Indledning og retsgrundlag

Den 9. december 2025 modtog Den Europæiske Centralbank (ECB) en anmodning fra Europa-Parlamentet om en udtalelse om et forslag til Europa-Parlamentets og Rådets forordning om ændring af forordning (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854 og direktiv 2002/58/EF, (EU) 2022/2555 og (EU) 2022/2557 for så vidt angår forenkling af det digitale regelsæt og om ophævelse af forordning (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868 og direktiv (EU) 2019/1024 (den digitale omnibus) (1) (herefter »forordningsforslaget«).

ECB's kompetence til at afgive udtalelse fremgår af artikel 127, stk. 4 og artikel 282, stk. 5, i traktaten om Den Europæiske Unions Funktionsmåde, da forordningsforslaget indeholder bestemmelser, der falder inden for ECB's kompetenceområde, herunder navnlig gennemførelsen af den monetære politik i henhold til traktatens artikel 127, stk. 2, første led, og artikel 282, stk. 1, betalingssystemernes smidige funktion i henhold til traktatens artikel 127, stk. 2, fjerde led, og artikel 282, stk. 1, tilsynet med kreditinstitutter i henhold til traktatens artikel 127, stk. 6, og ECB's opgaver vedrørende indsamling af statistisk information i henhold til artikel 5 i statutten for Det Europæiske System af Centralbanker og Den Europæiske Centralbank (herefter »ESCB-statutten«). I overensstemmelse med artikel 17.5, første punktum, i forretningsordenen for Den Europæiske Centralbank er denne udtalelse vedtaget af ECB's Styrelsesråd.

1.   Generelle bemærkninger

1.1.

ECB støtter forordningsforslaget, som er en vigtig reform, der har til formål at forenkle og optimere anvendelsen af det digitale regelsæt i Unionen. I det omfang forordningsforslaget er effektivt med hensyn til at opfylde sine mål om at fremme politikker, der styrker Unionens konkurrenceevne og letter regelbyrden for borgere, virksomheder og forvaltninger, vil det fjerne hindringer for levering af tjenesteydelser og støtte udviklingen af den digitale økonomi i Unionen, samtidig med at der tages hensyn til behovet for at opretholde de højeste standarder for fremme af Unionens værdier, herunder opretholdelse af de grundlæggende rettigheder. Den digitale økonomi får stadig større betydning og kan have konsekvenser for gennemførelsen af pengepolitikken, da den påvirker det miljø, som pengepolitikken fungerer i, ved at ændre forbrugs- og produktionsmønstre, forretningsmodeller og relative priser forskelligt i euroområdet og medlemsstaterne. Denne udvikling har stor indvirkning på de variabler, der er relevante for pengepolitikken, og målingen heraf, herunder beskæftigelse, produktivitet, potentielt output og inflation. Den påvirker også den måde, hvorpå pengepolitiske beslutninger overføres til husholdninger og virksomheder, hvilket øger den usikkerhed og kompleksitet, som de politiske beslutningstagere står over for.

1.2.

ECB glæder sig navnlig over forslagene om at forenkle ordningerne for datadeling mellem offentlige myndigheder og mellem virksomheder og myndigheder og bestemmelserne om behandling af personoplysninger i Europa-Parlamentets og Rådets forordning (EU) 2023/2854 (2) (herefter »dataforordningen«). ECB er i vid udstrækning involveret i indsamling, udvikling, udarbejdelse og formidling af data, som den anvender til at udføre de opgaver og aktiviteter, der falder inden for dens kompetenceområder. Denne kompetence omfatter indsamling af statistisk information, hvor det er nødvendigt for at udføre Det Europæiske System af Centralbankers (ESCB's) opgaver i henhold til ESCB-statuttens artikel 5. ECB er også involveret i mange samarbejdsinitiativer til støtte for datadeling og samarbejde med andre EU-institutioner, -organer, -kontorer og -agenturer samt med de kompetente myndigheder i medlemsstaterne, tredjelande og internationale organisationer. Ved udførelsen af sine opgaver kan den også behandle personoplysninger under visse omstændigheder i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (3) (herefter »EUDPR«). Af disse grunde støtter ECB foranstaltninger, der vil opbygge en konsekvent og sammenhængende lovgivningsmæssig ramme til støtte for tilgængeligheden og anvendelsen af data.

1.3.

ECB er også ansvarlig for at sikre overholdelse af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 (4) (herefter »DORA«) for kreditinstitutter, der er klassificeret som signifikante i henhold til artikel 6, stk. 4, i Rådets forordning (EU) nr. 1024/2013 (5), i overensstemmelse med de tilsynsbeføjelser og -opgaver, som overdrages ved nævnte forordning (6). I denne egenskab modtager ECB indberetninger fra signifikante kreditinstitutter til deres kompetente nationale myndigheder om større informations- og kommunikationsteknologirelaterede hændelser (herefter »IKT-relaterede hændelser«) og væsentlige cybertrusler. Desuden er en af ESCB's grundlæggende opgaver at fremme betalingssystemernes smidige funktion i henhold til traktatens artikel 127, stk. 2, fjerde led, som afspejlet i ESCB-statuttens artikel 3.1. I den forbindelse modtager ECB hændelsesindberetninger fra betalingsinstitutter og e-pengeinstitutter samt fra kreditinstitutter i henhold til DORA. I betragtning af disse ansvarsområder og opgaver glæder ECB sig generelt over bestræbelserne på yderligere at forenkle og harmonisere rammen for indberetning af IKT-relaterede hændelser i Unionen og gennemføre centraliseret indberetning af større IKT-relaterede hændelser. Da finanssektoren har stået i spidsen for gennemførelsen af en harmoniseret, omfattende og effektiv ramme for indberetning af hændelser, støtter ECB foranstaltninger, der forenkler overholdelsen af kravene til indberetning af hændelser på grundlag af de erfaringer, der er gjort i finanssektoren.

1.4.

ECB har imidlertid betænkeligheder med hensyn til, i hvilket omfang forordningsforslaget vil føre målet om forenkling ud i livet i specifikke tilfælde, hvor det ikke letter den byrde i form af overholdelse af lovgivningen, som virksomheder og offentlige myndigheder står over for. ECB fremsætter derfor i denne udtalelse nogle specifikke tekniske bemærkninger og forslag til forordningsforslaget.

1.5.

På grund af disse betænkeligheder glæder ECB sig også over, at Kommissionen vil foretage en evaluering af de vigtigste kapitler i dataforordningen senest den 12. september 2028 og af de nye kapitler senest fem år efter ikrafttrædelsen af den foreslåede forordning (7). Det er ligeledes vigtigt, at der ikke foretages ændringer af revisionsklausulen i DORA (8), som kræver, at Kommissionen foretager en revision og forelægger en rapport om, hvordan mange aspekter af DORA fungerer. Denne revisionsproces bør sikre, at de pågældende forordninger fortsat fungerer effektivt og tjener deres mål og dermed støtter udviklingen af den digitale økonomi i Unionen.

2.   Digitale regler

2.1.

ECB støtter fuldt ud forordningsforslaget som et første skridt i retning af at forenkle det digitale regelsæt og optimere dets anvendelse. De digitale regler, der er blevet udviklet over tid inden for data, kunstig intelligens, onlineplatforme, databeskyttelse og cybersikkerhed, er blevet komplekse og indeholder nu fragmenterede og overlappende bestemmelser, der skaber usikkerhed for både offentlige myndigheder og virksomheder.

2.2.

Konsolideringen i dataforordningen af reglerne i Europa-Parlamentets og Rådets forordning (EU) 2022/868 (9) om videreanvendelse af beskyttede data, der opbevares af offentlige myndigheder i medlemsstaterne, med reglerne i Europa-Parlamentets og Rådets direktiv (EU) 2019/1024 (10) om videreanvendelse af dokumenter, som medlemsstaternes offentlige myndigheder eller offentlige virksomheder er i besiddelse af, skaber en mere sammenhængende struktur og mere konsekvente definitioner af centrale begreber, hvilket gør det lettere at anvende reglerne om dataudveksling. Dette understøttes af ophævelsen af forældede regler, navnlig reglerne i Europa-Parlamentets og Rådets forordning (EU) 2018/1807 (11).

2.3.

For de nationale centralbanker, som normalt er offentlige myndigheder i medlemsstaterne, og som derfor er underlagt regler, der har til formål at lette videreanvendelsen af data, skaber dette en kærkommen klarhed. ECB og de nationale centralbanker vil også drage fordel af klarere ordninger vedrørende tilgængeligheden af data, navnlig kilder til åbne data, der er blevet klassificeret som datasæt af høj værdi (12). Disse datasæt anvendes i vid udstrækning af ECB, når den udfører sin opgave i henhold til ESCB-statuttens artikel 5, stk. 1, med at indsamle statistisk information, som er nødvendig for at udføre ESCB's opgaver.

2.4.

F.eks. anvendes oplysninger om virksomheder og virksomhedsejerskab til at vedligeholde registeret for data om institutter og tilknyttede enheder (RIAD), som er et fælles datasæt af referencedata om juridiske og andre statistiske institutioner, hvis indsamling understøtter forretningsprocesser i hele Eurosystemet og udførelsen af ESCB's og den fælles tilsynsmekanismes (SSM's) opgaver (13). Hvis ECB kan basere sig på åbne data, dvs. data i et åbent format, som frit kan anvendes, videreanvendes og deles af alle uanset formål (14), er den i stand til at mindske byrden ved rapporteringsenhedernes indberetning af sådanne data og dele disse oplysninger uden begrænsninger inden for ESCB og med andre offentlige myndigheder, som den samarbejder med. ECB glæder sig over, at ordningerne vedrørende tilgængeligheden af data og dokumenter fra offentlige myndigheder til virksomheder (15) ikke berører Unionens retlige ordning, der udelukker adgang til følsomme data og dokumenter af hensyn til statistisk fortrolighed og tavshedspligt.

2.5.

Forordningsforslaget indfører en vigtig ændring (16) af dataindehavernes forpligtelse til at stille data til rådighed for ECB — samt andre offentlige myndigheder, Kommissionen og EU-organer — hvis der er et ekstraordinært behov for at anvende disse data (17). Denne bestemmelse giver ECB mulighed for at anmode dataindehavere om at stille data til rådighed, hvis det er nødvendigt for at reagere på en offentlig nødsituation, eller hvis der påvises et ekstraordinært behov. Da dataindehavere defineres bredt (18), giver bestemmelsen ECB mulighed for i disse særlige tilfælde at indsamle data fra en bredere vifte af personer, end det er tilladt, når ECB indsamler statistisk information på grundlag af sine eksisterende beføjelser. ECB må kun indsamle statistisk information fra medlemmer af rapporteringspopulationen som defineret i Rådets forordning (EF) nr. 2533/98 (19), som primært falder ind under sektoren »finansielle selskaber« som defineret i det europæiske nationalregnskabssystem (20), eller som er juridiske og fysiske personer, der besidder visse finansielle positioner eller deltager i finansielle transaktioner.

2.6.

Som ECB tidligere har udtalt, er der betydelige fordele ved at give offentlige myndigheder adgang til og mulighed for at anvende privatejede data til en række definerede, almennyttige formål (21). I forbindelse med udførelsen af sine pengepolitiske opgaver gør ECB omfattende brug af såvel officielle statistikker udarbejdet af ECB, med bistand fra de nationale centralbanker og det europæiske statistiske system (ESS), som af ikkeofficielle og ikketraditionelle datakilder. Ikketraditionelle data kan f.eks. hentes fra prisoplysninger med høj frekvens, indikatorer for befolkningsmobilitet eller andre datakilder, som ikke nødvendigvis indehaves af finansielle selskaber. ECB har kun beføjelse til at anmode private dataindehavere om disse data i tilfælde, hvor der er et ekstraordinært behov.

2.7.

Den vigtigste ændring, som forordningsforslaget vil indføre, er at begrænse de tilfælde, hvor denne beføjelse kan udøves, til offentlige nødsituationer, bortset fra andre tilfælde, hvor der kan være et ekstraordinært behov for at anvende data. ECB vil skulle påvise et ekstraordinært behov for at anvende visse data til at udføre sine lovbestemte opgaver i offentlighedens interesse, når den reagerer på, afbøder eller støtter genopretningen efter en offentlig nødsituation.

2.8.

ECB støtter målene med disse ændringer og finder det hensigtsmæssigt at forenkle rammen for udveksling mellem virksomheder og myndigheder i henhold til dataforordningen og præcisere eventuelle tvetydigheder, der kan være opstået i forbindelse med indførelsen af forpligtelser for virksomheder. Den støtter også det synspunkt, at det er afgørende at bevare den rolle, som officielle statistikker spiller i henhold til dataforordningen, da den ajourførte EU-ramme for europæiske statistikker i henhold til Europa-Parlamentets og Rådets forordning (EF) nr. 223/2009 (22) ikke omhandler offentlige nødsituationer (23).

2.9.

I modsætning til medlemmerne af ESS, som på visse betingelser kan indsamle data fra private dataindehavere med henblik på at udføre deres statistiske opgaver (24), har ECB imidlertid ingen beføjelser til at indsamle statistisk information fra private dataindehavere, som ikke er rapporteringsenheder, bortset fra tilfælde, hvor der er et ekstraordinært behov. ECB kan kun anvende mekanismer, der giver mulighed for datadeling fra ESS til ESCB, til at tilvejebringe sådanne data. Hvis anvendelsesområdet for den relevante bestemmelse indsnævres til kun at omfatte en offentlig nødsituation, er det yderst vigtigt at sikre, at den kan anvendes gnidningsløst og utvetydigt i hastesituationer, hvor der er behov for yderligere datakilder, for at ECB kan udføre enten sin opgave med at indsamle statistisk information eller andre centralbank- eller tilsynsopgaver. ECB anbefaler derfor en yderligere forenkling af de betingelser, som offentlige myndigheder skal opfylde for at anmode om data, da dette også vil bidrage til at minimere den kompleksitet, som dataindehavere møder, når de kontrollerer, om disse betingelser er opfyldt.

2.10.

Desuden mener ECB, at der bør tages yderligere skridt til at præcisere definitionen af en »offentlig nødsituation«. Ét element i definitionen er, at den skal være »konstateret eller officielt erklæret efter de relevante procedurer i overensstemmelse med EU-retten eller national ret« (25). Men da der er fragmenterede retsgrundlag i den primære og afledte ret, på grundlag af hvilke der kan konstateres eller erklæres en offentlig nødsituation, bør det være tydeligere, at i forbindelse med en sådan konstatering eller erklæring kræver definitionen af en »offentlig nødsituation« ikke, at yderligere kriterier er opfyldt — i betragtning af den hastende karakter, hvormed en offentlig nødsituation skal håndteres. Eksempelvis giver Europa-Parlamentets og Rådets forordning (EU) 2024/2747 (26) Rådet mulighed for at aktivere en overvågningstilstand for det indre marked, når der er trussel om en krise, der potentielt kan udvikle sig til en nødsituation for det indre marked inden for de følgende seks måneder. Det bør præciseres, at hvis den offentlige myndigheds opgaver omfatter afbødning af den offentlige nødsituation, bør truslen om en offentlig nødsituation begrunde det ekstraordinære behov for at anmode om data. Desuden begrænser Rådets afgørelse 2014/415/EU (27) om fastlæggelse af integrerede ordninger for politisk kriserespons med henblik på gennemførelse af solidaritetsbestemmelsen (traktatens artikel 222) ikke de omstændigheder, hvorunder afgørelsen finder anvendelse på ekstraordinære situationer, der er »tidsbegrænset« (28). Det bør derfor præciseres, at definitionen af offentlig nødsituation er i fuld overensstemmelse med og ikke er mere restriktiv end de situationer, hvor nødordninger påberåbes i henhold til EU-retten og national ret.

2.11.

Med hensyn til godtgørelsesordningerne (29) glæder ECB sig over kravet om at stille data gratis til rådighed for at reagere på en offentlig nødsituation, medmindre dataindehaveren er en mikrovirksomhed eller en lille virksomhed. Den mener imidlertid, at det er vigtigt at sikre, at offentlige myndigheder, når de får adgang til data i privat besiddelse, ikke pådrager sig urimelige omkostninger. Da hver anmodning om data tjener offentlighedens interesse, bør data stilles til rådighed til kostpris og uden pålæggelse af en »rimelig margen« (30).

3.   Databeskyttelse

3.1.

ECB glæder sig over ændringerne i forordningsforslaget, som har til formål at forenkle databeskyttelseslovgivningen. Inden for ECB's kompetenceområder er der flere punkter, der kræver yderligere overvejelse for at nå målet om forenkling, både med hensyn til at mindske den administrative byrde og sikre effektiv, rettidig og sikker indberetning af hændelser.

3.2.

ECB udfører behandling af en lang række personoplysninger i samarbejde med de nationale centralbanker. Desuden samarbejder ECB med de kompetente nationale myndigheder om at udføre behandling af personoplysninger inden for banktilsyn. Som EU-institution behandler ECB personoplysninger i overensstemmelse med EUDPR, mens de nationale centralbanker og de kompetente nationale myndigheder behandler personoplysninger i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2016/679 (31) (herefter »GDPR«).

3.3.

I tilfælde, hvor ECB og de nationale centralbanker og/eller kompetente nationale myndigheder i fællesskab fastlægger formålene med og hjælpemidlerne til behandling af personoplysninger, foretages en sådan behandling af dem som fælles dataansvarlige (32). Hvis den ene enhed derimod afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling, og den anden behandler personoplysninger på dennes vegne, er de dataansvarlig og databehandler (33). I begge tilfælde behandler ECB personoplysninger i henhold til EUDPR, mens de nationale centralbanker og de kompetente nationale myndigheder behandler personoplysninger i henhold til GDPR. Som følge heraf reguleres den samme behandlingsaktivitet samtidig af to særskilte, men komplementære EU-retsakter.

3.4.

Et eksempel herpå er, hvor både ECB og de nationale centralbanker, der deltager i TARGET Instant Payment Settlements (TIPS), behandler personoplysninger i TIPS-systemet. I dette tilfælde er der indgået en aftale om fælles dataansvar. På samme måde kan behandlingen af personoplysninger i forbindelse med den fremtidige digitale euro kræve, at der indgås en databeskyttelsesaftale eller -ordning mellem ECB og de nationale centralbanker i euroområdet.

3.5.

Ved udførelsen af ESCB's og SSM's opgaver i samarbejde med de nationale centralbanker og de kompetente nationale myndigheder er det af afgørende betydning for ECB, at de retsakter, der regulerer behandlingen af personoplysninger, i videst muligt omfang tilpasses hinanden og er indbyrdes forenelige. ECB glæder sig derfor over, at de foreslåede ændringer af GDPR og EUDPR fremmes parallelt, hvilket bidrager til etableringen af en sammenhængende og konsekvent retlig ramme. Dette sikrer, at forskellige tidspunkter for retsakternes ikrafttræden og anvendelse ikke giver anledning til retsusikkerhed.

3.6.

I lyset af ECB's samarbejde med de nationale centralbanker og kompetente nationale myndigheder om behandling af personoplysninger, hvor det er nødvendigt for at udføre ESCB's og SSM's opgaver, deler ECB derfor følgende punkter til overvejelse:

3.7.

Med hensyn til mekanismen med et centralt kontaktpunkt anbefaler ECB at give fælles dataansvarlige beføjelse til at anmelde brud på persondatasikkerheden på vegne af alle de fælles dataansvarlige (34). Dette er muligt, fordi forordningsforslaget indfører et harmoniseret centralt kontaktpunkt, hvorigennem enheder ved hjælp af en enkelt underretning samtidig kan opfylde deres forpligtelser til indberetning af hændelser i henhold til flere EU-retsakter. Ved at operationalisere princippet om »indberet én gang, del med mange« har det centrale kontaktpunkt til formål at mindske den administrative byrde for enhederne og samtidig sikre effektiv, rettidig og sikker indberetning af hændelser. Med henblik herpå er det hensigten, at det centrale kontaktpunkt skal fungere som en fælles kanal for indgivelse af anmeldelser i henhold til flere retlige instrumenter (35). Som ECB tidligere har udtalt støtter den kraftigt informationsudveksling mellem myndigheder for at muliggøre tværsektoriel læring, bidrage til forebyggelse og effektiv håndtering af cyberangreb samt fremme en konsekvent vurdering af IKT-relaterede risici i hele Unionen (36). På denne baggrund støtter ECB indførelsen af et centralt kontaktpunkt i forbindelse med indberetning af brud på persondatasikkerheden.

3.8.

Når mekanismen med et centralt kontaktpunkt anvendes på fælles behandlingsaktiviteter, der udføres af ECB i samarbejde med de nationale centralbanker (og kompetente nationale myndigheder), vil de nationale centralbanker i henhold til forordningsforslaget drage fordel af at anvende det centrale kontaktpunkt til modtagelse af underretninger om hændelser. Omvendt vil ECB som EU-institution i henhold til forordningsforslaget fortsat anvende den indberetningskanal, der er oprettet ved EUDPR, hvorved den underretter Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) om hændelser (37).

3.9.

ECB gentager behovet for at strømline, fremskynde og maksimere udvekslingen af oplysninger om hændelser og sikre sammenhæng mellem GDPR og EUDPR. Det vil derfor være hensigtsmæssigt at medtage EUDPR i de EU-retsakter, for hvilke det centrale kontaktpunkt skal anvendes til anmeldelse af brud på persondatasikkerheden.

3.10.

Med hensyn til den fælles indberetning af brud på datasikkerheden i tilfælde af fælles dataansvar fastholder ECB, at de fælles dataansvarlige frit bør kunne afgøre, om de gør brug af denne mulighed og på hvilke betingelser. EDPS har for nylig bekræftet, at det med henblik på at afgøre, om ECB er forpligtet til at underrette EDPS om et brud på persondatasikkerheden, er irrelevant, om ECB som fælles dataansvarlig er ansvarlig for forekomsten af dette brud. Alene det forhold, at ECB er fælles dataansvarlig for den behandlingsaktivitet, i forbindelse med hvilken bruddet på persondatasikkerheden har fundet sted, er tilstrækkeligt til at udløse dens forpligtelse til at underrette EDPS, hvis de relevante betingelser i EUDPR er opfyldt (38).

3.11.

Det er vigtigt at bemærke, at i de mange tilfælde, hvor der er indført en ordning med fælles dataansvar mellem ECB og alle nationale centralbanker i Eurosystemet, kan et enkelt brud på persondatasikkerheden give anledning til op til 22 anmeldelser, som efter al sandsynlighed vil have samme eller identisk indhold. Et sådant system ville være i strid med målet om at forenkle den administrative byrde for de offentlige myndigheder. Det vil derfor være hensigtsmæssigt at fastsætte, at fælles dataansvarlige kun kan anmelde brud på persondatasikkerheden via det centrale kontaktpunkt én gang til de kompetente tilsynsmyndigheder. I overensstemmelse med forenklingsmålene vil et sådant indberetningssystem ikke finde anvendelse, når det pågældende brud på persondatasikkerheden sandsynligvis ikke vil medføre en risiko for fysiske personers rettigheder og frihedsrettigheder (39).

3.12.

Af disse grunde anbefaler ECB, at det overlades til de fælles dataansvarlige at afgøre, om de ønsker at gøre brug af muligheden for at indgive én anmeldelse på vegne af alle de fælles dataansvarlige i en specifik ordning med fælles dataansvar, og på hvilke betingelser. En sådan anmeldelse vil blive indgivet én gang via det centrale kontaktpunkt og dermed rettet til alle de relevante tilsynsmyndigheder, uden at det går ud over den rolle, som anmeldelsesforpligtelserne spiller med hensyn til at sikre fuld gennemsigtighed og omfattende udveksling af oplysninger.

4.   Indberetning af hændelser

4.1.

Som anført i punkt 1.3 glæder ECB sig over initiativet til at forenkle og harmonisere procedurerne for indberetning af IKT-relaterede hændelser og gennemføre centraliseret indberetning af større IKT-relaterede hændelser. Dette bør dog i hvert enkelt tilfælde mindske den administrative byrde for kreditinstitutter, betalingsinstitutter, e-pengeinstitutter og offentlige myndigheder under tilsyn. I den forbindelse er det vigtigt at anerkende, at der allerede er opnået en vis grad af forenkling af indberetningsprocedurerne gennem gennemførelsen af DORA i finanssektoren. DORA erstattede effektivt forskellige krav til finansielle enheder om indberetning af IKT-relaterede hændelser (40) og opnåede en betydelig reduktion af den indberetningsbyrde, som de var underlagt, samt gennemførte effektive koordineringsmekanismer mellem de forskellige kompetente myndigheder (41). Dette mål blev nået takket være de fælles klassificeringssystemer, modeller og indberetningsprocedurer og det unikke kontaktpunkt for disse indberetninger, der blev indført med DORA.

4.2.

Selv om ECB støtter disse forenklingsbestræbelser, har den også forbehold med hensyn til aspekter af foranstaltninger til indberetning af IKT-relaterede hændelser i forordningsforslaget af tre primære årsager.

4.3.

For det første er forslaget om et centralt kontaktpunkt ikke effektivt med hensyn til at mindske indberetningsbyrden for finansielle enheder og andre virksomheder, der er underlagt krav om indberetning af hændelser. Selv om det centrale kontaktpunkt sikrer, at der er en fælles portal for indberetning af hændelser, ændrer det ikke ved, at der stadig er forskellige klassificeringssystemer, modeller og indberetningsprocedurer for hver hændelsesindberetning under de forskellige andre rammer end DORA. For at indberette en hændelse skal en finansiel enhed for det første udarbejde forskellige indberetninger i overensstemmelse med forskellige retsakter (f.eks. i henhold til GDPR og DORA). Blot at tillade, at disse indberetninger indgives til én modtager, letter ikke den administrative byrde i væsentlig grad. Det vil derfor være hensigtsmæssigt at tage behørigt hensyn til de reguleringsmæssige tekniske standarder, der er vedtaget i henhold til DORA, for at fremme mere effektive og strømlinede indberetningsprocesser (42). ECB ser også gerne yderligere tilpasning og, hvor det er relevant, sammenlægning af klassificeringssystemer, modeller og indberetningsprocedurer for hændelser inden for de forskellige rammer med henblik på at opnå reel forenkling.

4.4.

For det andet udløser en DORA-hændelsesindberetning tidskritiske processer, der potentielt indebærer aktivering af kriseprocedurer. Inddragelse af en ny aktør og et nyt system i modtagelsen af disse hændelsesindberetninger indebærer yderligere risici med hensyn til tilgængeligheden og den rettidige indberetning af de krævede oplysninger. Derfor er den mest effektive og holdbare mulighed, at disse indberetninger sendes direkte til den kompetente myndighed som fastsat i DORA (43) for at undgå unødige forsinkelser i den tilsynsmæssige reaktion på en potentielt kritisk situation.

4.5.

For det tredje bør der tages hensyn til det arbejde, som finanssektoren allerede har udført, og de udgifter, den har afholdt i forbindelse med gennemførelsen af DORA, som først fandt anvendelse fra den 17. januar 2025. Kreditinstitutter under tilsyn og kompetente myndigheder har investeret betydelige ressourcer i gennemførelsen af den nye ramme. Ud fra dette perspektiv vil det være gavnligt at udsætte integrationen af indberetning af IKT-relaterede hændelser via det centrale kontaktpunkt. Dette vil give mere tid til at undersøge potentielle forbedringer og måder, hvorpå den administrative byrde for både SSM og kreditinstitutterne under tilsyn kan forenkles yderligere.

4.6.

Af disse grunde foreslår ECB, at DORA udelukkes fra forordningsforslaget. Det vil være hensigtsmæssigt at få særskilt erfaring med det nye centrale kontaktpunkt (der omfatter de øvrige forordninger, herunder EUDPR) og den nyligt gennemførte DORA-indberetningsordning, og derefter vurdere, hvordan de bedst kan integreres på et senere tidspunkt. Hvor ECB foreslår ændringer af forordningsforslaget, vedlægges som bilag ændringsforslag med en begrundelse herfor i et separat teknisk arbejdsdokument. Det tekniske arbejdsdokument er tilgængeligt på engelsk i EUR-Lex.

---

(1)  COM(2025) 837 final.

(2)  Europa-Parlamentets og Rådets forordning (EU) 2023/2854 af 13. december 2023 om harmoniserede regler om fair adgang til og anvendelse af data og om ændring af forordning (EU) 2017/2394 og direktiv (EU) 2020/1828 (dataforordningen) (EUT L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).

(3)  Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(4)  Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og om ændring af forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 (EUT L 333 af 27.12.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj).

(5)  Rådets forordning (EU) nr. 1024/2013 af 15. oktober 2013 om overdragelse af specifikke opgaver til Den Europæiske Centralbank i forbindelse med politikker vedrørende tilsyn med kreditinstitutter (EUT L 287 af 29.10.2013, s. 63, ELI: http://data.europa.eu/eli/reg/2013/1024/oj).

(6)  Artikel 46, litra a), i DORA.

(7)  Forordningsforslagets artikel 1, stk. 26, om ændring af dataforordningens artikel 49. Jf. også punkt 1.2 i Den Europæiske Centralbanks udtalelse CON/2022/30 af 5. september 2022 om forslag til forordning om harmoniserede regler om fair adgang til og anvendelse af data (dataforordningen) (EUT C 402 af 19.10.2022, s. 5).

(8)  Artikel 58 i DORA.

(9)  Europa-Parlamentets og Rådets forordning (EU) 2022/868 af 30. maj 2022 om europæisk datastyring og om ændring af forordning (EU) 2018/1724 (forordning om datastyring) (EUT L 152 af 3.6.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/868/oj).

(10)  Europa-Parlamentets og Rådets direktiv (EU) 2019/1024 af 20. juni 2019 om åbne data og videreanvendelse af den offentlige sektors informationer (EUT L 172 af 26.6.2019, s. 56, ELI: http://data.europa.eu/eli/dir/2019/1024/oj).

(11)  Europa-Parlamentets og Rådets forordning (EU) 2018/1807 af 14. november 2018 om en ramme for fri udveksling af andre data end personoplysninger i Den Europæiske Union (EUT L 303 af 28.11.2018, s. 59, ELI: http://data.europa.eu/eli/reg/2018/1807/oj).

(12)  I henhold til artikel 13, stk. 1, i direktivet om åbne data er de tematiske kategorier af datasæt af høj værdi geospatiale data, jordobservation og miljø, meteorologiske data, statistik, virksomheders og virksomhedsejerskab samt mobilitet. I henhold til artikel 13, stk. 2, tillægges Kommissionens beføjelser til at vedtage delegerede retsakter med henblik på at ændre bilag I ved at tilføje nye tematiske kategorier af datasæt af høj værdi med henblik på at afspejle den teknologiske og markedsmæssige udvikling.

(13)  Den Europæiske Centralbanks retningslinje (EU) 2018/876 af 1. juni 2018 om registeret for data om institutter og tilknyttede enheder (RIAD) (ECB/2018/16) (EUT L 154 af 18.6.2018, s. 3, ELI: http://data.europa.eu/eli/guideline/2018/876/oj).

(14)  Jf. betragtning 16 i Europa-Parlamentets og Rådets direktiv (EU) 2019/1024 af 20. juni 2019 om åbne data og videreanvendelse af den offentlige sektors informationer (EUT L 172 af 26.6.2019, s. 56, ELI: http://data.europa.eu/eli/dir/2019/1024/oj).

(15)  Forordningsforslagets artikel 1, stk. 18, hvorved der indsættes et nyt kapitel VIIc i dataforordningen.

(16)  Forordningsforslagets artikel 1, stk. 7, hvorved der indsættes en ny artikel 15a i dataforordningen.

(17)  Dataforordningens artikel 14 og 15.

(18)  »Dataindehaver« defineres i dataforordningens artikel 2, nr. 13), som »en fysisk eller juridisk person, der i overensstemmelse med denne forordning, gældende EU-ret eller national lovgivning, der er vedtaget i overensstemmelse med EU-retten, har ret eller pligt til at anvende data og stille data til rådighed, herunder, hvis det er aftalt, produktdata eller relaterede tjenestedata, som vedkommende har hentet eller genereret under leveringen af en relateret tjeneste«.

(19)  Artikel 2 i Rådets forordning (EF) nr. 2533/98 af 23. november 1998 om Den Europæiske Centralbanks indsamling af statistisk information (EFT L 318 af 27.11.1998, s. 8, ELI: http://data.europa.eu/eli/reg/1998/2533/oj).

(20)  Se det europæiske national- og regionalregnskabssystem (ESA 2010), som findes på Eurostats websted på www.ec.europa.eu/eurostat.

(21)  Afsnit 2.3.1 i udtalelse CON/2022/30.

(22)  Europa-Parlamentets og Rådets forordning (EF) nr. 223/2009 af 11. marts 2009 om europæiske statistikker og om ophævelse af forordning (EF, Euratom) nr. 1101/2008 om fremsendelse af fortrolige statistiske oplysninger til De Europæiske Fællesskabers Statistiske Kontor, Rådets forordning (EF) nr. 322/97 om EF-statistikker og Rådets afgørelse 89/382/EØF, Euratom om nedsættelse af et udvalg for De Europæiske Fællesskabers statistiske program (EUT L 87 af 31.3.2009, s. 164, ELI: http://data.europa.eu/eli/reg/2009/223/oj).

(23)  Betragtning 15 i forordningsforslaget.

(24)  Artikel 17b i forordning (EF) nr. 223/2009.

(25)  Artikel 2, nr. 29), i forordning (EU) 2023/2854.

(26)  Europa-Parlamentets og Rådets forordning (EU) 2024/2747 af 9. oktober 2024 om fastlæggelse af en ramme for foranstaltninger vedrørende en nødsituation for det indre marked og det indre markeds modstandsdygtighed og om ændring af Rådets forordning (EF) nr. 2679/98 (forordningen om nødsituationer for det indre marked og det indre markeds modstandsdygtighed) (EUT L, 2024/2747, 8.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2747/oj).

(27)  Rådets afgørelse 2014/415/EU af 24. juni 2014 om ordninger til Unionens gennemførelse af solidaritetsbestemmelsen (EUT L 192 af 1.7.2014, s. 53, ELI: http://data.europa.eu/eli/dec/2014/415/oj).

(28)  Artikel 2, nr. 29), i forordning (EU) 2023/2854.

(29)  Forordningsforslagets artikel 1, stk. 12, som ændrer dataforordningens artikel 20.

(30)  Jf. udtalelse CON/2022/30, afsnit 2.3.3.

(31)  Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(32)  Som omhandlet i artikel 26 i GDPR og artikel 28 i EUDPR.

(33)  Som omhandlet i artikel 28 i GDPR og artikel 29 i EUDPR.

(34)  Som krævet i artikel 34 i EUDPR.

(35)  Disse omfatter GDPR og Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS 2-direktivet) (EUT L 333 af 27.12.2022, s. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj), Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF (EUT L 257 af 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj) (eIDAS-forordningen) og Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rådets direktiv 2008/114/EF (EUT L 333 af 27.12.2022, s. 164, ELI: http://data.europa.eu/eli/dir/2022/2557/oj) (direktivet om kritiske enheders modstandsdygtighed).

(36)  Jf. afsnit 3.3.1 i Den Europæiske Centralbanks udtalelse CON/2022/14 af 11. april 2022 om forslag til Europa-Parlamentets og Rådets direktiv om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen og om ophævelse af direktiv (EU) 2016/1148 (EUT C 233 af 16.6.2022, s. 22).

(37)  Som krævet i artikel 34 i EUDPR.

(38)  EDPS Supervisory Opinion 18/2025 on a draft joint controllership arrangement between the European Central Bank and National Competent Authorities in the context of the Single Supervisory Mechanism (Case 2024-1002), findes på EDPS's websted på www.edps.europa.eu.

(39)  Artikel 34 i EUDPR.

(40)  Jf. i denne retning betragtning 16, 18, 19 og 23 i DORA.

(41)  Dette har gjort det muligt at behandle spørgsmålet om parallelle indsendelser i henhold til DORA, Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 af 25. november 2015 om betalingstjenester i det indre marked, om ændring af direktiv 2002/65/EF, 2009/110/EF og 2013/36/EU og forordning (EU) nr. 1093/2010 og om ophævelse af direktiv 2007/64/EF (EUT L 337 af 23.12.2015, s. 35, ELI: http://data.europa.eu/eli/dir/2015/2366/oj) og de tilsvarende EBA-retningslinjer som identificeret i punkt 4.2.2 i Den Europæiske Centralbanks udtalelse CON/2021/20 af 4. juni 2021 om et forslag til Europa-Parlamentets og Rådets forordning om digital operationel modstandsdygtighed i den finansielle sektor (EUT C 343 af 26.8.2021, s. 1).

(42)  Som anført i forordningsforslagets betragtning 54.

(43)  Artikel 19 i DORA.