Ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα

 

ΣΥΝΟΨΗ ΤΟΥ ΑΚΟΛΟΥΘΟΥ ΚΕΙΜΕΝΟΥ:

Κανονισμός (ΕE) 2022/2554 σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα

ΠΟΙΟΣ ΕΙΝΑΙ Ο ΣΚΟΠΟΣ ΤΟΥ ΚΑΝΟΝΙΣΜΟΥ;

Θεσπίζει ενιαίους κανόνες για την ασφάλεια των συστημάτων δικτύου και πληροφοριών των χρηματοπιστωτικών οντοτήτων, όπως οι τράπεζες, οι ασφαλιστικές εταιρείες και οι επιχειρήσεις επενδύσεων.

Καλύπτει ένα ευρύ φάσμα ρυθμιζόμενων χρηματοπιστωτικών οντοτήτων της Ευρωπαϊκής Ένωσης (ΕΕ), απαιτώντας από αυτές να ανταπεξέρχονται, να ανταποκρίνονται και να ανακάμπτουν από κάθε διαταραχή ή απειλή που αφορά τεχνολογίες πληροφοριών και επικοινωνιών (ΤΠΕ).

ΒΑΣΙΚΑ ΣΗΜΕΙΑ

Πεδίο εφαρμογής

Ο κανονισμός καλύπτει:

• πιστωτικά ιδρύματα, ιδρύματα πληρωμών, ιδρύματα ηλεκτρονικού χρήματος και ιδρύματα επαγγελματικών συντάξεων·
• παρόχους υπηρεσιών για πληροφορίες λογαριασμού, κρυπτοστοιχεία, αναφορά δεδομένων, συμμετοχική χρηματοδότηση και τρίτους παρόχους υπηρεσιών ΤΠΕ·
• επιχειρήσεις επενδύσεων, οργανισμοί εναλλακτικών επενδύσεων, εταιρείες διαχείρισης, οργανισμοί αξιολόγησης πιστοληπτικής ικανότητας και διαχειριστές δεικτών αναφοράς κρίσιμης σημασίας·
• αρχεία καταγραφής συναλλαγών και τιτλοποιήσεων, κεντρικά αποθετήρια τίτλων, κεντρικοί αντισυμβαλλόμενοι και τόποι διαπραγμάτευσης·
• ασφάλειες, ασφαλιστικοί διαμεσολαβητές και αντασφαλιστικές επιχειρήσεις.

Διαχείριση κινδύνων ΤΠΕ

Οι χρηματοοικονομικές οντότητες, εκτός των πολύ μικρών επιχειρήσεων, πρέπει:

• να εφαρμόζουν πλαίσιο εσωτερικής διακυβέρνησης και ελέγχου το οποίο διασφαλίζει την αποτελεσματική και συνετή διαχείριση των κινδύνων ΤΠΕ·
• να διασφαλίζουν ότι το διοικητικό όργανο καθορίζει, εγκρίνει, εποπτεύει και είναι υπεύθυνο για την εφαρμογή όλων των σχετικών ρυθμίσεων·
• να διαθέτουν ισχυρό, ολοκληρωμένο και άρτια τεκμηριωμένο πλαίσιο διαχείρισης κινδύνων ΤΠΕ με τις απαραίτητες στρατηγικές, πολιτικές, διαδικασίες, πρωτόκολλα και εργαλεία για να ανταποκρίνονται γρήγορα και αποτελεσματικά·
• να χρησιμοποιούν και να διατηρούν επικαιροποιημένα συστήματα, πρωτόκολλα και εργαλεία ΤΠΕ, τα οποία είναι ανάλογα, αξιόπιστα, τεχνολογικά ανθεκτικά και διαθέτουν επαρκή χωρητικότητα·
• να προσδιορίζουν, ταξινομούν και τεκμηριώνουν επαρκώς όλες τις επιχειρηματικές λειτουργίες, τους ρόλους και τις αρμοδιότητες που υποστηρίζονται από ΤΠΕ και να επανεξετάζουν τα σενάρια κινδύνου·
• να παρακολουθούν συνεχώς την ασφάλεια και τη λειτουργία των συστημάτων και των εργαλείων ΤΠΕ, ώστε να ελαχιστοποιούν τις επιπτώσεις κάθε κινδύνου ΤΠΕ·
• να εντοπίζουν αμέσως ασυνήθιστες δραστηριότητες και να αναγνωρίζουν πιθανά σημεία αποτυχίας·
• να θέτουν σε εφαρμογή μια ολοκληρωμένη πολιτική επιχειρησιακής συνέχειας των ΤΠΕ με κατάλληλα σχέδια, διαδικασίες και μηχανισμούς·
• να αναπτύσσουν και να τεκμηριώνουν πολιτικές δημιουργίας εφεδρικών συστημάτων και διαδικασίες αποκατάστασης και ανάκτησης·
• να διαθέτουν πόρους και προσωπικό για την αξιολόγηση των ευπαθειών και των απειλών στον κυβερνοχώρο, των συμβάντων που σχετίζονται με τις ΤΠΕ, ιδίως των κυβερνοεπιθέσεων, και να αναλύουν τις πιθανές επιπτώσεις τους στην ψηφιακή επιχειρησιακή ανθεκτικότητα της οντότητας·
• να καταρτίζουν σχέδια επικοινωνίας σε καταστάσεις κρίσης που καθιστούν δυνατή την υπεύθυνη γνωστοποίηση, τουλάχιστον μειζόνων συμβάντων που σχετίζονται με τις ΤΠΕ ή ευπαθειών σε πελάτες και αντισυμβαλλομένους, καθώς και στο κοινό.

Διαχείριση, ταξινόμηση και υποβολή εκθέσεων σχετικά με τις ΤΠΕ

Οι χρηματοοικονομικές οντότητες πρέπει:

• να ορίζουν, να θεσπίζουν και να εφαρμόζουν μέτρα με σκοπό τον εντοπισμό, τη διαχείριση και την κοινοποίηση συμβάντων που σχετίζονται με τις ΤΠΕ·
• να ταξινομούν τα συμβάντα και να προσδιορίζουν τον αντίκτυπό τους χρησιμοποιώντας κριτήρια όπως ο αριθμός των πελατών και των αντισυμβαλλομένων που επηρεάζονται, η διάρκεια, η γεωγραφική εξάπλωση και οι απώλειες δεδομένων·
• να αναφέρουν σημαντικά συμβάντα που σχετίζονται με ΤΠΕ στην αρμόδια αρχή που έχουν ορίσει, η οποία τα διαβιβάζει σε ανώτερο φορέα, όπως η Ευρωπαϊκή Κεντρική Τράπεζα ή η Ευρωπαϊκή Αρχή Τραπεζών.

Δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας

Οι χρηματοοικονομικές οντότητες, εκτός των πολύ μικρών επιχειρήσεων, πρέπει:

• να καταρτίζουν, να διατηρούν και να αναθεωρούν ένα άρτιο και ολοκληρωμένο πρόγραμμα δοκιμών ψηφιακής επιχειρησιακής ανθεκτικότητας εξοπλισμένο με τις απαραίτητες αξιολογήσεις, δοκιμές, μεθοδολογίες, πρακτικές και εργαλεία·
• να διενεργούν, τουλάχιστον ανά τριετία, δοκιμές παρείσδυσης επιπέδου απειλών με βάση το προφίλ κινδύνου τους και λαμβάνοντας υπόψη τις επιχειρησιακές συνθήκες — και να χρησιμοποιούν μόνο δοκιμαστές που είναι πιστοποιημένοι, διαθέτουν την απαραίτητη εμπειρογνωμοσύνη και καταλληλότητα και έχουν ασφάλιση επαγγελματικής ευθύνης.

Διαχείριση κινδύνων τρίτων παρόχων ΤΠΕ

Οι χρηματοοικονομικές οντότητες πρέπει:

• να διαχειρίζονται τους κινδύνους τρίτων παρόχων ως αναπόσπαστο στοιχείο του συνολικού κινδύνου ΤΠΕ·
• να διαθέτουν συμβατικές ρυθμίσεις για υπηρεσίες ΤΠΕ ώστε να εκτελούν τις επιχειρηματικές τους δραστηριότητες σε πλήρη συμμόρφωση με τη σχετική νομοθεσία·
• να λαμβάνουν υπόψη τη φύση, την κλίμακα, την πολυπλοκότητα και τη σημασία των εξαρτήσεων που σχετίζονται με τις ΤΠΕ και τους ενδεχόμενους κινδύνους·
• να σταθμίζουν τα οφέλη και το κόστος των εναλλακτικών λύσεων κατά τον εντοπισμό και την αξιολόγηση τυχόν κινδύνων·
• να περιλαμβάνουν στη σύμβαση τα δικαιώματα και τις υποχρεώσεις κάθε μέρους και τη συμφωνία παροχής υπηρεσιών.

Πλαίσιο εποπτείας κρίσιμων τρίτων παρόχων υπηρεσιών ΤΠΕ

Το πλαίσιο:

• αναθέτει στις Ευρωπαϊκές Εποπτικές Αρχές (ΕΕΑ):
  • να ορίζουν, βάσει σαφών κριτηρίων, τους τρίτους παρόχους υπηρεσιών ΤΠΕ που θεωρούνται κρίσιμοι για τις χρηματοοικονομικές οντότητες·
  • να ορίζουν ως κύριο εποπτικό φορέα για κάθε κρίσιμο τρίτο πάροχο υπηρεσιών ΤΠΕ την ΕΕΑ η οποία είναι υπεύθυνη για τις σχετικές χρηματοοικονομικές οντότητες·
• ιδρύει ένα φόρουμ εποπτείας για:
  • να συζητά τις σχετικές εξελίξεις σχετικά με τους κινδύνους και τις ευπάθειες των ΤΠΕ και να προωθεί μια συνεκτική προσέγγιση παρακολούθησης της ΕΕ,
  • να αξιολογεί ετησίως τις δραστηριότητες εποπτείας, να προωθεί κινήσεις για την αύξηση της ψηφιακής επιχειρησιακής ανθεκτικότητας και να προωθεί τις βέλτιστες πρακτικές,
  • να υποβάλλει ολοκληρωμένα κριτήρια αναφοράς για τους κρίσιμους τρίτους παρόχους υπηρεσιών ΤΠΕ,
• αναθέτει στον κύριο εποπτικό φορέα:
  • να υποβάλλει το κύριο σημείο αναφοράς για τους κρίσιμους τρίτους παρόχους υπηρεσιών ΤΠΕ,
  • να αξιολογεί αν κάθε κρίσιμος τρίτος πάροχος υπηρεσιών διαθέτει εμπεριστατωμένους, ορθούς και αποτελεσματικούς κανόνες, διαδικασίες, μηχανισμούς και ρυθμίσεις,
  • να ζητεί όλες τις σχετικές πληροφορίες και τα έγγραφα τεκμηρίωσης, να διενεργεί έρευνες και επιθεωρήσεις (συμπεριλαμβανομένων των τρίτων χωρών), να καθορίζει διορθωτικά μέτρα και να διατυπώνει συστάσεις·
• να δίνει τη δυνατότητα στην Ευρωπαϊκή Αρχή Τραπεζών, την Ευρωπαϊκή Αρχή Ασφαλίσεων και Επαγγελματικών Συντάξεων και την Ευρωπαϊκή Αρχή Κινητών Αξιών και Αγορών να συνεργάζονται με ρυθμιστικές και εποπτικές αρχές τρίτων χωρών για τον κίνδυνο τρίτων παρόχων ΤΠΕ·
• να απαιτεί από τις ΕΕΑ να υποβάλλουν ανά πενταετία εμπιστευτική έκθεση στο Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο της Ευρωπαϊκής Ένωσης και την Ευρωπαϊκή Επιτροπή σχετικά με τις συναλλαγές τους με αρχές τρίτων χωρών.

Ρυθμίσεις ανταλλαγής πληροφοριών

Οι χρηματοοικονομικές οντότητες μπορούν να ανταλλάσσουν μεταξύ τους στοιχεία και πληροφορίες για κυβερνοαπειλές, υπό την προϋπόθεση ότι η εν λόγω ανταλλαγή στοιχείων και πληροφοριών:

• έχει ως στόχο την ενίσχυση της ψηφιακής επιχειρησιακής ανθεκτικότητας τους·
• πραγματοποιείται στο πλαίσιο αξιόπιστων κοινοτήτων·
• προστατεύει το επιχειρηματικό απόρρητο και τα προσωπικά δεδομένα και σέβεται τους κανόνες της πολιτικής ανταγωνισμού.

Κυρώσεις και διορθωτικά μέτρα

Οι αρμόδιες αρχές:

• διαθέτουν όλες τις εξουσίες εποπτείας, έρευνας και επιβολής κυρώσεων που απαιτούνται για την εκπλήρωση των καθηκόντων·
• επιβάλλουν, και δημοσιεύουν στον ιστότοπό τους, τις διοικητικές κυρώσεις και τα διορθωτικά μέτρα που καθορίζονται από την εθνική νομοθεσία.

Οι ΕΕΑ καταρτίζουν ρυθμιστικά τεχνικά πρότυπα για τα εργαλεία διαχείρισης κινδύνου ΤΠΕ, την ταξινόμηση και την αναφορά συμβάντων που σχετίζονται με ΤΠΕ και τη διεξαγωγή δραστηριοτήτων εποπτείας.

Η Επιτροπή:

• έχει την εξουσία να εκδίδει κατ’ εξουσιοδότηση πράξεις·
• να υποβάλλει, έως τις 17 Ιανουαρίου 2028, επανεξέταση του κανονισμού, μετά από διαβούλευση με τις ΕΕΑ και το Ευρωπαϊκό Συμβούλιο Συστημικού Κινδύνου, στο Κοινοβούλιο και το Συμβούλιο.

Ο κανονισμός τροποποιεί τους κανονισμούς (ΕΚ) αριθ. 1060/2009, (ΕΕ) αριθ. 648/2012, (ΕΕ) αριθ. 909/2014, (ΕΕ) αριθ. 600/2014 και (ΕΕ) 2016/1011.

ΑΠΟ ΠΟΤΕ ΕΦΑΡΜΟΖΕΤΑΙ Ο ΚΑΝΟΝΙΣΜΟΣ;

Ο κανονισμός εφαρμόζεται από τις 17 Ιανουαρίου 2025.

ΓΕΝΙΚΟ ΠΛΑΙΣΙΟ

Οι μεταρρυθμίσεις που ακολούθησαν τη χρηματοπιστωτική κρίση του 2008 ενίσχυσαν κυρίως τη χρηματοπιστωτική σταθερότητα του τομέα. Οι κίνδυνοι ΤΠΕ αντιμετωπίστηκαν μόνο έμμεσα σε ορισμένους τομείς και συνέχισαν να αποτελούν πρόκληση για τη λειτουργική ανθεκτικότητα, τις επιδόσεις και τη σταθερότητα του χρηματοπιστωτικού συστήματος της ΕΕ.

Ο κανονισμός, γνωστός ως DORA, αποτελεί μέρος μιας ευρύτερης δέσμης μέτρων για την ψηφιακή χρηματοδότηση με στόχο την προώθηση της τεχνολογικής ανάπτυξης και τη διασφάλιση της χρηματοπιστωτικής σταθερότητας και της προστασίας των καταναλωτών. Τα άλλα στοιχεία της καλύπτουν μια στρατηγική ψηφιακής χρηματοδότησης, τις αγορές κρυπτοστοιχείων και την τεχνολογία κατανεμημένων λογιστικών βιβλίων.

Για περισσότερες πληροφορίες, βλέπε:

• Δέσμη μέτρων για τις ψηφιακές χρηματοοικονομικές υπηρεσίες (Ευρωπαϊκή Επιτροπή).

ΒΑΣΙΚΟ ΚΕΙΜΕΝΟ

Κανονισμός (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα και την τροποποίηση των κανονισμών (ΕΚ) αριθ. 1060/2009, (ΕΕ) αριθ. 648/2012, (ΕΕ) αριθ. 600/2014, (ΕΕ) αριθ. 909/2014 και (ΕΕ) 2016/1011 (ΕΕ L 333 της 27.12.2022, σ. 1-79).

ΣΥΝΑΦΗ ΚΕΙΜΕΝΑ

Ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο, την Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή και την Επιτροπή των Περιφερειών σχετικά με μια Στρατηγική ψηφιακών χρηματοοικονομικών υπηρεσιών για την ΕΕ [COM(2020) 591 final της 24.9.2020].

Κανονισμός (ΕΕ) 2016/1011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 8ης Ιουνίου 2016, σχετικά με τους δείκτες που χρησιμοποιούνται ως δείκτες αναφοράς σε χρηματοπιστωτικά μέσα και χρηματοπιστωτικές συμβάσεις ή για τη μέτρηση της απόδοσης επενδυτικών κεφαλαίων, και για την τροποποίηση των οδηγιών 2008/48/ΕΚ και 2014/17/ΕΕ και του κανονισμού (ΕΕ) αριθ. 596/2014 (ΕΕ L 171 της 29.6.2016, σ. 1-65).

Οι διαδοχικές τροποποιήσεις του κανονισμού (ΕΕ) 2016/1011 έχουν ενσωματωθεί στο αρχικό κείμενο. Αυτή η ενοποιημένη απόδοση αποτελεί απλώς εργαλείο τεκμηρίωσης.

Κανονισμός (ΕΕ) αριθ. 909/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Ιουλίου 2014, σχετικά με τη βελτίωση του διακανονισμού αξιογράφων στην Ευρωπαϊκή Ένωση και τα κεντρικά αποθετήρια τίτλων και για την τροποποίηση των οδηγιών 98/26/ΕΚ και 2014/65/ΕΕ και του κανονισμού (ΕΕ) αριθ. 236/2012 (ΕΕ L 257 της 28.8.2014, σ. 1-72).

Βλέπε την ενοποιημένη απόδοση.

Κανονισμός (ΕΕ) αριθ. 600/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 15ης Μαΐου 2014, για τις αγορές χρηματοπιστωτικών μέσων και για την τροποποίηση του κανονισμού (ΕΕ) αριθ. 648/2012 (ΕΕ L 173 της 12.6.2014, σ. 84-148).

Βλέπε την ενοποιημένη απόδοση.

Κανονισμός (ΕΕ) αριθ. 648/2012 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 4ης Ιουλίου 2012, για τα εξωχρηματιστηριακά παράγωγα, τους κεντρικούς αντισυμβαλλομένους και τα αρχεία καταγραφής συναλλαγών (ΕΕ L 201 της 27.7.2012, σ. 1-59).

Βλέπε την ενοποιημένη απόδοση.

Κανονισμός (ΕΚ) αριθ. 1060/2009 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Σεπτεμβρίου 2009 , για τους οργανισμούς αξιολόγησης πιστοληπτικής ικανότητας (ΕΕ L 302 της 17.11.2009, σ. 1-31).

Βλέπε την ενοποιημένη απόδοση.

τελευταία ενημέρωση 10.01.2024