Digital operationel modstandsdygtighed i den i finansielle sektor

RESUMÉ AF:

Forordning (EU) 2022/2554 om digital operationel modstandsdygtighed i den i finansielle sektor

HVAD ER FORMÅLET MED FORORDNINGEN?

Den fastsætter ensartede regler om sikkerheden i netværks- og informationssystemer for finansielle enheder, såsom banker, forsikringsselskaber og investeringsselskaber.

Den dækker en bred vifte af EU-regulerede finansielle enheder og kræver, at de kan modstå, reagere på og genetablere efter alle typer driftsforstyrrelser og trusler der involverer informations- og kommunikationsteknologi (IKT).

HOVEDPUNKTER

Anvendelsesområde

Forordningen omfatter:

• kredit-, betalings-, elektroniske pengeinstitutter og arbejdsmarkedspensionsordninger
• leverandører af kontooplysningstjenester, kryptoaktiver, datarapportering, crowdfunding og IKT-tredjeparter
• investeringsselskaber, alternative investeringsfonde, administrationsselskaber, kreditvurderingsbureauer og administratorer af kritiske benchmarks
• handels- og securitiseringsregistre, værdipapircentraler, centrale modparter og markedspladser
• forsikring, forsikringsmæglere og genforsikringsvirksomheder

IKT-risikostyring

Finansielle enheder, bortset fra mikrovirksomheder, skal:

• have interne styrings- og kontrolforanstaltninger på plads, der sikrer effektiv og forsigtig styring af IKT-risici
• sikre, at deres ledelsesorgan definerer, godkender, fører tilsyn med og er ansvarlig for alle relevante ordninger
• have en forsvarlig, dækkende og veldokumenteret IKT-risikostyringsramme på plads med de nødvendige strategier, politikker, procedurer, protokoller og værktøjer til at reagere hurtigt og effektivt
• bruge og vedligeholde opdaterede IKT-systemer, protokoller og værktøjer, der er passende, pålidelige, teknologisk modstandsdygtige og har tilstrækkelig kapacitet
• identificere, klassificere og have tilstrækkelig dokumentation for alle IKT-understøttede forretningsfunktioner, roller og ansvarsområder og gennemgå risikoscenarier
• løbende overvåge sikkerheden og driften af IKT-systemer og værktøjer for at minimere følgerne af enhver IKT-risiko
• straks opdage uregelmæssigheder og identificere potentielle fejlområder
• indføre en omfattende IKT-driftskontinuitetspolitik med relevante planer, procedurer og mekanismer
• udvikle og dokumentere sikkerhedskopieringspolitikker og genopbyggelses- og gendannelsesprocedurer
• tilvejebringe ressourcer og personale til at vurdere sårbarheder og cybertrusler, IKT-relaterede hændelser, især cyberangreb, og analysere deres potentielle indvirkning på enhedens digitale operationelle modstandsdygtighed
• udarbejde krisekommunikationsplaner for mindst at kunne afsløre større IKT-relaterede hændelser eller sårbarheder overfor kunder, modparter og offentligheden

IKT-relateret ledelse, klassificering og rapportering

Finansielle enheder skal:

• definere, fastsætte og implementere foranstaltninger til at opdage, styre, registrere og underrette om IKT-relaterede hændelser
• klassificere hændelser og klarlægge deres indvirkning ved brug af kriterier som antal berørte kunder og modparter, varighed, geografisk spredning og datatab
• indberette større IKT-relaterede hændelser til deres udpegede kompetente myndighed, som videresender det til et højere organ som f.eks Den Europæiske Centralbank eller Den Europæiske Banktilsynsmyndighed.

Testing af digital operationel modstandsdygtighed

Finansielle enheder, bortset fra mikrovirksomheder, skal:

• etablere, vedligeholde og evaluere et solidt og omfattende digitalt operationelt testprogram udstyret med de nødvendige vurderinger, test, metoder, praksis og værktøjer
• mindst hvert 3. år gennemføre en trusselsniveau-penetrationstest baseret på deres risikoprofil og under hensyntagen til driftsforholdene — og kun bruge testere, der er certificerede, besidder den nødvendige ekspertise og egnethed og har professionel ansvarsforsikring

Styre tredjeparts IKT-risiko

Finansielle enheder skal:

• styre tredjepartsrisiko som en integreret komponent af deres samlede IKT-risiko
• have indgået kontraktlige ordninger for, at IKT-tjenester kan drive deres forretningsdrift i fuld overensstemmelse med den relevante lovgivning
• tage hensyn til arten, omfanget, kompleksiteten og vigtigheden af IKT-relaterede afhængigheder og eventuelle potentielle risici
• afveje fordele og omkostninger ved alternative løsninger, når de identificerer og vurderer eventuelle risici
• inkludere hver parts rettigheder og forpligtelser og serviceaftalen i kontrakten

Tilsynsramme for kritiske IKT-tredjepartstjenesteudbydere

Rammebestemmelserne:

• overlade til de europæiske tilsynsmyndigheder (ESA’er) at:
  • udpege, på grundlag af klare kriterier, de IKT-tredjepartstjenesteudbydere, der anses for at være kritiske for finansielle enheder
  • udpege den ESA, der er ansvarlig for den berørte finansielle enhed, som ledende tilsynsførende for hver kritisk tredjepartstjenesteudbyder
• oprette et Tilsynsforum, der skal:
  • diskutere relevant udvikling vedrørende IKT-risici og sårbarheder og fremme en konsekvent EU-overvågningsmetode
  • årligt vurdere tilsynsaktiviteter, fremme tiltag for at øge den digitale operationelle modstandsdygtighed og opnå bedste praksis,
  • indsende omfattende benchmarks for kritiske IKT-tredjepartstjenesteudbydere
• give den ledende tilsynsførende mandat til at:
  • være det primære kontaktpunkt for kritiske IKT-tredjepartstjenesteudbydere
  • vurdere, om hver kritisk udbyder har dækkende, forsvarlige og effektive regler, procedurer, mekanismer og ordninger på plads
  • anmode om alle relevante oplysninger og dokumentation, udføre undersøgelser og inspektioner (inklusive i lande uden for EU), specificere afhjælpende foranstaltninger og udstede anbefalinger
• gøre det muligt for Den Europæiske Banktilsynsmyndighed, Den Europæiske Tilsynsmyndighed for Forsikrings- og Arbejdsmarkedspensionsordninger og Den Europæiske Værdipapir- og Markedstilsynsmyndighed at samarbejde med regulerings- og tilsynsmyndigheder uden for EU om IKT-tredjepartsrisiko
• kræver, at ESA’er indsender en fortrolig rapport hvert 5. år til Europa-Parlamentet, Rådet for Den Europæiske Union og Europa-Kommissionen om deres forbindelser med ikke-EU-myndigheder.

Aftaler om udveksling af oplysninger

Finansielle enheder kan indbyrdes udveksle informationer og efterretninger om cybertrusler, forudsat at dette:

• har til formål at styrke deres digitale operationelle modstandsdygtighed
• sker i deres anerkendte fællesskaber
• beskytter forretningsfortrolighed og personoplysninger og respekterer konkurrencepolitikkens regler

Sanktioner og afhjælpende foranstaltninger

Kompetente myndigheder:

• har alle de tilsyns-, undersøgelses- og sanktionsbeføjelser, der er nødvendige for at udføre deres opgaver
• pålægger og offentliggør på deres websteder de administrative sanktioner og afhjælpende foranstaltninger, der er fastsat i national lovgivning.

ESA’er udarbejder udkast til reguleringsmæssige tekniske standarder for IKT-risikostyringsværktøjer, klassificering og rapportering af IKT-relaterede hændelser og udførelse af tilsynsaktiviteter.

Kommissionen:

• har beføjelse til at vedtage delegerede retsakter
• forelægger senest den 17. januar 2028 en revision af forordningen efter høring af ESA’erne og Det Europæiske Udvalg for Systemiske Risici for Parlamentet og Rådet.

Forordningen ændrer forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 909/2014, (EU) nr. 600/2014 og (EU) 2016/1011.

HVORNÅR GÆLDER FORORDNINGEN FRA?

Den træder i kraft den 17. januar 2025.

BAGGRUND

De reformer, der fulgte efter finanskrisen i 2008, styrkede primært sektorens finansielle stabilitet IKT-risici blev kun behandlet indirekte på nogle områder og udgør fortsat en udfordring for EU’s finansielle systems operationelle modstandskraft, ydeevne og stabilitet.

Forordningen, kendt som DORA, er en del af en større digital finanspakke, der har til formål at fremme teknologisk udvikling og sikre finansiel stabilitet og forbrugerbeskyttelse. Dens andre elementer dækker en digital finansstrategi, markeder for kryptoaktiver og distributet ledger-teknologi.

For yderligere oplysninger henvises til:

• Digital finanspakke (Europa-Kommissionen)

HOVEDDOKUMENT

Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og om ændring af forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 (EUT L 333 af 27.12.2022, s. 1-79).

TILHØRENDE DOKUMENTER

Meddelelse fra Kommissionen til Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget om en strategi for digital finans for EU (COM(2020) 591 final af 24.9.2020).

Europa-Parlamentets og Rådets forordning (EU) 2016/1011 af 8. juni 2016 om indeks, der bruges som benchmarks i finansielle instrumenter og finansielle kontrakter eller med henblik på at måle investeringsfondes økonomiske resultater, og om ændring af direktiv 2008/48/EF og 2014/17/EU samt forordning (EU) nr. 596/2014 (EUT L 171 af 29.6.2016, s. 1-65).

Efterfølgende ændringer til forordning (EU) 2016/1011 er blevet indarbejdet i grundteksten. Denne konsoliderede udgave har ingen retsvirkning.

Europa-Parlamentets og Rådets forordning (EU) nr. 909/2014 af 23. juli 2014 om forbedring af værdipapirafviklingen i Den Europæiske Union og om værdipapircentraler samt om ændring af direktiv 98/26/EF og 2014/65/EU samt forordning (EU) nr. 236/2012 (EUT L 257 af 28.8.2014, s. 1-72).

Se den konsoliderede udgave.

Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter og om ændring af forordning (EU) nr. 648/2012 (EUT L 173 af 12.6.2014, s. 84-148).

Se den konsoliderede udgave.

Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 af 4. juli 2012 om OTC-derivater, centrale modparter og transaktionsregistre (EUT L 201 af 27.7.2012, s. 1-59).

Se den konsoliderede udgave.

Europa-Parlamentets og Rådets forordning (EF) 1060/2009 af 16. september 2009 om kreditvurderingsbureauer (EUT L 302 af 17.11.2009, s. 1-31).

Se den konsoliderede udgave.

seneste ajourføring 10.01.2024