EUROOPA PARLAMENDI JA NÕUKOGU DIREKTIIV (EL) 2022/2556,

14. detsember 2022,

millega muudetakse direktiive 2009/65/EÜ, 2009/138/EÜ, 2011/61/EL, 2013/36/EL, 2014/59/EL, 2014/65/EL, (EL) 2015/2366 ja (EL) 2016/2341 seoses finantssektori digitaalse tegevuskerksusega

(EMPs kohaldatav tekst)

EUROOPA PARLAMENT JA EUROOPA LIIDU NÕUKOGU,

võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artikli 53 lõiget 1 ja artiklit 114,

võttes arvesse Euroopa Komisjoni ettepanekut,

olles edastanud seadusandliku akti eelnõu liikmesriikide parlamentidele,

võttes arvesse Euroopa Keskpanga arvamust (1),

võttes arvesse Euroopa Majandus- ja Sotsiaalkomitee arvamust (2),

toimides seadusandliku tavamenetluse kohaselt (3)

ning arvestades järgmist:

(1)

Liit peab asjakohaselt ja igakülgselt käsitlema kõiki finantssektori ettevõtjaid mõjutavaid digiriske, mis tulenevad info- ja kommunikatsioonitehnoloogia (IKT) suuremast kasutamisest finantsteenuste osutamisel ja tarbimisel, andes sellega panuse digirahanduse potentsiaali realiseerimiseks turvalises digikeskkonnas, kuivõrd see hoogustab uuenduslikkust ja edendab konkurentsivõimet.

(2)

Finantssektori ettevõtjad sõltuvad oma igapäevases äritegevuses suurel määral digitehnoloogia kasutamisest. Seetõttu on äärmiselt oluline, et nad tagavad digitaalse tegevuskerksuse IKT-riski suhtes. See vajadus on üha pakilisem tulenevalt eelkõige sellise murrangulise tehnoloogia turu kasvust, mis võimaldab väärtuse või õiguste digitaalset esitust elektrooniliselt üle kanda ja salvestada, kasutades hajusraamatut või sarnast tehnoloogiat (krüptovarad), aga ka tulenevalt nende varadega seotud teenuste jaoks mõeldud tehnoloogia turu kasvust.

(3)

Liidu tasandil on IKT-riskiga seotud finantssektori nõuded praegu esitatud Euroopa Parlamendi ja nõukogu direktiivides 2009/65/EÜ, (4) 2009/138/EÜ, (5) 2011/61/EL, (6) 2013/36/EL, (7) 2014/59/EL, (8) 2014/65/EL, (9) (EL) 2015/2366 (10) ja (EL) 2016/2341 (11).

Need nõuded on väga erinevad ja kohati mittetäielikud. Mõnel juhul on IKT-riski käsitletud üksnes kaudselt operatsiooniriski osana ning teistel juhtudel ei ole seda üldse käsitletud. Olukord paraneb Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554. (12) vastuvõtmisega. Nimetatud direktiive tuleks seega muuta, et tagada järjepidevus kõnealuse määrusega. Käesolevas direktiivis sätestatakse rida muudatusi, mis on vajalikud õigusselguse ja järjepidevuse tagamiseks seoses sellega, kuidas kõnealuste direktiivide kohaselt tegevusloa saanud ja järelevalve all olevad finantssektori ettevõtjad kohaldavad mitmesuguseid digitaalse tegevuskerksuse nõudeid, mida on vaja nende tegevuse jätkamiseks ja teenuste osutamiseks, tagades seeläbi siseturu tõrgeteta toimimise. On vaja tagada nende nõuete vastavus turusuundumustele, edendades samal ajal proportsionaalsust, eelkõige seoses finantssektori ettevõtjate suuruse ja nende suhtes kohalduva erikorraga, et vähendada nõuete täitmisega seotud kulusid.

(4)

Pangandusteenuste valdkonnas on direktiivis 2013/36/EL praegu sätestatud ainult üldised sisejuhtimise reeglid ja operatsiooniriski käsitlevad sätted, mis sisaldavad nõudeid situatsiooni- ja talitluspidevuse kavadele, mille alusel kaudselt käsitletakse IKT-riski. Selleks, et käsitleda IKT-riski ühemõtteliselt ja selgelt, tuleks situatsiooni- ja talitluspidevuse kavade nõudeid muuta, et need hõlmaksid ka IKT-riskiga seotud talitluspidevuse kavu ning reageerimis- ja taastekavu kooskõlas määruse (EL) 2022/2554 nõuetega. Ka käsitletakse IKT-riski, mis on operatsiooniriski osa, pädevate asutuste poolt tehtava järelevalvealase läbivaatamise ja hindamise protsessi käigus üksnes kaudselt ning selle riski hindamise kriteeriumid on praegu kindlaks määratud Euroopa Parlamendi ja nõukogu määrusega (EL) nr 1093/2010 (13) asutatud Euroopa Järelevalveasutuse (Euroopa Pangandusjärelevalve) (EBA) suunistes info- ja kommunikatsioonitehnoloogia riskide hindamise kohta järelevalvealase läbivaatamise ja hindamise protsessi raames. Selleks et tagada õigusselgus ning et pankade järelevalveasutused teeksid tulemuslikult kindlaks ja jälgiksid finantssektori ettevõtjate poolt IKT-riski juhtimist kooskõlas digitaalse tegevuskerksuse uue raamistikuga, tuleks samuti muuta järelevalvealase läbivaatamise ja hindamise protsessi kohaldamisala, et lisada selge viide määruses (EL) 2022/2554. sätestatud nõuetele ning et katta eelkõige riske, mis on välja toodud tõsiseid IKT intsidente puudutavates teadetes ning on ilmnenud finantssektori ettevõtjate poolt kõnealuse määruse alusel läbi viidud digitaalse tegevuskerksuse testimise käigus.

(5)

Digitaalne tegevuskerksus on oluline, et säilitada finantssektori ettevõtja kriitilised funktsioonid ja põhiäriliinid kriisilahenduse korral ning seeläbi vältida häireid reaalmajanduses ja finantssüsteemis. Tõsised operatsiooniintsidendid võivad pärssida finantssektori ettevõtja suutlikkust tegevust jätkata ning seada ohtu kriisilahenduse eesmärgid. Teatavad IKT-teenuste kasutamise lepingud on väga olulised, et tagada tegevuse järjepidevus ja pakkuda kriisilahenduse korral vajalikke andmeid. Direktiivi 2014/59/EL vastavusse viimiseks liidu tegevuserksuse raamistiku eesmärkidega tuleks direktiivi muuta, tagamaks et tegevuserksusega seotud teavet võetakse kriisilahenduse kavandamisel ning finantssektori ettevõtjate kriisilahenduskõlblikkuse hindamisel arvesse.

(6)

Direktiivis 2014/65/EL on sätestatud rangemad IKT-riski reeglid investeerimisühingutele ja kauplemiskohtadele, kes tegelevad algoritmkauplemisega. Vähem üksikasjalikke nõudeid kohaldatakse aruandlusteenuste ja kauplemisteabehoidlate suhtes. Samuti sisaldab direktiiv 2014/65/EL üksnes väheseid viiteid infotöötlussüsteemide kontrolli- ja kaitsemeetmetele ning asjakohaste süsteemide, ressursside ja protseduuride kasutamisele, et tagada äriteenuste järjepidevus ja korrapärasus. Lisaks tuleks kõnealune direktiiv viia kooskõlla määrusega (EL) 2022/2554 seoses investeerimisteenuste osutamise ja investeerimistegevuse järjepidevuse ja korrapärasuse, tegevuskerksuse, kauplemissüsteemide suutlikkuse ning talitluspidevuse korra ja riskijuhtimise tulemuslikkusega.

(7)

Direktiivis (EL) 2015/2366 on sätestatud erinormid IKT turvalisuskontrollide ja riskimaanduselementide kohta seoses makseteenuste osutamiseks tegevusloa saamisega. Kõnealuseid loa andmise norme tuleks muuta, et viia need kooskõlla määrusega (EL) 2022/2554 Lisaks tuleks halduskoormuse vähendamiseks ning keerukuse ja dubleerivate aruandlusnõuete vältimiseks lõpetada kõnealuses direktiivis sätestatud intsidentidest teatamise reeglite kohaldamine nende makseteenuse pakkujate puhul, kes kuuluvad kõnealuse direktiivi ja ka määruse (EL) 2022/2554 kohaldamisalasse, et võimaldada neil makseteenuse pakkujatel kasutada ühtset, täielikult ühtlustatud intsidentidest teatamise mehhanismi kõigist tegevust või turvalisust mõjutavatest maksetega seotud intsidentidest, olenemata sellest, kas sellised intsidendid on IKTga seotud.

(8)

Direktiivid 2009/138/EÜ ja (EL) 2016/2341 käsitlevad IKT-riski teataval määral üldjuhtimise ja riskijuhtimise üldsätetes, jättes teatavate nõuete täpsustamise delegeeritud õigusaktide ülesandeks, mitte alati viidates selleks konkreetselt IKT-riskile. Samuti kohaldatakse üksnes väga üldisi reegleid direktiivi 2011/61/EL kohaldamisalasse kuuluvate alternatiivsete investeerimisfondide valitsejate ja direktiivi 2009/65/EÜ kohaldamisalasse kuuluvate fondivalitsejate suhtes. Seepärast tuleks kõnealused direktiivid viia kooskõlla määruses (EL) 2022/2554. sätestatud IKT-süsteemide ja -vahendite haldamise nõuetega.

(9)

Paljudel juhtudel on täiendavad IKT-riski nõuded juba sätestatud delegeeritud õigusaktides ja rakendusaktides, mis on vastu võetud pädeva Euroopa järelevalveasutuse välja töötatud regulatiivsete tehniliste standardite ja rakenduslike tehniliste standardite eelnõude alusel. Kuna finantssektori IKT-riski õigusraamistiku moodustavad nüüdsest määruse (EL) 2022/2554. sätted, tuleks direktiivides 2009/65/EÜ, 2009/138/EÜ, 2011/61/EL ja 2014/65/EL sätestatud delegeeritud õigusaktide ja rakendusaktide vastuvõtmise teatavaid volitusi muuta, jättes IKT-riski käsitlevad sätted kõnealuste volituste kohaldamisalast välja.

(10)	Finantssektori digitaalse tegevuskerksuse uue raamistiku järjepidevaks kohaldamiseks peaksid liikmesriigid kohaldama käesoleva direktiivi ülevõtmiseks vastu võetud riigisiseseid õigusnorme alates määruse (EL) 2022/2554 kohaldamise alguskuupäevast.

(11)

Direktiivid 2009/65/EÜ, 2009/138/EÜ, 2011/61/EL, 2013/36/EL, 2014/59/EL, 2014/65/EL, (EL) 2015/2366 ja (EL) 2016/2341 on vastu võetud Euroopa Liidu toimimise lepingu artikli 53 lõike 1 või artikli 114 alusel. Käesoleva direktiiviga tehtavad muudatused on muudatuste sisu ja eesmärkide omavahelise seotuse tõttu koondatud ühte seadusandlikku akti. Sellest tulenevalt tuleks käesolev direktiiv vastu võtta nii Euroopa Liidu toimimise lepingu artikli 53 lõike 1 kui ka artikli 114 alusel.

(12)

Kuna käesoleva direktiivi eesmärke ei suuda liikmesriigid piisavalt saavutada, kuivõrd need hõlmavad ühtlustamist, küll aga saab neid meetme ulatuse ja toime tõttu paremini saavutada liidu tasandil, võib liit võtta meetmeid kooskõlas Euroopa Liidu lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev direktiiv nimetatud eesmärkide saavutamiseks vajalikust kaugemale.

(13)

Kooskõlas liikmesriikide ja komisjoni 28. septembri 2011. aasta ühise poliitilise deklaratsiooniga selgitavate dokumentide kohta (14) kohustuvad liikmesriigid põhjendatud juhtudel lisama ülevõtmismeetmeid käsitlevale teatele ühe või mitu dokumenti, milles selgitatakse seost direktiivi osade ja ülevõtvate liikmesriigi õigusaktide vastavate osade vahel. Käesoleva direktiivi puhul leiab seadusandja, et selliste dokumentide edastamine on põhjendatud,

ON VASTU VÕTNUD KÄESOLEVA DIREKTIIVI:

Artikkel 1

Direktiivi 2009/65/EÜ muutmine

Direktiivi 2009/65/EÜ artiklit 12 muudetakse järgmiselt:

lõike 1 teise lõigu punkt a asendatakse järgmisega:

„a)

tal on kindel juhtimis- ja raamatupidamiskord ning elektroonilise andmetöötluse kontrolli- ja järelevalvesüsteem, sealhulgas võrgu- ja infosüsteemid, mis on loodud ja mida hallatakse vastavalt Euroopa Parlamendi ja nõukogu määrusele (EL) 2022/2554, (*1) samuti nõuetekohased sisekontrollimehhanismid, (sealhulgas eelkõige töötajate isiklike tehingute jaoks või omal arvel finantsinstrumentidesse tehtavate investeeringute hoidmise ja valitsemise jaoks kehtestatud nõuded), mis tagavad vähemalt, et kõikide eurofondiga seotud tehingute päritolu, osalisi, laadi ning tegemise aega ja kohta on võimalik hiljem tuvastada ning et fondivalitseja valitsetavate eurofondide vara investeeritakse fonditingimuste või põhikirja ning kehtivate õigusaktide kohaselt;

(*1) Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta määrus (EL) 2022/2554, mis käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT L 333, 27.12.2022, lk 1).“"

lõige 3 asendatakse järgmisega:

„3. Ilma et see piiraks artikli 116 kohaldamist, võtab komisjon kooskõlas artikliga 112a delegeeritud õigusaktide abil vastu meetmed, millega määratakse kindlaks:

a)	lõike 1 teise lõigu punktis a osutatud kord ja süsteem, välja arvatud võrgu- ja infosüsteemidega seotud kord ja süsteem;

b)	lõike 1 teise lõigu punktis b osutatud ülesehitus ja korralduslikud nõuded huvide konflikti minimeerimiseks.“

Artikkel 2

Direktiivi 2009/138/EÜ muutmine

Direktiivi 2009/138/EÜ muudetakse järgmiselt.

Artikli 41 lõige 4 asendatakse järgmisega:

„4. Kindlustus- ja edasikindlustusandjad võtavad vajalikud meetmed, et tagada oma ülesannete täitmisel, sealhulgas eriolukordi käsitlevate plaanide väljatöötamisel, järjepidevus ja korrapärasus. Kindlustus- ja edasikindlustusandjad kasutavad selleks asjakohaseid ja proportsionaalseid süsteeme, ressursse ja menetlusi ning loovad eelkõige võrgu- ja infosüsteemid ja haldavad neid kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) 2022/2554 (*2).

(*2) Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta määrus (EL) 2022/2554, mis käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT L 333, 27.12.2022, lk 1).“"

Artikli 50 lõike 1 punktid a ja b asendatakse järgmisega:

„a)	artiklites 41 ja 44, eelkõige artikli 44 lõikes 2 loetletud valdkonnad, ning artiklites 46 ja 47 osutatud süsteemide elemendid, välja arvatud info- ja kommunikatsioonitehnoloogia riski juhtimisega seotud elemendid;

b)	artiklites 44, 46, 47 ja 48 osutatud funktsioonid, välja arvatud info- ja kommunikatsioonitehnoloogia riski juhtimisega seotud funktsioonid.“

Artikkel 3

Direktiivi 2011/61/EL muutmine

Direktiivi 2011/61/EL artikkel 18 asendatakse järgmisega:

„Artikkel 18

Üldpõhimõtted

1. Liikmesriigid nõuavad, et AIFi valitseja kasutab alati piisavaid ja asjakohaseid tehnilisi ja inimressursse AIFi nõuetekohaseks valitsemiseks.

Eelkõige nõuavad AIFi valitseja päritoluliikmesriigi pädevad asutused, võttes sealjuures arvesse AIFi valitseja valitsetavate AIFide laadi, et AIFi valitsejal oleks kindel juhtimis- ja raamatupidamiskord ning elektroonilise andmetöötluse jaoks kontrolli- ja kaitsekord, sealhulgas seoses võrgu- ja infosüsteemidega, mis on loodud ja mida hallatakse Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 (*3) kohaselt, ning nõuetekohased sisekontrollimehhanismid (sealhulgas eelkõige töötajate isiklike tehingute jaoks või omal arvel finantsinstrumentidesse tehtavate investeeringute hoidmise ja valitsemise jaoks kehtestatud nõuded), mis tagavad vähemalt, et kõikide AIFiga seotud tehingute päritolu, osalisi, laadi ning tegemise aega ja kohta on võimalik hiljem tuvastada ning et AIFi valitseja valitsetavate AIFide vara investeeritakse AIFi tingimuste või põhikirja ning kehtivate õigusaktide kohaselt.

2. Komisjon võtab vastavalt artiklile 56 ning artiklites 57 ja 58 sätestatud tingimustel delegeeritud õigusaktide abil vastu meetmed, millega täpsustatakse käesoleva artikli lõikes 1 osutatud kordasid, välja arvatud võrgu- ja infosüsteemidega seotud kord.

Artikkel 4

Direktiivi 2013/36/EL muutmine

Direktiivi 2013/36/EL muudetakse järgmiselt.

Artikli 65 lõike 3 punkti a alapunkt vi asendatakse järgmisega:

„vi)	alapunktides i–iv osutatud üksuste tööülesandeid või tegevusi teostavad allhankijatest kolmandad isikud, sealhulgas Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 (*4) V peatükis osutatud kolmandast isikust IKT-teenuste osutajad;

(*4) Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta määrus (EL) 2022/2554, mis käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT L 333, 27.12.2022, lk 1).“"

Artikli 74 lõike 1 esimene lõik asendatakse järgmisega:

„Finantsinstitutsioonidel peab olema kindel äriühingu juhtimise korraldus, mis hõlmab selget organisatsioonilist ülesehitust, mille puhul vastutusalad on selgesti määratletud, läbipaistvad ja järjepidevad, tõhusaid protseduure riskide või võimalike riskide kindlaksmääramiseks, juhtimiseks, jälgimiseks ja nendest teatamiseks, piisavat sisekontrollikorda, sealhulgas usaldusväärne juhtimis- ja raamatupidamiskord, võrgu- ja infosüsteeme, mis on loodud ja mida hallatakse kooskõlas määrusega (EL) 2022/2554, ning tasustamispoliitikat ja -tavasid, mis on kooskõlas usaldusväärse ja tõhusa riskijuhtimisega ja edendavad seda.“

Artikli 85 lõige 2 asendatakse järgmisega:

„2. Pädevad asutused tagavad, et finantsinstitutsioonidel on piisavad situatsiooniplaanid ning talitluspidevuse põhimõtted ja kavad, sealhulgas IKT talitluspidevuse põhimõtted ja kavad ning IKT reageerimis- ja taastekavad nende poolt teabeedastuseks kasutatava tehnoloogia jaoks, ning et need plaanid ja kavad koostatakse ning neid hallatakse ja testitakse määruse (EL) 2022/2554 artikli 11 kohaselt selleks, et finantsinstitutsioonid saaksid jätkata tegevust tõsise tegevushäire korral ja et piirata sellisest häirest tulenevat kahju.“

Artikli 97 lõikesse 1 lisatakse järgmine punkt:

„d)	määruse (EL) 2022/2554 IV peatüki kohase digitaalse tegevuskerksuse testimise käigus tuvastatud riske.“

Artikkel 5

Direktiivi 2014/59/EL muutmine

Direktiivi 2014/59/EL muudetakse järgmiselt.

Artiklit 10 muudetakse järgmiselt:

lõike 7 punkt c asendatakse järgmisega:

„c)	selgitus, kuidas on võimalik kriitilised funktsioonid ja põhiäriliinid vajalikul määral õiguslikult ja majanduslikult teistest funktsioonidest eraldada, et tagada finantsinstitutsiooni maksejõuetuse korral tema tegevuse jätkumine ja digitaalne tegevuskerksus;“;

lõike 7 punkt q asendatakse järgmisega:

„q)	finantsinstitutsiooni tegevusprotsesside toimimispidevuseks vajalike oluliste toimingute ja süsteemide kirjeldus, sealhulgas Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554. (*5) osutatud võrgu- ja infosüsteemide kirjeldus;

(*5) Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta määrus (EL) 2022/2554, mis käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT L 333, 27.12.2022, lk 1).“;"

c)	lõikesse 9 lisatakse järgmine lõik: „Euroopa Pangandusjärelevalve vaatab kooskõlas määruse (EL) nr 1093/2010 artikliga 10 regulatiivsed tehnilised standardid läbi ja kohasel juhul ajakohastab neid, et võtta muu hulgas arvesse määruse (EL) 2022/2554 II peatüki sätteid.“

Lisa muudetakse järgmiselt:

A jao punkt 16 asendatakse järgmisega:

„16)	kord ja meetmed, mis on vajalikud finantsinstitutsiooni tegevusprotsesside, sealhulgas selliste võrgu- ja infosüsteemide toimimispidevuseks, mis on loodud ja mida hallatakse määruse (EL) 2022/2554 kohaselt;“;

B jagu muudetakse järgmiselt:

punkt 14 asendatakse järgmisega:

„14)

punktis 13 nimetatud süsteemide omanike loetelu ja nendega seotud teenustaseme kokkulepped ning tarkvara ja süsteemid või litsentsid, sealhulgas nende jaotus finantsinstitutsiooni juriidiliste isikute, kriitiliste funktsioonide ja põhiäriliinide vahel, samuti määruse (EL) 2022/2554 artikli 3 punktis 23 määratletud kriitilise tähtsusega kolmandast isikust IKT-teenuste osutajate andmed;“;

ii)

lisatakse järgmine punkt:

„14a)

määruse (EL) 2022/2554 kohase finantsinstitutsiooni digitaalse tegevuskerksuse testimise tulemused;“;

C jagu muudetakse järgmiselt:

punkt 4 asendatakse järgmisega:

„4)	ulatust, mil määral finantsinstitutsiooni teenuslepingud, sealhulgas IKT-teenuste kasutamise lepingud, on finantsinstitutsiooni kriisilahenduse korral püsivad ja täielikult täidetavad;“;

ii)

lisatakse järgmine punkt:

„4a)	finantsinstitutsiooni kriitilisi funktsioone ja põhiäriliine toetavate võrgu- ja infosüsteemide digitaalset tegevuskerksust, võttes arvesse tõsiseid IKT intsidente puudutavaid teateid ja määruse (EL) 2022/2554 kohase digitaalse tegevuskerksuse testimise tulemusi;“.

Artikkel 6

Direktiivi 2014/65/EL muutmine

Direktiivi 2014/65/EL muudetakse järgmiselt.

Artiklit 16 muudetakse järgmiselt:

lõige 4 asendatakse järgmisega:

„4. Investeerimisühing võtab mõistlikke meetmeid, et tagada investeerimisteenuste osutamise ning investeerimistegevuse järjepidevus ja korrapärasus. Selleks kasutab investeerimisühing sobivaid ja proportsionaalseid süsteeme, sealhulgas info- ja kommunikatsioonitehnoloogia (IKT) süsteeme, mis on loodud ja mida hallatakse Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 (*6) artikli 7 kohaselt, samuti sobivaid ja proportsionaalseid ressursse ja protseduure.

(*6) Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta määrus (EL) 2022/2554, mis käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT L 333, 27.12.2022, lk 1).“;"

lõike 5 teine ja kolmas lõik asendatakse järgmisega:

„Investeerimisühingul on usaldusväärne haldus- ja raamatupidamiskord, sisekontrollimehhanismid ning tõhus riskihindamise kord.

Ilma et see piiraks pädevate asutuste õigust nõuda juurdepääsu teabevahetusele vastavalt käesolevale direktiivile ja määrusele (EL) nr 600/2014, loob investeerimisühing usaldusväärsed turvasüsteemid, mille abil tagada kooskõlas määruses (EL) 2022/2554 sätestatud nõuetega teabeedastusviiside turvalisus ja autentimine, minimeerida andmelaostuse ja loata juurdepääsu ohtu ning hoida ära teabelekked, säilitades igal ajal andmete konfidentsiaalsuse.“

Artiklit 17 muudetakse järgmiselt:

lõige 1 asendatakse järgmisega:

„1. Algoritmkauplemisega tegeleval investeerimisühingul on tema äritegevuse jaoks sobivad tõhusad süsteemid ja riskikontrollid selle tagamiseks, et tema kauplemissüsteemid on vastupidavad ja piisava võimsusega vastavalt määruse (EL) 2022/2554 II peatükis sätestatud nõuetele, et nende suhtes kohaldatakse asjakohaseid kauplemispiirmäärasid ja -piiranguid ning et välditakse vigaste korralduste saatmist või süsteemide muud sellist toimimist, mis võib tekitada või süvendada turgude ebastabiilsust.

Sellisel investeerimisühingul on ka tõhusad süsteemid ja riskikontrollid selle tagamiseks, et kauplemissüsteeme ei ole võimalik kasutada ühelgi eesmärgil, mis on vastuolus määrusega (EL) nr 596/2014 või selle kauplemiskoha reeglitega, millega ta on seotud.

Investeerimisühingul on oma kauplemissüsteemide tõrgete kõrvaldamiseks tulemuslik talitluspidevuse kord, sealhulgas määruse (EL) 2022/2554 artikli 11 kohaselt info- ja kommunikatsioonitehnoloogia jaoks kehtestatud IKT talitluspidevuse põhimõtted ja kavad ning IKT reageerimis- ja taastekavad, ning ta tagab oma süsteemide täieliku testimise ja nõuetekohase kontrolli, et tagada nende vastavus käesolevas lõikes sätestatud üldnõuetele ja määruse (EL) 2022/2554+ II ja IV peatükis sätestatud erinõuetele.“;

lõike 7 punkt a asendatakse järgmisega:

„a)

muude lõigetes 1–6 sätestatud organisatsiooniliste nõuete üksikasjad kui need, mis on seotud IKT-riski juhtimisega, mis kehtestatakse sellistele investeerimisühingutele, mis tegelevad eri investeerimisteenuste osutamise, mitmesuguse investeerimistegevuse, kõrvalteenuste osutamise või nende kombinatsioonidega; lõikes 5 sätestatud organisatsioonilisi nõudeid käsitlevates täpsustustes nähakse ette konkreetsed nõuded otsese turulepääsu ja spondeeritud turulepääsu kohta, et tagada, et spondeeritud turulepääsu suhtes kohaldatav kontroll on vähemalt samaväärne otsese turulepääsu suhtes kohaldatava kontrolliga;“.

Artikli 47 lõiget 1 muudetakse järgmiselt:

punkt b asendatakse järgmisega:

„b)	oleks piisavalt varustatud, et tulla toime võimalike riskidega, sealhulgas juhtida IKT-riski vastavalt määruse (EL) 2022/2554. II peatükile, rakendaks asjakohast korda ja süsteeme kogu oma tegevuse jaoks oluliste riskide kindlakstegemiseks ja kehtestaks tõhusad meetmed nende riskide maandamiseks;“;

b)	punkt c jäetakse välja.

Artiklit 48 muudetakse järgmiselt:

lõige 1 asendatakse järgmisega:

„1. Liikmesriigid nõuavad reguleeritud turult tegevuskerksuse loomist vastavalt määruse (EL) 2022/2554 II peatükis sätestatud nõuetele ja selle säilitamist, et tagada, et kauplemissüsteemid oleksid vastupidavad, nende maht võimaldaks käsitleda suurt hulka korraldusi ja sõnumeid, nad suudaksid nõuetekohaselt kaubelda ka tõsiste turupingete korral, nende vastavust sellistele tingimustele oleks täielikult testitud ning oleks olemas tõhus talitluspidevuse kord, mis hõlmab IKT talitluspidevuse põhimõtteid ja kavasid ning IKT reageerimis- ja taastekavasid, mis on kehtestatud kooskõlas määruse (EL) 2022/2554 artikliga 11, et tagada oma teenuste järjepidevus kauplemissüsteemide häirete korral.“;

lõige 6 asendatakse järgmisega:

„6. Liikmesriigid nõuavad reguleeritud turult tulemuslikke süsteeme, protseduure ja korda, sealhulgas et liikmetelt või osalistelt nõutaks sellist algoritmide testimist ning sellise testimist hõlbustava keskkonna loomist vastavalt määruse (EL) 2022/2554 II ja IV peatükis sätestatud nõuetele, mis tagaksid, et algoritmkauplemise süsteemid ei looks turul nõuetele mittevastavaid kauplemistingimusi ega aitaks selliste tingimuste tekkele kaasa, ja haldaksid neist algoritmkauplemise süsteemidest tulenevaid nõuetele mittevastavaid kauplemistingimusi, sealhulgas liikme või osalise poolt süsteemi sisestatavate täitmata kohustuste ja tehingute suhtarvu piiravaid süsteeme, et korralduste voogu saaks aeglustada, kui on oht, et süsteemi maht võib saada ületatud, ning et minimaalset hinnasammu saaks piirata ning selle täitmist tagada.“;

lõiget 12 muudetakse järgmiselt:

punkt a asendatakse järgmisega:

„a)	nõuded, et tagada reguleeritud turgude kauplemissüsteemide vastupidavus ja piisav maht, välja arvatud digitaalse tegevuskerksusega seotud nõuded;“;

ii)

punkt g asendatakse järgmisega:

„g)

nõuded, et tagada algoritmide asjakohane testimine (välja arvatud digitaalse tegevuskerksuse testimine), millega tagatakse see, et algoritmkauplemise süsteemid, sealhulgas algoritmipõhise välkkauplemise süsteemid, ei saa luua turul nõuetele mittevastavaid kauplemistingimusi ega sellele kaasa aidata.“

Artikkel 7

Direktiivi (EL) 2015/2366 muutmine

Direktiivi (EL) 2015/2366 muudetakse järgmiselt.

Artikli 3 punkt j asendatakse järgmisega:

„j)

tehniliste teenuste pakkujate teenused, millega toetatakse makseteenuste osutamist, kusjuures ülekantavad rahalised vahendid ei kuulu ühelgi ajahetkel selliste teenuste pakkujatele, sealhulgas andmetöötlus ja andmete säilitamine, usaldus- ja eraelu puutumatuse kaitse teenused, andmete ja olemi autentimine, info- ja kommunikatsioonitehnoloogia (IKT) ja sidevõrguteenuste osutamine, makseteenuste puhul kasutatavate terminalide ja seadmete kasutuseks andmine ja hooldus, välja arvatud makse algatamise teenused ja kontoteabe teenused;“

Artikli 5 lõiget 1 muudetakse järgmiselt:

esimest lõiku muudetakse järgmiselt:

punkt e asendatakse järgmisega:

„e)

taotluse esitaja juhtimiskorra ja sisekontrollimehhanismide, sealhulgas haldus-, riskijuhtimis- ja raamatupidamiskorra ning kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) 2022/2554 (*7) IKT-teenuste kasutamise korra kirjeldus, mis tõendab, et nimetatud juhtimiskord ja sisekontrollimehhanismid on proportsionaalsed, asjakohased, usaldusväärsed ja piisavad;

(*7) Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta määrus (EL) 2022/2554, mis käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT L 333, 27.12.2022, lk. 1).“;"

ii)

punkt f asendatakse järgmisega:

„f)	turvaintsidentide ja turvalisusega seotud kliendikaebuste seire ja lahendamise ning nende suhtes meetmete võtmise korra kirjeldus, sealhulgas intsidentidest teatamise kord, milles võetakse arvesse makseasutuse teatamiskohustust, mis on sätestatud määruse (EL) 2022/2554 III peatükis;“;

iii)

punkt h asendatakse järgmisega:

„h)	talitluspidevuse korra kirjeldus, mis hõlmab oluliste toimingute loetelu, tõhusaid IKT talitluspidevuse põhimõtteid ja kavasid ning IKT reageerimis- ja taastekavasid ning nende kavade asjakohasuse ja tõhususe korrapärase testimise ja läbivaatamise menetlust kooskõlas määrusega (EL) 2022/2554.;“;

kolmas lõik asendatakse järgmisega:

„Esimese lõigu punktis j osutatud turvalisuskontrolli ja riskide maandamise meetmete kirjeldus annab ülevaate sellest, kuidas need tagavad määruse (EL) 2022/2554 II peatüki kohaselt kõrgel tasemel digitaalse tegevuskerksuse, eelkõige seoses tehnilise turvalisuse ja andmekaitse, sealhulgas tarkvara ja IKT-süsteemide puhul, mida kasutavad taotluse esitaja või ettevõtjad, kellele ta kogu oma tegevuse või osa sellest edasi annab. Kõnealused meetmed hõlmavad ka käesoleva direktiivi artikli 95 lõikes 1 sätestatud turvameetmeid. Nende meetmete puhul võetakse arvesse EBA poolt vastavalt käesoleva direktiivi artikli 95 lõikele 3 esitatud turvameetmete suuniseid, kui need on välja antud.“

Artikli 19 lõike 6 teine lõik asendatakse järgmisega:

„Oluliste tööülesannete, sealhulgas IKT-süsteemide edasiandmine ei või toimuda viisil, mis kahjustab oluliselt makseasutuse sisekontrolli kvaliteeti ja pädevate asutuste võimet kontrollida ja jälgida, et makseasutused täidavad kõiki käesolevas direktiivis sätestatud kohustusi.“

Artikli 95 lõikesse 1 lisatakse järgmine lõik:

„Esimene lõik ei piira määruse (EL) 2022/2554 II peatüki kohaldamist järgmiste suhtes:

a)	makseteenuse pakkujad, millele on osutatud käesoleva direktiivi artikli 1 lõike 1 punktides a, b ja d;

b)	kontoteabe teenuse pakkujad, millele on osutatud käesoleva direktiivi artikli 33 lõikes 1;

c)	makseasutused, mille suhtes kohaldatakse käesoleva direktiivi artikli 32 lõike 1 kohast erandit, ja

d)	e-raha asutused, mille suhtes kohaldatakse direktiivi 2009/110/EÜ artikli 9 lõikes 1 osutatud erandit.“

Artiklisse 96 lisatakse järgmine lõige:

„7. Liikmesriigid tagavad, et käesoleva artikli lõikeid 1–5 ei kohaldata järgmiste suhtes:

a)	makseteenuse pakkujad, millele on osutatud käesoleva direktiivi artikli 1 lõike 1 punktides a, b ja d;

b)	kontoteabe teenuse pakkujad, millele on osutatud käesoleva direktiivi artikli 33 lõikes 1;

c)	makseasutused, mille suhtes kohaldatakse käesoleva direktiivi artikli 32 lõike 1 kohast erandit, ja

d)	e-raha asutused, mille suhtes kohaldatakse direktiivi 2009/110/EÜ artikli 9 lõikes 1 osutatud erandit.“

Artikli 98 lõige 5 asendatakse järgmisega:

„5. EBA vaatab kooskõlas määruse (EL) nr 1093/2010 artikliga 10 regulatiivsed tehnilised standardid korrapäraselt läbi ja kohasel juhul ajakohastab neid, et võtta muu hulgas arvesse innovatsiooni ja tehnoloogia arengut ning määruse (EL) 2022/2554 II peatüki sätteid.“

Artikkel 8

Direktiivi (EL) 2016/2341 muutmine

Direktiivi (EL) 2016/2341 artikli 21 lõige 5 asendatakse järgmisega:

„5. Liikmesriigid tagavad, et pensioniasutused võtavad vajalikud meetmed, et tagada oma ülesannete täitmisel, sealhulgas eriolukordi käsitlevate plaanide väljatöötamisel, järjepidevus ja korrapärasus. Kohasel juhul kasutavad pensioniasutused selleks asjakohaseid ja proportsionaalseid süsteeme, ressursse ja menetlusi, luues eeskätt võrgu- ja infosüsteemid ning neid hallates kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) 2022/2554 (*8).

Artikkel 9

Ülevõtmine

1. Liikmesriigid võtavad käesoleva direktiivi järgimiseks vajalikud õigus- ja haldusnormid vastu ja avaldavad need hiljemalt 17. jaanuariks 2025. Liikmesriigid edastavad kõnealuste õigus- ja haldusnormide teksti viivitamata komisjonile.

Nad kohaldavad kõnealuseid norme alates 17. jaanuarist 2025.

Kui liikmesriigid need normid vastu võtavad, lisavad nad nende ametlikul avaldamisel nendesse või nende juurde viite käesolevale direktiivile. Sellise viitamise viisi näevad ette liikmesriigid.

2. Liikmesriigid edastavad komisjonile käesoleva direktiiviga reguleeritavas valdkonnas nende poolt vastu võetud põhiliste riigisiseste õigusnormide teksti.

Artikkel 10

Jõustumine

Käesolev direktiiv jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

Artikkel 11

Adressaadid

Käesolev direktiiv on adresseeritud liikmesriikidele.

Strasbourg, 14. detsember 2022

Euroopa Parlamendi nimel

president

R. METSOLA

Nõukogu nimel

eesistuja

M. BEK

(1) ELT C 343, 26.8.2021, lk 1.

(2) ELT C 155, 30.4.2021, lk 38.

(3) Euroopa Parlamendi 10. novembri 2022. aasta seisukoht (Euroopa Liidu Teatajas seni avaldamata) ja nõukogu 28. novembri 2022. aasta otsus.

(4) Euroopa Parlamendi ja nõukogu 13. juuli 2009. aasta direktiiv 2009/65/EÜ vabalt võõrandatavatesse väärtpaberitesse ühiseks investeeringuks loodud ettevõtjaid (eurofondid) käsitlevate õigus- ja haldusnormide kooskõlastamise kohta (ELT L 302, 17.11.2009, lk 32).

(5) Euroopa Parlamendi ja nõukogu 25. novembri 2009. aasta direktiiv 2009/138/EÜ kindlustus- ja edasikindlustustegevuse alustamise ja jätkamise kohta (Solventsus II) (ELT L 335, 17.12.2009, lk 1).

(6) Euroopa Parlamendi ja nõukogu 8. juuni 2011. aasta direktiiv 2011/61/EL alternatiivsete investeerimisfondide valitsejate kohta, millega muudetakse direktiive 2003/41/EÜ ja 2009/65/EÜ ning määruseid (EÜ) nr 1060/2009 ja (EL) nr 1095/2010 (ELT L 174, 1.7.2011, lk 1).

(7) Euroopa Parlamendi ja nõukogu 26. juuni 2013. aasta direktiiv 2013/36/EL, mis käsitleb krediidiasutuste tegevuse alustamise tingimusi ning krediidiasutuste usaldatavusnõuete täitmise järelevalvet, millega muudetakse direktiivi 2002/87/EÜ ning millega tunnistatakse kehtetuks direktiivid 2006/48/EÜ ja 2006/49/EÜ (ELT L 176, 27.6.2013, lk 338).

(8) Euroopa Parlamendi ja nõukogu 15. mai 2014. aasta direktiiv 2014/59/EL, millega luuakse krediidiasutuste ja investeerimisühingute finantsseisundi taastamise ja kriisilahenduse õigusraamistik ning muudetakse nõukogu direktiivi 82/891/EMÜ ning Euroopa Parlamendi ja nõukogu direktiive 2001/24/EÜ, 2002/47/EÜ, 2004/25/EÜ, 2005/56/EÜ, 2007/36/EÜ, 2011/35/EL, 2012/30/EL ja 2013/36/EL ning määruseid (EL) nr 1093/2010 ja (EL) nr 648/2012 (ELT L 173, 12.6.2014, lk 190).

(9) Euroopa Parlamendi ja nõukogu 15. mai 2014. aasta direktiiv 2014/65/EL finantsinstrumentide turgude kohta ning millega muudetakse direktiive 2002/92/EÜ ja 2011/61/EL (ELT L 173, 12.6.2014, lk 349).

(10) Euroopa Parlamendi ja nõukogu 25. novembri 2015. aasta direktiiv (EL) 2015/2366 makseteenuste kohta siseturul, direktiivide 2002/65/EÜ, 2009/110/EÜ ning 2013/36/EL ja määruse (EL) nr 1093/2010 muutmise ning direktiivi 2007/64/EÜ kehtetuks tunnistamise kohta (ELT L 337, 23.12.2015, lk 35).

(11) Euroopa Parlamendi ja nõukogu 14. detsembri 2016. aasta direktiiv (EL) 2016/2341 tööandja kogumispensioni asutuste tegevuse ja järelevalve kohta (ELT L 354, 23.12.2016, lk 37).

(12) Euroopa Parlamendi ja nõukogu 14. detsembri 2022 aasta määrus (EL) 2022/2554, mis käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (vt käesoleva Euroopa Liidu Teataja lk 1).

(13) Euroopa Parlamendi ja nõukogu 24. novembri 2010. aasta määrus (EL) nr 1093/2010, millega asutatakse Euroopa Järelevalveasutus (Euroopa Pangandusjärelevalve), muudetakse otsust nr 716/2009/EÜ ning tunnistatakse kehtetuks komisjoni otsus 2009/78/EÜ (ELT L 331, 15.12.2010, lk 12).

(14) ELT C 369, 17.12.2011, lk 14.