denne artikel til en tredjepartstjenesteudbyder. I tilfælde af en sådan outsourcing er den finansielle enhed fortsat fuldt ud ansvarlig for at opfylde kravene vedrørende indberetning af hændelser.

6.   Når den kompetente myndighed modtager den indledende underretning og hver enkelt rapport som omhandlet i stk. 4, forelægger den rettidigt nærmere oplysninger om den større IKT-relaterede hændelse for følgende modtagere på grundlag af deres respektive kompetencer, alt efter hvad der er relevant:

7.   Efter modtagelse af oplysningerne i overensstemmelse med stk. 6 vurderer EBA, ESMA eller EIOPA og ECB i samråd med ENISA og i samarbejde med den relevante kompetente myndighed, om den større IKT-relaterede hændelse er relevant for kompetente myndigheder i andre medlemsstater. Efter denne vurdering underretter EBA, ESMA eller EIOPA så hurtigt som muligt de relevante kompetente myndigheder i andre medlemsstater herom. ECB underretter medlemmerne af Det Europæiske System af Centralbanker om spørgsmål, der er relevante for betalingssystemet. De kompetente myndigheder træffer på grundlag af underretningen, hvis det er hensigtsmæssigt, alle nødvendige foranstaltninger for at beskytte det finansielle systems umiddelbare stabilitet.

8.   Den underretning, som ESMA skal indgive i henhold til denne artikels stk. 7, berører ikke den kompetente myndigheds ansvar for hurtigt at videresende nærmere oplysninger om den større IKT-relaterede hændelse til den relevante myndighed i værtslandet, hvis en værdipapircentral har betydelige grænseoverskridende aktiviteter i værtslandet, den større IKT-relaterede hændelse forventes at have alvorlige konsekvenser for de finansielle markeder i værtslandet, og hvis der er samarbejdsordninger mellem de kompetente myndigheder med hensyn til tilsyn med finansielle enheder.

1.   ESA'erne udarbejder via Det Fælles Udvalg og i samråd med ECB og ENISA en fælles rapport med en vurdering af den praktiske mulighed for yderligere centralisering af indberetningen af hændelser gennem oprettelse af et fælles EU-knudepunkt for finansielle enheders indberetning af større IKT-relaterede hændelser. I den fælles rapport skal det undersøges, hvordan man kan fremme strømmen af indberetninger af IKT-relaterede hændelser, reducere de dermed forbundne omkostninger og understøtte tematiske analyser med henblik på at øge den tilsynsmæssige konvergens.

2.   Den i stk. 1 omhandlede fælles rapport skal mindst omfatte følgende elementer:

3.   ESA'erne forelægger den i stk. 1 omhandlede rapport for Europa-Parlamentet, Rådet og Kommissionen senest den 17. januar 2025.

1.   Med forbehold af teknisk input, rådgivning eller afhjælpende foranstaltninger og efterfølgende opfølgning herpå, som CSIRT'erne, hvis det er relevant, i overensstemmelse med national ret kan tilvejebringe i henhold til direktiv (EU) 2022/2555, kvitterer den kompetente myndighed, når den modtager den indledende underretning og hver enkelt rapport, jf. artikel 19, stk. 4, for modtagelse heraf og kan, hvis det er praktisk muligt, rettidigt give den finansielle enhed relevant og forholdsmæssig feedback eller vejledning på højt niveau, navnlig ved at stille alle relevante anonymiserede oplysninger og efterretninger om lignende trusler til rådighed, og kan drøfte, hvilke afhjælpende foranstaltninger der har fundet anvendelse over for den finansielle enhed, og måder, hvorpå negative virkninger kan minimeres og afbødes på tværs af den finansielle sektor. Med forbehold af den modtagne tilsynsmæssige feedback er de finansielle enheder fortsat fuldt ud ansvarlige for håndteringen og konsekvenserne af de IKT-relaterede hændelser, der er indberettet i henhold til artikel 19, stk. 1.

2.   ESA'erne aflægger via Det Fælles Udvalg baseret på et anonymiseret og samlet grundlag årligt rapport om større IKT-relaterede hændelser, hvis nærmere indhold stilles til rådighed af de kompetente myndigheder i overensstemmelse med artikel 19, stk. 6, og der som minimum angiver antallet af større IKT-relaterede hændelser, deres karakter og indvirkning på finansielle enheders eller kunders operationer samt de afhjælpende foranstaltninger, der er truffet, og de omkostninger, der er afholdt.

ESA'erne udsteder advarsler og udarbejder statistikker på højt niveau for at understøtte IKT-trussels- og sårbarhedsvurderinger.

1.   Med henblik på at vurdere beredskabet i forhold til håndtering af IKT-relaterede hændelser, identificere svagheder, mangler og huller i den digitale operationelle modstandsdygtighed og straks træffe korrigerende foranstaltninger udarbejder, opretholder og gennemgår de finansielle enheder, der ikke er mikrovirksomheder, under hensyntagen til kriterierne i artikel 4, stk. 2, et forsvarligt og omfattende program for test af digital operationel modstandsdygtighed som en integrerende del af den i artikel 6 omhandlede ramme for IKT-risikostyring.

2.   Programmet for test af digital operationel modstandsdygtighed skal omfatte en række vurderinger, test, metodologier, fremgangsmåder og værktøjer, der skal anvendes i overensstemmelse med artikel 25 og 26.

3.   Når de finansielle enheder, der ikke er mikrovirksomheder, gennemfører det i denne artikels stk. 1 omhandlede program for test af digital operationel modstandsdygtighed, følger de en risikobaseret tilgang, idet de tager hensyn til kriterierne i artikel 4, stk. 2, under behørig hensyntagen til et IKT-risikomiljø i udvikling, eventuelle specifikke risici, som den berørte finansielle enhed udsættes for eller kan blive udsat for, informationsaktivernes og de leverede tjenesters kritiske betydning samt alle andre faktorer, som den finansielle enhed finder relevante.

4.   De finansielle enheder, der ikke er mikrovirksomheder, sikrer, at test gennemføres af uafhængige parter, hvad enten de er interne eller eksterne. Hvis en intern tester gennemfører test, skal de finansielle enheder afsætte tilstrækkelige ressourcer og sikre, at interessekonflikter undgås under testens udformnings- og gennemførelsesfaser.

5.   De finansielle enheder, der ikke er mikrovirksomheder, fastlægger procedurer og politikker med henblik på at prioritere, klassificere og afhjælpe alle problemer, der identificeres i forbindelse med gennemførelsen af test, og fastlægger interne valideringsmetoder for at sikre, at alle konstaterede svagheder, mangler eller huller afhjælpes fuldt ud.

6.   De finansielle enheder, der ikke er mikrovirksomheder, sikrer, at der gennemføres passende test af alle IKT-systemer og -applikationer, der understøtter kritiske eller vigtige funktioner, mindst én gang om året.

1.   Det i artikel 24 omhandlede program for test af den digitale operationelle modstandsdygtighed skal i overensstemmelse med kriterierne i artikel 4, stk. 2, indeholde bestemmelser om gennemførelse af relevante test såsom sårbarhedsvurderinger og -scanninger, open source-analyser, vurderinger af netsikkerheden, mangelanalyser, fysiske sikkerhedsgennemgange, spørgeskemaer og scanningssoftwareløsninger, gennemgange af kildekoder, når det er praktisk muligt, scenariebaserede test, kompatibilitetstest, præstationstest, end-to-end-test og penetrationstest.

2.   Værdipapircentraler og centrale modparter foretager sårbarhedsvurderinger inden indførelse eller genindførelse af nye eller eksisterende applikationer og infrastrukturkomponenter og IKT-tjenester, der understøtter den finansielle enheds kritiske eller vigtige funktioner.

3.   Mikrovirksomheder gennemfører de i stk. 1 omhandlede test ved at kombinere en risikobaseret tilgang med strategisk planlægning af IKT-test under behørig hensyntagen til behovet for at opretholde en afbalanceret tilgang mellem omfanget af ressourcer og den tid, der skal afsættes til IKT-test som omhandlet i denne artikel, på den ene side og den hastende karakter, risikotype og informationsaktivernes og de leverede tjenesters kritiske betydning samt alle andre relevante faktorer, herunder den finansielle enheds evne til at tage kalkulerede risici, på den anden side.

1.   Finansielle enheder, der hverken er enheder som omhandlet i artikel 16, stk. 1, første afsnit, eller mikrovirksomheder, og som er identificeret i overensstemmelse med nærværende artikels stk. 8, tredje afsnit, foretager mindst hvert tredje år avancerede test ved hjælp af TLPT. På grundlag af den finansielle enheds risikoprofil og under hensyntagen til de operationelle omstændigheder kan den kompetente myndighed om nødvendigt anmode den finansielle enhed om at reducere eller øge denne hyppighed.

2.   Hver trusselsbaseret penetrationstest skal omfatte flere eller samtlige kritiske eller vigtige funktioner hos en finansiel enhed og foretages på live-produktionssystemer, der understøtter sådanne funktioner.

De finansielle enheder identificerer alle relevante underliggende IKT-systemer, -processer og -teknologier, der understøtter kritiske eller vigtige funktioner og alle relevante IKT-tjenester, herunder dem, der understøtter kritiske eller vigtige funktioner og tjenester, der er blevet outsourcet eller udliciteret til tredjepartsudbydere af IKT-tjenester.

De finansielle enheder vurderer, hvilke kritiske eller vigtige funktioner, der skal være omfattet af TLPT. Resultatet af denne vurdering bestemmer det nøjagtige omfang af TLPT og valideres af de kompetente myndigheder.

3.   Hvis tredjepartsudbydere af IKT-tjenester medtages i TLPT's anvendelsesområde, træffer den finansielle enhed de nødvendige foranstaltninger og sikkerhedsforanstaltninger for at sikre deltagelse af sådanne tredjepartsudbydere af IKT-tjenester i TLPT, og den har til enhver tid det fulde ansvar for at sikre overholdelse af denne forordning.

4.   Uden at det berører stk. 2, første og andet afsnit, kan den finansielle enhed og tredjepartsudbyderen af IKT-tjenester, hvis deltagelse af en tredjepartsudbyder af IKT-tjenester i TLPT som omhandlet i stk. 3 med rimelighed kan forventes at have en negativ indvirkning på kvaliteten eller sikkerheden af de tjenester, som tredjepartsudbyderen af IKT-tjenester leverer til kunder, der er enheder, som ikke henhører under denne forordnings anvendelsesområde, eller på fortroligheden af data forbundet med sådanne tjenester, skriftligt aftale, at tredjepartsudbyderen af IKT-tjenester direkte indgår kontraktlige ordninger med en ekstern tester med henblik på under ledelse af en udpeget finansiel enhed at foretage en samlet TLPT, der omfatter flere finansielle enheder (samlet test), som tredjepartsudbyderen af IKT-tjenester leverer IKT-tjenester til.

Denne samlede test skal omfatte en relevant vifte af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, som de finansielle enheder har udliciteret til den pågældende tredjepartsudbyder af IKT-tjenester. Den samlede test betragtes som en TLPT, som gennemføres af de finansielle enheder, der deltager i den samlede test.

Antallet af finansielle enheder, der deltager i den samlede test, afpasses behørigt under hensyntagen til kompleksiteten og typen af de involverede tjenester.

5.   De finansielle enheder anvender i samarbejde med tredjepartsudbydere af IKT-tjenester og andre involverede parter, herunder testere, men med undtagelse af de kompetente myndigheder, effektive risikostyringskontroller for at mindske risici for potentielle virkninger på data, skade på aktiver og forstyrrelser af kritiske eller vigtige funktioner, tjenester eller operationer i den finansielle enhed selv, hos dens modparter eller i den finansielle sektor.

6.   Efter afslutning af testen, og efter at der er opnået enighed om rapporter og udbedringsplaner, forelægger den finansielle enhed og, hvor det er relevant, de eksterne testere den myndighed, der er udpeget i overensstemmelse med stk. 9 eller 10, en sammenfatning af de relevante resultater, udbedringsplanerne og den dokumentation, som viser, at TLPT er blevet gennemført i overensstemmelse med kravene.

7.   Myndighederne forelægger de finansielle enheder en erklæring, der bekræfter, at testen er blevet gennemført i overensstemmelse med de krav, der fremgår af dokumentationen, for at give mulighed for gensidig anerkendelse af trusselsbaserede penetrationstest mellem de kompetente myndigheder. Den finansielle enhed underretter den relevante kompetente myndighed om erklæringen, sammenfatningen af de relevante resultater og udbedringsplanerne.

Med forbehold af denne erklæring har de finansielle enheder til enhver tid fortsat det fulde ansvar for virkningen af de i stk. 4 omhandlede test.

8.   De finansielle enheder indgår en kontrakt med testere med henblik på at gennemføre TLPT i overensstemmelse med artikel 27. Hvis de finansielle enheder anvender interne testere med henblik på at gennemføre TLPT, skal de indgå kontrakt med eksterne testere ved hver tredje test.

Kreditinstitutter, som er klassificeret som signifikante i overensstemmelse med artikel 6, stk. 4, i forordning (EU) nr. 1024/2013, må kun anvende eksterne testere i overensstemmelse med artikel 27, stk. 1, litra a)-e).

De kompetente myndigheder identificerer finansielle enheder, som pålægges at gennemføre TLPT under hensyntagen til kriterierne i artikel 4, stk. 2, på grundlag af en vurdering af følgende:

9.   Medlemsstaterne kan udpege en fælles offentlig myndighed i den finansielle sektor til at være ansvarlig for TLPT-relaterede spørgsmål i den finansielle sektor på nationalt plan og overdrager den alle kompetencer og opgaver med henblik herpå.

10.   I tilfælde af manglende udpegelse, jf. denne artikels stk. 9, og med forbehold af beføjelserne til at identificere de finansielle enheder, der skal gennemføre TLTP, kan en kompetent myndighed delegere udførelsen af visse eller alle de opgaver, der er omhandlet i denne artikel og artikel 27, til en anden national myndighed i den finansielle sektor.

11.   ESA'erne udarbejder efter aftale med ECB fælles udkast til reguleringsmæssige tekniske standarder i overensstemmelse med TIBER-EU-rammen med henblik på yderligere at præcisere følgende:

Når ESA'erne udarbejder disse udkast til reguleringsmæssige tekniske standarder, tager de behørigt hensyn til eventuelle særlige kendetegn, der opstår som følge af aktiviteternes særlige karakter på tværs af forskellige sektorer for finansielle tjenesteydelser.

ESA'erne forelægger disse udkast til reguleringsmæssige tekniske standarder for Kommissionen senest den 17. juli 2024.

Kommissionen tillægges beføjelse til at supplere denne forordning ved at vedtage de i første afsnit omhandlede reguleringsmæssige tekniske standarder i overensstemmelse med artikel 10-14 i forordning (EU) nr. 1093/2010, (EU) nr. 1094/2010 og (EU) nr. 1095/2010.

1.   De finansielle enheder må kun anvende testere til gennemførelsen af TLPT, som:

2.   Når de anvender interne testere, skal de finansielle enheder i tillæg til kravene i stk. 1 sikre, at følgende betingelser er opfyldt:

3.   De finansielle enheder sikrer, at der i de kontrakter, der indgås med eksterne testere, kræves en forsvarlig forvaltning af resultaterne af TLPT, og at enhver databehandling heraf, herunder enhver form for generering, lagring, aggregering, udkast, rapportering, kommunikation eller destruktion, ikke medfører risici for den finansielle enhed.

1.   De finansielle enheder styrer IKT-tredjepartsrisiko som en integreret del af IKT-risiko inden for deres ramme for IKT-risikostyring som omhandlet i artikel 6, stk. 1, og i overensstemmelse med følgende principper:

2.   Finansielle enheder, der hverken er enheder som omhandlet i artikel 16, stk. 1, første afsnit, eller er mikrovirksomheder, vedtager og gennemgår regelmæssigt en strategi for IKT-tredjepartsrisiko som led i deres ramme for IKT-risikostyring, idet de tager hensyn til den strategi med flere udbydere, der er omhandlet i artikel 6, stk. 9, hvor det er relevant. Strategien for IKT-tredjepartsrisiko skal omfatte en politik for brugen af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, og som leveres af tredjepartsudbydere af IKT-tjenester, og skal gælde på individuelt grundlag og, hvor det er relevant, på delkonsolideret og konsolideret grundlag. Ledelsesorganet gennemgår på grundlag af en vurdering af den finansielle enheds samlede risikoprofil og omfanget og kompleksiteten af forretningstjenesterne regelmæssigt de risici, der er konstateret i forbindelse med kontraktlige ordninger for brugen af IKT-tjenester, der understøtter kritiske eller vigtige funktioner.

3.   Som led i deres ramme for IKT-risikostyring opretholder og ajourfører de finansielle enheder på enhedsniveau, og på delkonsolideret og konsolideret niveau, et register over oplysninger om alle kontraktlige ordninger for brugen af IKT-tjenester, der leveres af tredjepartsudbydere af IKT-tjenester.

De i første afsnit omhandlede kontraktlige ordninger skal være behørigt dokumenteret, idet der skelnes mellem dem, der dækker IKT-tjenester, der understøtter kritiske eller vigtige funktioner, og dem, der ikke gør.

De finansielle enheder indberetter mindst én gang om året antallet af nye ordninger for brugen af IKT-tjenester, kategorierne af tredjepartsudbydere af IKT-tjenester, typen af kontraktlige ordninger og de IKT-tjenester og funktioner, der leveres, til de kompetente myndigheder.

De finansielle enheder stiller efter anmodning det fulde register over oplysninger eller, som anmodet, nærmere angivne afsnit heraf til rådighed for den kompetente myndighed sammen med eventuelle oplysninger, som anses for nødvendige for at muliggøre et effektivt tilsyn med den finansielle enhed.

De finansielle enheder underretter rettidigt den kompetente myndighed om enhver planlagt kontraktlig ordning for brugen af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, og når en funktion er blevet kritisk eller vigtig.

4.   Inden de finansielle enheder indgår en kontraktlig ordning for brugen af IKT-tjenester, skal de:

5.   De finansielle enheder må kun indgå kontraktlige ordninger med tredjepartsudbydere af IKT-tjenester, der overholder passende standarder for informationssikkerhed. Når disse kontraktlige ordninger vedrører kritiske eller vigtige funktioner, tager de finansielle enheder, inden de indgår ordningerne, behørigt hensyn til tredjepartsudbydere af IKT-tjenesters brug af de seneste informationssikkerhedsstandarder af højeste kvalitet.

6.   Når finansielle enheder udøver adgangs-, inspektions- og revisionsrettigheder over for tredjepartsudbyderen af IKT-tjenester, foretager de på grundlag af en risikobaseret tilgang en forudgående fastsættelse af hyppigheden af revisioner og inspektioner samt af de områder, der skal underkastes revision, idet de overholder almindeligt accepterede revisionsstandarder i overensstemmelse med eventuelle tilsynsmæssige instrukser vedrørende anvendelse og indarbejdelse af sådanne revisionsstandarder.

Hvis de kontraktlige ordninger, der indgås med tredjepartsudbydere af IKT-tjenester for brugen af IKT-tjenester, indebærer en høj grad af teknisk kompleksitet, efterprøver den finansielle enhed, om revisorerne, hvad enten de er interne, eksterne eller en pulje af revisorer, besidder de nødvendige færdigheder og den nødvendige viden til effektivt at udføre de relevante revisioner og vurderinger.

7.   De finansielle enheder sikrer, at de kontraktlige ordninger for brugen af IKT-tjenester som minimum kan opsiges i enhver af følgende situationer:

8.   For så vidt angår IKT-tjenester, der understøtter kritiske eller vigtige funktioner, indfører de finansielle enheder exitstrategier. Exitstrategierne skal tage højde for de risici, der kan opstå hos tredjepartsudbydere af IKT-tjenester, navnlig mulige svigt fra deres side, en forringelse af kvaliteten af de leverede IKT-tjenester, eventuelle driftsforstyrrelser som følge af uhensigtsmæssig eller manglende levering af IKT-tjenester eller eventuelle væsentlige risici i forbindelse med en passende og løbende anvendelse af de pågældende IKT-tjenester eller opsigelse af kontraktlige ordninger med tredjepartsudbydere af IKT-tjenester i en af de i stk. 7 anførte situationer.

De finansielle enheder sikrer, at de kan opsige kontraktlige ordninger, uden:

Exitplanerne skal være omfattende, veldokumenterede og, i overensstemmelse med kriterierne i artikel 4, stk. 2, testet i tilstrækkeligt omfang samt gennemgået regelmæssigt.

De finansielle enheder identificerer alternative løsninger og udarbejder overgangsplaner, således at de kan fratage tredjepartsudbyderen af IKT-tjenester de udliciterede IKT-tjenester og de relevante data og sikkert og fuldstændigt kan overføre disse til alternative udbydere eller på ny indarbejde dem internt.

De finansielle enheder indfører passende beredskabsforanstaltninger for at opretholde driftsstabiliteten i tilfælde af de i første afsnit omhandlede omstændigheder.

9.   ESA'erne udarbejder via Det Fælles Udvalg udkast til gennemførelsesmæssige tekniske standarder for at fastlægge standardmodeller med henblik på det i stk. 3 omhandlede register over oplysninger, herunder oplysninger, som er fælles for alle kontraktlige ordninger for brugen af IKT-tjenester. ESA'erne forelægger disse udkast til gennemførelsesmæssige tekniske standarder for Kommissionen senest den 17. januar 2024.

Kommissionen tillægges beføjelse til at vedtage de i første afsnit omhandlede gennemførelsesmæssige tekniske standarder i overensstemmelse med artikel 15 i forordning (EU) nr. 1093/2010, (EU) nr. 1094/2010 og (EU) nr. 1095/2010.

10.   ESA'erne udarbejder via Det Fælles Udvalg udkast til reguleringsmæssige tekniske standarder for yderligere at præcisere det detaljerede indhold af den i stk. 2 omhandlede politik vedrørende de kontraktlige ordninger for brugen af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, som leveres af tredjepartsudbydere af IKT-tjenester.

Når ESA'erne udarbejder disse udkast til reguleringsmæssige tekniske standarder, tager de hensyn til den finansielle enheds størrelse og samlede risikoprofil og karakteren, omfanget og kompleksiteten af dens tjenester, aktiviteter og operationer. ESA'erne forelægger disse udkast til reguleringsmæssige tekniske standarder for Kommissionen senest den 17. januar 2024.

Kommissionen tillægges beføjelse til at supplere denne forordning ved at vedtage de i første afsnit omhandlede reguleringsmæssige tekniske standarder i overensstemmelse med artikel 10-14 i forordning (EU) nr. 1093/2010, (EU) nr. 1094/2010 og (EU) nr. 1095/2010.

1.   Når finansielle enheder foretager identifikation og vurdering af de risici, der er omhandlet i artikel 28, stk. 4, litra c), tager de også hensyn til, hvorvidt den påtænkte indgåelse af en kontraktlig ordning i forbindelse med IKT-tjenester, der understøtter kritiske eller vigtige funktioner, vil føre til et af følgende forhold:

De finansielle enheder afvejer fordele og omkostninger ved alternative løsninger såsom brug af forskellige tredjepartsudbydere af IKT-tjenester under hensyntagen til, hvorvidt og hvordan de påtænkte løsninger svarer til de forretningsmæssige behov og mål, der er fastsat i deres strategi for digital modstandsdygtighed.

2.   Hvis de kontraktlige ordninger for brugen af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, omfatter muligheden for, at en tredjepartsudbyder af IKT-tjenester giver IKT-tjenester, der understøtter en kritisk eller vigtig funktion, videre i underentreprise til andre tredjepartsudbydere af IKT-tjenester, afvejer de finansielle enheder de fordele og risici, der kan opstå i forbindelse med en sådan underentreprise, navnlig hvis der er tale om en IKT-underleverandør med hjemsted i et tredjeland.

Hvis de kontraktlige ordninger vedrører IKT-tjenester, der understøtter kritiske eller vigtige funktioner, tager de finansielle enheder behørigt hensyn til de bestemmelser i insolvensretten, som finder anvendelse, hvis tredjepartsudbyderen af IKT-tjenester går konkurs, samt eventuelle begrænsninger, der kan opstå i forbindelse med en hastende genopretning af den finansielle enheds data.

Hvis der er indgået kontraktlige ordninger for brug af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, med en tredjepartsudbyder af IKT-tjenester med hjemsted i et tredjeland, tager de finansielle enheder ud over til de i andet afsnit omhandlede forhold også hensyn til overholdelsen af Unionens databeskyttelsesregler og en effektiv håndhævelse af retten i det pågældende tredjeland.

Hvis de kontraktlige ordninger for brugen af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, indeholder bestemmelser om underentreprise, vurderer de finansielle enheder, hvorvidt og hvordan potentielt lange eller komplekse underentreprisekæder kan påvirke deres evne til fuldt ud at overvåge de udliciterede funktioner og den kompetente myndigheds evne til i denne henseende at føre effektivt tilsyn med den finansielle enhed.

1.   Rettigheder og forpligtelser for den finansielle enhed og for tredjepartsudbyderen af IKT-tjenester skal fordeles klart og fastlægges skriftligt. Den samlede kontrakt skal omfatte serviceniveauaftaler og dokumenteres i ét skriftligt dokument, som parterne skal have adgang til på papir, eller i et dokument i et andet varigt og tilgængeligt format, som kan downloades.

2.   De kontraktlige ordninger for brugen af IKT-tjenester skal mindst omfatte følgende elementer:

3.   De kontraktlige ordninger for brugen af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, skal ud over de elementer, der er omhandlet i stk. 2, mindst omfatte følgende:

Uanset litra e) kan tredjepartsudbyderen af IKT-tjenester og den finansielle enhed, som er en mikrovirksomhed, beslutte, at den finansielle enheds ret til adgang, inspektion og revision kan delegeres til en uafhængig tredjepart, som udpeges af tredjepartsudbyderen af IKT-tjenester, og at den finansielle enhed til enhver tid kan anmode tredjeparten om oplysninger og garantier vedrørende de resultater, som tredjepartsudbyderen af IKT-tjenester opnår.

4.   Når finansielle enheder og tredjepartsudbydere af IKT-tjenester forhandler om kontraktlige ordninger, overvejer de anvendelsen af standardkontraktbestemmelser, som de offentlige myndigheder har udviklet til specifikke tjenester.

5.   ESA'erne udarbejder via Det Fælles Udvalg udkast til reguleringsmæssige tekniske standarder med henblik på yderligere at præcisere de i stk. 2, litra a), omhandlede elementer, som en finansiel enhed skal fastlægge og vurdere, når den giver IKT-tjenester, der understøtter kritiske eller vigtige funktioner, i underentreprise.

Når ESA'erne udarbejder disse udkast til reguleringsmæssige tekniske standarder, tager de hensyn til den finansielle enheds størrelse og samlede risikoprofil og karakteren, omfanget og kompleksiteten af dens tjenester, aktiviteter og operationer.

ESA'erne forelægger disse udkast til reguleringsmæssige tekniske standarder for Kommissionen senest den 17. juli 2024.

Kommissionen tillægges beføjelse til supplere denne forordning ved at vedtage de i første afsnit omhandlede reguleringsmæssige tekniske standarder i overensstemmelse med artikel 10-14 i forordning (EU) nr. 1093/2010, (EU) nr. 1094/2010 og (EU) nr. 1095/2010.

1.   ESA'erne skal via Det Fælles Udvalg og efter henstilling fra det tilsynsforum, der er oprettet i henhold til artikel 32, stk. 1,

2.   Den udpegelse, der er omhandlet i stk. 1, litra a), skal i forbindelse med IKT-tjenester, der leveres af tredjepartsudbyderen af IKT-tjenester, baseres på samtlige følgende kriterier:

3.   Hvis tredjepartsudbyderen af IKT-tjenester indgår i en koncern, tages kriterierne i stk. 2 i betragtning i forhold til de IKT-tjenester, der leveres af koncernen som helhed.

4.   Kritiske tredjepartsudbydere af IKT-tjenester, som indgår i en koncern, udpeger én juridisk person som koordineringspunkt for at sikre en passende repræsentation og kommunikation med den ledende tilsynsførende.

5.   Den ledende tilsynsførende underretter tredjepartsudbyderen af IKT-tjenester om resultatet af den vurdering, der fører til udpegelsen, jf. stk. 1, litra a). Senest seks uger efter datoen for underretningen kan tredjepartsudbyderen af IKT-tjenester forelægge den ledende tilsynsførende en begrundet erklæring med alle relevante oplysninger med henblik på vurderingen. Den ledende tilsynsførende tager den begrundede erklæring i betragtning og kan anmode om, at der forelægges yderligere oplysninger inden for 30 kalenderdage efter modtagelsen af en sådan erklæring.

Efter at have udpeget en tredjepartsudbyder af IKT-tjenester som kritisk underretter ESA'erne gennem Det Fælles Udvalg tredjepartsudbyderen af IKT-tjenester om en sådan udpegelse og om startdatoen for, hvornår de reelt vil være omfattet af tilsynsaktiviteter. Denne startdato må ikke være senere end en måned efter underretningen. Tredjepartsudbyderen af IKT-tjenester underretter de finansielle enheder, som de leverer tjenester til, om deres udpegelse som kritiske.

6.   Kommissionen tillægges beføjelser til at vedtage en delegeret retsakt i overensstemmelse med artikel 57 for at supplere denne forordning ved yderligere at præcisere de kriterier, der er omhandlet i nærværende artikels stk. 2, senest den 17. juli 2024.

7.   Den udpegelse, der er omhandlet i stk. 1, litra a), må først anvendes, når Kommissionen har vedtaget en delegeret retsakt i overensstemmelse med stk. 6.

8.   Den udpegelse, der er omhandlet i stk. 1, litra a), finder ikke anvendelse på følgende:

9.   ESA'erne udarbejder, offentliggør og ajourfører årligt via Det Fælles Udvalg listen over kritiske tredjepartsudbydere af IKT-tjenester på EU-plan.

10.   Med henblik på stk. 1, litra a), videregiver de kompetente myndigheder på et årligt og aggregeret grundlag de rapporter, der er omhandlet i artikel 28, stk. 3, tredje afsnit, til det tilsynsforum, der er oprettet i henhold til artikel 32. Tilsynsforummet vurderer finansielle enheders afhængighed af tredjepartsudbydere af IKT-tjenester på grundlag af oplysninger, som det modtager fra de kompetente myndigheder.

11.   De tredjepartsudbydere af IKT-tjenester, der ikke er opført på den i stk. 9 omhandlede liste, kan anmode om at blive udpeget som kritiske i overensstemmelse med stk. 1, litra a).

Med henblik på første afsnit indgiver tredjepartsudbyderen af IKT-tjenester en begrundet anmodning til EBA, ESMA eller EIOPA, som via Det Fælles Udvalg træffer afgørelse, om den pågældende tredjepartsudbyder af IKT-tjenester skal udpeges som kritisk i overensstemmelse med stk. 1, litra a).

Den i andet afsnit omhandlede afgørelse vedtages og meddeles tredjepartsudbyderen af IKT-tjenester senest 6 måneder efter modtagelsen af anmodningen.

12.   Finansielle enheder benytter kun tjenester, der udbydes af en tredjepartsudbyder af IKT-tjenester med hjemsted i et tredjeland, der er udpeget som kritisk i overensstemmelse med stk. 1, litra a), hvis sidstnævnte har etableret en dattervirksomhed i Unionen senest 12 måneder efter udpegelsen.

13.   Den i stk. 12 omhandlede kritiske tredjepartsudbyder af IKT-tjenester underretter den ledende tilsynsførende om eventuelle ændringer af ledelsesstrukturen i den dattervirksomhed, der er etableret i Unionen.

1.   Det Fælles Udvalg opretter i overensstemmelse med artikel 57, stk. 1, i forordning (EU) nr. 1093/2010, (EU) nr. 1094/2010 og (EU) nr. 1095/2010 tilsynsforummet som et underudvalg med henblik på at støtte det arbejde, der udføres i Det Fælles Udvalg og af den ledende tilsynsførende, der er omhandlet i artikel 31, stk. 1, litra b), med hensyn til IKT-tredjepartsrisiko på tværs af finansielle sektorer. Tilsynsforummet udarbejder udkast til fælles holdninger og udkast til fælles retsakter vedtaget af Det Fælles Udvalg inden for dette område.

Tilsynsforummet drøfter regelmæssigt relevante udviklingstendenser vedrørende IKT-risiko og -sårbarheder og fremmer en konsekvent tilgang til overvågning af IKT-tredjepartsrisiko på EU-plan.

2.   Tilsynsforummet foretager på årsbasis en kollektiv vurdering af resultaterne og konklusionerne fra de tilsynsaktiviteter, der udføres for alle kritiske tredjepartsudbydere af IKT-tjenester, og fremmer koordineringsforanstaltninger for at øge finansielle enheders digitale operationelle modstandsdygtighed, fremme bedste praksis for håndtering af IKT-koncentrationsrisiko og undersøge foranstaltninger til modvirkning af risikoafsmitning på tværs af sektorer.

3.   Tilsynsforummet forelægger omfattende benchmarks for kritiske tredjepartsudbydere af IKT-tjenester, som skal vedtages af Det Fælles Udvalg som ESA'ernes fælles holdninger i overensstemmelse med artikel 56, stk. 1, i forordning (EU) nr. 1093/2010, (EU) nr. 1094/2010 og (EU) nr. 1095/2010.

4.   Tilsynsforummet er sammensat af:

Tilsynsforummet kan, hvor det er hensigtsmæssigt, rådføre sig med uafhængige eksperter, der er udpeget i overensstemmelse med stk. 6.

5.   Hver medlemsstat udpeger den relevante kompetente myndighed, hvis ansatte skal være den repræsentant på højt niveau, der er omhandlet i stk. 4, første afsnit, litra b), og underretter den ledende tilsynsførende herom.

ESA'erne offentliggør på deres websted listen over højtstående repræsentanter fra det nuværende personale i den relevante kompetente myndighed udpeget af medlemsstaterne.

6.   De uafhængige eksperter, der er omhandlet i stk. 4, andet afsnit, udpeges af tilsynsforummet fra en pulje af eksperter, der udvælges efter en offentlig og gennemsigtig ansøgningsproces.

De uafhængige eksperter udpeges for en toårig periode på grundlag af deres ekspertise i finansiel stabilitet, digital operationel modstandsdygtighed og IKT-sikkerhedsspørgsmål. De handler uafhængigt og objektivt udelukkende i Unionens interesse som helhed og må ikke søge eller modtage instrukser fra EU-institutioner eller -organer, medlemsstaters regeringer eller noget andet offentligt eller privat organ.

7.   I overensstemmelse med artikel 16 i forordning (EU) nr. 1093/2010, (EU) nr. 1094/2010 og (EU) nr. 1095/2010 udsteder ESA'erne senest den 17. juli 2024 med henblik på denne afdeling retningslinjer for samarbejdet mellem ESA'erne og de kompetente myndigheder om de nærmere procedurer og betingelser for tildelingen og varetagelsen af opgaver mellem de kompetente myndigheder og ESA'erne samt nærmere oplysninger om den informationsudveksling, der er nødvendig for, at de kompetente myndigheder kan sikre opfølgning af henstillinger, jf. artikel 35, stk. 1, litra d), rettet til kritiske tredjepartsudbydere af IKT-tjenester.

8.   Kravene i denne afdeling berører ikke anvendelsen af direktiv (EU) 2022/2555 og af andre EU-regler om tilsyn, som finder anvendelse på udbydere af cloudcomputingtjenester.

9.   ESA'erne forelægger gennem Det Fælles Udvalg og på grundlag af det forberedende arbejde, der udføres af tilsynsforummet, årligt en rapport om anvendelsen af denne afdeling for Europa-Parlamentet, Rådet og Kommissionen.

1.   Den ledende tilsynsførende, der er udpeget i overensstemmelse med artikel 31, stk. 1, litra b), fører tilsyn med de tildelte kritiske tredjepartsudbydere af IKT-tjenester og er med henblik på alle spørgsmål vedrørende tilsynet det primære kontaktpunkt for disse kritiske tredjepartsudbydere af IKT-tjenester.

2.   Den ledende tilsynsførende vurderer med henblik på stk. 1, om hver enkelt kritisk tredjepartsudbyder af IKT-tjenester har indført omfattende, robuste og effektive regler, procedurer, mekanismer og ordninger til styring af den IKT-risiko, som den kan udsætte finansielle enheder for.

Den vurdering, der er omhandlet i første afsnit, skal primært fokusere på de IKT-tjenester, som leveres af den kritiske tredjepartsudbyder af IKT-tjenester, og som understøtter finansielle enheders kritiske eller vigtige funktioner. Hvis det er nødvendigt for at imødegå alle relevante risici, skal denne vurdering omfatte IKT-tjenester, der understøtter andre funktioner end dem, der er kritiske eller vigtige.

3.   Den i stk. 2 omhandlede vurdering dækker følgende:

4.   På grundlag af den i stk. 2 omhandlede vurdering og i samordning med det fælles tilsynsnetværk, der er omhandlet i artikel 34, stk. 1, vedtager den ledende tilsynsførende en klar, detaljeret og begrundet individuel tilsynsplan, der beskriver de årlige tilsynsmål og de vigtigste tilsynstiltag, der er planlagt for hver enkelt kritisk tredjepartsudbyder af IKT-tjenester. Denne plan skal hvert år meddeles den kritiske tredjepartsudbyder af IKT-tjenester.

Forud for vedtagelsen af tilsynsplanen skal den ledende tilsynsførende meddele udkastet til tilsynsplan til den kritiske tredjepartsudbyder af IKT-tjenester.

Efter modtagelsen af udkastet til tilsynsplan kan den kritiske tredjepartsudbyder af IKT-tjenester inden for 15 kalenderdage indsende en begrundet erklæring, der dokumenterer den forventede virkning på kunder, som er enheder, der ikke er omfattet af denne forordnings anvendelsesområde, og, hvis det er relevant, udarbejde løsninger til at afbøde risici.

5.   Når de i stk. 4 omhandlede årlige tilsynsplaner er blevet vedtaget og meddelt de kritiske tredjepartsudbydere af IKT-tjenester, kan de kompetente myndigheder kun træffe foranstaltninger, som vedrører sådanne kritiske tredjepartsudbydere af IKT-tjenester, efter aftale med den ledende tilsynsførende.

1.   For at sikre en konsekvent tilgang til tilsynsaktiviteter og med henblik på at muliggøre koordinerede generelle tilsynsstrategier og sammenhængende operationelle tilgange og arbejdsmetoder opretter de tre ledende tilsynsførende, der er udpeget i overensstemmelse med artikel 31, stk. 1, litra b), et fælles tilsynsnetværk, der skal koordinere indbyrdes i forbindelse med de forberedende faser og koordinere udførelsen af tilsynsaktiviteter med hensyn til deres respektive kritiske tredjepartsudbydere af IKT-tjenester, der føres tilsyn med, og i forbindelse med eventuelle tiltag, der måtte være nødvendige i henhold til artikel 42.

2.   Med henblik på stk. 1 udarbejder de ledende tilsynsførende en fælles tilsynsprotokol, der præciserer de nærmere procedurer, der skal følges for at gennemføre den daglige koordinering og sikre hurtige udvekslinger og reaktioner. Protokollen revideres regelmæssigt for at afspejle de operationelle behov, navnlig de praktiske tilsynsordningers udvikling.

3.   De ledende tilsynsførende kan på ad hoc-basis anmode ECB og ENISA om at yde teknisk rådgivning, udveksle praktiske erfaringer eller deltage i specifikke koordineringsmøder i det fælles tilsynsnetværk.

1.   Med henblik på varetagelsen af de i denne afdeling omhandlede opgaver tillægges den ledende tilsynsførende følgende beføjelser med hensyn til de kritiske tredjepartstjenesteudbydere af IKT-tjenester:

2.   Ved udøvelsen af de beføjelser, der er omhandlet i denne artikel, skal den ledende tilsynsførende:

3.   Den ledende tilsynsførende hører tilsynsforummet forud for udøvelsen af de i stk. 1 omhandlede beføjelser.

Inden den ledende tilsynsførende udsteder henstillinger i overensstemmelse med stk. 1, litra d), giver den tredjepartsudbyderen af IKT-tjenester mulighed for inden for 30 kalenderdage at fremlægge relevante oplysninger, der dokumenterer den forventede virkning på kunder, som er enheder, der ikke er omfattet af denne forordnings anvendelsesområde, og, hvis det er relevant, udarbejde løsninger til at afbøde risici.

4.   Den ledende tilsynsførende underretter det fælles tilsynsnetværk om resultatet af udøvelsen af de beføjelser, der er omhandlet i stk. 1, litra a) og b). Den ledende tilsynsførende videregiver uden unødig forsinkelse de rapporter, der er omhandlet i stk. 1, litra c), til det fælles tilsynsnetværk og til de kompetente myndigheder for de finansielle enheder, der anvender IKT-tjenester leveret af den pågældende kritiske tredjepartsudbyder af IKT-tjenester.

5.   Kritiske tredjepartsudbydere af IKT-tjenester samarbejder i god tro med den ledende tilsynsførende og bistår den ledende tilsynsførende med hensyn til varetagelsen af dennes opgaver.

6.   I tilfælde af hel eller delvis manglende overholdelse af de foranstaltninger, der skal træffes i henhold til udøvelsen af beføjelserne i stk. 1, litra a), b) og c), og efter udløbet af en periode på mindst 30 kalenderdage fra den dato, hvor den kritiske tredjepartsudbyder af IKT-tjenester har modtaget underretning om de respektive foranstaltninger, vedtager den ledende tilsynsførende en afgørelse, der pålægger en tvangsbøde for at tvinge den kritiske tredjepartsudbyder af IKT-tjenester til at efterleve disse foranstaltninger.

7.   De i stk. 6 omhandlede tvangsbøder pålægges dagligt, indtil der er opnået efterlevelse, og i højst seks måneder efter meddelelsen af afgørelsen om at pålægge den kritiske tredjepartsudbyder af IKT-tjenester en tvangsbøde.

8.   Størrelsen af tvangsbøderne, der beregnes fra den dato, der er anført i afgørelsen om pålæggelse af tvangsbøder, udgør op til 1 % af den kritiske tredjepartsudbyder af IKT-tjenesters gennemsnitlige daglige omsætning på verdensplan i det foregående regnskabsår. Ved fastsættelsen af tvangsbødens størrelse tager den ledende tilsynsførende hensyn til følgende kriterier vedrørende manglende overholdelse af de foranstaltninger, der er omhandlet i stk. 6:

Med henblik på første afsnit skal den ledende tilsynsførende for at sikre en konsekvent tilgang deltage i samråd inden for det fælles tilsynsnetværk.

9.   Tvangsbøder er af administrativ karakter og skal kunne tvangsfuldbyrdes. Tvangsfuldbyrdelsen sker efter den borgerlige retsplejes regler i den medlemsstat, på hvis område inspektioner og adgang skal finde sted. Domstole i den pågældende medlemsstat har kompetence til at træffe afgørelse om klager vedrørende uregelmæssigheder i forbindelse med tvangsfuldbyrdelsen. Beløbene for tvangsbøderne overføres til Den Europæiske Unions almindelige budget.

10.   Den ledende tilsynsførende offentliggør alle de pålagte tvangsbøder, medmindre en sådan offentliggørelse vil være til alvorlig skade for de finansielle markeder eller forvolde de involverede parter uforholdsmæssig stor skade.

11.   Inden der pålægges tvangsbøder i henhold til stk. 6, giver den ledende tilsynsførende repræsentanter for den kritiske tredjepartsudbyder af IKT-tjenester, som er genstand for proceduren, mulighed for at blive hørt om de konstaterede forhold og baserer sine afgørelser udelukkende på forhold, som den kritiske tredjepartsudbyder af IKT-tjenester, der er genstand for proceduren, har haft lejlighed til at fremsætte bemærkninger til.

Retten til forsvar for de personer, som er genstand for proceduren, skal respekteres fuldt ud under procedureforløbet. Den kritiske tredjepartsudbyder af IKT-tjenester, der er genstand for proceduren, har ret til aktindsigt i dossieret med forbehold af andre personers berettigede interesse i, at deres forretningshemmeligheder ikke afsløres. Retten til aktindsigt omfatter ikke fortrolige oplysninger eller den ledende tilsynsførendes interne forberedende dokumenter.

1.   Når tilsynsmålene ikke kan nås ved at interagere med den dattervirksomhed, der er oprettet med henblik på artikel 31, stk. 12, eller ved at udøve tilsynsaktiviteter i lokaler i Unionen, kan den ledende tilsynsførende udøve de i de følgende bestemmelser omhandlede beføjelser i ethvert lokale i et tredjeland, som med henblik på levering af tjenester til finansielle enheder i Unionen ejes eller på nogen måde anvendes af en kritisk tredjepartsudbyder af IKT-tjenester i forbindelse med dennes forretningsaktiviteter, funktioner eller tjenester, herunder alle administrative, forretningsmæssige eller operationelle kontorer, lokaler, arealer, bygninger eller andre ejendomme:

De i første afsnit omhandlede beføjelser kan udøves med forbehold af overholdelse af alle følgende betingelser:

2.   Uden at det berører EU-institutionernes og medlemsstaternes respektive beføjelser, indgår EBA, ESMA eller EIOPA med henblik på stk. 1 administrative samarbejdsordninger med den relevante myndighed i tredjelandet med henblik på at gøre det muligt for den ledende tilsynsførende og det team, den har udpeget til opgaven i det pågældende tredjeland, at foretage gnidningsløse inspektioner i det pågældende tredjeland. Disse samarbejdsordninger må ikke skabe retlige forpligtelser for Unionen og dens medlemsstater og heller ikke forhindre medlemsstaterne og deres kompetente myndigheder i at indgå bilaterale eller multilaterale aftaler med disse tredjelande og deres relevante myndigheder.

Disse samarbejdsordninger præciserer som minimum følgende elementer:

3.   Når den ledende tilsynsførende ikke er i stand til at udføre tilsynsaktiviteter uden for Unionen, jf. stk. 1 og 2, skal denne

Der tages hensyn til de potentielle konsekvenser, der er omhandlet i dette stykkes litra b), i den ledende tilsynsførendes henstillinger fremsat i henhold til artikel 35, stk. 1, litra d).

1.   Den ledende tilsynsførende kan efter simpel anmodning eller ved en afgørelse kræve, at kritiske tredjepartsudbydere af IKT-tjenester fremlægger alle de oplysninger, der er nødvendige for, at den ledende tilsynsførende kan varetage sine opgaver i henhold til denne forordning, herunder alle relevante forretningsdokumenter eller operationelle dokumenter, kontrakter, politikker, dokumentation, rapporter om IKT-sikkerhedsrevision, indberetninger af IKT-relaterede hændelser samt oplysninger om parter, som den kritiske tredjepartsudbyder af IKT-tjenester har outsourcet operationelle funktioner eller aktiviteter til.

2.   Når den ledende tilsynsførende sender en simpel anmodning om oplysninger i henhold til stk. 1, skal denne

3.   Når den ledende tilsynsførende ved afgørelse kræver udlevering af oplysninger i henhold til stk. 1, skal denne

4.   De oplysninger, der anmodes om, udleveres af repræsentanterne for de kritiske tredjepartsudbydere af IKT-tjenester. Behørigt befuldmægtigede advokater kan udlevere oplysningerne på deres klienters vegne. Den kritiske tredjepartsudbyder af IKT-tjenester bærer det fulde ansvar, hvis oplysningerne er ufuldstændige, ukorrekte eller vildledende.

5.   Den ledende tilsynsførende videregiver straks en kopi af afgørelsen om at udlevere oplysninger til de kompetente myndigheder for de finansielle enheder, der benytter sig af de tjenester, som de relevante kritiske tredjepartsudbydere af IKT-tjenester leverer, og til det fælles tilsynsnetværk.

1.   For at varetage sine opgaver i henhold til denne forordning kan den ledende tilsynsførende, som bistås af det fælles undersøgelsesteam, der er omhandlet i artikel 40, stk. 1, om nødvendigt foretage undersøgelser af kritiske tredjepartsudbydere af IKT-tjenester.

2.   Den ledende tilsynsførende har beføjelse til:

3.   De embedsmænd og andre personer, som den ledende tilsynsførende har bemyndiget til at foretage de i stk. 1 omhandlede undersøgelser, udøver deres beføjelser efter fremlæggelse af en skriftlig tilladelse, som angiver genstanden for undersøgelsen og formålet hermed.

Denne tilladelse skal også indeholde oplysninger om de tvangsbøder, der er omhandlet i artikel 35, stk. 6, hvis de krævede optegnelser, data, dokumenterede procedurer eller ethvert andet materiale eller svarene på de spørgsmål, der stilles til repræsentanter for tredjepartsudbyderne af IKT-tjenester, ikke fremlægges eller er ufuldstændige.

4.   Repræsentanterne for de kritiske tredjepartsudbydere af IKT-tjenester skal lade sig underkaste undersøgelserne på grundlag af en afgørelse truffet af den ledende tilsynsførende. Afgørelsen skal angive undersøgelsens genstand og formål, de tvangsbøder, der er omhandlet i artikel 35, stk. 6, de retsmidler, der er tilgængelige i henhold til forordning (EU) nr. 1093/2010, (EU) nr. 1094/2010 og (EU) nr. 1095/2010, og retten til at indbringe en klage over afgørelsen for Domstolen.

5.   Den ledende tilsynsførende underretter i god tid før indledningen af undersøgelsen de kompetente myndigheder for de finansielle enheder, som anvender IKT-tjenesterne fra den pågældende kritiske tredjepartsudbyder af IKT-tjenester, om den påtænkte undersøgelse og om de bemyndigede personers identitet.

Den ledende tilsynsførende meddeler det fælles tilsynsnetværk alle oplysninger, der er videregivet i henhold til første afsnit.

1.   For at varetage sine opgaver i henhold til denne forordning kan den ledende tilsynsførende, som bistås af de fælles undersøgelsesteams, der er omhandlet i artikel 40, stk. 1, betræde og foretage alle nødvendige inspektioner på stedet i alle forretningslokaler, arealer eller ejendomme, som tilhører tredjepartsudbyderne af IKT-tjenester, f.eks. hovedkontorer, operationscentraler og sekundære lokaler, samt foretage eksterne inspektioner.

Med henblik på udøvelsen af de beføjelser, der er omhandlet i første afsnit, hører den ledende tilsynsførende det fælles tilsynsnetværk.

2.   De embedsmænd og andre personer, som den ledende tilsynsførende har bemyndiget til at foretage inspektion på stedet, har beføjelse til at

De embedsmænd og andre personer, som den ledende tilsynsførende har bemyndiget, udøver deres beføjelser efter fremlæggelse af en skriftlig tilladelse, der angiver genstanden for og formålet med inspektionen og de tvangsbøder, der er omhandlet i artikel 35, stk. 6, hvis repræsentanterne for de berørte kritiske tredjepartsudbydere af IKT-tjenester ikke lader sig underkaste inspektionen.

3.   Den ledende tilsynsførende underretter i god tid før indledningen af inspektionen de kompetente myndigheder for de finansielle enheder, som anvender den pågældende tredjepartsudbyder af IKT-tjenester.

4.   Inspektioner skal omfatte hele viften af relevante IKT-systemer, netværk, udstyr, oplysninger og data, der enten anvendes til eller bidrager til leveringen af IKT-tjenester til finansielle enheder.

5.   Den ledende tilsynsførende underretter kritiske tredjepartsudbydere af IKT-tjenester i rimelig tid før enhver planlagt inspektion på stedet, medmindre en sådan underretning ikke er mulig på grund af en nød- eller krisesituation, eller hvis det vil føre til en situation, hvor inspektionen eller revisionen ikke længere vil være effektiv.

6.   Den kritiske tredjepartsudbyder af IKT-tjenester skal lade sig underkaste inspektioner på stedet, som er påbudt i henhold til en afgørelse truffet af den ledende tilsynsførende. Afgørelsen skal angive inspektionens genstand og formål, fastsætte tidspunktet for inspektionens påbegyndelse og oplyse om de tvangsbøder, der er omhandlet i artikel 35, stk. 6, de retsmidler, der er tilgængelige i henhold til forordning (EU) nr. 1093/2010, (EU) nr. 1094/2010 og (EU) nr. 1095/2010, og om retten til at indbringe en klage over afgørelsen for Domstolen.

7.   Hvis de embedsmænd og andre personer, der er bemyndiget af den ledende tilsynsførende, konstaterer, at en kritisk tredjepartsudbyder af IKT-tjenester gør indsigelse mod en inspektion, der er påbudt i henhold til denne artikel, underretter den ledende tilsynsførende den kritiske tredjepartsudbyder af IKT-tjenester om konsekvenserne af en sådan indsigelse, herunder muligheden for, at de kompetente myndigheder for de relevante finansielle enheder kan kræve, at de finansielle enheder opsiger de kontraktlige ordninger, der er indgået med den pågældende kritiske tredjepartsudbyder af IKT-tjenester.

1.   Når den ledende tilsynsførende udfører tilsynsaktiviteter, navnlig generelle undersøgelser eller inspektioner, bistås denne af et fælles undersøgelsesteam, som er oprettet for hver af de kritiske tredjepartsudbydere af IKT-tjenester.

2.   Det fælles undersøgelsesteam, der er omhandlet i stk. 1, skal bestå af medarbejdere fra:

Medlemmerne af det fælles undersøgelsesteam skal have ekspertise med hensyn til IKT-anliggender og operationel risiko. Arbejdet i det fælles undersøgelsesteam koordineres af en udpeget medarbejder under den ledende tilsynsførende (»koordinatoren for den ledende tilsynsførende«).

3.   Inden for 3 måneder fra fuldførelsen af en undersøgelse eller en inspektion og efter at have hørt tilsynsforummet vedtager den ledende tilsynsførende henstillinger, som skal fremsættes over for den berørte kritiske tredjepartsudbyder af IKT-tjenester, i henhold til de i artikel 35 omhandlede beføjelser.

4.   De i stk. 3 omhandlede henstillinger meddeles omgående den kritiske tredjepartsudbyder af IKT-tjenester og de kompetente myndigheder for de finansielle enheder, som den leverer IKT-tjenester til.

Med henblik på at varetage tilsynsaktiviteterne kan den ledende tilsynsførende tage hensyn til eventuelle relevante tredjepartscertificeringer og IKT-tredjeparters interne eller eksterne revisionsrapporter, som den kritiske tredjepartsudbyder af IKT-tjenester har stillet til rådighed.

1.   ESA'erne udarbejder via Det Fælles Udvalg udkast til reguleringsmæssige tekniske standarder for at præcisere følgende:

2.   ESA'erne forelægger disse udkast til reguleringsmæssige tekniske standarder for Kommissionen senest den 17. juli 2024.

Kommissionen tillægges beføjelse til supplere denne forordning ved at vedtage de i stk. 1 omhandlede reguleringsmæssige tekniske standarder i overensstemmelse med den procedure, der er fastsat i artikel 10-14 i forordning (EU) nr. 1093/2010, (EU) nr. 1094/2010 og (EU) nr. 1095/2010.

1.   Senest 60 kalenderdage efter modtagelsen af de henstillinger, der er fremsat af den ledende tilsynsførende i henhold til artikel 35, stk. 1, litra d), underretter de kritiske tredjepartsudbydere af IKT-tjenester enten den ledende tilsynsførende om, at de agter at følge henstillingerne, eller de giver en begrundet redegørelse for, hvorfor de agter ikke at følge henstillingerne. Den ledende tilsynsførende videregiver straks disse oplysninger til de kompetente myndigheder for de pågældende finansielle enheder.

2.   Den ledende tilsynsførende offentliggør det, hvis en kritisk tredjepartsudbyder af IKT-tjenester undlader at underrette den ledende tilsynsførende i overensstemmelse med stk. 1, eller hvis den redegørelse, som den kritiske tredjepartsudbyder af IKT-tjenester har givet, ikke anses for at være tilstrækkelig. De offentliggjorte oplysninger skal oplyse om identiteten af den kritiske tredjepartsudbyder af IKT-tjenester og om typen og arten af den manglende overholdelse. Sådanne oplysninger begrænses til, hvad der er relevant og forholdsmæssigt med henblik på at sikre offentlighedens bevidsthed, medmindre en sådan offentliggørelse vil kunne forvolde de involverede parter uforholdsmæssig stor skade eller i alvorlig grad bringe de finansielle markeders velordnede funktion og integritet eller stabiliteten af hele eller dele af Unionens finansielle system i fare.

Den ledende tilsynsførende underretter tredjepartsudbyderen af IKT-tjenester om den pågældende offentliggørelse.

3.   De kompetente myndigheder informerer de relevante finansielle enheder om de risici, der er identificeret i de henstillinger, som er fremsat over for kritiske tredjepartsudbydere af IKT-tjenester i overensstemmelse med artikel 35, stk. 1, litra d).

Når de finansielle enheder styrer IKT-tredjepartsrisici tager de hensyn til de risici, der er omhandlet i første afsnit.

4.   Hvis en kompetent myndighed vurderer, at en finansiel enhed ikke tager hensyn til eller ikke i tilstrækkelig grad i sin styring af IKT-tredjepartsrisiko imødegå de specifikke risici, der er identificeret i henstillingerne, underretter den den finansielle enhed om muligheden for, at der inden for 60 kalenderdage efter modtagelsen af en sådan underretning træffes en afgørelse i henhold til stk. 6, i fravær af passende kontraktlige ordninger, der tager sigte på at imødegå sådanne risici.

5.   De kompetente myndigheder kan efter at have modtaget rapporterne omhandlet i artikel 35, stk. 1, litra c), og inden de træffer en afgørelse som omhandlet i nærværende artikels stk. 6, på frivillig basis høre de kompetente myndigheder, der er udpeget eller oprettet overensstemmelse med direktiv (EU) 2022/2555, som har ansvar for tilsynet med en væsentlig eller vigtig enhed opført, der er omfattet af nævnte direktiv og er blevet udpeget som en kritisk tredjepartsudbyder af IKT-tjenester.

6.   De kompetente myndigheder kan, som en sidste udvej, efter underretningen og eventuelt høringen som fastsat i nærværende artikels stk. 4 og 5, i henhold til artikel 50 træffe en afgørelse, der kræver, at finansielle enheder midlertidigt, enten helt eller delvist, suspenderer anvendelsen eller udrulningen af en tjeneste, som den kritiske tredjepartsudbyder af IKT-tjenester leverer, indtil de risici, der er identificeret i de henstillinger, der er fremsat over for de kritiske tredjepartsudbydere af IKT-tjenester, er blevet imødegået. De kan om nødvendigt kræve, at finansielle enheder helt eller delvist opsiger de relevante kontraktlige ordninger, der er indgået med de kritiske tredjepartsudbydere af IKT-tjenester.

7.   Hvis en kritisk tredjepartsudbyder af IKT-tjenester på grundlag af en tilgang, der divergerer fra den, som den ledende tilsynsførende anbefaler, nægter at tilslutte sig henstillinger, og en sådan divergerende tilgang kan have negativ indvirkning på et stort antal finansielle enheder eller en betydelig del af den finansielle sektor, og individuelle advarsler fra de kompetente myndigheder ikke har resulteret i konsekvente tilgange, der afbøder den potentielle risiko for den finansielle stabilitet, kan den ledende tilsynsførende efter at have hørt tilsynsforummet afgive ikkebindende og ikkeoffentlige udtalelser til de kompetente myndigheder for at fremme konsekvente og konvergerende tilsynsmæssige opfølgningsforanstaltninger, alt efter hvad der er relevant.

8.   Efter at have modtaget rapporterne omhandlet i artikel 35, stk. 1, litra c), tager de kompetente myndigheder, når de træffer en afgørelse som omhandlet i nærværende artikels stk. 6, hensyn til typen og omfanget af den risiko, som ikke imødegås af den kritiske tredjepartsudbyder af IKT-tjenester, samt alvoren af den manglende overholdelse, under hensyntagen til følgende kriterier:

De kompetente myndigheder giver de finansielle enheder den nødvendige tid for dem til at tilpasse de kontraktlige ordninger med kritiske tredjepartsudbydere af IKT-tjenester for at undgå skadelige virkninger for deres digitale operationelle modstandsdygtighed og for dem til at indføre exitstrategier og overgangsplaner som omhandlet i artikel 28.

9.   Den afgørelse, der er omhandlet i denne artikels stk. 6, meddeles medlemmerne af tilsynsforummet, jf. artikel 32, stk. 4, litra a), b) og c), og det fælles tilsynsnetværk.

De kritiske tredjepartsudbydere af IKT-tjenester, der er berørt af de i stk. 6 omhandlede afgørelser, samarbejder fuldt ud med de påvirkede finansielle enheder, navnlig i forbindelse med suspension eller opsigelse af deres kontraktlige ordninger.

10.   De kompetente myndigheder orienterer regelmæssigt den ledende tilsynsførende om de tilgange og foranstaltninger, de har iværksat i forbindelse med deres tilsynsopgaver vedrørende finansielle enheder, samt om de kontraktlige ordninger, som de finansielle enheder har indgået, når kritiske tredjepartsudbydere af IKT-tjenester kun delvist eller slet ikke har tilsluttet sig de henstillinger, som den ledende tilsynsførende har fremsat over for dem.

11.   Den ledende tilsynsførende kan efter anmodning fremkomme med yderligere præciseringer vedrørende de udstedte henstillinger for at vejlede de kompetente myndigheder om opfølgningsforanstaltningerne.

1.   Den ledende tilsynsførende opkræver i overensstemmelse med den delegerede retsakt, der er omhandlet i denne artikels stk. 2, gebyrer hos kritiske tredjepartsudbydere af IKT-tjenester, som fuldt ud dækker den ledende tilsynsførendes nødvendige udgifter i forbindelse med varetagelsen af tilsynsopgaver i henhold til denne forordning, herunder godtgørelse af eventuelle omkostninger, der kan opstå som følge af det arbejde, der udføres af det fælles undersøgelsesteam, som er omhandlet i artikel 40, samt omkostningerne til rådgivning ydet af de uafhængige eksperter som omhandlet i artikel 32, stk. 4, andet afsnit, i forbindelse med forhold, der hører under området for de direkte tilsynsaktiviteter.

Det gebyrbeløb, der opkræves hos en kritisk tredjepartsudbyder af IKT-tjenester, skal dække alle omkostninger, der opstår som følge af udførelsen af de i denne afdeling fastsatte opgaver, og skal stå i et rimeligt forhold til dennes omsætning.

2.   Kommissionen tillægges beføjelser til at vedtage en delegeret retsakt i overensstemmelse med artikel 57 for at supplere denne forordning ved at fastsætte gebyrbeløbene og den måde, hvorpå de skal betales, senest den 17. juli 2024.

1.   Med forbehold af artikel 36 kan EBA, ESMA og EIOPA i overensstemmelse med artikel 33 i henholdsvis forordning (EU) nr. 1093/2010, (EU) nr. 1095/2010 og (EU) nr. 1094/2010 indgå administrative ordninger med tredjelandes regulerings- og tilsynsmyndigheder for at fremme det internationale samarbejde om IKT-tredjepartsrisiko på tværs af forskellige finansielle sektorer, navnlig ved at udvikle bedste praksis for gennemgang af praksis og kontroller forbundet med IKT-risikostyring, afhjælpende foranstaltninger og indsatsen i forbindelse med hændelser.

2.   ESA'erne forelægger hvert femte år via Det Fælles Udvalg en fælles fortrolig rapport for Europa-Parlamentet, Rådet og Kommissionen med en sammenfatning af resultaterne af de relevante drøftelser, der er ført med de i stk. 1 omhandlede tredjelandsmyndigheder, med fokus på udviklingen inden for IKT-tredjepartsrisiko og konsekvenserne for den finansielle stabilitet, markedets integritet, investorbeskyttelsen og det indre markeds funktionsmåde.

1.   De finansielle enheder kan indbyrdes udveksle oplysninger og efterretninger om cybertrusler, herunder kompromitteringsindikatorer, taktikker, teknikker og procedurer, cybersikkerhedsvarsler og konfigurationsværktøjer, i det omfang en sådan udveksling af oplysninger og efterretninger:

2.   Med henblik på stk. 1, litra c), fastlægger ordningerne for informationsudveksling betingelserne for deltagelse og fastsætter, hvor det er relevant, de nærmere bestemmelser om inddragelse af offentlige myndigheder og om den egenskab, i hvilken de kan indgå i ordninger for informationsudveksling, om inddragelse af tredjepartsudbydere af IKT-tjenester og om operationelle elementer, herunder anvendelsen af særlige IT-platforme.

3.   De finansielle enheder underretter de kompetente myndigheder om deres deltagelse i de i stk. 1 omhandlede ordninger for informationsudveksling efter validering af deres medlemskab eller, alt efter hvad der er relevant, ophør af deres medlemskab, når det træder i kraft.

1.   For at fremme samarbejde og muliggøre tilsynsmæssig udveksling mellem de kompetente myndigheder, der er udpeget i henhold til denne forordning, og den samarbejdsgruppe, der er nedsat ved artikel 14 i direktiv (EU) 2022/2555, kan ESA'erne og de kompetente myndigheder deltage i samarbejdsgruppens aktiviteter for så vidt angår spørgsmål, der vedrører deres tilsynsaktiviteter i forbindelse med finansielle enheder. ESA'erne og de kompetente myndigheder kan anmode om at blive indbudt til at deltage i samarbejdsgruppens aktiviteter for så vidt angår spørgsmål i forbindelse med væsentlige eller vigtige enheder, der er omfattet af direktiv (EU) 2022/2555 og desuden er blevet udpeget som kritiske tredjepartsudbydere af IKT-tjenester i henhold til denne forordnings artikel 31.

2.   Hvis det er relevant, kan de kompetente myndigheder rådføre sig og dele oplysninger med henholdsvis de centrale kontaktpunkter og de CSIRT'er, der er udpeget eller oprettet i overensstemmelse med direktiv (EU) 2022/2555.

3.   Hvis det er relevant, kan de kompetente myndigheder anmode om relevant teknisk rådgivning og bistand fra de kompetente myndigheder, der er udpeget eller oprettet i overensstemmelse med direktiv (EU) 2022/2555, og etablere samarbejdsordninger, således at der kan oprettes effektive og hurtige koordineringsmekanismer.

4.   De ordninger, der er omhandlet i denne artikels stk. 3, kan bl.a. præcisere procedurerne for koordinering af tilsynsaktiviteter i forbindelse med væsentlige eller vigtige enheder, der er omfattet af direktiv (EU) 2022/2555 og er udpeget som kritiske tredjepartsudbydere af IKT-tjenester i henhold til denne forordnings artikel 31, herunder med henblik på i overensstemmelse med national ret at gennemføre undersøgelser og inspektioner på stedet samt med henblik på mekanismer til udveksling af oplysninger mellem de kompetente myndigheder i henhold til denne forordning og de kompetente myndigheder, der er udpeget eller oprettet i overensstemmelse med nævnte direktiv, hvilket omfatter adgang til oplysninger, som sidstnævnte myndigheder har anmodet om.

1.   De kompetente myndigheder arbejder tæt sammen indbyrdes og, hvis det er relevant, med den ledende tilsynsførende.

2.   De kompetente myndigheder og den ledende tilsynsførende udveksler rettidigt alle de relevante oplysninger om kritiske tredjepartsudbydere af IKT-tjenester, som er nødvendige for, at de kan udføre deres respektive opgaver i henhold til denne forordning, navnlig i forbindelse med identificerede risici, tilgange og foranstaltninger, der træffes som led i den ledende tilsynsførendes tilsynsopgaver.

1.   ESA'erne kan via Det Fælles Udvalg og i samarbejde med de kompetente myndigheder, afviklingsmyndigheder som omhandlet i artikel 3 i direktiv 2014/59/EU, ECB, Den Fælles Afviklingsinstans for så vidt angår oplysninger vedrørende enheder, der er omfattet af anvendelsesområdet for forordning (EU) nr. 806/2014, ESRB og ENISA, alt efter hvad der er relevant, indføre mekanismer, der gør det muligt at udveksle effektive fremgangsmåder på tværs af finansielle sektorer for at forbedre situationskendskabet og identificere fælles cybersårbarheder og risici på tværs af sektorer.

De kan udvikle simuleringsøvelser for krisestyring og beredskab, der omfatter cyberangrebsscenarier, med henblik på at udvikle kommunikationskanaler og gradvist muliggøre en effektiv koordineret indsats på EU-plan i tilfælde af en større grænseoverskridende IKT-relateret hændelse eller dermed forbundet trussel, som har systemiske virkninger for Unionens finansielle sektor som helhed.

Simuleringsøvelserne kan, alt efter hvad der er relevant, også tjene til at teste den finansielle sektors afhængighed af andre økonomiske sektorer.

2.   De kompetente myndigheder, ESA'erne og ECB samarbejder tæt med hinanden og udveksler oplysninger med henblik på at varetage deres opgaver i henhold til artikel 47-54. De koordinerer deres tilsyn tæt for at identificere og afhjælpe overtrædelser af denne forordning, udvikle og fremme bedste praksis, lette samarbejdet, fremme en konsekvent fortolkning og tilvejebringe vurderinger på tværs af jurisdiktioner i tilfælde af eventuelle tvister.

1.   De kompetente myndigheder tillægges alle de nødvendige tilsynsmæssige beføjelser, undersøgelses- og sanktionsbeføjelser, således at de kan opfylde deres forpligtelser i henhold til denne forordning.

2.   De i stk. 1 omhandlede beføjelser skal mindst omfatte følgende beføjelser til at:

3.   Uden at dette berører medlemsstaternes ret til at pålægge strafferetlige sanktioner i overensstemmelse med artikel 52, fastsætter medlemsstaterne bestemmelser om passende administrative sanktioner og afhjælpende foranstaltninger for overtrædelser af denne forordning og sikrer en effektiv gennemførelse heraf.

Disse sanktioner eller foranstaltninger skal være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

4.   Medlemsstaterne tillægger de kompetente myndigheder beføjelse til at anvende mindst følgende administrative sanktioner eller afhjælpende foranstaltninger for overtrædelser af denne forordning:

5.   Såfremt stk. 2, litra c), og stk. 4, finder anvendelse på juridiske personer, giver medlemsstaterne de kompetente myndigheder beføjelse til i overensstemmelse med betingelserne i national ret at anvende de administrative sanktioner og afhjælpende foranstaltninger på medlemmer af ledelsesorganet samt andre personer, som i henhold til national ret er ansvarlige for overtrædelsen.

6.   Medlemsstaterne sikrer, at enhver afgørelse om pålæggelse af administrative sanktioner eller afhjælpende foranstaltninger som omhandlet i stk. 2, litra c), er behørigt begrundet og kan påklages.

1.   De kompetente myndigheder udøver, hvis det er relevant, beføjelsen til at pålægge de administrative sanktioner og afhjælpende foranstaltninger, der er omhandlet i artikel 50, i overensstemmelse med deres nationale lovrammer på følgende måde:

2.   De kompetente myndigheder tager ved valget af arten af og niveauet for en administrativ sanktion eller afhjælpende foranstaltning, der pålægges i henhold til artikel 50, hensyn til, i hvilken grad overtrædelsen er forsætlig eller skyldes uagtsomhed, og alle andre relevante omstændigheder, herunder følgende, hvis det er relevant:

1.   Medlemsstaterne kan beslutte ikke at fastsætte bestemmelser om administrative sanktioner eller afhjælpende foranstaltninger for overtrædelser, der er omfattet af strafferetlige sanktioner i henhold til national ret.

2.   Hvis medlemsstaterne har valgt at fastsætte strafferetlige sanktioner for overtrædelser af denne forordning, sikrer de, at der er truffet passende foranstaltninger, således at de kompetente myndigheder har alle de nødvendige beføjelser til at holde kontakt til de judicielle, retsforfølgende eller strafferetlige myndigheder inden for deres jurisdiktion for at indhente specifikke oplysninger om strafferetlige efterforskninger eller straffesager, der er indledt for overtrædelser af denne forordning, og til at give andre kompetente myndigheder samt EBA, ESMA eller EIOPA de samme oplysninger, således at disse kan opfylde deres forpligtelser til at samarbejde med henblik på anvendelsen af denne forordning.

1.   De kompetente myndigheder offentliggør uden unødigt ophold på deres officielle websteder enhver afgørelse om pålæggelse af en administrativ sanktion, som ikke kan påklages, efter at modtageren af sanktionen er blevet underrettet om afgørelsen.

2.   Den i stk. 1 omhandlede offentliggørelse omfatter oplysninger om overtrædelsens type og art, de ansvarlige personers identitet samt de pålagte sanktioner.

3.   Hvis den kompetente myndighed efter en vurdering i det enkelte tilfælde finder, at offentliggørelse af identiteten, hvis der er tale om juridiske personer, eller af identiteten og personoplysninger, hvis der er tale om fysiske personer, vil være uforholdsmæssig, herunder omfatte risici i forbindelse med beskyttelsen af personoplysninger, vil bringe de finansielle markeders stabilitet eller gennemførelsen af en igangværende strafferetlig efterforskning i fare eller, i det omfang skaden kan fastslås, vil forvolde uforholdsmæssig stor skade på den involverede person, tager den en af følgende løsninger i anvendelse med hensyn til afgørelsen om at pålægge en administrativ sanktion:

4.   I tilfælde af en afgørelse om at offentliggøre en administrativ sanktion anonymt i overensstemmelse med stk. 3, litra b), kan offentliggørelsen af de relevante oplysninger udskydes.

5.   Hvis en kompetent myndighed offentliggør en afgørelse om at pålægge en administrativ sanktion, der kan indbringes for de relevante judicielle myndigheder, lægger de kompetente myndigheder straks denne oplysning på deres officielle websted sammen med eventuelle efterfølgende oplysninger om resultatet af denne indbringelse på et senere tidspunkt. En judiciel afgørelse, som annullerer en afgørelse om at pålægge en administrativ sanktion, skal også offentliggøres.

6.   Kompetente myndigheder sikrer, at enhver offentliggørelse som omhandlet i stk. 1-4 kun er tilgængelig på deres officielle websted i den periode, der er nødvendig af hensyn til denne artikel. Denne periode må ikke overstige fem år efter offentliggørelsen.

1.   Enhver fortrolig oplysning, der modtages, udveksles eller videregives i henhold til denne forordning, er underlagt de i stk. 2 omhandlede betingelser vedrørende tavshedspligt.

2.   Tavshedspligten gælder for alle personer, der arbejder eller har arbejdet for de kompetente myndigheder i henhold til denne forordning eller for en myndighed, en markedsdeltager eller en fysisk eller juridisk person, som disse kompetente myndigheder har overdraget sine beføjelser til, herunder revisorer og sagkyndige, der har indgået en kontrakt med disse.

3.   Oplysninger, der er omfattet af tavshedspligt, herunder udveksling af oplysninger mellem kompetente myndigheder i henhold til denne forordning og kompetente myndigheder, der er udpeget eller oprettet i overensstemmelse med direktiv (EU) 2022/2555, må ikke videregives til nogen anden person eller myndighed, medmindre der er hjemmel dertil i bestemmelser fastsat i EU-ret eller national ret;

4.   Alle oplysninger, der udveksles mellem de kompetente myndigheder i henhold til denne forordning, og som vedrører forretnings- eller driftsmæssige betingelser og andre økonomiske eller personlige anliggender, betragtes som fortrolige og er underlagt krav om tavshedspligt, undtagen når den kompetente myndighed på det tidspunkt, hvor oplysningerne blev meddelt, har erklæret, at disse oplysninger kan videregives, eller når videregivelse er nødvendig i forbindelse med en eventuel retsforfølgning.

1.   ESA'erne og de kompetente myndigheder må kun behandle personoplysninger, hvis det er nødvendigt for, at de kan opfylde deres respektive forpligtelser og udføre deres opgaver i henhold til denne forordning, navnlig med hensyn til undersøgelse, inspektion, anmodning om oplysninger, kommunikation, offentliggørelse, evaluering, efterprøvning, vurdering og udarbejdelse af tilsynsplaner. Personoplysninger behandles i overensstemmelse med forordning (EU) 2016/679 eller (EU) 2018/1725, alt efter hvilken der finder anvendelse.

2.   Medmindre andet er fastsat i andre sektorspecifikke retsakter, opbevares de personoplysninger, der er omhandlet i stk. 1, indtil de relevante tilsynsopgaver er udført, og under alle omstændigheder i en periode på højst 15 år, undtagen i tilfælde af verserende retssager, der kræver yderligere opbevaring af sådanne oplysninger.

1.   Beføjelsen til at vedtage delegerede retsakter tillægges Kommissionen på de i denne artikel fastlagte betingelser.

2.   Beføjelsen til at vedtage delegerede retsakter, jf. artikel 31, stk. 6, og artikel 43, stk. 2, tillægges Kommissionen for en periode på fem år fra den 17. januar 2024. Kommissionen udarbejder en rapport vedrørende delegationen af beføjelser senest ni måneder inden udløbet af femårsperioden. Delegationen af beføjelser forlænges stiltiende for perioder af samme varighed, medmindre Europa-Parlamentet eller Rådet modsætter sig en sådan forlængelse senest tre måneder inden udløbet af hver periode.

3.   Den i artikel 31, stk. 6, og artikel 43, stk. 2, omhandlede delegation af beføjelser kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer delegationen af de beføjelser, der er angivet i den pågældende afgørelse, til ophør. Den får virkning dagen efter offentliggørelsen af afgørelsen i Den Europæiske Unions Tidende eller på et senere tidspunkt, der angives i afgørelsen. Den berører ikke gyldigheden af delegerede retsakter, der allerede er i kraft.

4.   Inden vedtagelsen af en delegeret retsakt hører Kommissionen eksperter, som er udpeget af hver enkelt medlemsstat, i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning.

5.   Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidigt Europa-Parlamentet og Rådet meddelelse herom.

6.   En delegeret retsakt vedtaget i henhold til artikel 31, stk. 6, og artikel 43, stk. 2, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på tre måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet og Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har underrettet Kommissionen om, at de ikke agter at gøre indsigelse. Fristen forlænges med tre måneder på Europa-Parlamentets eller Rådets initiativ.

1.   Senest den 17. januar 2028 foretager Kommissionen efter høring af ESA'erne og ESRB, alt efter hvad der er relevant, en gennemgang og forelægger en rapport for Europa-Parlamentet og Rådet, eventuelt ledsaget af et lovgivningsmæssigt forslag. Gennemgangen skal som minimum omfatte følgende:

2.   I forbindelse med revisionen af direktiv (EU) 2015/2366 vurderer Kommissionen behovet for øget cyberrobusthed i betalingssystemer og betalingsbehandlingsaktiviteter og hensigtsmæssigheden af at udvide denne forordnings anvendelsesområde til operatører af betalingssystemer og enheder, der er involveret i betalingsbehandlingsaktiviteter. I lyset af denne vurdering forelægger Kommissionen som led i revisionen af direktiv (EU) 2015/2366 en rapport for Europa-Parlamentet og Rådet senest den 17. juli 2023.

På grundlag af denne revisionsrapport og efter høring af ESA'erne, ECB og ESRB kan Kommissionen, hvor det er relevant og som led i det lovgivningsmæssige forslag, som den kan vedtage i henhold til artikel 108, stk. 2, i direktiv (EU) 2015/2366, forelægge et forslag, der sikrer, at alle operatører af betalingssystemer og enheder, der er involveret i betalingsbehandlingsaktiviteter, er omfattet af passende tilsyn, samtidig med at der tages hensyn til centralbankens eksisterende tilsyn.

3.   Senest den 17. januar 2026 foretager Kommissionen efter høring af ESA'erne og Udvalget af Europæiske Revisionstilsynsmyndigheder en gennemgang og forelægger en rapport for Europa-Parlamentet og Rådet, eventuelt ledsaget af et lovgivningsmæssigt forslag vedrørende det hensigtsmæssige i skærpede krav til lovpligtige revisorer og revisionsfirmaer for så vidt angår digital operationel modstandsdygtighed ved at lade revisorer og revisionsfirmaer blive omfattet af denne forordnings anvendelsesområde eller gennem ændringer af Europa-Parlamentets og Rådets direktiv 2006/43/EF (39).