KOMMISSIONENS DELEGEREDE FORORDNING (EU) 2025/299

af 31. oktober 2024

om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) 2023/1114 om markeder for kryptoaktiver for så vidt angår reguleringsmæssige tekniske standarder om kontinuitet og regelmæssighed i leveringen af kryptoaktivtjenester

(EØS-relevant tekst)

EUROPA-KOMMISSIONEN HAR —

som henviser til traktaten om Den Europæiske Unions funktionsmåde,

under henvisning til Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og om ændring af forordning (EU) nr. 1093/2010 og (EU) nr. 1095/2010 og direktiv 2013/36/EU og (EU) 2019/1937 (1), særlig artikel 68, stk. 10, tredje afsnit, og

ud fra følgende betragtninger:

(1)

Ved artikel 11 og 12 i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 (2) er der fastsat krav vedrørende indsats og genopretning, politikker og procedurer for sikkerhedskopiering samt procedurer for og metoder til gendannelse og genopretning for finansielle enheders, herunder kryptoaktivtjenesteudbyderes, IKT-systemer. Ved Kommissionens delegerede forordning (EU) 2024/1774 (3) præciseres komponenterne i politikken for IKT-driftsstabilitet, test af planer for IKT-driftsstabilitet og komponenterne i finansielle enheders, herunder kryptoaktivtjenesteudbyderes, IKT-indsats- og genopretningsplaner. Nærværende forordning supplerer bestemmelserne i forordning (EU) 2022/2554 og i delegeret forordning (EU) 2024/1774 for så vidt angår kontinuitet og regelmæssighed i leveringen af kryptoaktivtjenester.

(2)

Udbydere af kryptoaktivtjenester vil i forbindelse med leveringen af deres tjenester kunne anvende en distributed ledger, som de ikke har nogen kontrol over, herunder en distributed ledger uden tilladelse. I så fald er de måske ikke i stand til at sikre regelmæssighed og kontinuitet i deres tjenester i tilfælde af forstyrrelser, der skyldes problemer med driften af sådanne distributed ledgers. For at afbøde markedsvolatilitet, som vil kunne have negative konsekvenser for kunder, der rammes af sådanne forstyrrelser, bør udbydere af kryptoaktivtjenester i deres forretningskontinuitetspolitik inkludere politikforanstaltninger til rettidig kommunikation med kunder og andre eksterne interessenter. Denne kommunikation bør sikre, at kunderne modtager de relevante oplysninger om sådanne forstyrrelser i rette tid, og at de løbende får statusopdateringer, indtil forstyrrelsen er afhjulpet og tjenesterne genoptaget. Hvis oplysninger om statussen for en distributed ledger uden tilladelse, der er årsag til en driftsforstyrrelse, ikke er umiddelbart tilgængelige for udbyderen af kryptoaktivtjenester, bør denne efter bedste evne skulle holde kunder og andre interessenter, herunder kompetente myndigheder, opdateret om situationen for at sikre, at kunder og interessenter informeres så fyldestgørende som muligt om den pågældende forstyrrelse.

(3)

For at undgå uforholdsmæssigt store administrative byrder for små og mellemstore virksomheder og nystartede virksomheder bør udbydere af kryptoaktivtjenester i deres forretningskontinuitetspolitik tage hensyn til omfanget, arten og udvalget af de tjenester, de leverer. Dette betyder, at udbydere af kryptoaktivtjenester bør fastsætte deres individuelle forretningskontinuitetskrav på grundlag af en grundig selvevaluering, baseret på en række kriterier, som vil gøre det muligt for dem at gennemføre en forretningskontinuitetspolitik, der er passende i forhold til indvirkningen af deres tjenester på markedet. Der bør i selvevalueringen, ud over de i bilaget angivne forhold, også tages hensyn til andre forhold, der ville kunne påvirke udbyderen af kryptoaktivtjenester.

(4)	Denne forordning er baseret på det udkast til reguleringsmæssige tekniske standarder, som Den Europæiske Værdipapir- og Markedstilsynsmyndighed har forelagt for Kommissionen.

(5)

Den Europæiske Banktilsynsmyndighed har afholdt åbne offentlige høringer om det udkast til reguleringsmæssige tekniske standarder, som denne forordning er baseret på, analyseret de potentielle omkostninger og fordele herved samt anmodet om rådgivning fra interessentgruppen for værdipapirer og markeder, som er nedsat i henhold til artikel 37 i Europa-Parlamentets og Rådets forordning (EU) nr. 1095/2010 (4) —

VEDTAGET DENNE FORORDNING:

Artikel 1

Definitioner

I denne forordning forstås ved:

a)	»kritisk eller vigtig funktion«: en kritisk eller vigtig funktion som defineret i artikel 3, nr. 22), i forordning (EU) 2022/2554

b)	»distributed ledger uden tilladelse«: en særlig type distributed ledger, som ikke kontrolleres af nogen enhed, og hvori enhver, der opfylder de tekniske betingelser og protokollerne for den pågældende distributed ledger, kan oprette DLT-netknudepunkter.

Artikel 2

Organisatoriske ordninger vedrørende driftskontinuitet

1. Forretningskontinuitetspolitikken som omhandlet i artikel 68, stk. 7, i forordning (EU) 2023/1114 skal omfatte planer, procedurer og foranstaltninger.

2. Ledelsesorganet hos udbydere af kryptoaktivtjenester skal under udøvelsen af sine funktioner som omhandlet i artikel 68, stk. 6, i forordning (EU) 2023/1114 udarbejde og godkende de planer, procedurer og foranstaltninger, som forretningskontinuitetspolitikken omfatter. Ledelsesorganet hos den pågældende udbyder af kryptoaktivtjenester er ansvarligt for gennemførelsen af forretningskontinuitetspolitikken og for at evaluere effektiviteten af den mindst en gang om året.

3. Udbydere af kryptoaktivtjenester skal sikre, at alle relevante interne medarbejdere ad effektive kommunikationskanaler informeres om enhver ændring af forretningskontinuitetspolitikken.

Artikel 3

Forretningskontinuitetspolitik

1. Forretningskontinuitetspolitikken som omhandlet i artikel 68, stk. 7, i forordning (EU) 2023/1114 skal sikre, at udbydere af kryptoaktivtjenester på passende vis håndterer hændelser og problemer, der indvirker forstyrrende på driften eller effektiviteten af systemer, der er af kritisk betydning for deres forretningsfunktioner, og skal være lagret på et varigt medium.

2. Udbydere af kryptoaktivtjenester skal inkludere følgende i deres forretningskontinuitetspolitik:

a)	nærmere angivelse af anvendelsesområdet for forretningskontinuitetspolitikken, som skal være dækket af forretningskontinuitetsplanerne, -procedurerne og -foranstaltningerne, herunder begrænsninger og undtagelser

b)	en beskrivelse af kriterierne for aktivering af forretningskontinuitetsplanerne, herunder eskaleringsprocedurer op til ledelsesorganniveau

c)	regler vedrørende kryptoaktivtjenesteudbyderens ledelsesordninger og organisation, herunder personalets roller og ansvarsområder, som sikrer, at der er tilstrækkelige ressourcer til rådighed til en effektiv gennemførelse af politikken

d)	regler, der sikrer overensstemmelse mellem forretningskontinuitetsplanerne og planerne for IKT-driftsstabilitet, samt IKT-indsats- og genopretningsplaner som omhandlet i artikel 24 og 26 i delegeret forordning (EU) 2024/1774.

Artikel 4

Forretningskontinuitetsplaner

1. Udbydere af kryptoaktivtjenester skal i forbindelse med gennemførelsen af forretningskontinuitetspolitikken som omhandlet i artikel 68, stk. 7, i forordning (EU) 2023/1114 udarbejde forretningskontinuitetsplaner. Forretningskontinuitetsplanerne skal beskrive de procedurer, der er nødvendige for at beskytte og om nødvendigt genoprette:

a)	fortroligheden, integriteten og tilgængeligheden af kundedata

b)	tilgængeligheden af kryptoaktivtjenesteudbydernes forretningsfunktioner, støtteprocesser og informationsaktiver.

2. Forretningskontinuitetsplanerne skal omfatte følgende:

a)	en række tænkelige negative scenarier for driften af kritiske eller vigtige funktioner, herunder manglende tilgængelighed af forretningsfunktioner, personale, lokaler, eksterne leverandører eller datacentre eller tab eller ændring af kritiske data og dokumenter

procedurer og politikker, der skal følges i tilfælde af en forstyrrende hændelse, herunder:

i)	de foranstaltninger, der er nødvendige for at genoprette kritiske eller vigtige funktioner

ii)	frister for, hvornår de pågældende kritiske eller vigtige funktioner skal være genoprettet

iii)	mål for genopretningspunkter

iv)	den maksimale frist for genoptagelse af tjenesterne

c)	procedurer og politikker for flytning af de forretningsfunktioner, der bruges til at levere kryptoaktivtjenester, til et backup-anlæg

d)	backup af kritiske forretningsdata, herunder opdaterede oplysninger om de fornødne kontakter, der skal sikre kommunikationen internt hos udbyderen af kryptoaktivtjenester og mellem udbyderen af kryptoaktivtjenester og dennes kunder

e)	procedurer for rettidig kommunikation med kunder og andre eksterne interessenter, herunder kompetente myndigheder.

3. I tilfælde af en forstyrrelse, der involverer en distributed ledger uden tilladelse, som udbyderen af kryptoaktivtjenester gør brug af i forbindelse med leveringen af sine tjenester, skal den i stk. 2, litra e), omhandlede kommunikation omfatte følgende oplysninger:

a)	forventet tidspunkt for genoptagelse af tjenesterne

b)	årsagerne til og virkningen af den forstyrrende hændelse

c)	eventuelle risici i tilknytning til kunders midler og kryptoaktiver, der opbevares på deres vegne

d)	de foranstaltninger, udbyderen af kryptoaktivtjenester agter at træffe som reaktion på afbrydelse af en distributed ledger uden tilladelse.

Hvis disse oplysninger ikke er umiddelbart tilgængelige for udbyderen af kryptoaktivtjenester, skal denne efter bedste evne holde kunder og interessenter, herunder kompetente myndigheder, opdateret om de i første afsnit omhandlede oplysninger.

4. Driftsstabilitetsplanerne skal omfatte procedurer for håndtering af forstyrrelser af outsourcede kritiske eller vigtige funktioner, herunder situationer, hvor disse kritiske eller vigtige funktioner bliver utilgængelige.

Artikel 5

Regelmæssig afprøvning af forretningskontinuitetsplaner

1. Udbydere af kryptoaktivtjenester skal på grundlag af realistiske scenarier afprøve, hvordan de i artikel 4 omhandlede forretningskontinuitetsplaner fungerer. Sådanne afprøvninger skal teste kryptoaktivtjenesteudbyderens evne til at genoprette situationen efter forstyrrende hændelser og genoptage tjenesterne, jf. artikel 4, stk. 2, litra b).

2. Udbydere af kryptoaktivtjenester skal afprøve deres forretningskontinuitetsplaner hvert år under hensyntagen til:

a)	resultaterne af de i punkt 1 omhandlede afprøvninger

b)	de seneste trusselsefterretninger

c)	erfaringer fra tidligere hændelser

d)	eventuelle ændringer i genopretningsmålene, herunder mål for genopretningstid og genopretningspunkter, jf. artikel 4, stk. 2, litra b)

e)	ændringer i forretningsfunktioner.

3. Udbydere af kryptoaktivtjenester skal dokumentere resultaterne af afprøvningerne skriftligt og forelægge dem for deres ledelsesorgan og de operationelle enheder, der er involveret i forretningskontinuitetsplanerne.

4. Udbydere af kryptoaktivtjenester skal sikre, at afprøvning af forretningskontinuitetsplanerne ikke griber forstyrrende ind i den almindelige drift af deres tjenester.

Artikel 6

Kompleksitets- og risikohensyn

1. Udbydere af kryptoaktivtjenester skal ved fastlæggelsen af deres forretningskontinuitetspolitik, herunder de relevante planer, procedurer og foranstaltninger, tage hensyn til elementer, der indebærer øget kompleksitet eller risiko, bl.a.:

a)	typen og udvalget af de udbudte kryptoaktivtjenester

b)	i hvilket omfang kryptoaktivtjenesteudbyderens tjenester er afhængige af distributed ledgers uden tilladelse

c)	eventuelle forstyrrelsers potentielle indvirkning på kontinuiteten i kryptoaktivtjenesteudbyderens aktiviteter og tilgængeligheden af dens tjenester.

2. For så vidt angår stk. 1 skal udbydere af kryptoaktivtjenester hvert år foretage en selvevaluering af omfanget, arten og udvalget af deres tjenester. Udbydere af kryptoaktivtjenester skal basere deres selvevaluering på kriterierne i bilaget og andre kriterier, som udbyderen af kryptoaktivtjenester anser for relevante.

Artikel 7

Ikrafttræden

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den 31. oktober 2024.

På Kommissionens vegne

Ursula VON DER LEYEN

Formand

(1) EUT L 150 af 9.6.2023, s. 40, ELI: http://data.europa.eu/eli/reg/2023/1114/oj.

(2) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og om ændring af forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 (EUT L 333 af 27.12.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj).

(3) Kommissionens delegerede forordning (EU) 2024/1774 af 13. marts 2024 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 for så vidt angår reguleringsmæssige tekniske standarder, der præciserer IKT-risikostyringsværktøjer, -metoder, -processer og -politikker og den forenklede ramme for IKT-risikostyring (EUT L, 2024/1774, 25.6.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1774/oj).

(4) Europa-Parlamentets og Rådets forordning (EU) nr. 1095/2010 af 24. november 2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Værdipapir- og Markedstilsynsmyndighed), om ændring af afgørelse nr. 716/2009/EF og om ophævelse af Kommissionens afgørelse 2009/77/EF (EUT L 331 af 15.12.2010, s. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).

BILAG

SELVEVALUERINGSKRITERIER FOR UDBYDERE AF KRYPTOAKTIVTJENESTER

Kryptoaktivtjenesteudbyderens art — baseret på følgende elementer:

i)	den relevante kategori, jf. bilag IV til forordning (EU) 2023/1114

ii)	gennemsnitlige likviditetsniveauer, eller markedsdybde, for kryptoaktiver, der er til rådighed for handel på en handelsplatform for kryptoaktiver, hvis det er relevant

iii)	kryptoaktivtjenesteudbyderens rolle i det finansielle system, herunder hvorvidt udbyderen af kryptoaktivtjenester driver en handelsplatform for kryptoaktiver, og hvorvidt kryptoaktiver, der handles på dens platform, også handles på andre handelsplatforme for kryptoaktiver.

Omfanget, på grundlag af en vurdering af kryptoaktivtjenesteudbyderens betydning for markedernes velordnede funktion, baseret på følgende elementer, alt efter hvad der er relevant:

i)	hvorvidt udbyderen af kryptoaktivtjenester kan betragtes som signifikant, jf. artikel 85 i forordning (EU) 2023/1114

ii)	antal lande, hvor udbyderen af kryptoaktivtjenester udøver forretningsaktiviteter

iii)	antal kunder

iv)	antal aktive brugere

v)	værdien af de kryptoaktiver, der opbevares i depot

vi)	volumen af transaktioner på en handelsplatform for kryptoaktiver

vii)	antal overførsler af kryptoaktiver, der foretages på kunders vegne

viii)

antal ordrer, der udføres på kunders vegne.

Kompleksiteten, baseret på en vurdering af følgende elementer, alt efter hvad der er relevant:

i)	kryptoaktivtjenesteudbyderens struktur med hensyn til ejerskab og ledelsesordninger samt dens organisatoriske, operationelle, tekniske, fysiske og geografiske tilstedeværelse

ii)	omfanget af kryptoaktivtjenesteudbyderens outsourcing, og navnlig hvorvidt en eller flere kritiske eller vigtige operationelle funktioner er outsourcet

iii)	antal og type distributed ledgers, som der gøres brug af i forbindelse med leveringen af tjenester

iv)	antal DLT-netværksknudepunkter, som udbyderen af kryptoaktivtjenester driver på en eller flere distributed ledgers

v)	antal og type intelligente kontrakter, som implementeres og vedligeholdes af udbyderen af kryptoaktivtjenester

vi)	hvorledes kundernes private krypteringsnøgler eller andre midler til at få adgang til kryptoaktiver er sikret under opbevaringen

vii)	anvendelse af software- og hardware-baserede hostede tegnebøger (wallets) eller tegnebøger, der sikrer krypteringsnøgler ved hjælp af flere forskellige forvaltere.

For så vidt angår litra b), nr. iii)-viii), skal udbyderen af kryptoaktivtjenester i forbindelse med selvevalueringen basere sig på det daglige gennemsnit over en referenceperiode på et år.