ΟΔΗΓΙΑ (ΕΕ) 2022/2556 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ

της 14ης Δεκεμβρίου 2022

για την τροποποίηση των οδηγιών 2009/65/ΕΚ, 2009/138/ΕΚ, 2011/61/ΕΕ, 2013/36/ΕΕ, 2014/59/ΕΕ, 2014/65/ΕΕ, (ΕΕ) 2015/2366 και (ΕΕ) 2016/2341 όσον αφορά την ψηφιακή επιχειρησιακή ανθεκτικότητα για τον χρηματοοικονομικό τομέα

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης, και ιδίως το άρθρο 53 παράγραφος 1 και το άρθρο 114,

Έχοντας υπόψη την πρόταση της Ευρωπαϊκής Επιτροπής,

Κατόπιν διαβίβασης του σχεδίου νομοθετικής πράξης στα εθνικά κοινοβούλια,

Έχοντας υπόψη τη γνώμη της Ευρωπαϊκής Κεντρικής Τράπεζας (1),

Έχοντας υπόψη τη γνωμοδότηση της Ευρωπαϊκής Οικονομικής και Κοινωνικής Επιτροπής (2),

Αποφασίζοντας σύμφωνα με τη συνήθη νομοθετική διαδικασία (3),

Εκτιμώντας τα ακόλουθα:

(1)

Η Ένωση χρειάζεται να αντιμετωπίσει με κατάλληλο και σφαιρικό τρόπο τους ψηφιακούς κινδύνους στους οποίους εκτίθενται όλες οι χρηματοοικονομικές οντότητες και οι οποίοι απορρέουν από την αυξημένη χρήση τεχνολογιών των πληροφοριών και των επικοινωνιών (ΤΠΕ) κατά την παροχή και την κατανάλωση χρηματοοικονομικών υπηρεσιών, προκειμένου να συμβάλει στην αξιοποίηση των δυνατοτήτων του ψηφιακού χρηματοοικονομικού τομέα όσον αφορά την ενίσχυση της καινοτομίας και την προώθηση του ανταγωνισμού σε ένα ασφαλές ψηφιακό περιβάλλον.

(2)

Οι χρηματοοικονομικές οντότητες εξαρτώνται σε μεγάλο βαθμό από τη χρήση ψηφιακών τεχνολογιών στις καθημερινές δραστηριότητές τους. Είναι, συνεπώς, εξαιρετικά σημαντικό να διασφαλιστεί η επιχειρησιακή ανθεκτικότητα των ψηφιακών δραστηριοτήτων τους έναντι των κινδύνων ΤΠΕ. Η ανάγκη αυτή έχει καταστεί ακόμη πιο επιτακτική λόγω της ανάπτυξης πρωτοποριακών τεχνολογιών στην αγορά, ιδίως τεχνολογιών που επιτρέπουν τη μεταβίβαση και την ηλεκτρονική αποθήκευση ψηφιακών αναπαραστάσεων αξίας ή δικαιωμάτων, με τη χρήση τεχνολογίας κατανεμημένου καθολικού ή παρόμοιας τεχνολογίας (κρυπτοστοιχεία), και λόγω της ανάπτυξης υπηρεσιών που σχετίζονται με τα εν λόγω περιουσιακά στοιχεία.

(3)

Σε επίπεδο Ένωσης, οι απαιτήσεις σχετικά με τη διαχείριση των κινδύνων ΤΠΕ στον χρηματοοικονομικό τομέα ορίζονται στις οδηγίες 2009/65/ΕΚ (4), 2009/138/ΕΚ (5), 2011/61/ΕΕ (6), 2013/36/ΕΕ (7), 2014/59/ΕΕ (8), 2014/65/ΕΕ (9), (ΕΕ) 2015/2366 (10) και (ΕΕ) 2016/2341 (11) του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου.

Οι εν λόγω απαιτήσεις είναι ανομοιογενείς και ενίοτε ελλιπείς. Σε ορισμένες περιπτώσεις, οι κίνδυνοι ΤΠΕ έχουν αντιμετωπιστεί μόνο εμμέσως, στο πλαίσιο του λειτουργικού κινδύνου και σε άλλες περιπτώσεις δεν έχουν αντιμετωπιστεί καθόλου. Τα εν λόγω ζητήματα επανορθώνονται με την έκδοση του κανονισμού (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (12). Οι εν λόγω οδηγίες θα πρέπει, συνεπώς, να τροποποιηθούν για να διασφαλιστεί συνέπεια με τον εν λόγω κανονισμό. Η παρούσα οδηγία θεσπίζει ένα σύνολο τροποποιήσεων που είναι απαραίτητες για να εξασφαλιστεί νομική σαφήνεια και συνοχή σε σχέση με την εφαρμογή, από τις χρηματοοικονομικές οντότητες που έχουν λάβει άδεια λειτουργίας και εποπτεύονται σύμφωνα με τις εν λόγω οδηγίες, διάφορων απαιτήσεων ψηφιακής επιχειρησιακής ανθεκτικότητας που είναι απαραίτητες για την άσκηση των δραστηριοτήτων τους και για την παροχή υπηρεσιών, διασφαλίζοντας με τον τρόπο αυτόν την ομαλή λειτουργία της εσωτερικής αγοράς. Είναι αναγκαίο να διασφαλιστεί η επάρκεια των εν λόγω απαιτήσεων σε σχέση με τις εξελίξεις της αγοράς και παράλληλα να ενθαρρυνθεί η αναλογικότητα ιδίως όσον αφορά το μέγεθος των χρηματοοικονομικών οντοτήτων και τα ειδικά καθεστώτα στα οποία υπάγονται, με στόχο τη μείωση του κόστους συμμόρφωσης.

(4)

Στον τομέα των τραπεζικών υπηρεσιών, η οδηγία 2013/36/ΕΕ ορίζει, επί του παρόντος, μόνο γενικούς κανόνες εσωτερικής διακυβέρνησης και διατάξεις για τους λειτουργικούς κινδύνους που περιέχουν απαιτήσεις για σχέδια αντιμετώπισης επειγουσών καταστάσεων και επιχειρησιακής συνέχειας, τα οποία, εμμέσως, χρησιμεύουν ως βάση για την αντιμετώπιση των κινδύνων ΤΠΕ. Ωστόσο, προκειμένου να αντιμετωπίζονται ρητά και σαφώς οι κίνδυνοι ΤΠΕ, οι απαιτήσεις για σχέδια αντιμετώπισης επειγουσών καταστάσεων και επιχειρησιακής συνέχειας θα πρέπει να τροποποιηθούν ώστε να συμπεριλάβουν επίσης σχέδια επιχειρησιακής συνέχειας και σχέδια αντιμετώπισης και ανάκαμψης όσον αφορά τους κινδύνους ΤΠΕ, σύμφωνα με τις απαιτήσεις που ορίζονται στον κανονισμό (ΕΕ) 2022/2554 Επιπλέον, οι κίνδυνοι ΤΠΕ περιλαμβάνονται μόνο έμμεσα, ως μέρος των λειτουργικών κινδύνων, στη διαδικασία εποπτικού ελέγχου και αξιολόγησης (ΔΕΕΑ) που διενεργούν οι αρμόδιες αρχές και τα κριτήρια για την αξιολόγησή τους καθορίζονται επί του παρόντος στις κατευθυντήριες γραμμές σχετικά με την αξιολόγηση κινδύνων ΤΠΕ σύμφωνα με τη διαδικασία εποπτικού ελέγχου και αξιολόγησης (ΔΕΕΑ), που εκδόθηκαν από την Ευρωπαϊκή Εποπτική Αρχή (Ευρωπαϊκή Αρχή Τραπεζών) (ΕΑΤ), η οποία συγκροτήθηκε με τον κανονισμό (ΕΕ) αριθ. 1093/2010 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (13). Προκειμένου να εξασφαλιστεί νομική σαφήνεια και να διασφαλιστεί ότι οι εποπτικές αρχές των τραπεζών εντοπίζουν αποτελεσματικά τους κινδύνους ΤΠΕ και παρακολουθούν τη διαχείρισή τους από τις χρηματοοικονομικές οντότητες, σύμφωνα με το νέο πλαίσιο για την ψηφιακή επιχειρησιακή ανθεκτικότητα, το πεδίο εφαρμογής της ΔΕΕΑ θα πρέπει επίσης να τροποποιηθεί ώστε να αναφέρει ρητά τις απαιτήσεις που ορίζονται στον κανονισμό (ΕΕ) 2022/2554 και να καλύπτει ιδίως τους κινδύνους που εντοπίζονται στις αναφορές σημαντικών συμβάντων που σχετίζονται με τις ΤΠΕ και στα αποτελέσματα των δοκιμών ψηφιακής επιχειρησιακής ανθεκτικότητας που διενεργούνται από χρηματοοικονομικές οντότητες σύμφωνα με τον εν λόγω κανονισμό.

(5)

Η ψηφιακή επιχειρησιακή ανθεκτικότητα είναι απαραίτητη για τη διατήρηση των κρίσιμων λειτουργιών και των βασικών επιχειρηματικών τομέων μιας χρηματοοικονομικής οντότητας σε περίπτωση εξυγίανσης και, ως εκ τούτου, για την αποφυγή διαταραχών στην πραγματική οικονομία και στο χρηματοοικονομικό σύστημα. Τα σημαντικά επιχειρησιακά συμβάντα μπορεί να παρεμποδίσουν την ικανότητα μιας χρηματοοικονομικής οντότητας να συνεχίσει τη λειτουργία της και μπορεί να θέσουν σε κίνδυνο τους στόχους της εξυγίανσης. Ορισμένες συμβατικές ρυθμίσεις για τη χρήση υπηρεσιών ΤΠΕ είναι απαραίτητες για τη διασφάλιση της επιχειρησιακής συνέχειας και για την παροχή των απαραίτητων δεδομένων σε περίπτωση εξυγίανσης. Προκειμένου να εξασφαλιστεί η ευθυγράμμιση προς τους στόχους του ενωσιακού πλαισίου για την επιχειρησιακή ανθεκτικότητα, η οδηγία 2014/59/ΕΕ θα πρέπει να τροποποιηθεί ανάλογα, ώστε να διασφαλίζεται ότι οι πληροφορίες σχετικά με την επιχειρησιακή ανθεκτικότητα λαμβάνονται υπόψη στο πλαίσιο του σχεδιασμού της εξυγίανσης και της αξιολόγησης της δυνατότητας εξυγίανσης των χρηματοοικονομικών οντοτήτων.

(6)

Η οδηγία 2014/65/ΕΕ ορίζει αυστηρότερους κανόνες κινδύνων ΤΠΕ για τις επιχειρήσεις επενδύσεων και τους τόπους διαπραγμάτευσης που συμμετέχουν σε αλγοριθμικές συναλλαγές. Για τις υπηρεσίες αναφοράς δεδομένων και για τα αρχεία καταγραφής συναλλαγών ισχύουν λιγότερο λεπτομερείς απαιτήσεις. Επίσης, η οδηγία 2014/65/ΕΕ περιέχει μόνο περιορισμένες αναφορές σε μηχανισμούς ελέγχου και ασφάλειας των συστημάτων ηλεκτρονικής επεξεργασίας δεδομένων και στη χρήση κατάλληλων συστημάτων, πόρων και διαδικασιών για τη διασφάλιση της συνέχειας και της κανονικότητας των επιχειρηματικών υπηρεσιών. Επιπλέον, η εν λόγω οδηγία θα πρέπει να ευθυγραμμιστεί με τον κανονισμό (ΕΕ) 2022/2554 όσον αφορά τη συνεχή και τακτική παροχή επενδυτικών υπηρεσιών και την εκτέλεση επενδυτικών δραστηριοτήτων, την επιχειρησιακή ανθεκτικότητα, την ικανότητα των συστημάτων διαπραγμάτευσης και την αποτελεσματικότητα των ρυθμίσεων επιχειρησιακής συνέχειας και της διαχείρισης κινδύνων.

(7)

Η οδηγία (ΕΕ) 2015/2366 ορίζει ειδικούς κανόνες για τους ελέγχους ασφάλειας των ΤΠΕ και στοιχεία μετριασμού για τους σκοπούς της απόκτησης άδειας παροχής υπηρεσιών πληρωμών. Οι εν λόγω κανόνες για τη χορήγηση άδειας θα πρέπει να τροποποιηθούν προκειμένου να ευθυγραμμιστούν με τον κανονισμό (ΕΕ) 2022/2554 Επιπλέον, προκειμένου να μειωθεί ο διοικητικός φόρτος και να αποφευχθούν η πολυπλοκότητα και οι αλληλεπικαλυπτόμενες απαιτήσεις υποβολής αναφορών, οι κανόνες αναφοράς συμβάντων που ορίζει η εν λόγω οδηγία θα πρέπει να παύσουν να εφαρμόζονται για τους παρόχους υπηρεσιών πληρωμών που ρυθμίζονται βάσει της εν λόγω οδηγίας και υπόκεινται επίσης στον κανονισμό (ΕΕ) 2022/2554, επιτρέποντας έτσι στους εν λόγω παρόχους υπηρεσιών πληρωμών να επωφελούνται από ενιαίο, πλήρως εναρμονισμένο μηχανισμό αναφοράς συμβάντων όσον αφορά όλα τα λειτουργικά συμβάντα ή συμβάντα ασφάλειας που σχετίζονται με πληρωμές, ανεξάρτητα αν τα εν λόγω συμβάντα σχετίζονται με τις ΤΠΕ.

(8)

Οι οδηγίες 2009/138/ΕΚ και (ΕΕ) 2016/2341 αποτυπώνουν εν μέρει τους κινδύνους ΤΠΕ στις γενικές διατάξεις τους για τη διακυβέρνηση και τη διαχείριση κινδύνων, αφήνοντας ορισμένες απαιτήσεις να καθοριστούν με κατ’ εξουσιοδότηση πράξεις με ή χωρίς ειδικές αναφορές στους κινδύνους ΤΠΕ. Ομοίως, για τους διαχειριστές οργανισμών εναλλακτικών επενδύσεων που υπόκεινται στην οδηγία 2011/61/ΕΕ και τις εταιρείες διαχείρισης που υπόκεινται στην οδηγία 2009/65/ΕΚ ισχύουν μόνο πολύ γενικοί κανόνες. Συνεπώς, οι εν λόγω οδηγίες θα πρέπει να ευθυγραμμιστούν με τις απαιτήσεις που ορίζονται στον κανονισμό (ΕΕ) 2022/2554 όσον αφορά τη διαχείριση συστημάτων και εργαλείων ΤΠΕ.

(9)

Σε πολλές περιπτώσεις, έχουν ήδη θεσπιστεί περαιτέρω απαιτήσεις κινδύνων ΤΠΕ σε κατ’ εξουσιοδότηση και εκτελεστικές πράξεις, που έχουν εκδοθεί βάσει σχεδίων ρυθμιστικών τεχνικών προτύπων και σχεδίων εκτελεστικών τεχνικών προτύπων που έχει καταρτίσει η αρμόδια Ευρωπαϊκή Εποπτική Αρχή. Καθώς οι διατάξεις του κανονισμού (ΕΕ) 2022/2554 συνιστούν στο εξής το νομικό πλαίσιο για τους κινδύνους ΤΠΕ στον χρηματοοικονομικό τομέα, ορισμένες εξουσιοδοτήσεις για την έκδοση κατ’ εξουσιοδότηση και εκτελεστικών πράξεων στις οδηγίες 2009/65/ΕΚ, 2009/138/ΕΚ, 2011/61/ΕΕ και 2014/65/ΕΕ θα πρέπει να τροποποιηθούν, ώστε να αφαιρεθούν οι διατάξεις για τους κινδύνους ΤΠΕ από το πεδίο εφαρμογής των εν λόγω εξουσιοδοτήσεων.

(10)

Προκειμένου να διασφαλιστεί η συνεπής εφαρμογή του νέου πλαισίου για την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα, τα κράτη μέλη θα πρέπει να εφαρμόσουν τις διατάξεις του εθνικού δικαίου που μεταφέρουν την παρούσα οδηγία στο εθνικό δίκαιο από την ημερομηνία εφαρμογής του κανονισμού (ΕΕ) 2022/2554

(11)

Οι οδηγίες 2009/65/ΕΚ, 2009/138/ΕΚ, 2011/61/ΕΕ, 2013/36/ΕΕ, 2014/59/ΕΕ, 2014/65/ΕΕ, (ΕΕ) 2015/2366 και (ΕΕ) 2016/2341 έχουν εκδοθεί βάσει του άρθρου 53 παράγραφος 1 ή του άρθρου 114 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) ή αμφοτέρων. Δεδομένου ότι το αντικείμενο και οι στόχοι των τροποποιήσεων είναι αλληλένδετα, οι τροποποιήσεις της παρούσας οδηγίας έχουν συμπεριληφθεί σε ενιαία νομοθετική πράξη. Επομένως, η παρούσα οδηγία θα πρέπει να εκδοθεί βάσει του άρθρου 53 παράγραφος 1 και του άρθρου 114 ΣΛΕΕ.

(12)

Δεδομένου ότι οι στόχοι της παρούσας οδηγίας δεν μπορούν να επιτευχθούν ικανοποιητικά από τα κράτη μέλη, καθώς προϋποθέτουν την εναρμόνιση των απαιτήσεων που περιλαμβάνονται ήδη σε οδηγίες, μπορούν όμως, λόγω της κλίμακας και των επιπτώσεων της δράσης, να επιτευχθούν καλύτερα σε επίπεδο Ένωσης, η Ένωση δύναται να λάβει μέτρα, σύμφωνα με την αρχή της επικουρικότητας του άρθρου 5 της Συνθήκης για την Ευρωπαϊκή Ένωση. Σύμφωνα με την αρχή της αναλογικότητας, όπως διατυπώνεται στο ίδιο άρθρο, η παρούσα οδηγία δεν υπερβαίνει τα αναγκαία όρια για την επίτευξη των στόχων αυτών.

(13)

Σύμφωνα με την κοινή πολιτική δήλωση, της 28ης Σεπτεμβρίου 2011, των κρατών μελών και της Επιτροπής σχετικά με τα επεξηγηματικά έγγραφα (14), τα κράτη μέλη δεσμεύτηκαν να επισυνάπτουν στην κοινοποίηση των εθνικών μέτρων μεταφοράς στο εθνικό δίκαιο, όταν δικαιολογείται, ένα ή περισσότερα έγγραφα που διευκρινίζουν τη σχέση ανάμεσα στα στοιχεία μιας οδηγίας και στα αντίστοιχα τμήματα των εθνικών πράξεων μεταφοράς. Για την παρούσα οδηγία, ο νομοθέτης εκτιμά ότι η διαβίβαση των εγγράφων αυτών είναι δικαιολογημένη,

ΕΞΕΔΩΣΑΝ ΤΗΝ ΠΑΡΟΥΣΑ ΟΔΗΓΙΑ:

Άρθρο 1

Τροποποιήσεις της οδηγίας 2009/65/ΕΚ

Το άρθρο 12 της οδηγίας 2009/65/ΕΚ τροποποιείται ως εξής:

Στην παράγραφο 1 δεύτερο εδάφιο, το στοιχείο α) αντικαθίσταται από το ακόλουθο κείμενο:

«α)

να διαθέτει ορθές διοικητικές και λογιστικές διαδικασίες, ρυθμίσεις ελέγχου και ασφάλειας για την επεξεργασία των ηλεκτρονικών δεδομένων, μεταξύ άλλων όσων αφορά τα συστήματα δικτύου και πληροφοριών που έχουν δημιουργηθεί και τελούν υπό διαχείριση σύμφωνα με τον κανονισμό (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (*1), καθώς και επαρκείς μηχανισμούς εσωτερικού ελέγχου, που περιλαμβάνουν, ιδίως, κανόνες για τις προσωπικές συναλλαγές των υπαλλήλων της ή για την κατοχή ή τη διαχείριση επενδύσεων σε χρηματοπιστωτικά μέσα με σκοπό την επένδυση για ίδιο λογαριασμό και που εξασφαλίζουν τουλάχιστον ότι για κάθε συναλλαγή στην οποία συμμετέχει ο ΟΣΕΚΑ είναι δυνατή η εξακρίβωση της προέλευσής της, των συναλλασσομένων, του χαρακτήρα της, καθώς και του τόπου και χρόνου πραγματοποίησής της, και ότι τα στοιχεία του ενεργητικού του ΟΣΕΚΑ που διαχειρίζεται η εταιρεία διαχείρισης επενδύονται σύμφωνα με τον κανονισμό του κεφαλαίου ή τα καταστατικά του έγγραφα, καθώς και τις ισχύουσες νομικές διατάξεις.

(*1) Κανονισμός (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα και την τροποποίηση των κανονισμών (ΕΚ) αριθ. 1060/2009, (ΕΕ) αριθ. 648/2012, (ΕΕ) αριθ. 600/2014, (ΕΕ) αριθ. 909/2014 και (ΕΕ) 2016/1011 (ΕΕ L 333 της 27.12.2022, σ. 1).»."

Η παράγραφος 3 αντικαθίσταται από το ακόλουθο κείμενο:

«3. Με την επιφύλαξη του άρθρου 116, η Επιτροπή θεσπίζει, με κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 112α, μέτρα που προσδιορίζουν:

α)	τις διαδικασίες και τις ρυθμίσεις στις οποίες αναφέρεται η παράγραφος 1 δεύτερο εδάφιο στοιχείο α), πλην των διαδικασιών και ρυθμίσεων που αφορούν τα συστήματα δικτύου και πληροφοριών·

β)	τις δομές και τις οργανωτικές ρυθμίσεις για την αποτροπή συγκρούσεων συμφερόντων κατά την παράγραφο 1 δεύτερο εδάφιο στοιχείο β).».

Άρθρο 2

Τροποποιήσεις της οδηγίας 2009/138/ΕΚ

Η οδηγία 2009/138/ΕΚ τροποποιείται ως εξής:

Στο άρθρο 41, η παράγραφος 4 αντικαθίσταται από το ακόλουθο κείμενο:

«4. Οι ασφαλιστικές και οι αντασφαλιστικές επιχειρήσεις λαμβάνουν εύλογα μέτρα προκειμένου να διασφαλίζουν τη συνέχεια και την κανονικότητα των δραστηριοτήτων τους, συμπεριλαμβανομένης της ανάπτυξης σχεδίων έκτακτης ανάγκης. Για τον σκοπό αυτό, οι επιχειρήσεις εφαρμόζουν και χρησιμοποιούν κατάλληλα και αναλογικά συστήματα, μέσα και διαδικασίες και ιδίως δημιουργούν και διαχειρίζονται συστήματα δικτύου και πληροφοριών σύμφωνα με τον κανονισμό (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (*2).

(*2) Κανονισμός (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα και την τροποποίηση των κανονισμών (ΕΚ) αριθ. 1060/2009, (ΕΕ) αριθ. 648/2012, (ΕΕ) αριθ. 600/2014, (ΕΕ) αριθ. 909/2014 και (ΕΕ) 2016/1011 (ΕΕ L 333 της 27.12.2022, σ. 1).»."

Στο άρθρο 50 παράγραφος 1, τα στοιχεία α) και β) αντικαθίστανται από το ακόλουθο κείμενο:

«α)	τα στοιχεία των συστημάτων που αναφέρονται στο άρθρο 41, στο άρθρο 44, ιδίως τα πεδία που απαριθμούνται στο άρθρο 44 παράγραφος 2, και στα άρθρα 46 και 47, πλην των στοιχείων που αφορούν τη διαχείριση των κινδύνων των τεχνολογιών των πληροφοριών και των επικοινωνιών·

β)	τις λειτουργίες που αναφέρονται στα άρθρα 44, 46, 47 και 48, πλην των λειτουργιών που αφορούν τη διαχείριση των κινδύνων των τεχνολογιών των πληροφοριών και των επικοινωνιών.».

Άρθρο 3

Τροποποίηση της οδηγίας 2011/61/ΕΕ

Το άρθρο 18 της οδηγίας 2011/61/ΕΕ αντικαθίσταται από το ακόλουθο κείμενο:

«Άρθρο 18

Γενικές αρχές

1. Τα κράτη μέλη απαιτούν από τους ΔΟΕΕ να χρησιμοποιούν πάντα επαρκείς και κατάλληλους ανθρώπινους και τεχνικούς πόρους οι οποίοι είναι απαραίτητοι για την ορθή διαχείριση των ΟΕΕ.

Συγκεκριμένα, οι αρμόδιες αρχές του κράτους μέλους καταγωγής του ΔΟΕΕ, έχοντας επίσης υπόψη τη φύση των ΟΕΕ τους οποίους διαχειρίζεται ο ΔΟΕΕ, επιβάλλουν στον ΔΟΕΕ να διαθέτει ορθές διοικητικές και λογιστικές διαδικασίες, ρυθμίσεις ελέγχου και ασφάλειας για την επεξεργασία των ηλεκτρονικών δεδομένων, μεταξύ άλλων όσων αφορά τα συστήματα δικτύου και πληροφοριών που έχουν δημιουργηθεί και τελούν υπό διαχείριση σύμφωνα με τον κανονισμό (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (*3), καθώς και κατάλληλους εσωτερικούς μηχανισμούς ελέγχου που περιλαμβάνουν, ιδίως, κανόνες για τις προσωπικές συναλλαγές των υπαλλήλων του ή για την κατοχή ή διαχείριση επενδύσεων με σκοπό την επένδυση για ίδιο λογαριασμό και που εξασφαλίζουν τουλάχιστον ότι για κάθε συναλλαγή στην οποία συμμετέχουν οι ΟΕΕ είναι δυνατή η εξακρίβωση της προέλευσής της, των συναλλασσομένων, του χαρακτήρα της, καθώς και του τόπου και χρόνου πραγματοποίησής της, και ότι τα στοιχεία του ενεργητικού των ΟΕΕ που διαχειρίζεται ο ΔΟΕΕ επενδύονται σύμφωνα με τον κανονισμό των ΟΕΕ ή τα καταστατικά τους έγγραφα, καθώς και με τις ισχύουσες νομικές διατάξεις.

2. Η Επιτροπή εκδίδει, με κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 56 και υπό τις προϋποθέσεις των άρθρων 57 και 58, μέτρα που καθορίζουν τις διαδικασίες και τις ρυθμίσεις που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου, πλην των διαδικασιών και ρυθμίσεων που αφορούν τα συστήματα δικτύου και πληροφοριών.

Άρθρο 4

Τροποποιήσεις της οδηγίας 2013/36/ΕΕ

Η οδηγία 2013/36/ΕΕ τροποποιείται ως εξής:

Στο άρθρο 65 παράγραφος 3, το στοιχείο α) σημείο vi) αντικαθίσταται από το ακόλουθο κείμενο:

«vi)	τρίτους στους οποίους οι οντότητες που αναφέρονται στα σημεία i) έως iv) ανέθεσαν καθήκοντα ή δραστηριότητες, συμπεριλαμβανομένων των τρίτων παρόχων υπηρεσιών ΤΠΕ που αναφέρονται στο κεφάλαιο V του κανονισμού (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (*4).

(*4) Κανονισμός (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα και την τροποποίηση των κανονισμών (ΕΚ) αριθ. 1060/2009, (ΕΕ) αριθ. 648/2012, (ΕΕ) αριθ. 600/2014, (ΕΕ) αριθ. 909/2014 και (ΕΕ) 2016/1011 (ΕΕ L L 333 της 27.12.2022, σ.1).»."

Στο άρθρο 74 παράγραφος 1, το πρώτο εδάφιο αντικαθίσταται από το ακόλουθο κείμενο:

«Τα ιδρύματα θεσπίζουν άρτιες ρυθμίσεις διακυβέρνησης, οι οποίες περιλαμβάνουν σαφή οργανωτική διάρθρωση με σαφώς καθορισμένες, διαφανείς και συνεπείς γραμμές ευθύνης, αποτελεσματικές διαδικασίες εντοπισμού, διαχείρισης, παρακολούθησης και αναφοράς των κινδύνων τους οποίους αναλαμβάνουν ή ενδέχεται να αναλάβουν, επαρκείς μηχανισμούς εσωτερικού ελέγχου, περιλαμβανομένων των κατάλληλων διοικητικών και λογιστικών διαδικασιών, συστήματα δικτύου και πληροφοριών που έχουν δημιουργηθεί και τελούν υπό διαχείριση σύμφωνα με τον κανονισμό (ΕΕ) 2022/2554, καθώς και πολιτικές και πρακτικές αποδοχών που συνάδουν προς τις αρχές της ορθής και αποτελεσματικής διαχείρισης κινδύνων και τις προωθούν.».

Στο άρθρο 85, η παράγραφος 2 αντικαθίσταται από το ακόλουθο κείμενο:

«2. Οι αρμόδιες αρχές διασφαλίζουν ότι τα ιδρύματα καταρτίζουν πολιτικές και σχέδια αντιμετώπισης επειγουσών καταστάσεων και επιχειρησιακής συνέχειας, συμπεριλαμβανομένων των πολιτικών και των σχεδίων επιχειρησιακής συνέχειας των ΤΠΕ και των σχεδίων αντιμετώπισης και ανάκαμψης των ΤΠΕ όσον αφορά την τεχνολογία που χρησιμοποιούν για την κοινοποίηση πληροφοριών, και ότι τα εν λόγω σχέδια καταρτίζονται, τελούν υπό διαχείριση και υποβάλλονται σε δοκιμές σύμφωνα με το άρθρο 11 του κανονισμού (ΕΕ) 2022/2554, ώστε τα ιδρύματα να έχουν τη δυνατότητα να συνεχίσουν τη λειτουργία τους σε περίπτωση σοβαρής διαταραχής της δραστηριότητάς τους και να περιορίσουν τις ζημίες που προκαλούνται ως συνέπεια της διαταραχής αυτής.».

Στο άρθρο 97 παράγραφος 1, προστίθεται το ακόλουθο στοιχείο:

«δ)	κινδύνους που εντοπίζονται με δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας σύμφωνα με το κεφάλαιο IV του κανονισμού (ΕΕ) 2022/2554.».

Άρθρο 5

Τροποποιήσεις της οδηγίας 2014/59/ΕΕ

Η οδηγία 2014/59/ΕΕ τροποποιείται ως εξής:

το άρθρο 10 τροποποιείται ως εξής:

α)

στην παράγραφο 7, το στοιχείο γ) αντικαθίσταται από το ακόλουθο κείμενο:

«γ)

παρουσίαση του τρόπου με τον οποίο θα μπορούσαν να διαχωριστούν νομικά και οικονομικά οι κρίσιμες λειτουργίες και οι βασικοί επιχειρηματικοί τομείς, στον αναγκαίο βαθμό, από άλλες λειτουργίες, ούτως ώστε να διασφαλιστεί η συνέχεια και η ψηφιακή επιχειρησιακή ανθεκτικότητα σε περίπτωση πτώχευσης του ιδρύματος·»·

β)

στην παράγραφο 7, το στοιχείο ιζ) αντικαθίσταται από το ακόλουθο κείμενο:

«ιζ)

περιγραφή των βασικών λειτουργιών και συστημάτων για τη διατήρηση της συνεχούς λειτουργίας των επιχειρησιακών διαδικασιών του ιδρύματος, συμπεριλαμβανομένων των συστημάτων δικτύου και πληροφοριών που δημιουργούνται σύμφωνα με τον κανονισμό (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (*5)·

(*5) Κανονισμός (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα και την τροποποίηση των κανονισμών (ΕΚ) αριθ. 1060/2009, (ΕΕ) αριθ. 648/2012, (ΕΕ) αριθ. 600/2014, (ΕΕ) αριθ. 909/2014 και (ΕΕ) 2016/1011 (ΕΕ L 333 της 27.12.2022, σ. 1).»·"

γ)

στην παράγραφο 9, προστίθεται το ακόλουθο εδάφιο:

«Σύμφωνα με το άρθρο 10 του κανονισμού (ΕΕ) αριθ. 1093/2010, η ΕΑΤ επανεξετάζει και, εάν κρίνεται σκόπιμο, επικαιροποιεί τα ρυθμιστικά τεχνικά πρότυπα, προκειμένου, μεταξύ άλλων, να λαμβάνει υπόψη τις διατάξεις του κεφαλαίου II του κανονισμού (ΕΕ) 2022/2554.».

Το παράρτημα τροποποιείται ως εξής:

α)

στο τμήμα Α, το σημείο 16 αντικαθίσταται από το ακόλουθο κείμενο:

«16.	ρυθμίσεις και μέτρα που είναι αναγκαία για τη διατήρηση της συνεχούς λειτουργίας των επιχειρησιακών διαδικασιών του ιδρύματος, συμπεριλαμβανομένων των συστημάτων δικτύου και πληροφοριών που έχουν δημιουργηθεί και τελούν υπό διαχείριση σύμφωνα με τον κανονισμό (ΕΕ) 2022/2554·»·

β)

το τμήμα Β τροποποιείται ως εξής:

το σημείο 14 αντικαθίσταται από το ακόλουθο κείμενο:

«14.

στοιχεία των κατόχων των συστημάτων που προσδιορίζονται στο σημείο 13, τις συμφωνίες για το επίπεδο των υπηρεσιών που σχετίζονται με αυτά, και κάθε λογισμικό και συστήματα ή άδειες, συμπεριλαμβανομένης της καταγραφής τους στις νομικές οντότητες, τις κρίσιμες λειτουργίες και βασικούς επιχειρηματικούς τομείς του ιδρύματος, καθώς και τα στοιχεία των κρίσιμων τρίτων παρόχων υπηρεσιών ΤΠΕ όπως ορίζονται στο άρθρο 3 σημείο 23) του κανονισμού (ΕΕ) 2022/2554·»·

ii)

παρεμβάλλεται το ακόλουθο σημείο:

«14α.

τα αποτελέσματα των δοκιμών ψηφιακής επιχειρησιακής ανθεκτικότητας των ιδρυμάτων σύμφωνα με τον κανονισμό (ΕΕ) 2022/2554·»·

γ)

το τμήμα Γ τροποποιείται ως εξής:

το σημείο 4 αντικαθίσταται από το ακόλουθο κείμενο:

«4.	τον βαθμό στον οποίο οι συμφωνίες παροχής υπηρεσιών, συμπεριλαμβανομένων των συμβατικών ρυθμίσεων για τη χρήση υπηρεσιών ΤΠΕ, που διατηρεί το ίδρυμα είναι άρτιες και πλήρως εκτελεστές σε περίπτωση εξυγίανσης του ιδρύματος·»·

ii)

παρεμβάλλεται το ακόλουθο σημείο:

«4α.

την ψηφιακή επιχειρησιακή ανθεκτικότητα των συστημάτων δικτύου και πληροφοριών που υποστηρίζουν τις κρίσιμες λειτουργίες και τους βασικούς επιχειρηματικούς τομείς του ιδρύματος, λαμβάνοντας υπόψη τις αναφορές σημαντικών συμβάντων που σχετίζονται με τις ΤΠΕ και τα αποτελέσματα των δοκιμών ψηφιακής επιχειρησιακής ανθεκτικότητας βάσει του κανονισμού (ΕΕ) 2022/2554·».

Άρθρο 6

Τροποποιήσεις της οδηγίας 2014/65/ΕΕ

Η οδηγία 2014/65/ΕΕ τροποποιείται ως εξής:

Το άρθρο 16 τροποποιείται ως εξής:

α)

η παράγραφος 4 αντικαθίσταται από το ακόλουθο κείμενο:

«4. Η επιχείρηση επενδύσεων ενεργεί τα ευλόγως πρακτέα για να εξασφαλίζεται η συνεχής και τακτική εκτέλεση των επενδυτικών υπηρεσιών και δραστηριοτήτων. Για τον σκοπό αυτό, η επιχείρηση επενδύσεων χρησιμοποιεί κατάλληλα και αναλογικά συστήματα, συμπεριλαμβανομένων των συστημάτων τεχνολογιών των πληροφοριών και των επικοινωνιών («ΤΠΕ») που έχουν δημιουργηθεί και τελούν υπό διαχείριση σύμφωνα με το άρθρο 7 του κανονισμού (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (*6), καθώς και κατάλληλα και αναλογικά μέσα και διαδικασίες.

(*6) Κανονισμός (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα και την τροποποίηση των κανονισμών (ΕΚ) αριθ. 1060/2009, (ΕΕ) αριθ. 648/2012, (ΕΕ) αριθ. 600/2014, (ΕΕ) αριθ. 909/2014 και (ΕΕ) 2016/1011 (ΕΕ L 333 της 27.12.2022, σ. 1).»·"

β)

στην παράγραφο 5, το δεύτερο και το τρίτο εδάφιο αντικαθίστανται από το ακόλουθο κείμενο:

«Η επιχείρηση επενδύσεων οφείλει να έχει υγιείς διοικητικές και λογιστικές διαδικασίες, μηχανισμούς εσωτερικού ελέγχου και αποτελεσματικές διαδικασίες εκτίμησης των κινδύνων.

Με την επιφύλαξη του δικαιώματος των αρμόδιων αρχών να απαιτούν πρόσβαση στις επικοινωνίες δυνάμει της παρούσας οδηγίας και του κανονισμού (ΕΕ) αριθ. 600/2014, μια επιχείρηση επενδύσεων διαθέτει ισχυρούς μηχανισμούς ασφαλείας, σύμφωνα με τις απαιτήσεις που ορίζει ο κανονισμός (ΕΕ) 2022/2554, για τη διασφάλιση και την εξακρίβωση της γνησιότητας των μέσων διαβίβασης των πληροφοριών, την ελαχιστοποίηση του κινδύνου καταστροφής των δεδομένων και πρόσβασης χωρίς άδεια και την αποφυγή της διαρροής των πληροφοριών, ώστε να τηρείται πάντοτε το απόρρητο των δεδομένων.».

Το άρθρο 17 τροποποιείται ως εξής:

α)

η παράγραφος 1 αντικαθίσταται από το ακόλουθο κείμενο:

«1. Μια επιχείρηση επενδύσεων που δραστηριοποιείται μέσω αλγοριθμικών συναλλαγών χρησιμοποιεί αποτελεσματικά συστήματα και ελέγχους κινδύνου, κατάλληλους για τις εργασίες που διεκπεραιώνει, προκειμένου να διασφαλίζει ότι τα συστήματα συναλλαγών της είναι ανθεκτικά και διαθέτουν επαρκή χωρητικότητα σύμφωνα με τις απαιτήσεις που ορίζει το κεφάλαιο ΙΙ του κανονισμού0 (ΕΕ) 2022/2554, υπόκεινται σε κατάλληλα κατώτατα και ανώτατα όρια συναλλαγών και αποτρέπουν την αποστολή εσφαλμένων εντολών ή τη λειτουργία των συστημάτων κατά τρόπο που ενδέχεται να οδηγήσει ή να συμβάλει στη μη εύρυθμη λειτουργία της αγοράς.

Μια τέτοια επιχείρηση χρησιμοποιεί επίσης αποτελεσματικά συστήματα και ελέγχους κινδύνου προκειμένου να διασφαλίζεται ότι τα συστήματα συναλλαγών δεν δύνανται να χρησιμοποιούνται για σκοπό που είναι αντίθετος στον κανονισμό (ΕΕ) αριθ. 596/2014 ή στους κανόνες ενός τόπου διαπραγμάτευσης με τον οποίο αυτή συνδέεται.

Η επιχείρηση επενδύσεων διαθέτει αποτελεσματικές ρυθμίσεις επιχειρησιακής συνέχειας για την αντιμετώπιση κάθε αστοχίας στα συστήματα συναλλαγών της, συμπεριλαμβανομένων των πολιτικών και των σχεδίων επιχειρησιακής συνέχειας των ΤΠΕ και των σχεδίων αντιμετώπισης και ανάκαμψης των ΤΠΕ τα οποία έχουν καταρτιστεί σύμφωνα με το άρθρο 11 του κανονισμού (ΕΕ) 2022/2554, και διασφαλίζει ότι τα συστήματά της έχουν υποβληθεί σε πλήρεις δοκιμές και παρακολουθούνται κατάλληλα, ώστε να διασφαλίζεται ότι πληρούν τις γενικές απαιτήσεις της παρούσας παραγράφου και τυχόν ειδικές απαιτήσεις που ορίζονται στα κεφάλαια ΙΙ και IV του κανονισμού (ΕΕ) 2022/2554.»·

β)

στην παράγραφο 7, το στοιχείο α) αντικαθίσταται από το ακόλουθο κείμενο:

«α)

τις λεπτομέρειες των οργανωτικών απαιτήσεων που ορίζονται στις παραγράφους 1 έως 6, πλην όσων σχετίζονται με τη διαχείριση των κινδύνων ΤΠΕ, και οι οποίες θα επιβληθούν στις επιχειρήσεις επενδύσεων που παρέχουν διαφορετικές επενδυτικές υπηρεσίες, επενδυτικές δραστηριότητες, παρεπόμενες υπηρεσίες ή συνδυασμούς αυτών, όπου οι διευκρινίσεις που αφορούν τις οργανωτικές απαιτήσεις που ορίζονται στην παράγραφο 5 προσδιορίζουν συγκεκριμένες απαιτήσεις για την άμεση πρόσβαση στην αγορά και για την κατευθείαν πρόσβαση στην αγορά, ούτως ώστε να εξασφαλίζεται ότι οι έλεγχοι που εφαρμόζονται για την κατευθείαν πρόσβαση στην αγορά είναι τουλάχιστον ισότιμοι με εκείνους που εφαρμόζονται για την άμεση πρόσβαση στην αγορά,».

Στο άρθρο 47, η παράγραφος 1 τροποποιείται ως εξής:

α)

το στοιχείο β) αντικαθίσταται από το ακόλουθο κείμενο:

«β)

να έχει κατάλληλα μέσα που να της επιτρέπουν να διαχειρίζεται τους κινδύνους στους οποίους είναι εκτεθειμένη, συμπεριλαμβανομένης της διαχείρισης κινδύνων ΤΠΕ σύμφωνα με το κεφάλαιο ΙΙ του κανονισμού (ΕΕ) 2022/2554, να εφαρμόζει κατάλληλους μηχανισμούς και συστήματα για τον εντοπισμό σημαντικών κινδύνων για τη λειτουργία της, και να έχει λάβει αποτελεσματικά μέτρα για τον περιορισμό αυτών των κινδύνων,»·

β)	το στοιχείο γ) διαγράφεται.

Το άρθρο 48 τροποποιείται ως εξής:

α)

η παράγραφος 1 αντικαθίσταται από το ακόλουθο κείμενο:

«1. Τα κράτη μέλη απαιτούν μια ρυθμιζόμενη αγορά να αναπτύσσει και να διατηρεί την επιχειρησιακή ανθεκτικότητά της σύμφωνα με τις απαιτήσεις που ορίζονται στο κεφάλαιο ΙΙ του κανονισμού (ΕΕ) 2022/2554, προκειμένου να διασφαλίζει ότι τα συστήματα συναλλαγών της είναι ανθεκτικά, έχουν επαρκή χωρητικότητα για την εξυπηρέτηση μεγάλων όγκων εντολών και μηνυμάτων, μπορούν να διασφαλίσουν την εύρυθμη διεξαγωγή συναλλαγών υπό ακραίες συνθήκες πίεσης στην αγορά, ελέγχονται πλήρως για τη διασφάλιση της εκπλήρωσης των όρων αυτών και διαθέτουν αποτελεσματικές ρυθμίσεις επιχειρησιακής συνέχειας, συμπεριλαμβανομένων των πολιτικών και των σχεδίων επιχειρησιακής συνέχειας των ΤΠΕ και των σχεδίων αντιμετώπισης και ανάκαμψης των ΤΠΕ τα οποία έχουν καταρτιστεί σύμφωνα με το άρθρο 11 του κανονισμού (ΕΕ) 2022/2554, που διασφαλίζουν τη συνέχιση των υπηρεσιών της σε περίπτωση αστοχίας των συστημάτων συναλλαγών.»·

β)

η παράγραφος 6 αντικαθίσταται από το ακόλουθο κείμενο:

«6. Τα κράτη μέλη απαιτούν μια ρυθμιζόμενη αγορά να διαθέτει αποτελεσματικά συστήματα, διαδικασίες και ρυθμίσεις, που περιλαμβάνουν την απαίτηση από τα μέλη ή τους συμμετέχοντες να εφαρμόζουν τις κατάλληλες διαδικασίες δοκιμαστικής λειτουργίας των αλγορίθμων και την παροχή περιβάλλοντος για τη διευκόλυνση της πραγματοποίησης των δοκιμών αυτών σύμφωνα με τις απαιτήσεις που ορίζονται στα κεφάλαια II και IV του κανονισμού (ΕΕ) 2022/2554, οι οποίες να εξασφαλίζουν ότι τα συστήματα αλγοριθμικών συναλλαγών δεν μπορούν να δημιουργήσουν ή να συμβάλουν στη διαμόρφωση συνθηκών μη εύρυθμης διεξαγωγής συναλλαγών στην αγορά και να διαχειρίζονται τις συνθήκες μη εύρυθμης διεξαγωγής συναλλαγών που ανακύπτουν από αυτά τα συστήματα κατάρτισης αλγοριθμικών συναλλαγών, συμπεριλαμβανομένων συστημάτων για τον περιορισμό της αναλογίας ανεκτέλεστων εντολών που μπορούν να εισαχθούν στο σύστημα από μέλος ή συμμετέχοντα προς τις συναλλαγές, συστημάτων για την επιβράδυνση της ροής των εντολών αν υπάρχει κίνδυνος για εξάντληση της χωρητικότητας του συστήματος και συστημάτων για τον περιορισμό και την επιβολή του ελάχιστου βήματος τιμής στο οποίο μπορούν να εκτελεστούν οι συναλλαγές στην αγορά.»·

γ)

η παράγραφος 12 τροποποιείται ως εξής:

το στοιχείο α) αντικαθίσταται από το ακόλουθο κείμενο:

«α)	τις απαιτήσεις για τη διασφάλιση της ανθεκτικότητας και της επαρκούς χωρητικότητας των συστημάτων συναλλαγών των ρυθμιζόμενων αγορών, με εξαίρεση τις απαιτήσεις που αφορούν την ψηφιακή επιχειρησιακή ανθεκτικότητα·»·

ii)

το στοιχείο ζ) αντικαθίσταται από το ακόλουθο κείμενο:

«ζ)

τις απαιτήσεις για την εξασφάλιση της εφαρμογής κατάλληλων διαδικασιών δοκιμαστικής λειτουργίας, πλην των δοκιμών για την ψηφιακή επιχειρησιακή ανθεκτικότητα, ώστε να διασφαλίζεται ότι τα συστήματα αλγοριθμικών συναλλαγών, συμπεριλαμβανομένων των συστημάτων αλγοριθμικών συναλλαγών σε υψηλή συχνότητα, δεν μπορούν να προκαλέσουν ή να συμβάλουν σε συνθήκες μη εύρυθμης διεξαγωγής συναλλαγών στην αγορά.».

Άρθρο 7

Τροποποιήσεις της οδηγίας (ΕΕ) 2015/2366

Η οδηγία (ΕΕ) 2015/2366 τροποποιείται ως εξής:

Στο άρθρο 3, το στοιχείο ι) αντικαθίσταται από το ακόλουθο κείμενο:

«ι)

στις υπηρεσίες παρόχων τεχνικών υπηρεσιών, οι οποίες υποστηρίζουν την παροχή υπηρεσιών πληρωμών, χωρίς ποτέ να περιέρχονται στην κατοχή τους τα υπό μεταφορά χρηματικά ποσά· στις υπηρεσίες αυτές περιλαμβάνονται η επεξεργασία και αποθήκευση δεδομένων, οι υπηρεσίες εμπιστοσύνης και προστασίας της ιδιωτικής ζωής, η εξακρίβωση δεδομένων και οντοτήτων, η παροχή τεχνολογιών των πληροφοριών και των επικοινωνιών (ΤΠΕ) και δικτύου επικοινωνιών, καθώς και η παροχή και συντήρηση τερματικών και συσκευών που χρησιμοποιούνται για υπηρεσίες πληρωμών, με εξαίρεση τις υπηρεσίες εκκίνησης πληρωμών και τις υπηρεσίες παροχής πληροφοριών λογαριασμού·».

Το άρθρο 5 παράγραφος 1 τροποποιείται ως εξής:

α)

το πρώτο εδάφιο τροποποιείται ως εξής:

το στοιχείο ε) αντικαθίσταται από το ακόλουθο κείμενο:

«ε)

περιγραφή του οργανωτικού πλαισίου διακυβέρνησης και των μηχανισμών εσωτερικού ελέγχου του αιτούντος, συμπεριλαμβανομένης της διοικητικής και λογιστικής οργάνωσης και της διαχείρισης κινδύνου, καθώς και ρυθμίσεων για τη χρήση υπηρεσιών ΤΠΕ σύμφωνα με τον κανονισμό (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (*7), η οποία να καταδεικνύει ότι το εν λόγω οργανωτικό πλαίσιο διακυβέρνησης και οι μηχανισμοί εσωτερικού ελέγχου είναι αναλογικοί, κατάλληλοι, ορθοί και επαρκείς·

(*7) Κανονισμός (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα και την τροποποίηση των κανονισμών (ΕΚ) αριθ. 1060/2009, (ΕΕ) αριθ. 648/2012, (ΕΕ) αριθ. 600/2014, (ΕΕ) αριθ. 909/2014 και (ΕΕ) 2016/1011 (ΕΕ L 333 της 27.12.2022, σ. 1).»·"

ii)

το στοιχείο στ) αντικαθίσταται από το ακόλουθο κείμενο:

«στ)

περιγραφή της υφιστάμενης διαδικασίας ελέγχου, διαχείρισης και παρακολούθησης ενός περιστατικού ασφαλείας, καθώς και των παραπόνων των πελατών για ζητήματα σχετικά με την ασφάλεια, συμπεριλαμβανομένου ενός μηχανισμού αναφοράς συμβάντων που να λαμβάνει υπόψη τις υποχρεώσεις κοινοποίησης του ιδρύματος πληρωμών που καθορίζονται στο κεφάλαιο III του κανονισμού (ΕΕ) 2022/2554·»·

iii)

το στοιχείο η) αντικαθίσταται από το ακόλουθο κείμενο:

«η)

περιγραφή των ρυθμίσεων επιχειρησιακής συνέχειας που περιλαμβάνουν σαφή προσδιορισμό των κρίσιμων λειτουργιών, αποτελεσματικών πολιτικών και σχεδίων επιχειρησιακής συνέχειας των ΤΠΕ και σχεδίων αντιμετώπισης και ανάκαμψης των ΤΠΕ και μιας διαδικασίας για την τακτική δοκιμή και επανεξέταση της επάρκειας και της αποτελεσματικότητας των εν λόγω σχεδίων σύμφωνα με τον κανονισμό (ΕΕ) 2022/2554·»·

β)

το τρίτο εδάφιο αντικαθίσταται από το ακόλουθο κείμενο:

«Ο έλεγχος ασφάλειας και τα μέτρα μείωσης κινδύνων που αναφέρονται στο πρώτο εδάφιο στοιχείο ι) υποδεικνύουν τον τρόπο διασφάλισης υψηλού επιπέδου ψηφιακής επιχειρησιακής ανθεκτικότητας σύμφωνα με το κεφάλαιο ΙΙ του κανονισμού (ΕΕ) 2022/2554, ιδίως σε σχέση με την τεχνική ασφάλεια και την προστασία των δεδομένων, συμπεριλαμβανομένου του λογισμικού και των συστημάτων ΤΠΕ που χρησιμοποιούνται από τον αιτούντα ή τις επιχειρήσεις στις οποίες αναθέτει το σύνολο ή μέρος των δραστηριοτήτων του. Τα εν λόγω μέτρα περιλαμβάνουν επίσης τα μέτρα ασφαλείας που προβλέπονται στο άρθρο 95 παράγραφος 1 της παρούσας οδηγίας. Τα εν λόγω μέτρα λαμβάνουν υπόψη τις επικείμενες κατευθυντήριες γραμμές για τα μέτρα ασφαλείας της ΕΑΤ που αναφέρονται στο άρθρο 95 παράγραφος 3 της παρούσας οδηγίας.».

Στο άρθρο 19 παράγραφος 6, το δεύτερο εδάφιο αντικαθίσταται από το ακόλουθο κείμενο:

«Η ανάθεση σημαντικών λειτουργικών δραστηριοτήτων σε εξωτερικούς φορείς, περιλαμβανομένων των συστημάτων ΤΠΕ, δεν γίνεται με τρόπο που βλάπτει ουσιαστικά την ποιότητα των εσωτερικών ελέγχων του ιδρύματος πληρωμών και την ικανότητα των αρμόδιων αρχών να παρακολουθούν και να εξακριβώνουν τη συμμόρφωση του ιδρύματος πληρωμών με όλες τις υποχρεώσεις που ορίζονται στην παρούσα οδηγία.».

Στο άρθρο 95 παράγραφος 1, προστίθεται το ακόλουθο εδάφιο:

«Το πρώτο εδάφιο δεν θίγει την εφαρμογή του κεφαλαίου ΙΙ του κανονισμού (ΕΕ) 2022/2554:

α)	στους παρόχους υπηρεσιών πληρωμών που αναφέρονται στο άρθρο 1 παράγραφος 1 στοιχεία α), β) και δ) της παρούσας οδηγίας·

β)	στους παρόχους υπηρεσιών πληροφοριών λογαριασμού που αναφέρονται στο άρθρο 33 παράγραφος 1 της παρούσας οδηγίας·

γ)	στα ιδρύματα πληρωμών που εξαιρούνται δυνάμει του άρθρου 32 παράγραφος 1 της παρούσας οδηγίας· και

δ)	στα ιδρύματα ηλεκτρονικού χρήματος που δικαιούνται απαλλαγής όπως αναφέρεται στο άρθρο 9 παράγραφος 1 της οδηγίας 2009/110/ΕΚ·».

Στο άρθρο 96, προστίθεται η ακόλουθη παράγραφος:

«7. Τα κράτη μέλη διασφαλίζουν ότι οι παράγραφοι 1 έως 5 του παρόντος άρθρου δεν εφαρμόζονται:

α)	στους παρόχους υπηρεσιών πληρωμών που αναφέρονται στο άρθρο 1 παράγραφος 1 στοιχεία α), β) και δ) της παρούσας οδηγίας·

β)	στους παρόχους υπηρεσιών πληροφοριών λογαριασμού που αναφέρονται στο άρθρο 33 παράγραφος 1 της παρούσας οδηγίας·

γ)	στα ιδρύματα πληρωμών που εξαιρούνται δυνάμει του άρθρου 32 παράγραφος 1 της παρούσας οδηγίας· και

δ)	στα ιδρύματα ηλεκτρονικού χρήματος που δικαιούνται απαλλαγής όπως αναφέρεται στο άρθρο 9 παράγραφος 1 της οδηγίας 2009/110/ΕΚ.».

Στο άρθρο 98, η παράγραφος 5 αντικαθίσταται από το ακόλουθο κείμενο:

«5. Σύμφωνα με το άρθρο 10 του κανονισμού (ΕΕ) αριθ. 1093/2010, η ΕΑΤ επανεξετάζει και, εάν κρίνεται σκόπιμο, επικαιροποιεί τα ρυθμιστικά τεχνικά πρότυπα σε τακτική βάση, προκειμένου, μεταξύ άλλων, να λαμβάνει υπόψη την καινοτομία και τις τεχνολογικές εξελίξεις και τις διατάξεις του κεφαλαίου II του κανονισμού (ΕΕ) 2022/2554».

Άρθρο 8

Τροποποίηση της οδηγίας (ΕΕ) 2016/2341

Το άρθρο 21 παράγραφος 5 της οδηγίας (ΕΕ) 2016/2341 αντικαθίσταται από το ακόλουθο κείμενο:

«5. Τα κράτη μέλη διασφαλίζουν ότι τα ΙΕΣΠ λαμβάνουν εύλογα μέτρα προκειμένου να εξασφαλίζουν τη συνέχεια και την κανονικότητα της άσκησης των δραστηριοτήτων τους, συμπεριλαμβανομένης της κατάρτισης σχεδίων έκτακτης ανάγκης. Για τον σκοπό αυτό, τα ΙΕΣΠ χρησιμοποιούν κατάλληλα και αναλογικά συστήματα, πόρους και διαδικασίες και, ιδίως, δημιουργούν και διαχειρίζονται συστήματα δικτύου και πληροφοριών κατ’ εφαρμογή του κανονισμού (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (*8), κατά περίπτωση.

Άρθρο 9

Μεταφορά στο εθνικό δίκαιο

1. Έως τις 17 Ιανουαρίου 2025, τα κράτη μέλη εκδίδουν και δημοσιεύουν τα μέτρα που είναι αναγκαία για τη συμμόρφωση με την παρούσα οδηγία. Ενημερώνουν αμέσως σχετικά την Επιτροπή.

Εφαρμόζουν τα εν λόγω μέτρα από τις 17 Ιανουαρίου 2025.

Τα εν λόγω μέτρα, όταν θεσπίζονται από τα κράτη μέλη, περιέχουν παραπομπή στην παρούσα οδηγία ή συνοδεύονται από την παραπομπή αυτή κατά την επίσημη δημοσίευσή τους. Ο τρόπος της παραπομπής αυτής καθορίζεται από τα κράτη μέλη.

2. Τα κράτη μέλη ανακοινώνουν στην Επιτροπή το κείμενο των ουσιωδών μέτρων εθνικού δικαίου τα οποία θεσπίζουν στον τομέα που διέπεται από την παρούσα οδηγία.

Άρθρο 10

Έναρξη ισχύος

Η παρούσα οδηγία αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

Άρθρο 11

Αποδέκτες

Η παρούσα οδηγία απευθύνεται στα κράτη μέλη.

Στρασβούργο, 14 Δεκεμβρίου 2022.

Για το Ευρωπαϊκό Κοινοβούλιο

H Πρόεδρος

R. METSOLA

Για το Συμβούλιο

Ο Πρόεδρος

M. BEK

(1) ΕΕ C 343 της 26.8.2021, σ. 1.

(2) ΕΕ C 155 της 30.4.2021, σ. 38.

(3) Θέση του Ευρωπαϊκού Κοινοβουλίου της 10ης Νοεμβρίου 2022 (δεν έχει ακόμη δημοσιευθεί στην Επίσημη Εφημερίδα) και απόφαση του Συμβουλίου της 28ης Νοεμβρίου 2022.

(4) Οδηγία 2009/65/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 13ης Ιουλίου 2009, για τον συντονισμό των νομοθετικών, κανονιστικών και διοικητικών διατάξεων σχετικά με ορισμένους οργανισμούς συλλογικών επενδύσεων σε κινητές αξίες (ΟΣΕΚΑ) (ΕΕ L 302 της 17.11.2009, σ. 32).

(5) Οδηγία 2009/138/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 25ης Νοεμβρίου 2009, σχετικά με την ανάληψη και την άσκηση δραστηριοτήτων ασφάλισης και αντασφάλισης (Φερεγγυότητα II) (ΕΕ L 335 της 17.12.2009, σ. 1).

(6) Οδηγία 2011/61/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 8ης Ιουνίου 2011, σχετικά με τους διαχειριστές οργανισμών εναλλακτικών επενδύσεων και για την τροποποίηση των οδηγιών 2003/41/ΕΚ και 2009/65/ΕΚ και των κανονισμών (ΕΚ) αριθ. 1060/2009 και (ΕΕ) αριθ. 1095/2010 (ΕΕ L 174 της 1.7.2011, σ. 1).

(7) Οδηγία 2013/36/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 26ης Ιουνίου 2013, σχετικά με την πρόσβαση στη δραστηριότητα των πιστωτικών ιδρυμάτων και την προληπτική εποπτεία των πιστωτικών ιδρυμάτων, την τροποποίηση της οδηγίας 2002/87/ΕΚ και την κατάργηση των οδηγιών 2006/48/ΕΚ και 2006/49/ΕΚ (ΕΕ L 176 της 27.6.2013, σ. 338).

(8) Οδηγία 2014/59/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 15ης Μαΐου 2014, για τη θέσπιση πλαισίου για την ανάκαμψη και την εξυγίανση πιστωτικών ιδρυμάτων και επιχειρήσεων επενδύσεων και για την τροποποίηση της οδηγίας 82/891/ΕΟΚ του Συμβουλίου, και των οδηγιών 2001/24/ΕΚ, 2002/47/ΕΚ, 2004/25/ΕΚ, 2005/56/ΕΚ, 2007/36/ΕΚ, 2011/35/ΕΕ, 2012/30/ΕΕ και 2013/36/ΕΕ, καθώς και των κανονισμών του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (ΕΕ) αριθ. 1093/2010 και (ΕΕ) αριθ. 648/2012 (ΕΕ L 173 της 12.6.2014, σ. 190).

(9) Οδηγία 2014/65/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 15ης Μαΐου 2014, για τις αγορές χρηματοπιστωτικών μέσων και την τροποποίηση της οδηγίας 2002/92/ΕΚ και της οδηγίας 2011/61/ΕΕ (ΕΕ L 173 της 12.6.2014, σ. 349).

(10) Οδηγία (ΕΕ) 2015/2366 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 25ης Νοεμβρίου 2015, σχετικά με υπηρεσίες πληρωμών στην εσωτερική αγορά, την τροποποίηση των οδηγιών 2002/65/ΕΚ, 2009/110/ΕΚ και 2013/36/ΕΕ και του κανονισμού (ΕΕ) αριθ. 1093/2010 και την κατάργηση της οδηγίας 2007/64/ΕΚ (ΕΕ L 337 της 23.12.2015, σ. 35).

(11) Οδηγία (ΕΕ) 2016/2341 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2016, για τις δραστηριότητες και την εποπτεία των ιδρυμάτων επαγγελματικών συνταξιοδοτικών παροχών (ΙΕΣΠ) (ΕΕ L 354 της 23.12.2016, σ. 37).

(12) Κανονισμός (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα και την τροποποίηση των κανονισμών (ΕΚ) αριθ. 1060/2009, (ΕΕ) αριθ. 648/2012, (ΕΕ) αριθ. 600/2014, (ΕΕ) αριθ. 909/2014 και (ΕΕ) 2016/1011 (βλέπε σελίδα 1 της παρούσας Επίσημης Εφημερίδας).

(13) Κανονισμός (ΕΕ) αριθ. 1093/2010 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Νοεμβρίου 2010, σχετικά με τη σύσταση Ευρωπαϊκής Εποπτικής Αρχής (Ευρωπαϊκή Αρχή Τραπεζών), την τροποποίηση της απόφασης αριθ. 716/2009/ΕΚ και την κατάργηση της απόφασης 2009/78/ΕΚ της Επιτροπής (ΕΕ L 331 της 15.12.2010, σ. 12).

(14) ΕΕ C 369 της 17.12.2011, σ. 14.