Euroopan talous- ja sosiaalikomitean lausunto aiheista ”Ehdotus Euroopan parlamentin ja neuvoston asetukseksi rahoitusalan digitaalisesta häiriönsietokyvystä ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014 ja (EU) N:o 909/2014 muuttamisesta”

(COM(2020) 595 final – 2020/0266 (COD))

ja

”Ehdotus Euroopan parlamentin ja neuvoston direktiiviksi direktiivien 2006/43/EY, 2009/65/EY, 2009/138/EY, 2011/61/EU, 2013/36/EU, 2014/65/EU, (EU) 2015/2366 ja (EU) 2016/2341 muuttamisesta”

(COM(2020) 596 final – 2020/0268 (COD))

(2021/C 155/06)

Esittelijä:

Antonio GARCÍA DEL RIEGO

Lausuntopyyntö	Euroopan parlamentti, 17.12.2020 Euroopan unionin neuvosto, 22.12.2020
Oikeudellinen perusta	Euroopan unionin toiminnasta tehdyn sopimuksen 53 artiklan 1 kohta, 114 artiklan 1 kohta ja 304 artikla
Vastaava jaosto	”talous- ja rahaliitto, taloudellinen ja sosiaalinen yhteenkuuluvuus”
Hyväksyminen jaostossa	12.2.2021
Hyväksyminen täysistunnossa	24.2.2021
Täysistunnon numero	558
Äänestystulos (puolesta / vastaan / pidättyi äänestämästä)	243/1/4

1.    Päätelmät ja suositukset

1.1

ETSK suhtautuu myönteisesti Euroopan komission esittämään ehdotukseen digitaalisesta häiriönsietokyvystä (Digital Operational Resilience Act, DORA), sillä sen tavoitteena on tuoda oikeudellista selkeyttä tieto- ja viestintätekniikan (TVT) riskejä koskeviin säännöksiin, vähentää sääntelyn monimutkaisuutta, luoda yhteiset standardit TVT-riskien lieventämiseksi ja edistää yhdenmukaistettua valvontamallia samalla kun tarjotaan oikeusvarmuutta ja tarvittavia suojatoimia rahoitusyrityksille ja TVT-palvelujen tarjoajille. Ehdotettu asetus paitsi parantaa alan kykyä sietää TVT-riskejä tuo myös etuja useille sidosryhmille, kuten asiakkaille, sijoittajille ja työntekijöille, ja edistää kestävän kehityksen toteutumista.

1.2

ETSK suosittaa, että DORA-säädösehdotuksen tehokkuutta parannetaan seuraavin toimin:

1.2.1

Sisällytetään asetuksen soveltamisalaan kaikki kriittisten rahoituspalvelujen tarjoajat, jotka kehittävät rahoitustoimintaa, ja suljetaan pois muihin kuin kriittisiin toimintoihin käytetyt TVT-palvelut.

1.2.2

Varmistetaan DORA-säädösehdotuksen ja Euroopan valvontaviranomaisten antamissa voimassa olevissa ohjeissa vahvistettujen vaatimusten määritelmien ja soveltamisalojen johdonmukaisuus.

1.2.3

Otetaan TVT-hallinnon osalta käyttöön kehys, jossa keskitytään periaate- ja riskipohjaiseen lähestymistapaan, joka helpottaa tulevaisuuden vaatimukset huomioon ottavan, joustavan ja riskeihin suhteutetun valvonnan toteuttamista.

1.2.4

Varmistetaan TVT:hen liittyvien poikkeamien osalta täysi yhdenmukaisuus finanssimarkkinoiden vakauden valvontaryhmän (FSB) kyberhäiriötilanteisiin reagoimista ja niistä palautumista koskevan välineistön kanssa.

1.2.5

Korostetaan digitaalisen häiriönsietokyvyn testauksen osalta rahoituslaitoksen koon lisäksi myös palvelun monitahoisuutta ja kriittistä luonnetta. Vältetään ulkoistamisvelvoitetta ulkopuolisten testaajien vähäisen määrän vuoksi ja varmistetaan testitulosten vastavuoroinen tunnustaminen.

1.2.6

Kootaan ulkoistamista koskevat vaatimukset yhteen sääntökirjaan, jotta voidaan varmistaa oikeusvarmuus kaikkien markkinaosapuolten kannalta ja täyttää luotettavasti valvontaan liittyvät odotukset.

1.2.7

Varmistetaan päävalvojien suositusten täysimääräinen noudattaminen sekä kriittisten TVT-palvelun tarjoajina olevien kolmansien osapuolten valvontaan osallistuvien eri viranomaisten selkeät roolit ja vastuualat.

1.2.8

Varmistetaan mahdollisuus ulkoistaa kriittisiksi katsottuja palveluja kolmansiin maihin sijoittautuneille ulkopuolisille palveluntarjoajille, jotta vältetään yritysten sopimusvapauden ja korkean lisäarvon tarjoajien palvelujen käyttömahdollisuuksien rajoittaminen.

1.2.9

Sisällytetään seuraamusjärjestelmään suhteellisuus, vältetään TVT-tarjoajiin vaikuttavia pidäkkeitä palvella EU:n rahoituslaitoksia, ja luovutaan nykyisestä kytköksestä maailmanlaajuiseen liikevaihtoon.

1.2.10

Selkeytetään yritysten mahdollisuuksia jakaa kyberuhkia koskevia tietoja varmistamalla, että tällaiset järjestelyt otetaan käyttöön vapaaehtoisuuden pohjalta ja että DORA-ehdotukseen sisällytetään nimenomainen säännös, joka mahdollistaa henkilötietojen vaihdon.

1.2.11

Harkitaan ehdotuksen poikkeusten laajentamista koskemaan myös pieniä ja mikroyrityksiä komission suosituksen 2003/361/EY liitteen I osaston 2 artiklan 2 kohdan määritelmää (yritys, ”jonka palveluksessa on vähemmän kuin 50 työntekijää ja jonka vuosiliikevaihto tai taseen loppusumma on enintään 10 miljoonaa euroa”) soveltaen ja pk-yrityksiin sovellettavien vaatimusten määrän vähentämistä yrityksen digitaaliseen riskiprofiiliin suhteutettuna (1).

1.3

ETSK kannattaa päävalvojien valtuuttamista suorittamaan kriittisiä TVT-palvelujen tarjoajina olevia kolmansia osapuolia (critical third-party providers, CTTP) koskevia tarkastus- ja auditointimenettelyjä, sillä päävalvojat saisivat näin paremman käsityksen riskeistä, joita nämä tarjoajat voivat aiheuttaa, ja tämä voisi auttaa virtaviivaistamaan pankkien ulkoistamismenettelyjä.

2.    Taustaa

2.1

Eurooppalaiset kuluttajat ja yritykset tukeutuvat yhä enemmän digitaalisiin rahoituspalveluihin, mikä kulkee käsi kädessä sen kanssa, että markkinatoimijat hyödyntävät yhä enemmän ja innovatiivisempia ratkaisuja, jotka perustuvat uusiin teknologioihin. Digitalisaatio on avainasemassa Euroopan elpymisen sekä kestävän ja sopeutumiskykyisen Euroopan talouden luomisen kannalta.

2.2

Asettamiensa painopisteiden mukaisesti – niiden tavoitteena on kehittää Euroopan digitaalista valmiutta ja rakentaa tulevaisuuden haasteisiin valmista, ihmisten hyväksi toimivaa taloutta – komissio on ehdottanut digitaalista rahoitusta koskevaa pakettia. Paketissa hahmotellaan toimenpiteitä, joilla pyritään edistämään ja tukemaan digitaalisen rahoituksen mahdollisuuksia innovoinnin ja kilpailun näkökulmasta ja samalla lieventämään tällaiseen rahoitukseen liittyviä riskejä.

2.3

Digitaalista häiriönsietokykyä koskevan ehdotuksen lisäksi digitaalista rahoitusta koskevaan pakettiin sisältyy EU:n rahoitusalan uusi digitaalisen rahoituksen strategia (2) ja ehdotus asetukseksi kryptovarojen markkinoista sekä ehdotus asetukseksi hajautetun tilikirjan teknologiaan perustuvien markkinainfrastruktuurien pilottijärjestelmästä (3).

2.4

Digitaalinen häiriönsietokyky merkitsee yritysten valmiutta varmistaa, että ne kestävät kaiken tyyppiset tieto- ja viestintätekniikkaan liittyvät häiriöt ja uhat. Koska rahoitusala on yhä riippuvaisempi ohjelmistoista ja digitaalisista prosesseista, tieto- ja viestintätekniikkaan liittyvät riskit ovat alalle luontaisia. Rahoitusyrityksistä on tullut kohteita kyberhyökkäyksille, jotka aiheuttavat vakavaa taloudellista ja maineeseen kohdistuvaa vahinkoa kuluttajille ja yrityksille. Nämä riskit on ymmärrettävä hyvin ja niitä on hallittava, erityisesti stressikausina.

2.5

Vaikka vuoden 2008 finanssikriisin vanavedessä toteutettu uudistus vahvisti EU:n rahoitusalan rahoituksellista häiriönsietokykyä, sillä puututtiin tieto- ja viestintätekniikan riskeihin vain välillisesti. Digitaalista häiriönsietokykyä koskevan EU-tason sääntelykehyksen puuttuminen EU:n tasolla on johtanut kansallisten sääntelyaloitteiden määrän lisääntymiseen. Tämä on kuitenkin rajoittanut rajatylittävää tehokkuutta ja johtanut sisämarkkinoiden pilkkoutumiseen, mikä heikentää EU:n rahoitusalan vakautta ja eheyttä. Tätä taustaa vasten komissio ehdottaa kattavan kehyksen luomista EU:n finanssiyhteisöjen digitaalista häiriönsietokykyä varten.

2.6

Säädösehdotuksella digitaalisesta häiriönsietokyvystä (DORA) (4) pyritään vahvistamaan ja virtaviivaistamaan finanssiyhteisöjen TVT-riskinhallinnan toteuttamista, ottamaan käyttöön TVT-järjestelmien häiriönsietokyvyn perusteellinen testaus, edistämään tiedonjakoa ja lisäämään valvontaviranomaisten tietoa finanssiyhteisöjen kohtaamista kyberriskeistä ja TVT:hen liittyvistä poikkeamista sekä antamaan finanssivalvojille valtuuksia valvoa riskejä, jotka johtuvat siitä, että finanssiyhteisöt ovat riippuvaisia TVT-palvelujen tarjoajina olevista kolmansista osapuolista. Ehdotuksella pyritään myös luomaan johdonmukainen häiriöiden raportointimekanismi, joka voisi auttaa vähentämään finanssiyhteisöjen hallinnollista rasitetta ja vahvistamaan valvonnan tehokkuutta.

2.7

Komissio on esittänyt myös asiaan liittyvän direktiiviehdotuksen (5), koska digitaalista häiriönsietokykyä koskevan ehdotuksen tavoitteiden saavuttamiseksi on tarpeen säätää monenkeskisiä kaupankäyntijärjestelmiä koskevasta väliaikaisesta poikkeuksesta ja muuttaa tai selkeyttää voimassa olevien EU:n rahoituspalveludirektiivien tiettyjä säännöksiä.

2.8

TVT-markkinat ovat yksi maailman suurimmista teollisuudenaloista, ja niiden arvoksi on arvioitu yli viisi biljoonaa Yhdysvaltain dollaria vuonna 2019 ja yli kuusi biljoonaa Yhdysvaltain dollaria vuoteen 2022 mennessä. Jatkuva kasvu muistuttaa teknologian yleistymisestä ja merkityksestä nyky-yhteiskunnassa. Säädösehdotuksen vaikutustenarvioinnin mukaan rahoitusala on maailman suurin tieto- ja viestintätekniikan käyttäjä, ja sen osuus kaikista TVT-menoista on noin 20 prosenttia.

2.9

Covid-19-pandemia on edistänyt digitaalisten rahoituspalvelujen yleistymistä, samalla kun rahoituslaitosten konttoriverkostot ovat edelleen alikäytettyjä. Tämä kannustaa investointeja digitaalisiin itsepalveluvälineisiin, avoimiin rahoitussovelluksiin ja lisäarvopalveluihin. Kaiken kaikkiaan nykytilanne pakottaa rahoituslaitokset investoimaan enemmän tietotekniikkainfrastruktuuriin, asettamaan kriittisten töiden siirtämisen etusijalle ja päivittämään olemassa olevia sovelluksia. Euroopan rahoitusalalla on jo käynnissä merkittävä digitaalinen muutos, ja sen kyky kilpailla maailmanlaajuisesti riippuu suurelta osin EU:n rahoituslaitosten kyvystä hyödyntää kaikkein edistyneimpiä teknologioita.

3.    Yleisiä huomioita

3.1

ETSK suhtautuu myönteisesti Euroopan komission esittämään säädösehdotukseen digitaalisesta häiriönsietokyvystä (DORA), jossa käsitellään monia rahoitusalan esittämiä vaatimuksia ja jolla pyritään tuomaan oikeudellista selkeyttä tieto- ja viestintätekniikkaan liittyviä riskejä koskeviin säännöksiin, vähentämään sääntelyn monimutkaisuutta ja keventämään hallinnollista taakkaa, joka johtuu finanssiyhteisöihin eri puolilla EU:ta sovellettavien sääntöjen eroista. Ehdotettu asetus paitsi parantaa alan kykyä sietää TVT-riskejä tuo myös etuja useille sidosryhmille, kuten asiakkaille, sijoittajille ja työntekijöille, ja edistää kestävän kehityksen toteutumista.

3.2

ETSK katsoo, että DORA-säädösehdotus on tärkeä askel kohti yhteisten standardien luomista tieto- ja viestintätekniikkaan liittyvien riskien alentamiseksi ja yhdenmukaisen valvontamallin edistämiseksi, mutta komitean mielestä olisi varottava lisäämästä esteitä, jotka voisivat rajoittaa EU:n rahoituslaitosten osallistumista maailmanlaajuiseen innovointiprosessiin.

3.3

ETSK pitää yleistavoitteena sitä, että EU:n viranomaiset pyrkivät luomaan oikeasuhteisen ja riskiperusteisen järjestelmän, joka tarjoaa finanssivalvojille välineet puuttua huolenaiheisiin ja antaa samalla oikeusvarmuutta ja tarvittavia suojatoimia rahoitusyrityksille ja tieto- ja viestintätekniikan tarjoajille.

4.    Erityiset huomiot

4.1   Soveltamisala ja sääntelyn päällekkäisyys

4.1.1   Uusien relevanttien rahoitusalan toimijoiden sisällyttäminen soveltamisalaan

ETSK panee merkille ehdotetun lainsäädännön kohteena olevien rahoitusmarkkinoiden toimijoiden laajan kattavuuden, jolla varmistetaan sen vaatimusten johdonmukainen soveltaminen koko EU:n rahoitusalalla, ja suhtautuu siihen myönteisesti. Komitea suosittaa kuitenkin, että EU:n poliittiset päättäjät sisällyttävät soveltamisalaan sellaisia rahoitusalan toimijoita, joita ehdotuksessa ei ole otettu huomioon, kuten kiinnitysluottojen ja kulutusluottojen tarjoajia. Tämän tulisi tapahtua asianmukaisessa mitassa, eli riippuen näiden järjestelmälle mahdollisesti aiheuttamasta riskistä. Kaikkiin rahoituspalvelujen tarjoajiin, jotka kehittävät samaa toimintaa ja ottavat samoja riskejä, olisi sovellettava samoja sääntöjä ja valvontaa, jotta varmistetaan samat digitaalisen häiriönsietokyvyn vähimmäisvaatimukset, jotka suojelevat kuluttajia ja rahoitusvakautta.

4.1.2   Johdonmukaisuus kansainvälisellä ja EU:n tasolla sekä yhdenmukaisuus voimassa olevien säännösten kanssa

On erittäin tärkeää tarjota selkeyttä yrityksille ja erityisesti rajojen yli toimiville yrityksille ja varmistaa, että määritelmät ja termit ovat johdonmukaisia ja että vältetään toistot, päällekkäisyydet ja erilaiset tulkinnat siitä, miten vastaavat sääntelyyn liittyvät odotukset voidaan täyttää eri lainkäyttöalueilla. ETSK suosittaa, että EU:n poliittiset päättäjät muuttavat toiminnallisen kestävyyden määritelmää siten, että se on Baselin pankkivalvontakomitean (BCBS) määritelmän (6) mukainen, ja varmistavat, että se on EU:n rahoituslaitoksiin sovellettava ensisijainen järjestelmä, jotta vältetään ristiriidat muiden järjestelmien kanssa. Lisäksi monet DORA-säädösehdotuksen periaatteista ja vaatimuksista on jo määritelty nykyisissä, ulkoistamista koskevissa suuntaviivoissa (7). Myös tieto- ja viestintätekniikkaan liittyvät riskit ja turvallisuusriskien hallintaa koskevat vaatimukset on jo määritelty EPV:n ohjeissa. On ratkaisevan tärkeää varmistaa johdonmukaisuus DORA-säädösehdotuksen ja voimassa olevissa suuntaviivoissa vahvistettujen vaatimusten ja soveltamisalojen välillä EU:n sääntelyvaatimusten yhdenmukaistamiseksi.

4.1.3

ETSK suosittaa Euroopan komissiolle myös sen varmistamista, että meneillään olevassa verkko- ja tietoturvadirektiivin uudelleentarkastelussa ja DORA-ehdotuksessa sovelletaan samoja määritelmiä ja vaatimuksia, jotka koskevat TVT:hen liittyvien poikkeamien raportoinnin käytänteitä finanssiyhteisöissä.

4.2   Tieto- ja viestintätekniikan riskinhallinta

Tietyissä kehyksen osioissa keskitytään liikaa sääntöjen noudattamiseen eikä niinkään siihen, miten yritykset voivat osoittaa tuloksia periaate- ja riskiperusteisessa toimintamallissa. Koska nämä osiot ovat liian ohjailevia ja yksityiskohtaisia, vaarana on, että ne vanhentuvat kyber- sekä tieto- ja viestintätekniikan riskiympäristön kehittyessä. ETSK suosittelee periaatteellisempaa ja riskiperusteisempaa toimintamallia, joka helpottaa tulevaisuuden vaatimukset huomioon ottavien, joustavien, oikeasuhteisten ja riskeihin suhteutettujen tarkastusten toteuttamista.

4.3   Tieto- ja viestintätekniikkaan liittyvät häiriöt

ETSK suosittaa, että varmistetaan DORA-ehdotuksessa kaavaillun, TVT:hen liittyvien poikkeamien ehdotetun hallinnan, luokittelun ja raportoinnin täysi yhdenmukaisuus finanssimarkkinoiden vakauden valvontaryhmän (FSB) äskettäin julkaiseman kyberhäiriötilanteisiin reagoimista ja niistä palautumista (Cyber Incident Response and Recovery, CIRR) koskevan välineistön (8) kanssa: Se käsittää häiriöiden raportointia koskevia hyviä käytänteitä. Olemassa olevat päällekkäisyydet aiheuttavat sääntelyyn liittyvää epävarmuutta ja lisäävät yritysten sääntelytaakkaa.

4.4   Digitaalisen häiriönsietokyvyn testaus

4.4.1

Vaikka ETSK suhtautuu myönteisesti Euroopan laajuiseen uhkaperusteiseen tunkeutumistestausjärjestelmään (Threat Led Penetration Testing, TLPT), koska se lisää tehokkuutta ja vähentää hajanaisuutta, komitea suosittaa, että viranomaiset kiinnittävät huomiota paitsi rahoituslaitosten kokoon myös palvelun kompleksisuuteen ja kriittiseen luonteeseen. Tässä tulisi tarvittaessa ottaa huomioon suhteellisuusperiaate ja poistaa kaikkien rahoituslaitosten tavanomaisten testien ja merkittävien rahoituslaitosten vaativamman testauksen välinen ero. Olisi huolehdittava siitä, että pienempien rahoituslaitosten asiakkaita suojellaan yhdenvertaisesti ja että kaikille finanssiyhteisöille luodaan tasapuoliset toimintaedellytykset.

4.4.2

ETSK suosittaa, että testauksen ulkoistamista ulkopuolisille testaajille ei tulisi tehdä pakolliseksi, koska ulkopuolisia testaajia on vain vähän. Yrityksillä saattaa hyvinkin olla omia sisäisiä testaustiimejä, jotka tuntevat yritysten toimintaympäristön ja pystyvät nopeasti toteuttamaan edistyneempiä ja kohdennetumpia testejä.

4.4.3

Olisi tarkasteltava uudelleen TVT-palveluntarjoajana olevien kolmansien osapuolten sisällyttämistä uhkaperusteisen tunkeutumistestauksen tehtäväkenttään. Se, että TVT-palveluntarjoajina olevat kolmannet osapuolet voivat palvella useita asiakkaita, saattaa johtaa merkittävään toistoon testauksessa, mikä puolestaan mahdollisesti aiheuttaa huomattavia riskejä TVT-palvelujen tarjoajana oleville kolmansille osapuolille ja heidän palvelemilleen asiakkaille.

4.4.4

Lisäksi ETSK suosittaa, että viitataan nimenomaisesti testitulosten vastavuoroiseen tunnustamiseen, koska sillä on keskeinen rooli riskien vähentämisessä ja sisämarkkinoiden moitteettoman toiminnan varmistamisessa sekä rajojen yli toimivien rahoituslaitosten kustannusten nousun välttämisessä.

4.5   TVT-palvelujen tarjoajina olevien kolmansien osapuolten riskien hallinta ja kriittisinä TVT-palvelujen tarjoajina olevia kolmansia osapuolia koskeva valvontakehys

4.5.1   Yhdenmukaisuuden varmistaminen nykyisten ulkoistamista koskevien suuntaviivojen kanssa

ETSK suhtautuu myönteisesti siihen, että DORA-säädösehdotus luo yhteisen sääntelykehyksen TVT-palvelujen tarjoajana olevien kolmansien osapuolten riskien moitteettomalle hallinnalle kaikkien finanssimarkkinoiden toimijoiden osalta kaikkialla Euroopassa. On kuitenkin ratkaisevan tärkeää varmistaa asetuksen keskeisten periaatteiden (25, 26 ja 27 artikla) yhdenmukaisuus olemassa olevien sääntöjen, kuten ulkoistamista koskevien Euroopan valvontaviranomaisten ohjeiden kanssa (eli ratkaista ”ulkoistamisen” ja ”kolmannen osapuolen palvelun” välinen nykyinen kahtiajako soveltamisalan osalta (9)). Lisäksi komitea katsoo, että tämä tarjoaa EU:n viranomaisille erinomaisen tilaisuuden koota ulkoistamista koskevat vaatimukset yhteen ja samaan asetukseen, joka on riittävän yksityiskohtainen tulkintaerojen välttämiseksi ja joka voisi tuoda oikeusvarmuutta kaikille markkinatoimijoille ja täyttää luotettavasti valvontaan liittyvät odotukset.

4.5.2   Kriittisiin tai tärkeisiin ulkoistettuihin toimintoihin sovellettavat vaatimukset

Riskipainotteisuuden säilyttämiseksi asetuksessa on sen omaa 25.2 artiklaa sovellettaessa tarkennettava, miten suhteellisuusperiaatetta noudatetaan, ja täsmennettävä vaatimukset, joita sovellettaisiin yhtäältä kriittisiin tai tärkeisiin ulkoistettuihin toimintoihin ja toisaalta muihin ulkoistettuihin toimintoihin (10). ETSK suosittaa, että TVT-palvelujen käyttö muihin kuin kriittisiin toimintoihin jätetään DORA-säädösehdotuksen soveltamisalan ulkopuolelle.

4.5.3   Kriittisiä TVT-palvelujen tarjoajina olevia kolmansia osapuolia koskeva suoran valvonnan kehys

ETSK suhtautuu myönteisesti sellaisen suoran valvonnan kehyksen käyttöönottoon, joka mahdollistaa sen, että rahoitusviranomaiset voivat jatkuvasti seurata kriittisten TVT-palvelujen tarjoajina olevien kolmansien osapuolten toimia, koska unionin horisontaalista, aloista riippumatonta kehystä ei ole olemassa. Ehdotetussa asetuksessa EU:n viranomaisten olisi tunnustettava, että kun kriittinen TVT-palvelujen tarjoajana oleva siirtyy tämän valvonnan piiriin, rahoituslaitosten riskit pienenevät, koska niiden toimintaa seurataan jatkuvasti. Sen vuoksi tällä uudella valvontakehyksellä olisi myös autettava virtaviivaistamaan pankkien ulkoistamismenettelyjä keventämällä jonkin verran finanssiyhteisöille tällä hetkellä aiheutuvaa rasitetta, joka liittyy esimerkiksi kriittisiä ulkopuolisia palveluntarjoajia koskevien tarkastus- ja auditointimenettelyjen suorittamiseen.

4.5.4

ETSK kannattaa päävalvojien valtuuttamista suorittamaan kriittisiä ulkopuolisia TVT-palvelujen tarjoajia koskevia tarkastus- ja auditointimenettelyjä, sillä päävalvojat saisivat paremman käsityksen näiden tarjoajien mahdollisesti aiheuttamista riskeistä, kun ne saavat ensikäden tietoa niiden menettelyistä ja liiketiloista sen sijaan, että ne tukeutuisivat valvottujen rahoituslaitosten nykyiseen raportointiin ja kansallisten toimivaltaisten viranomaisten suorittamiin tarkastuksiin. Finanssiyhteisöjen riskienvähentämispolitiikat on säilytettävä ja niiden oikeudellinen velvoite pysyy, mutta jos päävalvoja jo suorittaa tarkastukset ja auditoinnit, rahoituslaitosten tulisi hyötyä tästä turvallisuuden lisätasosta eikä joutua suorittamaan niitä uudelleen.

4.5.5   Päävalvoja ja kansalliset toimivaltaiset viranomaiset

Kun valvontaprosessi on saatu päätökseen, kansalliset toimivaltaiset viranomaiset seuraavat päävalvojan suositusten noudattamista, ja niillä voi olla oma lähestymistapansa siihen nähden, miten tiettyä kriittistä TVT-palveluntarjoajana olevaa kolmatta osapuolta koskevat päävalvojan päätelmät pannaan täytäntöön. ETSK suosittelee, että eri viranomaisten roolit ja vastuut tehdään täysin selviksi, jotta vältetään tilanne, jossa tulkintaerot vaikuttavat eri tavoin kunkin kriittisen TVT-palvelujen tarjoajana olevan kolmannen osapuolen asiakkaisiin niiden toimivaltaisesta viranomaisesta riippuen, ja vähennetään näin pilkkoutumisen riskiä. Nämä suositukset olisi myös saatettava täysin täytäntöönpanokelpoisiksi, kun otetaan huomioon 37 artiklan nykyinen epäselvyys niiden sitovuudesta.

4.5.6   Kriittisen TVT-palvelujen tarjoajana olevan kolmannen osapuolen tarjoaman palvelun käytön tai käyttöönoton keskeyttäminen

DORA-säädösehdotuksessa annetaan kansallisille rahoitusalan sääntelyviranomaisille valtuudet vaatia asiakkaita tilapäisesti keskeyttämään TVT-palvelujen tarjoajan tarjoaman palvelun käyttö tai lopettamaan se, kunnes suosituksissa yksilöityihin riskeihin on puututtu. Palveluntarjoajan kanssa tehtävän yhteistyön välitöntä päättämistä koskevat vaatimukset vaikuttaisivat epäilemättä nykyiseen tai tulevaan liiketoiminnalliseen ja kaupalliseen päätöksentekoon (esimerkiksi vähentäisivät investointihalukkuutta EU:ssa) ja mahdollisesti rahoitusvakauteen. Ennen tällaisen päätöksen tekemistä olisi toimivaltaisten viranomaisten pohdittava huolellisesti muun muassa palvelun käytön lopettamisen mahdollisia kielteisiä vaikutuksia kyseisen palveluntarjoajan asiakkaina oleviin finanssiyhteisöihin (11) ja asettaa selkeät kriteerit tällaiselle vaatimukselle ja harkittava mahdollisia korjaavia toimia.

4.5.7

Komitea suosittelee myös, että jos tähän tilanteeseen viime kädessä päädytään, finanssiyhteisöille olisi tiedotettava siitä hyvissä ajoin etukäteen ja niille olisi annettava riittävästi aikaa palveluntarjoajasta irtautumiseen.

4.6   Eurooppalaisten rahoituslaitosten maailmanlaajuisen kilpailukyvyn säilyttäminen

4.6.1

Uudessa kehyksessä on säilytettävä eurooppalaisten rahoitusyritysten mahdollisuudet hyödyntää vähintään saman tasoisia teknologioita kuin niiden maailmanlaajuiset kilpailijat. EU:n rahoitusyritykset kilpailevat maailmanlaajuisesti, eikä EU:n tuleva sääntelykehys saisi asettaa EU:n yrityksiä epäedulliseen asemaan rajoittamalla niiden mahdollisuutta käyttää edistyneimpiä teknologioita, kunhan niiden tarjoajat täyttävät EU:n vaatimukset häiriönsietokyvyn ja turvallisuuden osalta.

4.6.2   Kolmansiin maihin sijoittautuneet ulkopuoliset palveluntarjoajat

Asetuksella ei pitäisi rajoittaa mahdollisuutta ulkoistaa kriittisiksi katsottuja palveluja kolmansiin maihin sijoittautuneille palveluntarjoajille. Tällainen sääntö rajoittaisi selvästi yksittäisten yhteisöjen sopimusvapautta ja eurooppalaisten rahoituslaitosten mahdollisuuksia käyttää korkean lisäarvon tarjoajien palveluja, joita ei mitä todennäköisimmin löydy Euroopasta riittävästi. Tämä on erityisen tärkeää, koska ehdotettu valvontakehys rajoittuu rahoitusalaan, mikä luo epätasapuoliset toimintaedellytykset muille toimijoille, joita tämä asetus ei koske, ja saattaa lopulta lisätä keskittymisen riskiä, jota DORA-säädösehdotuksella pyritään välttämään.

4.6.3   Globaalin liikevaihtoon perustuvat rangaistusluonteiset seuraamukset

DORA-säädösehdotus sisältää TVT-palvelujen tarjoajina olevienglobaaliin liikevaihtoon pohjautuvia rangaistusluonteisia seuraamuksia, joita voidaan soveltaa, jos ne eivät noudata EU:n finanssivalvojien vaatimuksia. Näiden seuraamusten suhteeton soveltaminen voisi estää maailmanlaajuisia TVT-palvelujen tarjoajia palvelemasta EU:n rahoitusyrityksiä, mikä voisi käytännössä rajoittaa EU:n rahoitusyritysten valinnanvaraa palveluntarjoajien suhteen. Lisäksi se voi herättää muissa kuin kriittisissä TVT-palvelujen tarjoajina olevissa kolmansissa osapuolissa vastahakoisuutta osallistua valvontajärjestelmään, koska nämä saattavat pelätä joutuvansa maksamaan suhteettomia sakkoja, mikä vähentää kilpailua ketjun alkupään markkinoilla. ETSK suosittaa, että seuraamusjärjestelmässä sovelletaan suhteellisuutta, joka on ratkaisevan tärkeää sellaisiin tieto- ja viestintätekniikan tarjoajiin vaikuttavien pidäkkeiden välttämiseksi, jotka haluavat tarjota palveluja EU:n rahoituslaitoksille.

4.7   Tietojenvaihtojärjestelyt

4.7.1

Koska tietojen oikea-aikainen vaihto on olennaisen tärkeää, jotta hyökkäysvektorit voidaan havaita tehokkaasti ja jotta mahdollisia uhkia voidaan eristää ja ehkäistä, ETSK suhtautuu myönteisesti säännökseen, jolla helpotetaan vapaaehtoisuuden pohjalta tapahtuvaa kyberuhkia koskevien tietojen vaihtoa rahoituslaitosten kesken.

4.7.2

Komitea suosittelee myös, että tämän ehdotuksen ehdoissa EU:n viranomaiset tarjoavat selkeän perustan henkilötietojen (kuten IP-osoitteiden) vaihdolle, koska se vähentäisi epävarmuutta ja parantaisi rahoitusalan toimijoiden kykyä parantaa puolustusvalmiuksiaan, havaita paremmin uhkia ja vähentää niiden leviämisen riskiä. Lisäselvennyksille on tarvetta tietojen luottamuksellisuuden ja arkaluonteisuuden vuoksi.

---

(1)  EUVL L 124, 20.5.2003, s. 6.

(2)  Ks. ETSK:n lausunto ECO/534 aiheesta ”EU:n digitaalisen rahoituksen strategia” (katso tämän virallisen lehden sivu 27).

(3)  Ks. ETSK:n lausunto ECO/535 aiheesta ”Kryptovarat ja hajautetun tilikirjan teknologia” (katso tämän virallisen lehden sivu 31).

(4)  COM(2020) 595 final

(5)  COM(2020) 596 final

(6)  Baselin pankkivalvontakomitea, Principles for operational resilience, 6. marraskuuta 2020.

(7)  Tällaisia ovat EPV:n ja EIOPAn laatimat suuntaviivat sekä ESMAn suuntaviivaluonnokset, joita koskeva kuulemismenettely on käynnissä.

(8)  Finanssimarkkinoiden vakauden valvontaryhmä, Final Report on Effective Practices for Cyber Incident Response and Recovery, 19. lokakuuta 2020.

(9)  TVT-palvelujen tarjoajana oleviin kolmansiin osapuoliin viitataan DORA-ehdotuksessa ainoastaan kolmansiin osapuoliin liittyvän TVT-riskin moitteetonta hallintaa koskeviin keskeisiin periaatteisiin liittyen (V luku), kun taas ulkoistamista koskevien EPV:n ohjeiden soveltamisala pohjautuu ulkoistamisen määritelmään, jonka mukaan ratkaisevaa on, vastaako palveluntarjoaja sille ulkoistetusta toiminnosta toistuvasti tai jatkuvasti (26 kohta). EPV:n ohjeissa esitetään myös luettelo poikkeuksista, joita ei pidetä ulkoistettuina toimintoina (28 kohta).

(10)  Tässäkin yhteydessä on ratkaisevan tärkeää yhdenmukaistaa ”kriittisten tai tärkeiden toimintojen” määritelmä sekä DORA-säädösehdotuksessa että EPV:n ulkoistamista koskevissa ohjeissa. EPV:n ohjeissa määritellään erityisesti tekijät, jotka finanssilaitosten olisi otettava huomioon arvioidessaan, liittyykö ulkoistamisjärjestely kriittiseen tai tärkeään toimintoon (kohdat 29, 30 ja 31).

(11)  Yksi kriteeri TVT-palvelujen tarjoajan nimeämiseksi kriittiseksi olisi kolmannen palveluntarjoajan korvattavuus, kun otetaan huomioon todellisten vaihtoehtojen puute, tai vaikeudet, joita palvelujen osittainen tai täysimääräinen siirtäminen aiheuttaa (28 artiklan 2 kohta). Näissä tapauksissa rahoituslaitosten olisi vaikea siirtää palvelua toiselle palveluntarjoajalle. Lisäksi riskeille altistuneiden rahoituslaitosten velvoittaminen palveluntarjoajan vaihtamiseen lisäisi viime kädessä Euroopan markkinoiden keskittymistä, mikä olisi nimenomaan vastoin tämän asetuksen tarkoitusta.