27.12.2022   

FI

Euroopan unionin virallinen lehti

L 333/1


EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) 2022/2554,

annettu 14 päivänä joulukuuta 2022,

finanssialan digitaalisesta häiriönsietokyvystä ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014, (EU) N:o 909/2014 ja (EU) 2016/1011 muuttamisesta

(ETA:n kannalta merkityksellinen teksti)

EUROOPAN PARLAMENTTI JA EUROOPAN UNIONIN NEUVOSTO, jotka

ottavat huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 114 artiklan,

ottavat huomioon Euroopan komission ehdotuksen,

sen jälkeen kun esitys lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi on toimitettu kansallisille parlamenteille,

ottavat huomioon Euroopan keskuspankin lausunnon (1),

ottavat huomioon Euroopan talous- ja sosiaalikomitean lausunnon (2),

noudattavat tavallista lainsäätämisjärjestystä (3),

sekä katsovat seuraavaa:

(1)

Digiaikana tieto- ja viestintätekniikalla, jäljempänä ’TVT’, tuetaan monimutkaisia järjestelmiä, joita käytetään jokapäiväisissä toiminnoissa. Se pitää taloutemme toiminnassa keskeisillä aloilla, mukaan lukien finanssiala, ja tehostaa sisämarkkinoiden toimintaa. Lisääntyvä digitalisaatio ja yhteenliitettävyys laajentavat myös TVT-riskin mahdollisuutta, mikä tekee koko yhteiskunnasta ja erityisesti finanssijärjestelmästä alttiimman kyberuhkille tai TVT-häiriöille. Vaikka TVT-järjestelmien yleinen käyttö sekä pitkälle menevä digitalisaatio ja yhteenliitettävyys ovat nykypäivänä unionin finanssiyhteisöjen toiminnan keskeisiä piirteitä, niiden digitaalista häiriönsietokykyä on vielä käsiteltävä paremmin ja se on sisällytettävä osaksi niiden laajempia toimintapuitteita.

(2)

TVT:n käyttö on viime vuosikymmeninä noussut keskeiseen asemaan finanssipalvelujen tarjoamisessa siinä määrin, että nykyään sen merkitys kaikkien finanssiyhteisöjen tavanomaisissa arkipäivän toiminnoissa on kriittinen. Digitalisaatio kattaa nykyään esimerkiksi maksut, joissa on siirrytty yhä enemmän käteis- ja paperipohjaisista menetelmistä digitaalisten ratkaisujen käyttöön, sekä arvopaperien määrityksen ja toimituksen, sähköisen ja algoritmisen kaupankäynnin, lainaus- ja rahoitustoiminnot, vertaisrahoituksen, luottokelpoisuusluokituksen, saatavien hoidon ja back-office-toiminnot. TVT:n käyttö on muuttanut myös vakuutusalaa vakuutusteknologian (InsurTech) avulla verkossa palvelujaan tarjoavien digitaalisten vakuutusedustajien markkinoille tulosta aina digitaaliseen vakuutusten merkintään saakka. Koko finanssiala on pitkälti digitalisoitunut, mutta digitalisaatio on myös syventänyt finanssialan sisäisiä yhteyksiä ja keskinäistä riippuvuutta myös kolmansista infrastruktuurin ja palvelujen tarjoajista.

(3)

Euroopan järjestelmäriskikomitea (EJRK) vahvisti vuonna 2020 antamassaan systeemistä kyberriskiä käsittelevässä raportissaan, kuinka nykyiset finanssiyhteisöjen, -markkinoiden ja -markkinainfrastruktuurin tiiviit keskinäiset kytkökset ja etenkin niiden TVT-järjestelmien keskinäiset riippuvuussuhteet saattavat muodostaa systeemisen haavoittuvuuden, sillä paikalliset kyberhäiriötilanteet voivat nopeasti levitä mistä tahansa unionin noin 22 000 finanssiyhteisöstä koko finanssijärjestelmään maantieteellisten rajojen estämättä. Finanssialalla ilmenevät vakavat TVT-rikkomukset eivät vaikuta pelkästään finanssiyhteisöihin yksinään. Ne luovat maaperää myös paikallisten haavoittuvuuksien leviämiselle rahoituksen välityskanaviin ja voivat heikentää unionin finanssijärjestelmän vakautta esimerkiksi aiheuttamalla likviditeettipakoja ja rapauttamalla yleisesti uskoa ja luottamusta rahoitusmarkkinoihin.

(4)

Viime vuosina kansainvälisen, unionin ja kansallisen tason poliittiset päättäjät, sääntelyviranomaiset ja standardointielimet ovat kiinnittäneet huomiota TVT-riskiin pyrkimyksessään tehostaa digitaalista häiriönsietokykyä, asettaa standardeja ja koordinoida sääntely- tai valvontatoimia. Kansainvälisellä tasolla Baselin pankkivalvontakomitea, maksujärjestelmä- ja markkinainfrastruktuurikomitea, finanssimarkkinoiden vakauden valvontaryhmä, rahoitusjärjestelmän vakautta valvova instituutti sekä G7- ja G20-maat pyrkivät tarjoamaan toimivaltaisille viranomaisille ja markkinatoimijoille useilla eri lainkäyttöalueilla välineitä, joiden avulla ne voivat vahvistaa finanssijärjestelmiensä häiriönsietokykyä. Kyseistä työtä on ohjannut myös tarve ottaa TVT-riski asianmukaisesti huomioon tiiviisti yhteenliitetyssä maailmanlaajuisessa rahoitusjärjestelmässä ja pyrkiä edelleen yhdenmukaistamaan asiaan liittyviä parhaita käytäntöjä.

(5)

Unionin ja kansallisen tason kohdennetuista politiikka- ja lainsäädäntöaloitteista huolimatta TVT-riski muodostaa edelleen haasteen unionin rahoitusjärjestelmän häiriönsietokyvylle, toiminnalle ja vakaudelle. Vuoden 2008 finanssikriisin jälkeen toteutetuilla uudistuksilla vahvistettiin ensisijaisesti unionin finanssialan finanssipoliittista häiriönsietokykyä ja pyrittiin turvaamaan unionin kilpailukyky ja vakaus talouden, vakavaraisuuden ja markkinakäyttäytymisen kannalta. Vaikka TVT-turvallisuus ja digitaalinen häiriönsietokyky ovat osa operatiivista riskiä, ne ovat jääneet vähemmälle huomiolle finanssikriisin jälkeisessä sääntelyohjelmassa, ja niitä on kehitetty vain joillakin unionin finanssipalvelupolitiikan ja sääntely-ympäristön osa-alueilla tai vain muutamassa jäsenvaltiossa.

(6)

Komission 8 päivänä maaliskuuta 2018 julkaisemassa tiedonannossa ”FinTech-toimintasuunnitelma Euroopan rahoitusalan kilpailukyvyn ja innovatiivisuuden parantamiseksi” korostettiin, että on ensiarvoisen tärkeää parantaa unionin finanssialan häiriönsietokykyä myös operatiivisesta näkökulmasta, jotta voidaan varmistaa sen teknologinen turvallisuus ja toimivuus ja sen nopea toipuminen TVT-rikkomusten ja -poikkeamien jälkeen, mikä viime kädessä mahdollistaa finanssipalvelujen tehokkuuden ja niiden sujuvan tarjoamisen koko unionissa, myös stressitilanteissa, siten, että samalla säilytetään kuluttajien ja markkinoiden usko ja luottamus.

(7)

Euroopan parlamentin ja neuvoston asetuksella (EU) N:o 1093/2010 (4) perustettu Euroopan valvontaviranomainen (Euroopan pankkiviranomainen (EPV)), Euroopan parlamentin ja neuvoston asetuksella (EU) N:o 1094/2010 (5) perustettu Euroopan valvontaviranomainen (Euroopan vakuutus- ja lisäeläkeviranomainen (EIOPA)) ja asetuksella (EU) N:o 1095/2010 (6) perustettu Euroopan valvontaviranomainen (Euroopan arvopaperimarkkinaviranomainen (ESMA)) (joita kutsutaan yhteisesti nimellä ’Euroopan valvontaviranomaiset’) antoivat yhdessä huhtikuussa 2019 teknisiä neuvoja, joissa peräänkuulutettiin johdonmukaista lähestymistapaa TVT-riskiin finanssialalla ja suositettiin finanssipalvelualan digitaalisen häiriönsietokyvyn vahvistamista oikeasuhteisella tavalla unionin alakohtaisen aloitteen avulla.

(8)

Unionin finanssialaa säännellään yhteisellä sääntökirjalla ja hallinnoidaan Euroopan finanssivalvontajärjestelmällä. Tästä huolimatta digitaalista häiriönsietokykyä ja TVT-turvallisuutta koskevia säännöksiä ei ole vielä täysin tai johdonmukaisesti yhdenmukaistettu siitä huolimatta, että digitaalinen häiriönsietokyky on ratkaisevan tärkeä rahoitusvakauden ja markkinoiden eheyden varmistamiseksi digiaikana, minkä lisäksi se on aivan yhtä merkityksellinen kuin esimerkiksi toiminnan vakautta tai markkinakäyttäytymistä koskevat yhteiset standardit. Yhteistä sääntökirjaa ja valvontajärjestelmää olisi sen vuoksi kehitettävä, jotta se kattaisi myös digitaalisen häiriönsietokyvyn, vahvistamalla toimivaltaisten viranomaisten toimivaltuuksia niin, että ne voivat valvoa finanssialan TVT-riskin hallitsemista sisämarkkinoiden eheyden ja tehokkuuden suojelemiseksi ja sen säännönmukaisen toiminnan helpottamiseksi.

(9)

Lainsäädännölliset erot ja epätasaiset kansalliset TVT-riskin sääntelyä tai valvontaa koskevat lähestymistavat muodostavat esteitä finanssipalvelujen sisämarkkinoiden toiminnalle ja hankaloittavat sijoittautumisvapauden sujuvaa harjoittamista sekä palvelujen tarjoamista rajatylittävää toimintaa harjoittaville finanssiyhteisöille. Eri jäsenvaltioissa toimivien samantyyppisten finanssiyhteisöjen välinen kilpailu saattaa myös vääristyä. Tämä koskee erityisesti aloja, joilla yhdenmukaistaminen unionissa on ollut hyvin vähäistä, kuten digitaalisen häiriönsietokyvyn testaus, tai olematonta, kuten kolmansiin osapuoliin liittyvän TVT-riskin seuranta. Kansallisella tasolla ennakoidusta kehityksestä johtuvat erot voisivat luoda lisäesteitä sisämarkkinoiden toiminnalle, mikä haittaisi markkinatoimijoita ja rahoitusvakautta.

(10)

Koska TVT-riskiin liittyviä säännöksiä on tähän mennessä käsitelty unionin tasolla vain osittain, tärkeillä osa-alueilla, kuten TVT:hen liittyvien poikkeamien raportoinnissa ja digitaalisen häiriönsietokyvyn testauksessa, esiintyy puutteita tai päällekkäisyyksiä sekä epäjohdonmukaisuuksia, jotka johtuvat uusista toisistaan poikkeavista kansallisista säännöistä tai päällekkäisten sääntöjen kustannustehottomasta soveltamisesta. Tämä on erityisen haitallista TVT-intensiivisille käyttäjille, kuten finanssialalle, koska teknologiariskeillä ei ole rajoja ja finanssiala käyttää sen palveluja laajalti rajojen yli unionissa ja sen ulkopuolella. Yksittäiset finanssiyhteisöt, jotka toimivat rajojen yli tai joilla on useita toimilupia (esimerkiksi yhdellä finanssiyhteisöllä voi olla pankki-, sijoituspalveluyritys- ja maksulaitostoimilupa, joista jokainen on eri toimivaltaisen viranomaisen myöntämä yhdessä tai useammassa jäsenvaltiossa), joutuvat vastaamaan operatiivisiin haasteisiin niiden torjuessa yksin TVT-riskiä ja hillitessä TVT-poikkeamien kielteisiä vaikutuksia johdonmukaisella ja kustannustehokkaalla tavalla.

(11)

Koska yhteiseen sääntökirjaan ei ole liitetty kattavaa TVT- tai operatiivisen riskin kehystä, keskeisiä digitaalista häiriönsietokykyä koskevia vaatimuksia on yhdenmukaistettava edelleen kaikkien finanssiyhteisöjen osalta. Se, että finanssiyhteisöt kehittäisivät TVT-valmiuksia ja yleistä häiriönsietokykyä kyseisten keskeisten vaatimusten pohjalta selvitäkseen operatiivisista käyttökeskeytyksistä, auttaisi säilyttämään unionin finanssimarkkinoiden vakauden ja eheyden, mikä edistäisi myös sijoittajien ja kuluttajien suojan korkean tason varmistamista unionissa. Koska tämän asetuksen tarkoituksena on edistää sisämarkkinoiden moitteetonta toimintaa, sen olisi perustuttava Euroopan unionin toiminnasta tehdyn sopimuksen, jäljempänä ’SEUT’, 114 artiklaan, sellaisena kuin sitä tulkitaan Euroopan unionin tuomioistuimen vakiintuneessa oikeuskäytännössä.

(12)

Tällä asetuksella pyritään lujittamaan ja parantamaan TVT-riskiä koskevia vaatimuksia osana operatiivista riskiä koskevia vaatimuksia, joita tähän mennessä on käsitelty erikseen useissa unionin säädöksissä. Vaikka kyseiset säädökset kattoivat rahoitusriskin pääluokat (esimerkiksi luotto-, markkina-, vastapuoliluotto- ja likviditeetti- sekä markkinakäyttäytymisriski), niissä ei hyväksymisajankohtanaan kokonaisvaltaisesti puututtu kaikkiin toiminnallisen häiriönsietokyvyn osatekijöihin. Operatiivista riskiä koskevissa säännöissä, sellaisena kuin ne ovat edelleen täsmennettyinä kyseisissä unionin säädöksissä, suosittiin usein perinteistä kvantitatiivista lähestymistapaa riskeihin puuttumiseksi (eli pääomavaatimuksen asettamista TVT-riskin kattamiseksi) kohdennettujen laadullisten sääntöjen sijasta, jotka koskevat suojelu-, havaitsemis-, käyttöönotto-, toipumis- ja korjausvalmiuksia TVT:hen liittyvien poikkeamien torjumiseksi tai raportointi- ja digitaalisia testausvalmiuksia. Kyseisten säädösten ensisijainen tarkoitus oli kattaa toiminnan vakauden valvontaa, markkinoiden eheyttä tai toimintaa koskevat keskeiset säännöt ja päivittää niitä. Vahvistamalla TVT-riskiä koskevia eri sääntöjä ja päivittämällä niitä kaikki finanssialan digitaalista riskiä koskevat säännökset pitäisi saada ensimmäistä kertaa koottua johdonmukaisella tavalla yhteen säädökseen. Näin ollen tällä asetuksella korjataan joidenkin aiempien säädösten puutteet tai epäjohdonmukaisuudet, myös niissä käytetyn terminologian osalta, ja siinä nimenomaisesti viitataan TVT-riskiin kohdennetuilla säännöillä, jotka koskevat TVT-riskinhallintavalmiuksia, poikkeamien raportointia, toiminnallisen häiriönsietokyvyn testausta sekä ulkopuolisiin TVT-palveluntarjoajiin liittyvän riskin seurantaa. Tällä asetuksella olisi näin ollen myös lisättävä tietoisuutta TVT-riskistä ja otettava huomioon, että TVT-poikkeamat ja toiminnallisen häiriönsietokyvyn puute saattavat vaarantaa finanssiyhteisöjen vakauden.

(13)

Finanssiyhteisöjen olisi noudatettava samaa lähestymistapaa ja samoja periaatteisiin perustuvia sääntöjä käsitellessään TVT-riskiä ottaen huomioon kokonsa ja yleisen riskiprofiilinsa sekä palvelujensa, toimintojensa ja toimintansa luonne, laajuus ja monitahoisuus. Johdonmukaisuus lisää osaltaan luottamusta finanssijärjestelmään ja auttaa sen vakauden säilyttämisessä erityisesti sellaisina aikoina, jolloin TVT-järjestelmistä, -alustoista ja -infrastruktuurista ollaan erittäin riippuvaisia, mihin liittyy suurempi digitaalisen riskin vaara. Peruskyberhygieniaa noudattamalla pitäisi myös voida välttää taloudelle aiheutuvia raskaita kustannuksia, kun TVT-häiriöiden vaikutukset ja kustannukset minimoidaan.

(14)

Asetus auttaa vähentämään sääntelyn monimutkaisuutta, edistää valvontakäytäntöjen lähentymistä ja lisää oikeusvarmuutta sekä myös auttaa rajoittamaan säännösten noudattamisesta aiheutuvia kustannuksia, erityisesti niiden finanssiyhteisöjen osalta, jotka toimivat rajojen yli, sekä vähentämään kilpailun vääristymisiä. Asetuksen valinta finanssiyhteisöjen digitaalista häiriönsietokykyä koskevan yhteisen kehyksen käyttöönottamiseksi on näin ollen asianmukaisin tapa taata, että unionin finanssiala soveltaa kaikkia TVT-riskinhallinnan osatekijöitä yhteisesti ja johdonmukaisesti.

(15)

Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/1148 (7) oli ensimmäinen unionin tasolla toteutettu horisontaalinen kyberturvallisuuskehys, jota sovelletaan myös kolmeen finanssiyhteisön tyyppiin: luottolaitoksiin, kauppapaikkoihin ja keskusvastapuoliin. Koska direktiivissä (EU) 2016/1148 kuitenkin otettiin käyttöön keskeisten palvelujen tarjoajien määrittämismekanismi kansallisella tasolla, ainoastaan tietyt luottolaitokset, kauppapaikat ja keskusvastapuolet, jotka jäsenvaltiot määrittivät, on käytännössä saatettu sen soveltamisalan piiriin ja näin ollen niiden on noudatettava siinä säädettyjä TVT-turvallisuutta ja -poikkeamien ilmoittamista koskevia vaatimuksia. Euroopan parlamentin ja neuvoston direktiivissä (EU) 2022/2555 (8) vahvistetaan yhdenmukainen peruste, jolla määritetään direktiivin soveltamisalaan kuuluvat yhteisöt (ns. size-cap-sääntö), ja samalla myös säilytetään edellä mainitut kolme finanssiyhteisön tyyppiä direktiivin soveltamisalan piirissä.

(16)

Koska tällä asetuksella kuitenkin lisätään digitaalisen häiriönsietokyvyn useiden eri osatekijöiden yhdenmukaistamisen tasoa ottamalla käyttöön TVT-riskinhallintaa ja TVT:hen liittyvien poikkeamien raportointia koskevia vaatimuksia, jotka ovat tiukempia kuin voimassa olevassa unionin finanssipalvelulainsäädännössä säädetyt vaatimukset, tämä korkeampi taso merkitsee vielä pidemmälle vietyä yhdenmukaistamista myös verrattuna direktiivissä (EU) 2022/2555 säädettyihin vaatimuksiin. Näin ollen tämä asetus on erityissäädös (lex specialis) suhteessa direktiiviin (EU) 2022/2555. Samalla on tärkeää säilyttää vahva yhteys finanssialan ja unionin horisontaalisen kyberturvallisuuskehyksen, sellaisena kuin se on nyt vahvistettuna direktiivissä (EU) 2022/2555, välillä, jotta voidaan varmistaa johdonmukaisuus jäsenvaltioiden hyväksymien kyberturvallisuusstrategioiden kanssa ja saattaa finanssivalvojien tietoon kyberturvallisuuspoikkeamat, jotka vaikuttavat kyseisen direktiivin piiriin kuuluviin muihin aloihin.

(17)

Euroopan unionista tehdyn sopimuksen 4 artiklan 2 kohdan mukaisesti ja rajoittamatta Euroopan unionin tuomioistuimen harjoittamaa oikeudellista valvontaa, tämä asetus ei saisi vaikuttaa jäsenvaltioiden vastuuseen valtion keskeisistä tehtävistä, jotka koskevat yleistä turvallisuutta, puolustusta ja kansallisen turvallisuuden suojaamista, esimerkiksi sellaisen tietojen toimittamisen osalta, joka olisi ristiriidassa kansallisen turvallisuuden suojaamisen kanssa.

(18)

Jotta voitaisiin mahdollistaa monialainen oppiminen ja hyödyntää tehokkaasti muilta aloilta saatuja kokemuksia kyberuhkiin vastaamisesta, direktiivissä (EU) 2022/2555 tarkoitettujen finanssiyhteisöjen olisi pysyttävä osana kyseisen direktiivin ”ekosysteemiä” (esimerkiksi verkko- ja tietoturva-alan yhteistyöryhmä ja tietoturvaloukkauksiin reagoivat ja niitä tutkivat yksiköt, jäljempänä ’CSIRT-yksiköt’). Euroopan valvontaviranomaisten ja kansallisten toimivaltaisten viranomaisten olisi voitava osallistua kyseisen direktiivin mukaisiin strategisiin toimintapoliittisiin keskusteluihin sekä verkko- ja tietoturva-alan yhteistyöryhmän tekniseen työhön ja vaihtaa tietoja ja tehdä edelleen yhteistyötä kyseisen direktiivin mukaisesti nimettyjen tai perustettujen keskitettyjen yhteyspisteiden kanssa. Tämän asetuksen mukaisten toimivaltaisten viranomaisten olisi myös kuultava kansallisia CSIRT-yksiköitä ja tehtävä niiden kanssa yhteistyötä. Toimivaltaisten viranomaisten olisi myös voitava pyytää teknisiä neuvoja direktiivin (EU) 2022/2555 mukaisesti nimetyiltä tai perustetuilta toimivaltaisilta viranomaisilta ja ottaa käyttöön yhteistyöjärjestelyjä, joilla pyritään varmistamaan tehokkaat ja nopeat koordinointimekanismit.

(19)

Koska finanssiyhteisöjen digitaalisen häiriönsietokyvyn ja fyysisen häiriönsietokyvyn välillä on vahvat yhteydet, tässä asetuksessa ja Euroopan parlamentin ja neuvoston direktiivissä (EU) 2022/2557 (9) on omaksuttava johdonmukainen lähestymistapa kriittisten yhteisöjen häiriönsietokykyyn. Koska finanssiyhteisöjen fyysistä häiriönsietokykyä käsitellään kattavasti tämän asetuksen soveltamisalaan kuuluvissa TVT-riskinhallinta- ja -raportointivelvoitteissa, direktiivin (EU) 2022/2557 III ja IV luvussa säädettyjä velvoitteita ei pitäisi soveltaa kyseisen direktiivin soveltamisalaan kuuluviin finanssiyhteisöihin.

(20)

Pilvipalvelujen tarjoajat on yksi direktiivin (EU) 2022/2555 piiriin kuuluva digitaalisen infrastruktuurin ryhmä. Tällä asetuksella perustettua unionin valvontakehystä, jäljempänä ’valvontakehys’, sovelletaan kaikkiin kriittisiin TVT-palveluntarjoajana oleviin kolmansiin osapuoliin, myös pilvipalvelun tarjoajiin, jotka tarjoavat TVT-palveluita finanssiyhteisöille, ja sen olisi katsottava täydentävän direktiivin (EU) 2022/2555 nojalla suoritettavaa valvontaa. Lisäksi tällä asetuksella perustettavan valvontakehyksenolisi katettava pilvipalvelujen tarjoajat, koska unionin horisontaalinen kehys, jolla perustetaan digitaalinen valvontaviranomainen, puuttuu.

(21)

TVT-riskin täyden hallinnan säilyttämiseksi finanssiyhteisöillä on oltava käytössään kattavat valmiudet, jotka mahdollistavat vahvan ja tehokkaan TVT-riskinhallinnan, ja niiden ohella erityismekanismeja ja -toimintaperiaatteita kaikkien TVT:hen liittyvien poikkeamien käsittelemiseksi ja laajavaikutteisista TVT:hen liittyvistä poikkeamista raportoimiseksi. Samoin finanssiyhteisöillä olisi oltava toimintaperiaatteet TVT-järjestelmien, -valvontatoimien ja -prosessien testausta sekä kolmansiin osapuoliin liittyvän TVT-riskin hallintaa varten. Finanssiyhteisöjen digitaalisen häiriönsietokyvyn perustasoa olisi nostettava samalla kun myös mahdollistetaan vaatimusten oikeasuhteinen soveltaminen tietyille finanssiyhteisöille, erityisesti mikroyrityksille, sekä sellaisille finanssiyhteisöille, joihin sovelletaan yksinkertaistettua TVT-riskinhallintakehystä. Jotta helpotettaisiin ammatillisia lisäeläkkeitä tarjoavien laitosten tehokasta valvontaa, joka on oikeasuhteista ja jolla vastataan tarpeeseen vähentää toimivaltaisiin viranomaisiin kohdistuvaa hallinnollista rasitusta, tällaisten finanssiyhteisöjen asiaankuuluvissa kansallisissa valvontajärjestelyissä olisi otettava huomioon niiden koko ja yleinen riskiprofiili sekä niiden palvelujen, toimintojen ja toiminnan luonne, laajuus ja monitahoisuus, jopa silloin kun Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/2341 (10) 5 artiklassa vahvistetut asianomaiset kynnysarvot ylittyvät. Valvontatoimissa olisi erityisesti keskityttävä ensisijaisesti tarpeeseen puuttua tietyn yhteisön TVT-riskinhallintaan liittyviin vakaviin riskeihin.

Toimivaltaisten viranomaisten olisi myös noudatettava tarkkaavaista mutta oikeasuhteista lähestymistapaa ammatillisia lisäeläkkeitä tarjoavien laitosten valvonnassa, sillä nämä ulkoistavat direktiivin (EU) 2016/2341 31 artiklan mukaisesti palveluntarjoajille merkittävän osan ydinliiketoiminnastaan, kuten omaisuudenhoidon, vakuutusmatemaattiset laskelmat, kirjanpidon ja tiedonhallinnan.

(22)

TVT:hen liittyvien poikkeamien raportointikynnyksissä ja luokituksissa on kansallisella tasolla huomattavia eroja. Vaikka yhteinen pohja voidaan saavuttaa Euroopan parlamentin ja neuvoston asetuksella (EU) 2019/881 (11) perustetun EU:n kyberturvallisuusviraston (ENISA) ja direktiivin (EU) 2022/2555 mukaisen yhteistyöryhmän tekemän asiaankuuluvan työn avulla, kynnysarvojen asettamista ja luokitusten käyttöä koskevia erilaisia lähestymistapoja on edelleen tai voi ilmetä jatkossa jäljelle jäävien finanssiyhteisöjen osalta. Kyseisistä eroista johtuen on useita vaatimuksia, joita finanssiyhteisöjen on noudatettava erityisesti silloin, kun ne toimivat useissa jäsenvaltioissa tai ovat osa finanssikonsernia. Lisäksi tällaiset erot voivat haitata sellaisten yhdenmukaisten tai keskitettyjen unionin lisämekanismien luomista, joilla nopeutetaan raportointiprosessia ja tuetaan nopeaa ja sujuvaa toimivaltaisten viranomaisten välistä tietojenvaihtoa, joka on erittäin tärkeää TVT-riskin torjumiseksi mahdollisissa suuren mittakaavan hyökkäyksissä, joilla voi olla järjestelmätason vaikutuksia.

(23)

Jotta voitaisiin vähentää tiettyjen finanssiyhteisöjen hallinnollista rasitetta ja mahdollisesti päällekkäisiä raportointivelvoitteita, Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/2366 (12) mukaista raportointivaatimusta poikkeamista olisi lakattava soveltamasta maksupalveluntarjoajiin, jotka kuuluvat tämän asetuksen soveltamisalaan. Näin ollen kyseisen direktiivin 33 artiklan 1 kohdassa tarkoitettujen luottolaitosten, sähköisen rahan liikkeeseenlaskijalaitosten, maksulaitosten ja tilitietopalvelun tarjoajien olisi tämän asetuksen soveltamispäivästä alkaen ilmoitettava tämän asetuksen mukaisesti kaikista toiminnan harjoittamiseen tai turvallisuuteen vaikuttavista maksuihin liittyvistä poikkeamista, joista on aiemmin ilmoitettu kyseisen direktiivin mukaisesti, riippumatta siitä, liittyvätkö tällaiset poikkeamat TVT:hen.

(24)

Jotta toimivaltaiset viranomaiset voivat täyttää valvontatehtävät hankkimalla kattavan yleiskuvan TVT:hen liittyvien poikkeamien luonteesta, yleisyydestä, merkityksestä ja vaikutuksista ja jotta voidaan tehostaa tietojenvaihtoa asiaankuuluvien viranomaisten, myös lainvalvonta- ja kriisinratkaisuviranomaisten, välillä, tässä asetuksessa olisi säädettävä vankasta TVT:hen liittyvien poikkeamien raportointijärjestelmästä, jonka myötä asiaankuuluvilla vaatimuksilla puututaan rahoituspalvelulainsäädännön nykyisiin puutteisiin, ja sillä olisi poistettava olemassa olevat päällekkäisyydet kustannusten vähentämiseksi. On olennaista yhdenmukaistaa TVT:hen liittyvien poikkeamien raportointijärjestelmää vaatimalla, että kaikki finanssiyhteisöt raportoivat toimivaltaisille viranomaisilleen tässä asetuksessa säädetyn yhteisen virtaviivaistetun kehyksen avulla. Lisäksi Euroopan valvontaviranomaisille olisi annettava mahdollisuus täsmentää edelleen TVT:hen liittyvien poikkeamien raportointikehykseen liittyviä olennaisia osatekijöitä, kuten luokitusta, aikatauluja, datajoukkoja, malleja ja sovellettavia kynnysarvoja. Täyden yhdenmukaisuuden varmistamiseksi direktiivin (EU) 2022/2555 kanssa finanssiyhteisöjen olisi voitava vapaaehtoisesti ilmoittaa merkittävistä kyberuhkista asianomaiselle toimivaltaiselle viranomaiselle, kun ne katsovat, että kyberuhka on merkityksellinen rahoitusjärjestelmän, palvelujen käyttäjien tai asiakkaiden kannalta.

(25)

Tietyillä rahoitusalan alasektoreilla on kehitetty digitaalisen häiriönsietokyvyn testausvaatimuksia, joissa vahvistetaan kehykset, jotka eivät aina ole täysin yhdenmukaisia. Tämä johtaa mahdollisiin päällekkäisiin kustannuksiin rajojen yli toimiville finanssiyhteisöille ja tekee digitaalisen häiriönsietokyvyn testauksen tulosten vastavuoroisesta tunnustamisesta monimutkaista, mikä puolestaan voi hajauttaa sisämarkkinoita.

(26)

Lisäksi silloin, kun TVT-testausta ei vaadita, haavoittuvuudet jäävät havaitsematta ja näin altistavat finanssiyhteisön TVT-riskille sekä lisäävät viime kädessä finanssialan vakauteen ja eheyteen kohdistuvaa riskiä. Ilman unionin toimia digitaalisen häiriönsietokyvyn testaus olisi edelleen epäjohdonmukaista ja siitä puuttuisi järjestelmä TVT-testitulosten vastavuoroiseksi tunnustamiseksi eri lainkäyttöalueilla. Lisäksi koska on epätodennäköistä, että muut finanssialan alasektorit ottaisivat testausjärjestelmät käyttöön mielekkäässä määrin, ne jäisivät vaille testauskehyksen mahdollisia hyötyjä, joita ovat TVT-haavoittuvuuksien ja -riskien paljastuminen sekä puolustautumisvalmiuksien ja liiketoiminnan jatkuvuuden testaus, joka lisää sekä asiakkaiden, toimittajien että liikekumppaneiden luottamusta. Kyseisten päällekkäisyyksien, eroavuuksien ja aukkojen poistamiseksi on tarpeen vahvistaa koordinoitua testausjärjestelmää koskevat säännöt ja siten helpottaa tässä asetuksessa säädetyt vaatimukset täyttävien finanssiyhteisöjen kehittyneen testauksen vastavuoroista tunnustamista.

(27)

Finanssiyhteisöjen riippuvuus TVT-palvelujen käytöstä johtuu osittain niiden tarpeesta mukautua kehittyvään kilpailukykyiseen digitaaliseen maailmantalouteen, parantaa liiketoimintansa tehokkuutta ja vastata kuluttajien kysyntään. Tällaisen riippuvuuden luonne ja laajuus ovat muuttuneet jatkuvasti viime vuosina, mikä on johtanut rahoituksen välityksen kustannusten alenemiseen, mahdollistanut liiketoiminnan laajentamisen ja skaalattavuuden rahoitustoiminnan käyttöönotossa ja tarjonnut samalla monenlaisia TVT-välineitä monimutkaisten sisäisten prosessien hallintaan.

(28)

TVT-palvelujen laajasta käytöstä ovat osoituksena monimutkaiset sopimusjärjestelyt, joiden vuoksi finanssiyhteisöillä on usein vaikeuksia neuvotella sopimusehdoista, jotka on räätälöity vakavaraisuusnormien tai muiden niihin sovellettavien sääntelyvaatimusten mukaisiksi, tai muutoin panna täytäntöön erityisiä oikeuksia, kuten pääsy- tai auditointioikeuksia, jopa silloin kun viimeksi mainitut on kirjattu niiden sopimusjärjestelyihin. Monet kyseisistä sopimusjärjestelyistä eivät myöskään tarjoa riittäviä takeita, jotka mahdollistaisivat alihankintaprosessien täysimittaisen seurannan, mikä poistaa finanssiyhteisöiltä mahdollisuuden arvioida niihin liittyviä riskejä. Lisäksi koska TVT-palveluntarjoajana olevat kolmannet osapuolet tarjoavat usein standardoituja palveluja erityyppisille asiakkaille, tällaisissa sopimusjärjestelyissä ei aina oteta riittävästi huomioon finanssialan toimijoiden yksilöllisiä tai erityisiä tarpeita.

(29)

Vaikka finanssipalveluja koskevassa unionin oikeudessa on tiettyjä ulkoistamista koskevia yleisiä sääntöjä, sopimusulottuvuuden seurantaa ei ole täysin sisällytetty unionin oikeuteen. TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa tehtyihin sopimusjärjestelyihin sovellettavien selkeiden ja räätälöityjen unionin standardien puuttuessa TVT-riskin ulkoiseen lähteeseen ei voida puuttua kokonaisvaltaisesti. Siksi on välttämätöntä vahvistaa tietyt keskeiset periaatteet, jotka ohjaavat finanssiyhteisöjen kolmansiin osapuoliin liittyvän TVT-riskin hallintaa ja jotka ovat erityisen tärkeitä, kun finanssiyhteisöt turvautuvat TVT-palveluntarjoajana oleviin kolmansiin osapuoliin tukeakseen kriittisiä tai tärkeitä toimintojaan. Kyseisiin periaatteisiin olisi liitettävä joukko keskeisiä sopimusperusteisia oikeuksia, jotka liittyvät useisiin sopimusjärjestelyjen täyttämisen ja päättämisen osatekijöihin, jotta voidaan vahvistaa tietyt vähimmäistakeet, jotta vahvistetaan finanssiyhteisöjen kykyä seurata tehokkaasti kaikkia kolmansien palveluntarjoajien tasolla ilmeneviä TVT-riskejä. Kyseiset periaatteet täydentävät ulkoistamiseen sovellettavaa alakohtaista lainsäädäntöä.

(30)

Tällä hetkellä on ilmeistä, että kolmansiin osapuoliin liittyvien TVT-riskin ja -riippuvuuksien seuranta on jossain määrin epäyhtenäistä ja lähentymätöntä. Vaikka ulkoistamiseen on yritetty puuttua, muun muassa EPV:n vuoden 2019 suuntaviivoilla ulkoistamisesta ja ESMAn vuoden 2021 suuntaviivoilla ulkoistamisesta pilvipalvelujen tarjoajille, unionin oikeudessa ei riittävästi puututa laajempaan kysymykseen sellaisen järjestelmäriskin torjumisesta, joka voi aiheutua finanssialalle sen hyödyntämien kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten vähäisestä määrästä. Tätä unionin tason sääntöjen puutetta kärjistää se, että käytössä ei ole kansallisia sääntöjä toimeksiannoista ja välineistä, joiden avulla finanssivalvojat voisivat saada selkeän kuvan riippuvuudesta, joka liittyy TVT-palveluntarjoajana oleviin kolmansiin osapuoliin, ja seurata riittävästi riskejä, joita aiheutuu kyseisten riippuvuussuhteiden keskittymisestä.

(31)

Kun otetaan huomioon mahdollinen järjestelmäriski, joka liittyy ulkoistamiskäytäntöjen yleistymiseen sekä kolmansiin osapuoliin liittyvien TVT-riippuvuuksien keskittymiseen, ja kansallisten mekanismien riittämättömyys tarjota finanssivalvojille riittävät välineet, joilla voidaan määrittää kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten toiminnasta aiheutuvan TVT-riskin seurauksien määrää ja laatua ja korjata niitä, on välttämätöntä ottaa käyttöön asianmukainen valvontakehys, joka mahdollistaa sellaisten TVT-palveluntarjoajana olevien kolmansien osapuolten toiminnan seurannan, jotka ovat finanssiyhteisöjen kannalta kriittisiä TVT-palveluja tarjoavia kolmansia osapuolia, samalla kun varmistetaan, että muiden asiakkaiden kuin finanssiyhteisöjen luottamuksellisuus ja turvallisuus säilyy. Vaikka TVT-palvelujen tarjoamiseen konsernin sisällä liittyy erityisiä riskejä ja hyötyjä, sitä ei pitäisi automaattisesti pitää vähemmän riskialttiina kuin sitä, että finanssikonsernin ulkopuoliset palveluntarjoajat tarjoavat TVT-palveluja, minkä vuoksi konsernin sisäiseen TVT-palvelujen tarjoamiseen olisi sovellettava samaa sääntelykehystä. Jos TVT-palveluja tarjotaan konsernin sisällä, finanssiyhteisöillä saattaa kuitenkin olla suurempi määräysvalta konsernin sisäisiin palveluntarjoajiin, mikä olisi otettava huomioon yleisessä riskinarvioinnissa.

(32)

Kun TVT-riski muuttuu yhä monimutkaisemmaksi ja kehittyneemmäksi, asianmukaiset toimenpiteet TVT-riskin havaitsemiseksi ja ehkäisemiseksi riippuvat suurelta osin siitä, miten finanssiyhteisöt jakavat säännöllisesti uhkia ja haavoittuvuutta koskevia tiedustelutietoja. Tietojen jakaminen lisää tietoisuutta kyberuhkista. Tämä puolestaan parantaa finanssiyhteisöjen valmiuksia estää kyberuhkia kehittymästä todellisiksi TVT:hen liittyviksi poikkeamiksi ja mahdollistaa sen, että finanssiyhteisöt voivat hillitä tehokkaammin TVT:hen liittyvien poikkeamien vaikutuksia ja palautua niistä nopeammin. Näyttää siltä, että unionin tason ohjeistuksen puuttuessa tällaista tiedonvaihtoa ovat vaikeuttaneet useat seikat, erityisesti epävarmuus siitä, onko tiedonvaihto tietosuoja-, kilpailu- ja vastuusääntöjen mukaista.

(33)

Lisäksi epävarmuus siitä, minkä tyyppisiä tietoja voidaan jakaa muille markkinatoimijoille tai muille kuin valvontaviranomaisille (kuten ENISAlle analyysejä varten tai Europolille lainvalvontatarkoituksia varten) on johtanut siihen, että hyödyllisiä tietoja ei ole toimitettu eteenpäin. Tietojenvaihto on näin ollen edelleen määrältään ja laadultaan suppeaa ja hajanaista; merkityksellistä vaihtoa tehdään lähinnä paikallisesti (kansallisten aloitteiden kautta), eikä käytössä ole yhtenäisiä unionin laajuisia tiedonvaihtojärjestelyjä, jotka olisi räätälöity yhdentyneen rahoitusjärjestelmän tarpeisiin. Sen vuoksi on tärkeää vahvistaa kyseisiä viestintäkanavia.

(34)

Finanssiyhteisöjä olisi kannustettava vaihtamaan keskenään tietoja ja tiedustelutietoa kyberuhkista ja hyödyntämään yhdessä erikseen hankittua tietämystään ja käytännön kokemustaan strategisella, taktisella ja operatiivisella tasolla, jotta ne voivat parantaa valmiuksiaan arvioida ja seurata kyberuhkia sekä puolustautua niiltä ja reagoida niihin riittävällä tavalla osallistumalla tiedonvaihtojärjestelyihin. Siksi on tarpeen mahdollistaa sellaisten vapaaehtoisten unionin tason tiedonvaihtojärjestelmien luominen, jotka luotettavissa toimintaympäristöissä toteutettuina auttaisivat finanssialaa ehkäisemään kyberuhkia ja reagoimaan yhteisesti niihin rajoittamalla nopeasti TVT-riskin leviämistä laajemmalle rahoituskanaviin. Kyseisten mekanismien olisi oltava sovellettavien, komission 14 päivänä tammikuuta 2011 julkaisemassa tiedonannossa ”Suuntaviivat Euroopan unionin toiminnasta tehdyn sopimuksen 101 artiklan soveltamisesta horisontaalista yhteistyötä koskeviin sopimuksiin” vahvistettujen unionin kilpailuoikeuden sääntöjen sekä unionin tietosuojasääntöjen, erityisesti Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (13), mukaisia. Niiden toiminnan olisi perustuttava yhden tai useamman kyseisen asetuksen 6 artiklassa säädetyn oikeusperustan käyttöön, kuten sellaisen henkilötietojen käsittelyn yhteydessä, joka on tarpeen kyseisen asetuksen 6 artiklan 1 kohdan f alakohdassa tarkoitetun rekisterinpitäjän tai kolmannen osapuolen oikeutetun edun toteuttamiseksi, sekä sellaisen henkilötietojen käsittelyn yhteydessä, joka on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi, kyseisen asetuksen 6 artiklan 1 kohdan c ja e alakohdassa tarkoitetun yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi.

(35)

Jotta voidaan säilyttää digitaalisen häiriönsietokyvyn korkea taso koko finanssialalla ja pysyä samalla tekniikan kehityksen tasalla, tällä asetuksella olisi puututtava kaikentyyppisistä TVT-palveluista aiheutuviin riskeihin. Tätä varten tämän asetuksen mukainen TVT-palvelujen määritelmä olisi ymmärrettävä laajasti siten, että se kattaa TVT-järjestelmien kautta yhdelle tai useammalle sisäiselle tai ulkopuoliselle käyttäjälle jatkuvasti tarjottavat digitaaliset ja datapalvelut. Kyseiseen määritelmään olisi sisällyttävä esimerkiksi niin kutsutut avoimen internetin kautta tarjottavat (over the top) palvelut, jotka kuuluvat sähköisten viestintäpalvelujen luokkaan. Sen ulkopuolelle olisi jätettävä ainoastaan sellaisten perinteisten analogisten puhelinpalvelujen ryhmä, joita voidaan pitää yleisen kytkentäisen puhelinverkon (PSTN) palveluina, lankaverkkopalveluina, perinteisinä puhelinpalveluina tai kiinteän puhelinverkon palveluina.

(36)

Tässä asetuksessa kaavaillusta laajasta kattavuudesta huolimatta digitaalista häiriönsietokykyä koskevien sääntöjen soveltamisessa olisi otettava huomioon, että finanssiyhteisöjen välillä on merkittäviä eroja, jotka liittyvät niiden kokoon ja yleiseen riskiprofiiliin. Yleisenä periaatteena, kun resursseja ja valmiuksia jaetaan TVT-riskinhallintajärjestelmän toteuttamiseksi, finanssiyhteisöjen olisi arvioitava TVT:hen liittyvät tarpeensa kokonsa ja yleisen riskiprofiilinsa sekä palvelujensa, toimintojensa ja toimintansa luonteen, laajuuden ja monitahoisuuden mukaan ja samalla toimivaltaisten viranomaisten olisi edelleen arvioitava ja tarkistettava tällaiseen jakamiseen liittyvää lähestymistapaa.

(37)

Direktiivin (EU) 2015/2366 33 artiklan 1 kohdassa tarkoitetut tilitietopalvelun tarjoajat on nimenomaisesti sisällytetty tämän asetuksen soveltamisalaan ottaen huomioon niiden toiminnan erityisluonne ja siitä aiheutuvat riskit. Lisäksi sähköisen rahan liikkeeseenlaskijalaitokset ja maksulaitokset, joihin sovelletaan Euroopan parlamentin ja neuvoston direktiivin 2009/110/EY (14) 9 artiklan 1 kohdan ja direktiivin (EU) 2015/2366 32 artiklan 1 kohdan nojalla vapautuksia, kuuluvat tämän asetuksen soveltamisalaan, vaikka niille ei ole myönnetty direktiivin 2009/110/EY mukaista toimilupaa sähköisen rahan liikkeeseenlaskuun tai niille ei ole myönnetty direktiivin (EU) 2015/2366 mukaista toimilupaa maksupalvelujen tarjoamiseen ja toteuttamiseen. Euroopan parlamentin ja neuvoston direktiivin 2013/36/EU (15) 2 artiklan 5 kohdan 3 alakohdassa tarkoitetut postisiirtoa hoitavat laitokset eivät kuitenkaan kuulu tämän asetuksen soveltamisalaan. Direktiivin (EU) 2015/2366 nojalla vapautettujen maksulaitosten, direktiivin 2009/110/EY nojalla vapautettujen sähköisen rahan liikkeeseenlaskijalaitosten ja direktiivin (EU) 2015/2366 33 artiklan 1 kohdassa tarkoitettujen tilitietopalvelun tarjoajien osalta toimivaltaisen viranomaisen olisi oltava direktiivin (EU) 2015/2366 22 artiklan mukaisesti nimetty toimivaltainen viranomainen.

(38)

Kun otetaan huomioon, että suuremmilla finanssiyhteisöillä saattaa olla käytettävissään laajempia resursseja ja ne voivat nopeasti ottaa käyttöön varoja hallintorakenteiden kehittämiseen ja erilaisten yritysstrategioiden käyttöönottamiseen, ainoastaan sellaisilta finanssiyhteisöiltä, jotka eivät ole tässä asetuksessa tarkoitettuja mikroyrityksiä, olisi vaadittava monimutkaisempien hallintojärjestelyjen käyttöönottoa. Tällaisilla yhteisöillä on paremmat edellytykset erityisesti ottaa käyttöön kohdennettuja hallinnointitoimintoja TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa sovittujen järjestelyjen valvomista varten tai kriisinhallinnan hoitamiseksi, järjestää TVT-riskinhallintansa kolmen puolustuslinjan mallin mukaisesti tai ottaa käyttöön sisäisen riskinhallinnan ja valvonnan malli, ja toimittaa TVT-riskin hallintajärjestelmänsä sisäisen tarkastuksen piiriin.

(39)

Jotkin finanssiyhteisöt hyötyvät vapautuksista tai niihin sovelletaan hyvin kevyttä sääntelykehystä asiaa koskevan alakohtaisen unionin oikeuden nojalla. Tällaisia finanssiyhteisöjä ovat muun muassa Euroopan parlamentin ja neuvoston direktiivin 2011/61/EU (16) 3 artiklan 2 kohdassa tarkoitetut vaihtoehtoisten sijoitusrahastojen hoitajat, Euroopan parlamentin ja neuvoston direktiivin 2009/138/EY (17) 4 artiklassa tarkoitetut vakuutus- ja jälleenvakuutusyritykset ja ammatillisia lisäeläkkeitä tarjoavat laitokset, jotka hallinnoivat eläkejärjestelmiä, joissa on yhteensä enintään 15 jäsentä. Kyseisten vapautusten perusteella ei olisi oikeasuhteista sisällyttää tällaisia finanssiyhteisöjä tämän asetuksen soveltamisalaan. Lisäksi tässä asetuksessa otetaan huomioon vakuutusten välityksen markkinarakenteen erityispiirteet, minkä vuoksi tätä asetusta ei pitäisi soveltaa vakuutus- ja jälleenvakuutusedustajiin ja sivutoimisiin vakuutusedustajiin, jotka katsotaan mikroyrityksiksi taikka pieniksi tai keskisuuriksi yrityksiksi.

(40)

Koska direktiivin 2013/36/EU 2 artiklan 5 kohdan 4–23 alakohdassa tarkoitetut yhteisöt eivät kuulu kyseisen direktiivin soveltamisalaan, jäsenvaltioiden olisi näin ollen voitava päättää tällaisten omalla alueellaan sijaitsevien laitosten vapauttamisesta tämän asetuksen soveltamisen suhteen.

(41)

Vastaavasti tämän asetuksen mukauttamiseksi Euroopan parlamentin ja neuvoston direktiivin 2014/65/EU (18) soveltamisalaan, on myös aiheellista jättää tämän asetuksen soveltamisalan ulkopuolelle kyseisen direktiivin 2 ja 3 artiklassa tarkoitetut luonnolliset henkilöt ja oikeushenkilöt, joilla on lupa tarjota sijoituspalveluja ilman direktiivin 2014/65/EU mukaista toimilupaa. Direktiivin 2014/65/EU 2 artiklassa kuitenkin myös jätetään kyseisen direktiivin soveltamisalan ulkopuolelle yhteisöt, jotka katsotaan tätä asetusta sovellettaessa finanssiyhteisöiksi, kuten arvopaperikeskukset, yhteissijoitusyritykset tai vakuutus- ja jälleenvakuutusyritykset. Mainitun direktiivin 2 ja 3 artiklassa tarkoitettujen henkilöiden ja yhteisöjen jättäminen tämän asetuksen soveltamisalan ulkopuolelle ei saisi koskea kyseisiä arvopaperikeskuksia, yhteissijoitusyrityksiä eikä vakuutus- ja jälleenvakuutusyrityksiä.

(42)

Alakohtaisen unionin oikeuden nojalla joihinkin finanssiyhteisöihin sovelletaan kevyempiä vaatimuksia tai vapautuksia niiden kokoon tai niiden tarjoamiin palveluihin liittyvistä syistä. Kyseiseen finanssiyhteisöjen kategoriaan kuuluvat muun muassa pienet ja ilman sidossuhteita olevat sijoituspalveluyritykset, pienet ammatillisia lisäeläkkeitä tarjoavat laitokset, jotka asianomainen jäsenvaltio voi jättää direktiivin (EU) 2016/2341 soveltamisalan ulkopuolelle kyseisen direktiivin 5 artiklassa säädetyin edellytyksin ja jotka hallinnoivat eläkejärjestelmiä, joissa on yhteensä enintään 100 jäsentä, sekä direktiivin 2013/36/EU nojalla vapautetut laitokset. Sen vuoksi suhteellisuusperiaatteen mukaisesti ja alakohtaisen unionin oikeuden hengen säilyttämiseksi on myös aiheellista soveltaa kyseisiin finanssiyhteisöihin yksinkertaistettua TVT-riskinhallintajärjestelmää tämän asetuksen mukaisesti. Kyseisiä finanssiyhteisöjä koskevan TVT-riskinhallintajärjestelmän oikeasuhteisuutta ei pitäisi muuttaa teknisillä sääntelystandardeilla, jotka Euroopan valvontaviranomaisten on määrä laatia. Suhteellisuusperiaatteen mukaisesti on lisäksi aiheellista soveltaa direktiivin (EU) 2015/2366 32 artiklan 1 kohdassa tarkoitettuihin maksulaitoksiin ja direktiivin 2009/110/EY 9 artiklassa tarkoitettuihin sähköisen rahan liikkeeseenlaskijalaitoksiin, jotka on vapautettu näiden unionin säädösten osaksi kansallista lainsäädäntöä saattamisen mukaisesti, tämän asetuksen mukaista yksinkertaistettua TVT-riskinhallintajärjestelmää, kun taas maksulaitosten ja sähköisen rahan liikkeeseenlaskijalaitosten, joita ei ole vapautettu osaksi kansallista lainsäädäntöä saatetun alakohtaisen unionin oikeuden mukaisesti, olisi noudatettava tässä asetuksessa säädettyä yleistä kehystä.

(43)

Finanssiyhteisöjä, jotka katsotaan mikroyrityksiksi tai joihin sovelletaan tämän asetuksen mukaista yksinkertaistettua TVT-riskinhallintajärjestelmää, ei myöskään tulisi velvoittaa perustamaan tehtävää TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa tehtyjen TVT-palvelujen käyttöä koskevien järjestelyjensä valvomiseksi, tai nimeämään ylemmän johdon jäsentä vastaamaan asiaan liittyvän riskialttiuden ja sitä koskevan dokumentaation valvonnasta, eikä osoittamaan vastuuta TVT-riskin hallinnasta ja valvonnasta valvontatoiminnolle ja varmistamaan tällaisen valvontatoiminnon riittävän tasoinen riippumattomuus eturistiriitojen välttämiseksi, eikä dokumentoimaan ja tarkistamaan TVT-riskinhallintajärjestelmää vähintään kerran vuodessa, eikä ottamaan säännöllisesti sisäisen tarkastuksen piiriin TVT-riskin hallintajärjestelmää, eikä tekemään perusteellisia arviointeja niiden verkko- ja tietojärjestelmäinfrastruktuuriin ja -prosesseihin tehtyjen merkittävien muutosten jälkeen, eikä tekemään säännöllisesti aiemman sukupolven TVT-järjestelmiä koskevia riskianalyysejä, eikä saattamaan TVT:tä koskevia reagointi- ja palautumissuunnitelmien täytäntöönpanoa riippumattoman sisäisen tarkastuksen piiriin, eikä ylläpitämään kriisinhallintatoimintoa, eikä laajentamaan liiketoiminnan jatkuvuuden sekä reagointi- ja palautumissuunnitelmien testausta, jotta voidaan kattaa skenaariot, jotka koskevat vaihtoa ensisijaisen TVT-infrastruktuurin ja TVT-varakapasiteetin välillä, eikä raportoimaan niiden pyynnöstä toimivaltaisille viranomaisille arviota merkittävien TVT-poikkeamien aiheuttamista yhteenlasketuista vuosittaisista kustannuksista ja tappioista, eikä pitämään yllä TVT-varakapasiteettia, eikä ilmoittamaan kansallisille toimivaltaisille viranomaisille TVT:hen liittyvien poikkeamien jälkeisten tarkistusten pohjalta toteutetuista muutoksista, eikä valvomaan jatkuvasti asiaan kuuluvaa teknologista kehitystä, eikä perustamaan kattavaa digitaalisen häiriönsietokyvyn testausohjelmaa erottamattomana osana tässä asetuksessa säädettyä TVT-riskinhallintajärjestelmää eikä hyväksymään kolmansiin osapuoliin liittyvää TVT-riskiä koskevaa strategiaa ja tarkistamaan sitä säännöllisesti. Lisäksi mikroyrityksiä olisi vaadittava ainoastaan arvioimaan tarve säilyttää tällainen TVT-varakapasiteetti niiden riskiprofiilin perusteella. Mikroyritysten olisi hyödyttävä joustavammasta järjestelmästä digitaalisen häiriönsietokyvyn testausohjelmien osalta. Kun tarkastellaan suoritettavan testauksen tyyppiä ja suoritustiheyttä, näiden olisi oltava asianmukaisessa tasapainossa korkean digitaalisen häiriönsietokyvyn säilyttämistä koskevan tavoitteen, mikroyritysten käytettävissä olevien resurssien ja niiden yleisen riskiprofiilin välillä. Mikroyritykset ja finanssiyhteisöt, joihin sovelletaan tämän asetuksen mukaista yksinkertaistettua TVT-riskinhallintajärjestelmää, olisi vapautettava vaatimuksesta suorittaa TVT-välineiden, järjestelmien ja -prosessien kehittynyttä testausta uhkaperusteisen tunkeutumistestauksen perusteella, koska vain tässä asetuksessa säädetyt vaatimukset täyttäviä finanssiyhteisöjä olisi vaadittava tekemään tällainen testaus. Koska mikroyritysten valmiudet ovat rajalliset, niiden olisi voitava sopia TVT-palveluntarjoajana olevan kolmannen osapuolen kanssa siitä, että finanssiyhteisön pääsy-, tarkastus- ja auditointioikeudet siirretään TVT-palveluntarjoajana olevan kolmannen osapuolen nimittämälle riippumattomalle kolmannelle osapuolelle edellyttäen, että finanssiyhteisö voi milloin tahansa pyytää kyseiseltä riippumattomalta kolmannelta osapuolelta kaikki asiaankuuluvat tiedot ja vakuutukset TVT-palveluntarjoajana olevan kolmannen osapuolen toiminnasta.

(44)

Koska ainoastaan digitaalisen häiriönsietokyvyn kehittyneen testauksen kannalta tunnistetuilta finanssiyhteisöiltä olisi vaadittava uhkaperusteisia tunkeutumistestejä, tällaisten testien suorittamiseen liittyvien hallinnollisten prosessien ja kustannusten olisi oltava finanssiyhteisöjen pienen prosenttiosuuden vastuulla.

(45)

Jotta voidaan varmistaa finanssiyhteisöjen liiketoimintastrategioiden yhdenmukaisuus kaikilta osin ja yleinen johdonmukaisuus sekä TVT-riskinhallinnan toteuttaminen, finanssiyhteisöjen ylimmiltä hallintoelimiltä olisi edellytettävä, että ne säilyttävät keskeisen ja aktiivisen roolin TVT-riskinhallintajärjestelmän ja digitaalisen häiriönsietokyvyn yleisen strategian ohjaamisessa ja mukauttamisessa. Ylimpien hallintoelinten lähestymistavassa ei pitäisi keskittyä ainoastaan TVT-järjestelmien häiriönsietokyvyn varmistamiskeinoihin, vaan sen olisi katettava myös ihmiset ja prosessit sellaisten toimintaperiaatteiden kautta, joilla edistetään kaikilla yrityksen tasoilla ja koko henkilöstön osalta, vahvaa tiedostamista kyberriskeistä ja sitoutumista tiukkaan kyberhygieniaan kaikilla tasoilla. Ylimmän hallintoelimen lopullisena vastuuna finanssiyhteisön TVT-riskin hallinnassa olisi oltava kyseisen kokonaisvaltaisen lähestymistavan yleisperiaate, joka näkyisi ylimmän hallintoelimen jatkuvana sitoutumisena TVT-riskinhallinnan valvontaan.

(46)

Lisäksi periaate, jonka mukaan ylimmällä hallintoelimellä on täysi ja lopullinen vastuu finanssiyhteisön TVT-riskin hallinnasta, on sidoksissa tarpeeseen varmistaa sellaiset TVT:hen liittyvien investointien taso ja finanssiyhteisön kokonaisbudjetti, joiden avulla finanssiyhteisö voi saavuttaa korkeatasoisen digitaalisen häiriönsietokyvyn.

(47)

Kyberriskien hallintaa koskeviin kansainvälisiin, kansallisiin ja toimialan parhaisiin käytäntöihin, suuntaviivoihin, suosituksiin ja lähestymistapoihin perustuen tällä asetuksella edistetään periaatteita, joilla helpotetaan TVT-riskinhallinnan kokonaisrakennetta. Näin ollen niin kauan kuin finanssiyhteisöjen tässä asetuksessa säädetyn TVT-riskinhallinnan eri tehtävien (tunnistus, suojelu ja ennaltaehkäisy, havaitseminen, reagointi ja toipuminen, oppiminen ja kehitys sekä viestintä) huomioon ottamiseksi käyttöönottamilla keskeisillä valmiuksilla, finanssiyhteisöjen olisi saatava vapaasti käyttää TVT-riskinhallintamalleja, jotka on määritelty tai luokiteltu eri tavoin.

(48)

Jotta voidaan pysyä nopeasti muuttuvan kyberuhkaympäristön kehityksen tahdissa, finanssiyhteisöjen olisi ylläpidettävä ajantasaisia TVT-järjestelmiä, jotka ovat luotettavia ja joilla on kyky paitsi taata niiden palvelujen edellyttämä tietojen käsittely myös varmistaa, että ne ovat teknisesti riittävän kestäviä selviytyäkseen asianmukaisesti tavallista suuremman tietomäärän käsittelystä, joka johtuu stressikausien markkinaolosuhteista tai muista vaikeista tilanteista.

(49)

Tehokkaita liiketoiminnan jatkuvuus- ja palautumissuunnitelmia tarvitaan, jotta finanssiyhteisöt voivat nopeasti ratkaista TVT:hen liittyvät poikkeamat, erityisesti kyberhyökkäykset, rajoittamalla vahinkoja ja antamalla etusijan toiminnan jatkamiselle ja palautustoimille niiden varmuuskopiointikäytäntöjen mukaisesti. Tällainen toiminnan jatkaminen ei kuitenkaan saisi millään tavoin vaarantaa verkko- ja tietojärjestelmien eheyttä ja turvallisuutta eikä tietojen saatavuutta, aitoutta, eheyttä tai luottamuksellisuutta.

(50)

Vaikka tässä asetuksessa sallitaan se, että finanssiyhteisöt määrittävät toipumisaika- ja toipumispistetavoitteensa joustavasti ja voivat näin ollen asettaa tällaiset tavoitteet ottamalla täysin huomioon asianomaisten toimintojen luonteen ja kriittisyyden sekä liiketoiminnan mahdolliset erityistarpeet, siinä olisi kuitenkin edellytettävä, että finanssiyhteisöt tällaisia tavoitteita määrittäessään suorittavat arvion mahdollisesta kokonaisvaikutuksesta markkinoiden tehokkuuteen.

(51)

Kyberhyökkäysten levittäjillä on taipumus pyrkiä hyötymään taloudellisesti suoraan lähteellä, mikä näin ollen altistaa finanssiyhteisöt merkittäville seurauksille. Jotta TVT-järjestelmät eivät menettäisi eheyttään tai eivät enää olisi käytettävissä, ja jotta näin ollen vältettäisiin tietoturvaloukkaukset ja fyysiselle TVT-infrastruktuurille aiheutuvat vahingot, finanssiyhteisöjen raportointia merkittävistä TVT-poikkeamista olisi merkittävästi parannettava ja virtaviivaistettava. TVT:hen liittyvien poikkeamien raportointi olisi yhdenmukaistettava ottamalla käyttöön vaatimus, jonka mukaan kaikkien finanssiyhteisöjen on raportoitava suoraan asianomaisille toimivaltaisille viranomaisilleen. Jos finanssiyhteisöä valvoo useampi kuin yksi kansallinen toimivaltainen viranomainen, jäsenvaltioiden olisi nimettävä yksi toimivaltainen viranomainen tällaisen raportoinnin vastaanottajaksi. Luottolaitosten, jotka on luokiteltu merkittäviksi neuvoston asetuksen (EU) N:o 1024/2013 (19) 6 artiklan 4 kohdan mukaisesti, olisi toimitettava tällainen raportti kansallisille toimivaltaisille viranomaisille, joiden olisi sen jälkeen toimitettava se Euroopan keskuspankille (EKP).

(52)

Suoran raportoinnin pitäisi antaa finanssivalvojille mahdollisuus saada välittömästi tietoja laajavaikutteisista TVT:hen liittyvistä poikkeamista. Finanssivalvojien olisi puolestaan toimitettava yksityiskohtaiset tiedot laajavaikutteisista TVT:hen liittyvistä poikkeamista finanssialan ulkopuolisille viranomaisille (kuten direktiivin (EU) 2022/2555 mukaisille toimivaltaisille viranomaisille ja keskitetyille yhteyspisteille, kansallisille tietosuojaviranomaisille ja lainvalvontaviranomaisille sellaisten laajavaikutteisten TVT:hen liittyvien poikkeamien osalta, jotka ovat luonteeltaan rikosoikeudellisia), jotta voidaan lisätä tällaisten viranomaisten tietoisuutta tällaisista poikkeamista ja CSIRT-yksiköiden tapauksessa helpottaa nopeaa apua, jota voidaan tarvittaessa antaa finanssiyhteisöille. Jäsenvaltioiden olisi lisäksi voitava päättää, että finanssiyhteisöjen olisi itse annettava tällaisia tietoja rahoituspalvelualan ulkopuolella toimiville viranomaisille. Kyseisten tietovirtojen ansiosta finanssiyhteisöjen pitäisi voida nopeasti hyötyä kaikesta asiaankuuluvasta teknisestä asiantuntemuksesta, korjaustoimenpiteitä koskevasta neuvonnasta ja tällaisten viranomaisten jatkotoimista. Laajavaikutteisia TVT:hen liittyviä poikkeamia koskevia tietoja olisi ohjattava eteenpäin vastavuoroisesti: finanssivalvojien olisi annettava kaikki tarvittavat huomiot tai ohjeet finanssiyhteisölle ja samalla Euroopan valvontaviranomaisten olisi jaettava nimettömiksi tehtyjä tietoja poikkeamaan liittyvistä kyberuhkista ja haavoittuvuuksista laajemman kollektiivisen puolustuksen edistämiseksi.

(53)

Vaikka kaikkia finanssiyhteisöjä olisi vaadittava raportoimaan poikkeamista, kyseisen vaatimuksen ei odoteta vaikuttavan niihin kaikkiin samalla tavalla. Asiaankuuluvia olennaisuusrajoja ja raportoinnin määräaikoja olisikin asianmukaisesti mukautettava Euroopan valvontaviranomaisten laatimiin teknisiin sääntelystandardeihin perustuvien delegoitujen säädösten yhteydessä, jotta ne kattaisivat ainoastaan laajavaikutteiset TVT:hen liittyvät poikkeamat. Lisäksi finanssiyhteisöjen erityispiirteet olisi otettava huomioon raportointivelvoitteiden määräaikoja asetettaessa.

(54)

Tässä asetuksessa olisi edellytettävä, että luottolaitokset, maksulaitokset, tilitietopalvelun tarjoajat ja sähköisen rahan liikkeeseenlaskijalaitokset ilmoittavat kaikista toiminnan harjoittamiseen tai turvallisuuteen vaikuttavista maksuihin liittyvistä poikkeamista, joista on aiemmin ilmoitettu direktiivin (EU) 2015/2366 nojalla, poikkeaman TVT-luonteesta riippumatta.

(55)

Euroopan valvontaviranomaisille olisi annettava tehtäväksi arvioida TVT:hen liittyviä poikkeamia koskevien raporttien mahdollisen keskittämisen toteutettavuutta ja edellytyksiä unionin tasolla. Tällainen keskittäminen voisi koostua siitä, että laaja-alaisia TVT:hen liittyviä poikkeamia koskevaa raportointia varten otetaan käyttöön yksi EU:n keskus, joka joko vastaanottaisi asiaankuuluvat raportit suoraan ja ilmoittaisi niistä automaattisesti kansallisille toimivaltaisille viranomaisille tai pelkästään keskittäisi kansallisten toimivaltaisten viranomaisten välittämät asiaankuuluvat raportit ja suorittaisi siten koordinointitehtävää. Euroopan valvontaviranomaisille olisi annettava tehtäväksi laatia EKP:tä ja ENISAa kuullen yhteinen raportti, jossa tarkasteltaisiin yhden EU:n keskuksen käyttöönoton toteutettavuutta.

(56)

Korkeatasoisen digitaalisen häiriönsietokyvyn saavuttamiseksi sekä asiaankuuluvia kansainvälisiä standardeja (esimerkiksi G7-työryhmän uhkaperusteisen tunkeutumistestauksen peruselementit) että unionissa sovellettuja kehyksiä, kuten TIBER–EU, noudattaen finanssiyhteisöjen olisi säännöllisesti testattava TVT-järjestelmiään ja henkilöstöään, jolla on TVT:n kannalta merkittäviä vastuualueita, niiden ennaltaehkäisy-, havaitsemis-, reagointi- ja toipumisvalmiuksien tehokkuuden osalta, jotta mahdolliset TVT-haavoittuvuudet voitaisiin havaita ja niihin voitaisiin reagoida. Jotta voidaan ottaa huomioon finanssialan eri alasektoreiden keskinäiset ja sisäiset erot finanssiyhteisöjen kyberturvallisuuden valmiustason osalta, testaukseen olisi sisällytettävä monia erilaisia välineitä ja toimia, jotka ulottuvat perusvaatimusten arvioinnista (esimerkiksi haavoittuvuusarvioinnit ja -luotaukset, avoimen lähdekoodin analyysit, verkkoturvallisuusarvioinnit, puuteanalyysit, fyysisen turvallisuuden tarkistukset, kyselyt, luotaukseen liittyvät ohjelmistoratkaisut, mahdollisuuksien mukaan lähdekooditarkistukset ja skenaarioihin perustuvat testit, vastaavuustestaus, suorituskykytestaus tai päästä päähän -testaus) kehittyneempään testaukseen uhkaperusteista tunkeutumistestausta käyttäen. Tällaista edistyneempää testausta olisi vaadittava vain sellaisten finanssiyhteisöjen osalta, jotka ovat TVT-näkökulmasta riittävän kypsiä, jotta ne voivat tehdä sen järkevästi. Tämän asetuksen edellyttämän digitaalisen häiriönsietokyvyn testauksen olisi näin ollen oltava vaativampaa tässä asetuksessa säädetyt vaatimukset täyttävien finanssiyhteisöjen (esimerkiksi suurten, systeemisten ja TVT-edistyneiden luottolaitosten, arvopaperipörssien, arvopaperikeskusten ja keskusvastapuolten) kuin muiden finanssiyhteisöjen osalta. Samalla digitaalisen häiriönsietokyvyn testauksen uhkaperusteisen tunkeutumistestauksen avulla olisi myös oltava olennaisempaa sellaisten finanssiyhteisöjen osalta, jotka toimivat ydinrahoituspalvelujen alasektoreilla ja jotka ovat systeemisesti tärkeitä (esimerkiksi maksut, pankkikysymykset sekä selvitykset ja toimitukset) ja vähemmän olennaista muilla alasektoreilla (esimerkiksi varainhoitajat ja luottoluokituslaitokset).

(57)

Rajat ylittävää toimintaa ja sijoittautumisvapautta tai palvelujen tarjoamisen vapautta unionissa harjoittavien finanssiyhteisöjen olisi noudatettava yhtenäisiä kehittyneeseen testaukseen (eli uhkaperusteinen tunkeutumistestaus) liittyviä vaatimuksia kotijäsenvaltiossaan, ja kyseiseen testiin olisi sisällytettävä TVT-infrastruktuurit kaikilla lainkäyttöalueilla, joilla rajatylittävä finanssikonserni toimii unionissa, mikä mahdollistaisi sen, että tällaisille rajatylittäville finanssikonserneille aiheutuisi asiaan liittyviä TVT-testauskustannuksia vain yhdellä lainkäyttöalueella.

(58)

Jotta voitaisiin hyödyntää asiantuntemusta, jota tietyt toimivaltaiset viranomaiset ovat jo hankkineet erityisesti TIBER–EU-kehyksen täytäntöönpanosta, tässä asetuksessa olisi annettava jäsenvaltioille mahdollisuus nimetä yksi viranomainen, joka kansallisella tasolla vastaa rahoitusalalla kaikista uhkaperusteiseen tunkeutumistestaukseen liittyvistä asioista, tai toimivaltaiset viranomaiset, jotka tällaisen nimeämisen puuttuessa delegoivat uhkaperusteiseen tunkeutumistestaukseen liittyvien tehtävien hoitamisen toiselle kansalliselle finanssialan toimivaltaiselle viranomaiselle.

(59)

Koska tässä asetuksessa ei edellytetä, että finanssiyhteisöjen olisi katettava kaikki kriittiset tai tärkeät toiminnot yhdessä ainoassa uhkaperusteisessa tunkeutumistestissä, finanssiyhteisöjen olisi voitava vapaasti määrittää, mitkä kriittiset tai tärkeät toiminnot ja kuinka monta kriittistä tai tärkeää toimintoa olisi sisällytettävä tällaisen testin soveltamisalaan.

(60)

Tässä asetuksessa tarkoitettu yhdistetty testaus, jossa useat finanssiyhteisöt osallistuvat uhkaperusteiseen tunkeutumistestaukseen ja jonka osalta TVT-palveluntarjoajana oleva kolmas osapuoli voi tehdä suoraan sopimusjärjestelyjä ulkopuolisen testaajan kanssa, olisi sallittava vain, jos TVT-palveluntarjoajana olevan kolmannen osapuolen asiakkaille, jotka ovat tämän asetuksen soveltamisalaan kuulumattomia yhteisöjä, tarjoamien palvelujen laatuun tai turvallisuuteen tai tällaisiin palveluihin liittyvän datan luottamuksellisuuteen voidaan kohtuudella odottaa kohdistuvan haitallisia vaikutuksia. Yhdistettyyn testaukseen olisi myös sovellettava suojatoimia (yksi nimetty finanssiyhteisö johtavassa roolissa, osallistuvien finanssiyhteisöjen lukumäärän kalibrointi) sen varmistamiseksi, että asianomaiset finanssiyhteisöt, jotka täyttävät tämän asetuksen mukaiset uhkaperusteisen tunkeutumistestauksen tavoitteet, testataan tarkasti.

(61)

Jotta voitaisiin hyödyntää yritystasolla käytettävissä olevia sisäisiä resursseja, tässä asetuksessa olisi sallittava sisäisten testaajien käyttö uhkaperusteisen tunkeutumistestauksen toteuttamiseen edellyttäen, että valvontaviranomaiselta on saatu hyväksyntä, että eturistiriitoja ei ole ja että sisäisiä testaajia ja ulkopuolisia testaajia käytetään vuorotellen määräajoin (joka kolmas testi), ja samalla olisi edellytettävä, että uhkaperusteisen tunkeutumistestauksen uhkatiedustelutietojen tarjoaja on aina ulkopuolinen finanssiyhteisöön nähden. Vastuun uhkaperusteisen tunkeutumistestauksen toteuttamisesta olisi säilyttävä täysimääräisesti finanssiyhteisöllä. Viranomaisten antamien todistusten olisi oltava yksinomaan vastavuoroista tunnustamista varten eivätkä ne saisi estää mahdollisia jatkotoimia, joita tarvitaan finanssiyhteisöön kohdistuvaan TVT-riskiin puuttumiseksi, eikä niitä saisi pitää valvontaviranomaisen hyväksyntänä finanssiyhteisön TVT-riskin hallinta- ja vähentämisvalmiuksista.

(62)

Kolmansiin osapuoliin liittyvän finanssialan TVT-riskin asianmukaisen seurannan varmistamiseksi on tarpeen vahvistaa periaatteisiin perustuvat säännöt ohjaamaan finanssiyhteisöjä sellaisten riskien seurannassa, joita aiheutuu TVT-palveluntarjoajana oleville kolmansille osapuolille ulkoistettujen toimintojen yhteydessä, etenkin kun on kyse kriittisiä tai tärkeitä toimintoja tukevista TVT-palveluista, ja yleisemmin, kun kyse on kaikesta TVT-palveluntarjoajana oleviin kolmansiin osapuoliin liittyvästä riippuvuudesta.

(63)

Jotta voidaan puuttua TVT-riskin eri lähteiden monitahoisuuteen ja samalla ottaa huomioon rahoituspalvelujen sujuvan tarjoamisen mahdollistavien teknisten ratkaisujen tarjoajien moninaisuus ja monimuotoisuus, tämän asetuksen olisi katettava laaja joukko TVT-palveluntarjoajana olevia kolmansia osapuolia, mukaan lukien pilvipalvelujen, ohjelmistojen, data-analytiikkapalvelujen ja datakeskuspalvelujen tarjoajat. Koska finanssiyhteisöjen olisi tosiasiallisesti ja johdonmukaisesti tunnistettava ja hallittava vastaavasti kaiken tyyppisiä riskejä, myös finanssikonsernin sisällä hankittujen TVT-palvelujen yhteydessä, olisi selvennettävä, että finanssikonserniin kuuluvia yrityksiä, jotka tarjoavat TVT-palveluja pääasiassa emoyritykselleen tai emoyrityksensä tytäryrityksille tai sivuliikkeille, sekä finanssiyhteisöjä, jotka tarjoavat TVT-palveluja muille finanssiyhteisöille, olisi myös pidettävä tässä asetuksessa tarkoitettuina TVT-palveluntarjoajina olevina kolmansina osapuolina. Koska kehittyvät maksupalvelumarkkinat ovat yhä riippuvaisempia monimutkaisista teknisistä ratkaisuista ja kun otetaan huomioon uudet maksupalvelutyypit ja maksuihin liittyvät ratkaisut, maksupalvelujen ekosysteemiin osallistujia, jotka tarjoavat maksukäsittelytoimintoja tai ylläpitävät maksuinfrastruktuureja, olisi myös pidettävä tämän asetuksen mukaisina TVT-palveluntarjoajana olevina kolmansina osapuolina, lukuun ottamatta keskuspankkeja näiden ylläpitäessä maksu- tai arvopapereiden selvitysjärjestelmiä sekä viranomaisia näiden tarjotessa TVT:hen liittyviä palveluja valtion tehtävien hoitamisen yhteydessä.

(64)

Finanssiyhteisön olisi kaikissa tilanteissa pysyttävä täysin vastuussa tässä asetuksessa säädettyjen velvoitteidensa noudattamisesta. Finanssiyhteisöjen olisi sovellettava oikeasuhteista lähestymistapaa TVT-palveluntarjoajana olevien kolmansien osapuolten tasolla esiintyvien riskien seurantaan ottamalla asianmukaisesti huomioon niiden TVT-riippuvuuksien luonne, laajuus, monitahoisuus ja merkitys sekä sopimusjärjestelyjen kohteena olevien palvelujen, prosessien tai toimintojen kriittisyys tai merkitys ja perustamalla ne huolelliseen arviointiin siitä, millaisia mahdollisia vaikutuksia niillä voi olla finanssipalvelujen jatkuvuuteen ja laatuun yksittäisellä ja tapauksen mukaan ryhmän tasolla.

(65)

Tällaisen seurannan toteuttamisessa olisi noudatettava strategista lähestymistapaa, jossa otetaan huomioon kolmansiin osapuoliin liittyvä TVT-riski Ja finanssiyhteisön ylimmän hallintoelimen olisi virallistettava lähestymistapa kohdennetulla kolmansiin osapuoliin liittyvää TVT-riskiä käsittelevällä strategialla, joka perustuu kaikkien TVT-palveluntarjoajana oleviin kolmansiin osapuoliin liittyvien riippuvuuksien jatkuvaan tarkasteluun. Jotta voidaan lisätä tietämystä TVT-palveluntarjoajana oleviin kolmansiin osapuoliin liittyvien riippuvuuksien valvonnasta ja tukea edelleen tällä asetuksella käyttöön otetun valvontakehyksen puitteissa tehtävää työtä, kaikilta finanssiyhteisöiltä olisi edellytettävä, että ne pitävät tietorekisteriä kaikista sopimusjärjestelyistä, jotka koskevat TVT-palveluntarjoajana olevien kolmansien osapuolten tarjoamien TVT-palvelujen käyttöä. Finanssivalvojien olisi voitava pyytää täydellistä rekisteriä tai sen tiettyjä osia ja siten saada olennaisia tietoja, joiden avulla voidaan luoda laajempi käsitys finanssiyhteisöjen TVT-riippuvuuksista.

(66)

Sopimusta edeltävän perusteellisen analyysin olisi oltava pohjana sopimusjärjestelyjen tekemiselle jo ennen niiden virallista tekemistä, erityisesti keskittymällä suunnitellun TVT-sopimuksen tukemien palvelujen kriittisyyteen tai merkitykseen, tarvittaviin valvontaviranomaisen hyväksyntöihin tai muihin ehtoihin, mahdolliseen keskittymäriskiin sekä siihen, että TVT-palveluntarjoajana olevien kolmansien osapuolten valinta- ja arviointiprosessissa ja mahdollisten eturistiriitojen arvioinnissa noudatetaan asianmukaista huolellisuutta. Kriittisiä tai tärkeitä toimintoja koskevien sopimusjärjestelyjen osalta finanssiyhteisöjen olisi otettava huomioon, miten TVT-palveluntarjoajana olevat kolmannet osapuolet käyttävät uusimpia ja korkeimpia tietoturvastandardeja. Sopimusjärjestelyjen irtisanominen voisi johtua ainakin useista olosuhteista, jotka osoittavat puutteita TVT-palveluntarjoajana olevan kolmannen osapuolen tasolla, erityisesti merkittävistä lakien tai sopimusehtojen rikkomisista, olosuhteista, jotka paljastavat mahdollisen muutoksen sopimusjärjestelyissä määrättyjen toimintojen suorittamisessa, näyttöä TVT-palveluntarjoajana olevan kolmannen osapuolen heikkouksista sen yleisessä TVT-riskinhallinnassa taikka olosuhteista, jotka osoittavat asianomaisen toimivaltaisen viranomaisen kyvyttömyyden valvoa tehokkaasti finanssiyhteisöä.

(67)

Jotta voidaan puuttua TVT-palveluntarjoajana oleviin kolmansiin osapuoliin liittyvän keskittymäriskin systeemiseen vaikutukseen, tässä asetuksessa edistetään tasapainoista ratkaisua tällaiseen keskittymäriskiin omaksumalla joustava ja vaiheittainen lähestymistapa, sillä joustamattomien ylärajojen tai tiukkojen rajoitusten asettaminen voi haitata liiketoiminnan harjoittamista ja rajoittaa sopimusvapautta. Finanssiyhteisöjen olisi arvioitava perusteellisesti suunniteltuja sopimusjärjestelyjään, jotta voitaisiin tunnistaa tällaisen riskin aiheutumisen todennäköisyys, muun muassa analysoimalla perusteellisesti alihankintajärjestelyjä etenkin silloin, kun järjestelyjä tehdään kolmanteen maahan sijoittautuneiden TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa. Tässä vaiheessa ja oikean tasapainon löytämiseksi sopimusvapauden säilyttämisen ja rahoitusvakauden takaamisen välillä ei pidetä tarkoituksenmukaisena asettaa tiukkoja ylärajoja koskevia sääntöjä ja rajoja TVT-palveluntarjoajana olevien kolmansien osapuolten käytölle. Valvontakehyksen yhteydessä tämän asetuksen mukaisesti nimetyn päävalvojan olisi kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolen osalta oltava erityisen tarkkaavainen voidakseen saada kattavan kuvan riippuvuussuhteiden laajuudesta, havaitakseen erityisiä tapauksia, joissa kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten keskittymä on suurta unionissa ja todennäköisesti asettaa paineita unionin finanssijärjestelmän vakaudelle ja eheydelle, ja ylläpitääkseen vuoropuhelua kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa, kun kyseinen erityinen riski havaitaan.

(68)

Jotta voidaan arvioida ja seurata säännöllisesti TVT-palveluntarjoajana olevan kolmannen osapuolen kykyä tarjota turvallisesti palveluja finanssiyhteisölle vaikuttamatta haitallisesti finanssiyhteisön digitaaliseen häiriönsietokykyyn, olisi yhdenmukaistettava useita keskeisiä sopimuselementtejä TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa. Tällaisen yhdenmukaistamisen olisi katettava vähintään alat, jotka ovat ratkaisevan tärkeitä, jotta finanssiyhteisö voi seurata täysimääräisesti TVT-palveluntarjoajana olevasta kolmannesta osapuolesta mahdollisesti aiheutuvia riskejä finanssiyhteisön digitaalisen häiriönsietokyvyn turvaamistarpeen näkökulmasta, koska häiriönsietokyky on erittäin riippuvainen vastaanotettujen TVT-palvelujen vakaudesta, toimivuudesta, saatavuudesta ja turvallisuudesta.

(69)

Neuvoteltaessa uudelleen sopimusjärjestelyistä, joilla pyritään yhdenmukaisuuteen tämän asetuksen vaatimusten kanssa, finanssiyhteisöjen ja TVT-palveluntarjoajana olevien kolmansien osapuolten olisi varmistettava, että tässä asetuksessa säädetyt keskeiset sopimusmääräykset tulevat käsitellyiksi.

(70)

Tässä asetuksessa säädetty ilmaisun ’kriittinen tai tärkeä toiminto’ määritelmä käsittää ’kriittiset toiminnot’ sellaisina kuin ne on määritelty Euroopan parlamentin ja neuvoston direktiivin 2014/59/EU (20) 2 artiklan 1 kohdan 35 alakohdassa. Näin ollen toiminnot, joita pidetään direktiivin 2014/59/EU mukaisesti kriittisinä, sisällytetään tässä asetuksessa tarkoitettuun kriittisten toimintojen määritelmään.

(71)

TVT-palvelujen tukeman toiminnon kriittisyydestä tai merkityksestä riippumatta sopimusjärjestelyissä olisi erityisesti eriteltävä toimintojen ja palvelujen kattavat kuvaukset, missä tällaisia toimintoja tarjotaan ja missä dataa käsitellään, sekä annettava palvelutason kuvaukset. Muita sopimusmääräyksiä, jotka ovat olennaisen tärkeitä, jotta finanssiyhteisö voi seurata kolmannen osapuolen TVT-riskiä, ovat: sopimusmääräykset, joissa täsmennetään, miten TVT-palveluntarjoajana oleva kolmas osapuoli varmistaa henkilötietojen saavutettavuuden, saatavuuden, eheyden, turvallisuuden ja suojan, määräykset, joissa määrätään asianmukaisista takeista, jotka mahdollistavat tietoihin pääsyn, niiden pelastamisen ja takaisin saamisen siinä tapauksessa, että TVT-palveluntarjoajana oleva kolmas osapuoli on maksukyvytön tai kriisinratkaisun kohteena tai lopettaa liiketoiminnan, sekä määräykset, joilla TVT-palveluntarjoajana olevaa kolmatta osapuolta vaaditaan antamaan apua tarjottuihin palveluihin liittyvissä TVT-poikkeamissa ilman lisäkustannuksia tai etukäteen määritetyin kustannuksin; määräykset, jotka koskevat TVT-palveluntarjoajana olevan kolmannen osapuolen velvollisuutta tehdä täysimääräistä yhteistyötä finanssiyhteisön toimivaltaisten viranomaisten ja kriisinratkaisuviranomaisten kanssa; sekä määräykset, jotka koskevat sopimusjärjestelyjen irtisanomisoikeuksia ja niihin liittyviä irtisanomisen vähimmäisaikoja toimivaltaisten viranomaisten ja kriisinratkaisuviranomaisten odotusten mukaisesti.

(72)

Tällaisten sopimusmääräysten lisäksi ja jotta voidaan varmistaa, että finanssiyhteisöt pystyvät edelleen täysimääräisesti hallitsemaan kaikkia kolmansien osapuolten tasolla syntyviä tilanteita, jotka saattavat heikentää niiden TVT-turvallisuutta, olisi kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen tarjoamista koskevissa sopimuksissa määrättävä myös seuraavista: palvelutason täyden kuvauksen määrittely, joka sisältää täsmälliset määrälliset ja laadulliset suoritustavoitteet, jotta asianmukaisia korjaavia toimenpiteitä voidaan toteuttaa ilman aiheetonta viivytystä, jos sovittuja palvelutasoja ei saavuteta; asiaankuuluvat TVT-palveluntarjoajana olevien kolmansien osapuolten ilmoitusajat ja raportointivelvoitteet siinä tapauksessa, että tilanne saattaa vaikuttaa olennaisesti TVT-palveluntarjoajana olevan kolmannen osapuolen kykyyn tarjota tehokkaasti asianomaisia TVT-palvelujaan; TVT-palveluntarjoajana olevaa kolmatta osapuolta koskeva vaatimus toteuttaa ja testata liiketoiminnan varautumissuunnitelmia ja käyttää TVT-turvatoimenpiteitä, -välineitä ja -periaatteita, jotka mahdollistavat palvelujen turvallisen tarjoamisen, sekä osallistua finanssiyhteisön suorittamaan uhkaperusteiseen tunkeutumistestaukseen ja tehdä sen yhteydessä täysimääräistä yhteistyötä.

(73)

Kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen tarjoamista koskevien sopimusten olisi myös sisällettävä määräyksiä, jotka antavat finanssiyhteisölle tai nimetylle kolmannelle osapuolelle pääsy-, tarkastus- ja auditointioikeudet sekä oikeuden ottaa jäljennöksiä, sillä nämä ovat ratkaisevan tärkeitä välineitä käynnissä olevassa seurannassa, jota finanssiyhteisöt kohdistavat TVT-palveluntarjoajana olevan kolmannen osapuolen toimintaan, samoin kuin viimeksi mainitun täysimääräinen yhteistyö tarkastusten aikana. Myös finanssiyhteisön toimivaltaisella viranomaisella olisi oltava oikeus tehdä TVT-palveluntarjoajana olevaan kolmanteen osapuoleen kohdistuvia tarkastuksia ja auditointeja, joista on ilmoitettu ennalta, edellyttäen, että luottamukselliset tiedot suojataan.

(74)

Tällaisissa sopimusjärjestelyissä olisi myös määrättävä erityisistä irtautumisstrategioista, jotka mahdollistavat erityisesti pakolliset siirtymäkaudet, joiden aikana TVT-palveluntarjoajana olevien kolmansien osapuolten olisi huolehdittava edelleen asiaankuuluvien palvelujen tarjoamisesta, jotta voidaan vähentää häiriöiden riskiä finanssiyhteisön tasolla tai antaa viimeksi mainituille mahdollisuus siirtyä tosiasiallisesti käyttämään toisten TVT-palveluntarjoajana olevien kolmansien osapuolten palveluja tai vaihtoehtoisesti vaihtaa sisäisiin ratkaisuihin, jotka vastaavat tarjotun TVT-palvelun monitahoisuutta. Lisäksi direktiivin 2014/59/EU soveltamisalaan kuuluvien finanssiyhteisöjen olisi varmistettava, että asiaankuuluvat TVT-palveluja koskevat sopimukset ovat vankkoja ja täysin täytäntöönpanokelpoisia kyseisten finanssiyhteisöjen kriisinratkaisun tapauksessa. Kriisinratkaisuviranomaisten odotusten mukaisesti kyseisten finanssiyhteisöjen olisi näin ollen varmistettava, että asiaankuuluvat TVT-palveluja koskevat sopimukset ovat kriisinratkaisun kannalta kestäviä. Niin kauan kuin kyseiset finanssiyhteisöt jatkavat maksuvelvoitteidensa täyttämistä, niiden olisi varmistettava muiden vaatimusten ohella, että asiaankuuluvat TVT-palveluja koskevat sopimukset sisältävät lausekkeita, jotka koskevat sopimuksen purkamatta, keskeyttämättä ja muuttamatta jättämistä uudelleenjärjestelyn tai kriisinratkaisun perusteella.

(75)

Lisäksi viranomaisten tai unionin toimielinten laatimien vakiosopimuslausekkeiden ja erityisesti komission pilvipalveluja varten laatimien sopimuslausekkeiden vapaaehtoinen käyttö voisi antaa lisävarmuutta finanssiyhteisöille ja TVT-palveluntarjoajana oleville kolmansille osapuolille lisäämällä niiden oikeusvarmuuden tasoa finanssialan käyttämien pilvipalvelujen osalta noudattaen kaikilta osin unionin rahoituspalvelua koskevan oikeuden vaatimuksia ja odotuksia. Vakiosopimuslausekkeiden laatiminen perustuu toimenpiteisiin, joita suunniteltiin jo vuoden 2018 FinTech-toimintasuunnitelmassa, jossa ilmoitettiin komission aikomuksesta edistää ja helpottaa sellaisten vakiosopimuslausekkeiden laatimista, joita finanssiyhteisöt voivat käyttää pilvipalveluja koskevissa ulkoistuksissa, hyödyntäen monialaisia pilvipalvelujen sidosryhmien toimia, joita komissio on helpottanut rahoitusalan avustuksella.

(76)

Jotta voidaan edistää niiden valvontaan liittyvien lähestymistapojen lähentymistä ja tehokkuutta, joita sovelletaan kolmansiin osapuoliin liittyvään TVT-riskiin finanssialalla, sekä vahvistaa niiden finanssiyhteisöjen digitaalista häiriönsietokykyä, jotka ovat finanssipalvelujen tarjoamista tukevien TVT-palvelujen osalta riippuvaisia kriittisistä TVT-palveluntarjoajana olevista kolmansista osapuolista, ja näin edistää unionin finanssijärjestelmän vakauden säilyttämistä ja finanssipalvelujen sisämarkkinoiden eheyttä, kriittisiin TVT-palveluntarjoajana oleviin kolmansiin osapuoliin olisi sovellettava unionin valvontakehystä. Vaikka valvontakehyksen perustaminen on perusteltua unionin tason toimista saatavan lisäarvon perusteella ja ottaen huomioon TVT-palvelujen käytön luontaisen roolin ja erityispiirteet finanssipalvelujen tarjoamisessa, olisi samalla muistettava, että tämä ratkaisu vaikuttaa sopivalta vain tämän asetuksen yhteydessä, jossa käsitellään erityisesti rahoitusalan digitaalista häiriönsietokykyä. Tällaista valvontakehystä ei kuitenkaan olisi pidettävä unionin valvonnan uutena mallina rahoituspalvelujen ja -toiminnan aloilla.

(77)

Valvontakehystä olisi sovellettava ainoastaan kriittisiin TVT-palveluntarjoajana oleviin kolmansiin osapuoliin. Sen vuoksi olisi otettava käyttöön nimeämismekanismi, jossa otetaan huomioon, missä määrin ja millä tavalla finanssiala on riippuvainen tällaisista TVT-palveluntarjoajana olevista kolmansista osapuolista. Kyseisessä mekanismissa olisi käytettävä joukkoa määrällisiä ja laadullisia kriteereitä, joiden pohjalta määritetään kriittisyysparametrit, jotka ovat perustana valvontakehykseen sisällyttämiselle. Kyseisen arvioinnin tarkkuuden varmistamiseksi ja TVT-palveluntarjoajana olevan kolmannen osapuolen organisaatiorakenteesta riippumatta tällaisissa kriteereissä olisi otettava huomioon TVT-palveluntarjoajana olevan kolmannen osapuolen koko konsernirakenne, jos kyseessä on laajempaan konserniin kuuluva TVT-palveluntarjoajana oleva kolmas osapuoli. Toisaalta kriittisillä TVT-palveluntarjoajana olevilla kolmansilla osapuolilla, joita ei ole automaattisesti nimetty kyseisten kriteerien perusteella, olisi oltava mahdollisuus osallistua vapaaehtoisesti valvontakehykseen, ja toisaalta ne TVT-palveluntarjoajana olevat kolmannet osapuolet, jotka ovat jo Euroopan keskuspankkijärjestelmän tehtävien suorittamista tukevien valvontamekanismien piirissä SEUT 127 artiklan 2 kohdan mukaisesti, olisi vapautettava tästä.

(78)

Vastaavasti finanssiyhteisöt, jotka tarjoavat TVT-palveluja muille finanssiyhteisöille mutta kuuluvat tämän asetuksen mukaiseen TVT-palveluntarjoajana olevien kolmansien osapuolten luokkaan, olisi myös jätettävä valvontakehyksen ulkopuolelle, koska niihin sovelletaan jo asiaankuuluvassa unionin rahoituspalvelua koskevassa oikeudessa vahvistettuja valvontamekanismeja. Toimivaltaisten viranomaisten olisi tarvittaessa otettava valvontatoimissaan huomioon TVT-palveluja tarjoavien finanssiyhteisöjen finanssiyhteisöille aiheuttama TVT-riski. Samoin konsernitasolla käytössä olevien riskinseurantamekanismien vuoksi sama vapautus olisi otettava käyttöön niiden TVT-palveluntarjoajana olevien kolmansien osapuolten osalta, jotka tarjoavat palveluja pääasiassa oman konserninsa yhteisöille. TVT-palveluntarjoajana olevat kolmannet osapuolet, jotka tarjoavat TVT-palveluja ainoastaan yhdessä jäsenvaltiossa finanssiyhteisöille, jotka toimivat ainoastaan kyseisessä jäsenvaltiossa, olisi myös vapautettava nimeämismekanismista, koska niiden toiminta on vähäistä eikä niillä ole rajat ylittäviä vaikutuksia.

(79)

Rahoituspalvelujen alalla tapahtunut digitalisaatio on johtanut ennennäkemättömään TVT-palvelujen käyttöön ja riippuvuuteen niistä. Koska on tullut mahdottomaksi tarjota rahoituspalveluja ilman pilvipalvelujen, ohjelmistoratkaisujen ja dataan liittyvien palvelujen käyttöä, unionin rahoitusalan ekosysteemi on tullut erottamattomasti riippuvaiseksi tietyistä TVT-palveluntarjoajien tarjoamista TVT-palveluista. Joillakin kyseisistä toimittajista, jotka ovat TVT-pohjaisia teknologioita kehittäviä ja soveltavia innovoijia, on merkittävä rooli rahoituspalvelujen tarjoamisessa tai ne ovat integroituneet rahoituspalvelujen arvoketjuun. Niistä on näin ollen tullut kriittisiä unionin rahoitusjärjestelmän vakauden ja eheyden kannalta. Tämä laaja riippuvuus kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten tarjoamista palveluista yhdistettynä eri markkinatoimijoiden tietojärjestelmien keskinäiseen riippuvuuteen aiheuttaa suoran ja mahdollisesti vakavan riskin unionin rahoituspalvelujärjestelmälle ja rahoituspalvelujen tarjonnan jatkuvuudelle, jos toiminnalliset häiriöt tai merkittävät kyberpoikkeamat pääsevät vaikuttamaan kriittisiin TVT-palveluntarjoajana oleviin kolmansiin osapuoliin. Kyberturvallisuuspoikkeamilla on erityinen kyky moninkertaistua ja levitä rahoitusjärjestelmässä huomattavasti nopeammin kuin muuntyyppisten riskien, joita rahoitusalalla seurataan, ja ne voivat ulottua eri aloille ja maantieteellisten rajojen ulkopuolelle. Ne saattavat kehittyä systeemiseksi kriisiksi, jossa luottamus rahoitusjärjestelmään on heikentynyt reaalitaloutta tukevien toimintojen häiriintymisen tai merkittävien taloudellisten tappioiden vuoksi, saavuttaen tason, jota rahoitusjärjestelmä ei kestä, tai joka edellyttää raskaiden häiriöiden vaimentamistoimenpiteiden käyttöönottoa. Jotta voidaan estää, että nämä skenaariot toteutuvat ja siten vaarantavat unionin rahoitusvakauden ja rahoitusjärjestelmän eheyden, on olennaisen tärkeää lähentää valvontakäytäntöjä, jotka liittyvät kolmansiin osapuoliin liittyvään TVT-riskiin rahoitusalalla, erityisesti uusilla säännöillä, jotka mahdollistavat kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten valvonnan unionissa.

(80)

Valvontakehys riippuu suurelta osin päävalvojan ja sen kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen välisestä yhteistyöstä, joka tarjoaa finanssiyhteisöille rahoituspalvelujen tarjontaan vaikuttavia palveluja. Menestyksekäs valvonta perustuu muun muassa päävalvojan kykyyn suorittaa tehokkaasti seurantakäyntejä ja -tarkastuksia, joilla arvioidaan kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten käyttämiä sääntöjä, valvontatoimia ja prosesseja sekä niiden toiminnan mahdollisia kerrannaisvaikutuksia rahoitusvakauteen ja rahoitusjärjestelmän eheyteen. Samalla on ratkaisevan tärkeää, että kriittiset TVT-palveluntarjoajana olevat kolmannet osapuolet noudattavat päävalvojan suosituksia ja huomioivat sen huolenaiheet. Koska rahoituspalvelujen tarjontaan vaikuttavia palveluja tarjoavan kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen yhteistyön puute, esimerkiksi kieltämällä pääsy tiloihinsa tai kieltäytymällä toimittamasta tietoja, viime kädessä riistäisi päävalvojalta tämän keskeiset välineet kolmansiin osapuoliin liittyvän TVT-riskin arvioimiseksi ja voisi vaikuttaa kielteisesti rahoitusvakauteen ja rahoitusjärjestelmän eheyteen, on myös tarpeen säätää oikeasuhteisesta seuraamusjärjestelmästä.

(81)

Tätä taustaa vasten päävalvojan tarve määrätä uhkasakkoja kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten pakottamiseksi noudattamaan tässä asetuksessa säädettyjä avoimuuteen ja pääsyoikeuksiin liittyviä velvoitteita ei saisi vaarantua siksi, että kyseisten uhkasakkojen täytäntöönpano suhteessa kolmansiin maihin sijoittautuneisiin kriittisiin TVT-palveluntarjoajana oleviin kolmansiin osapuoliin aiheuttaa hankaluuksia. Jotta voidaan varmistaa, että tällaiset seuraamukset on mahdollista panna täytäntöön, ja ottaa nopeasti käyttöön menettelyt, joilla turvataan kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten puolustautumisoikeudet nimeämismekanismin ja suositusten antamisen yhteydessä, kyseisiltä kriittisiltä TVT-palveluntarjoajana olevilta kolmansilta osapuolilta, jotka tarjoavat finanssiyhteisöille finanssipalvelujen tarjontaan vaikuttavia palveluja, olisi edellytettävä, että niillä on asianmukainen toimipaikka unionissa. Valvonnan luonteen vuoksi ja koska muilla lainkäyttöalueilla ei ole vastaavia järjestelyjä, ei ole olemassa soveltuvia vaihtoehtoisia mekanismeja, joilla tämä tavoite voitaisiin varmistaa tekemällä tehokasta yhteistyötä kolmansien maiden finanssivalvojien kanssa, jotta voitaisiin seurata sellaisten systeemisten TVT-palveluntarjoajana olevien kolmansien osapuolten aiheuttamien digitaaliseen häiriönsietokykyyn liittyvien riskien vaikutuksia, jotka katsotaan kolmansiin maihin sijoittautuneiksi kriittisiksi TVT-palveluntarjoajana oleviksi kolmansiksi osapuoliksi. Näin ollen, jotta kolmanteen maahan sijoittautunut TVT-palveluntarjoajana oleva kolmas osapuoli, joka on nimetty kriittiseksi tämän asetuksen mukaisesti, voisi jatkaa TVT-palvelujen tarjoamista finanssiyhteisöille unionissa, sen olisi 12 kuukauden kuluessa nimeämisestä toteutettava kaikki tarvittavat järjestelyt, joilla varmistetaan sen sijoittautuminen unioniin perustamalla tytäryhtiö, sellaisena kuin tytäryhtiö on määritelty unionin säännöstössä ja erityisesti Euroopan parlamentin ja neuvoston direktiivissä 2013/34/EU (21).

(82)

Vaatimus tytäryhtiön perustamisesta unioniin ei saisi estää kriittistä TVT-palveluntarjoajana olevaa kolmatta osapuolta tarjoamasta TVT-palveluja ja niihin liittyvää teknistä tukea unionin ulkopuolella sijaitsevista laitoksista ja infrastruktuurista käsin. Tämä asetus ei aseta datan säilytyspaikkaa koskevaa velvoitetta, koska siinä ei edellytetä tietojen säilyttämistä tai käsittelyä unionissa.

(83)

Kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten olisi voitava tarjota TVT-palveluja mistä tahansa maailmassa, eikä välttämättä tai pelkästään unionissa sijaitsevista toimitiloista. Valvontatoimet olisi toteutettava ensin unionissa sijaitsevissa tiloissa ja vuorovaikutuksessa unionissa sijaitsevien toimijoiden kanssa, mukaan lukien kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten tämän asetuksen mukaisesti perustamat tytäryhtiöt. Tällaiset unionissa toteutetut toimet saattavat kuitenkin olla riittämättömiä, jotta päävalvoja voisi hoitaa täysimääräisesti ja tehokkaasti tämän asetuksen mukaiset tehtävänsä. Päävalvojan olisi sen vuoksi voitava käyttää asiaankuuluvia valvontavaltuuksiaan myös kolmansissa maissa. Käyttämällä kyseisiä valtuuksia kolmansissa maissa päävalvojan olisi voitava tutkia laitokset, joista käsin kriittinen TVT-palveluntarjoajana oleva kolmas osapuoli tosiasiallisesti tarjoaa TVT-palvelut tai tekniset tukipalvelut tai joissa niitä hallinnoidaan, ja saada kattava käsitys siitä, miten kriittinen TVT-palveluntarjoajana oleva kolmas osapuoli hallinnoi TVT-riskiä, ja tähän liittyvistä toiminnallisista näkökohdista. Päävalvojan mahdollisuudelle käyttää unionin viraston ominaisuudessa toimivaltaa unionin alueen ulkopuolella olisi asetettava asianmukaiset ehdot, erityisesti asianomaisen kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen suostumus. Vastaavasti kolmannen maan asiaankuuluville viranomaisille olisi ilmoitettava asiasta, eikä niiden pitäisi vastustaa päävalvojan toiminnan harjoittamista niiden omalla alueellaan. Tehokkaan täytäntöönpanon varmistamiseksi, ja rajoittamatta unionin toimielinten ja jäsenvaltioiden toimivaltaa, tällaisten valtuuksien on kuitenkin myös oltava kaikilta osin kytköksissä hallinnollisten yhteistyöjärjestelyjen tekemiseen asianomaisen kolmannen maan asiaankuuluvien viranomaisten kanssa. Tämän asetuksen olisi sen vuoksi mahdollistettava se, että Euroopan valvontaviranomaiset voivat tehdä kolmansien maiden asiaankuuluvien viranomaisten kanssa hallinnollisia yhteistyöjärjestelyjä, jotka eivät muutoin saisi luoda oikeudellisia velvoitteita unionia ja sen jäsenvaltioita kohtaan.

(84)

Viestinnän helpottamiseksi päävalvojan kanssa ja riittävän edustuksen varmistamiseksi konserniin kuuluvien kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten olisi nimettävä yksi oikeushenkilö koordinointipisteekseen.

(85)

Valvontakehys ei saisi rajoittaa jäsenvaltioiden toimivaltaa toteuttaa omia valvonta- tai seurantaoperaatioita sellaisten TVT-palveluntarjoajana olevien kolmansien osapuolten osalta, joita ei ole nimetty kriittisiksi tämän asetuksen nojalla mutta jotka katsotaan tärkeiksi kansallisella tasolla.

(86)

Jotta finanssipalvelualan monitasoista rakennetta voitaisiin parantaa, Euroopan valvontaviranomaisten yhteiskomitean olisi edelleen varmistettava yleinen monialainen koordinointi kaikissa TVT-riskiin liittyvissä asioissa kyberturvallisuuteen liittyvien tehtäviensä mukaisesti. Sen tukena olisi käytettävä uutta alakomiteaa, jäljempänä ’valvontafoorumi’, jonka tehtävänä on valmistella sekä yksittäisiä päätöksiä, jotka koskevat kriittisiä TVT-palveluntarjoajana olevia kolmansia osapuolia, että sellaisten yhteisten suositusten antamista, jotka liittyvät erityisesti kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten valvontaohjelmien vertailuun, ja määrittää TVT-keskittymäriskiin liittyvien ongelmien ratkaisemiseen käytettyjä parhaita käytäntöjä.

(87)

Jotta voidaan varmistaa, että kriittisiä TVT-palveluntarjoajana olevia kolmansia osapuolia valvotaan asianmukaisesti ja tehokkaasti unionin tasolla, tässä asetuksessa säädetään, että mikä tahansa kolmesta Euroopan valvontaviranomaisesta voitaisiin nimetä päävalvojaksi. Kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen yksittäisen osoittamisen jollekin kolmesta Euroopan valvontaviranomaisesta olisi perustuttava arvioon sellaisten finanssiyhteisöjen enemmistöstä, jotka toimivat niillä rahoitusaloilla, joista kyseinen Euroopan valvontaviranomainen on vastuussa. Tämän lähestymistavan olisi johdettava tehtävien ja vastuiden tasapainoiseen jakamiseen kolmen Euroopan valvontaviranomaisen välillä valvontatehtäviä hoidettaessa, ja siinä olisi hyödynnettävä parhaalla mahdollisella tavalla kunkin kolmen Euroopan valvontaviranomaisen käytettävissä olevia henkilöresursseja ja teknistä asiantuntemusta.

(88)

Päävalvojille olisi myönnettävä tarvittavat valtuudet tehdä tutkimuksia, suorittaa tarkastuksia kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten toimitiloissa, liiketiloissa ja paikoissa ja niiden ulkopuolella ja saada kattavat ja ajantasaiset tiedot. Kyseisten valtuuksien avulla päävalvojan olisi voitava saada todellinen käsitys finanssiyhteisöihin ja viime kädessä unionin rahoitusjärjestelmään kohdistuvan kolmansiin osapuoliin liittyvän TVT-riskin tyypistä, ulottuvuudesta ja vaikutuksista. Päävalvontatehtävän antaminen Euroopan valvontaviranomaisille on ennakkoedellytys sille, että finanssialaan kohdistuvan TVT-riskin systeemisestä ulottuvuudesta voidaan saada kokonaisvaltainen käsitys ja puuttua siihen. Kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten vaikutus unionin finanssisektoriin ja siihen liittyvästä TVT-keskittymäriskistä mahdollisesti aiheutuvat ongelmat edellyttävät unionin tasolla sovellettavaa yhteistä lähestymistapaa. Useiden toimivaltaisten viranomaisten erikseen suorittamien useiden tarkastusten ja käyttöoikeuksien samanaikainen suorittaminen siten, että niiden välinen koordinointi on vähäistä tai olematonta, estäisi finanssivalvojia saamasta täydellistä ja kattavaa yleiskuvaa kolmansiin osapuoliin liittyvästä TVT-riskistä unionissa, lisäksi se samalla aiheuttaisi päällekkäisyyksiä, rasitetta ja monimutkaisuutta kriittisille TVT-palveluntarjoajana oleville kolmansille osapuolille, jos niihin kohdistuisi lukuisia seuranta- ja tarkastuspyyntöjä.

(89)

Kriittiseksi nimeämisen merkittävän vaikutuksen vuoksi tällä asetuksella olisi varmistettava, että kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten oikeuksia kunnioitetaan valvontakehyksen täytäntöönpanossa kauttaaltaan. Ennen kuin tällaiset palveluntarjoajat nimetään kriittisiksi, niillä olisi esimerkiksi oltava oikeus toimittaa päävalvojalle perusteltu lausunto, joka sisältää kaikki merkitykselliset tiedot niiden nimeämiseen liittyvän arvioinnin kannalta. Koska päävalvojalle olisi annettava valtuudet antaa suosituksia TVT-riskiin liittyvistä kysymyksistä ja niihin sopivista korjaustoimenpiteistä, mukaan lukien valtuudet vastustaa tiettyjä sopimusjärjestelyjä, jotka viime kädessä vaikuttavat finanssiyhteisön tai rahoitusjärjestelmän vakauteen, kriittisille TVT-palveluntarjoajana oleville kolmansille osapuolille olisi myös annettava mahdollisuus antaa ennen kyseisten suositusten viimeistelyä selvityksiä suosituksissa esitettyjen ratkaisujen odotetusta vaikutuksesta asiakkaisiin, jotka ovat tämän asetuksen soveltamisalan ulkopuolisia yhteisöjä, sekä muotoilla ratkaisuja riskien lieventämiseksi. Kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten, jotka ovat eri mieltä suosituksista, olisi esitettävä perusteltu selvitys aikomuksestaan olla hyväksymättä suositusta. Jos tällaista perusteltua selvitystä ei esitetä tai sitä ei pidetä riittävänä, päävalvojan olisi annettava julkinen ilmoitus, jossa kuvataan lyhyesti noudattamatta jättämistä.

(90)

Toimivaltaisten viranomaisten olisi asianmukaisesti sisällytettävä finanssiyhteisöjen vakavaraisuusvalvontaan liittyviin tehtäviinsä sen todentaminen, että päävalvojan antamia suosituksia noudatetaan olennaisilta osin. Toimivaltaisten viranomaisten olisi voitava vaatia finanssiyhteisöjä toteuttamaan lisätoimenpiteitä päävalvojan suosituksissa yksilöityjen riskien torjumiseksi, ja niiden olisi hyvissä ajoin annettava asiaa koskevia ilmoituksia. Jos päävalvoja antaa suosituksia kriittisille TVT-palveluntarjoajana oleville kolmansille osapuolille, joita valvotaan direktiivin (EU) 2022/2555 mukaisesti, toimivaltaisten viranomaisten olisi voitava kuulla vapaaehtoisuuden pohjalta ja ennen lisätoimenpiteiden hyväksymistä kyseisen direktiivin mukaisia toimivaltaisia viranomaisia edistääkseen koordinoitua lähestymistapaa kyseisten kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten suhteen.

(91)

Valvonnan toteuttamisessa olisi noudatettava kolmea toimintaperiaatetta, joilla pyritään varmistamaan a) tiivis koordinointi Euroopan valvontaviranomaisten välillä niiden suorittaessa päävalvojan tehtäviä yhteisen valvontaverkoston kautta, b) johdonmukaisuus direktiivillä (EU) 2022/2555 perustetun kehyksen kanssa (kyseisen direktiivin mukaisten elinten vapaaehtoisella kuulemisella, jotta vältetään kriittisiin TVT-palveluntarjoajana oleviin kolmansiin osapuoliin kohdistettujen toimenpiteiden päällekkäisyys), ja c) huolellisuuden noudattaminen, jotta minimoidaan mahdollinen häiriöriski palveluille, joita kriittiset TVT-palveluntarjoajana olevat kolmannet osapuolet tarjoavat asiakkaille, jotka eivät kuulu tämän asetuksen soveltamisalaan.

(92)

Valvontakehys ei saisi millään tavoin tai miltään osin korvata finanssiyhteisöjen velvoitetta itse hallita riskejä, jotka liittyvät TVT-palveluntarjoajana oleviin kolmansien osapuolten käyttöön, mukaan lukien niiden velvoite ylläpitää jatkuvasti kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa tehtyjen sopimusjärjestelyjen seurantaa. Valvontakehys ei myöskään saisi vaikuttaa siihen, että finanssiyhteisöillä on täysi vastuu noudattaa kaikkia tässä asetuksessa ja asiaankuuluvassa finanssipalvelua koskevassa oikeudessa säädettyjä oikeudellisia velvoitteita.

(93)

Päällekkäisyyksien välttämiseksi toimivaltaisten viranomaisten olisi pidättäydyttävä toteuttamasta erikseen toimenpiteitä, joiden tavoitteena on kriittisiin TVT-palveluntarjoajana oleviin kolmansiin osapuoliin liittyvien riskien seuranta, ja niiden olisi tältä osin tukeuduttava asianomaisen päävalvojan arvioon. Kaikki toimenpiteet olisi joka tapauksessa koordinoitava ja niistä olisi sovittava etukäteen päävalvojan kanssa suoritettaessa valvontakehyksen mukaisia tehtäviä.

(94)

Jotta voidaan edistää TVT-palveluntarjoajana olevien kolmansien osapuolten digitaalisen riskinhallinnan uudelleentarkastelussa ja seurannassa käytettävien parhaiden käytäntöjen lähentymistä kansainvälisellä tasolla, Euroopan valvontaviranomaisia olisi kannustettava tekemään yhteistyöjärjestelyjä asiaankuuluvien kolmansien maiden valvonta- ja sääntelyviranomaisten kanssa.

(95)

Toimivaltaisten viranomaisten, kolmen Euroopan valvontaviranomaisen ja vapaaehtoiselta pohjalta direktiivin (EU) 2022/2555 mukaisten toimivaltaisten viranomaisten puitteissa työskentelevän operatiivisen riskin ja TVT-riskin hallintaan erikoistuneen henkilöstön erityisten toimivaltuuksien, teknisten taitojen ja asiantuntemuksen hyödyntämiseksi mahdollisimman tehokkaasti, päävalvojan olisi hyödynnettävä kansallisia valvontavalmiuksia ja -osaamista ja perustettava erikoistuneita tutkintaryhmiä kutakin kriittistä TVT-palveluntarjoajana olevaa kolmatta osapuolta varten sekä yhdistettävä monialaisia ryhmiä, jotka tukevat valvontatoimien valmistelua ja toteuttamista, mukaan lukien kriittisiin TVT-palveluntarjoajana oleviin kolmansiin osapuoliin kohdistuvat yleiset tutkimukset ja tarkastukset, ja huolehtivat mahdollisesti tarvittavista niihin liittyvistä jatkotoimista.

(96)

Vaikka valvontatehtävistä aiheutuvat kustannukset rahoitettaisiin kokonaisuudessaan kriittisiltä TVT-palveluntarjoajana olevilta kolmansilta osapuolilta perittävillä maksuilla, Euroopan valvontaviranomaisille aiheutuu kuitenkin todennäköisesti ennen valvontakehyksen toiminnan käynnistämistä kustannuksia, jotka johtuvat tulevaa valvontaa tukevien erityisten TVT-järjestelmien täytäntöönpanosta, koska erityisiä TVT-järjestelmiä olisi kehitettävä ja otettava käyttöön etukäteen. Sen vuoksi tässä asetuksessa säädetään hybridirahoitusmallista, jossa valvontakehys rahoitettaisiin kokonaisuudessaan maksuilla ja Euroopan valvontaviranomaisten TVT-järjestelmien kehittäminen rahoitettaisiin unionin ja kansallisten toimivaltaisten viranomaisten rahoitusosuuksilla.

(97)

Toimivaltaisilla viranomaisilla olisi oltava kaikki tarvittavat valvonta-, tutkinta- ja seuraamusvaltuudet tämän asetuksen mukaisten tehtäviensä asianmukaisen hoitamisen varmistamiseksi. Niiden olisi lähtökohtaisesti julkaistava ilmoitukset määräämistään hallinnollisista seuraamuksista. Koska finanssiyhteisöt ja TVT-palveluntarjoajana olevat kolmannet osapuolet voivat olla sijoittautuneet eri jäsenvaltioihin ja niitä valvovat eri toimivaltaiset viranomaiset, tämän asetuksen soveltamista olisi helpotettava toisaalta tiiviillä yhteistyöllä asianomaisten toimivaltaisten viranomaisten välillä, EKP mukaan lukien neuvoston asetuksessa (EU) N:o 1024/2013 annettujen erityistehtävien osalta, ja toisaalta Euroopan valvontaviranomaisia kuullen, keskinäisen tietojenvaihdon avulla sekä antamalla apua asiaankuuluvien valvontatehtävien yhteydessä.

(98)

Jotta voitaisiin edelleen tarkentaa niiden kriteerien määrää ja laatua, joita käytetään TVT-palveluntarjoajana olevien kolmansien osapuolten kriittiseksi nimeämistä varten, ja yhdenmukaistaa valvontamaksuja, komissiolle olisi tämän asetuksen täydentämiseksi siirrettävä valta hyväksyä SEUT 290 artiklan mukaisesti säädösvallan siirron nojalla annettavia delegoituja säädöksiä, joilla täsmennetään edelleen järjestelmävaikutuksia, joita voisi aiheutua TVT-palveluntarjoajana olevan kolmannen osapuolen epäonnistuessa palvelujensa tarjoamisessa tai kärsiessä toimintakatkoksesta niille finanssiyhteisöille, joille se tarjoaa TVT-palveluja, niiden maailmanlaajuisten järjestelmän kannalta merkittävien laitosten (G-SII) tai muiden järjestelmän kannalta merkittävien laitosten (O-SII) lukumäärää, jotka ovat riippuvaisia kyseisestä TVT-palveluntarjoajana olevasta kolmannesta osapuolesta, tietyillä markkinoilla toimivien TVT-palveluntarjoajana olevien kolmansien osapuolten lukumäärää, datan ja TVT-työn siirtämisestä muille TVT-palveluntarjoajana oleville kolmansille osapuolille aiheutuvia kustannuksia, sekä valvontamaksujen määrää ja sitä, missä muodossa ne on maksettava. On erityisen tärkeää, että komissio asiaa valmistellessaan toteuttaa asianmukaiset kuulemiset, myös asiantuntijatasolla, ja että nämä kuulemiset toteutetaan paremmasta lainsäädännöstä 13 päivänä huhtikuuta 2016 tehdyssä toimielinten välisessä sopimuksessa (22) vahvistettujen periaatteiden mukaisesti. Jotta voitaisiin erityisesti varmistaa tasavertainen osallistuminen delegoitujen säädösten valmisteluun, Euroopan parlamentille ja neuvostolle toimitetaan kaikki asiakirjat samaan aikaan kuin jäsenvaltioiden asiantuntijoille, ja Euroopan parlamentin ja neuvoston asiantuntijoilla on järjestelmällisesti oikeus osallistua komission asiantuntijaryhmien kokouksiin, joissa valmistellaan delegoituja säädöksiä.

(99)

Teknisillä sääntelystandardeilla olisi varmistettava tässä asetuksessa säädettyjen vaatimusten johdonmukainen yhdenmukaistaminen. Koska Euroopan valvontaviranomaiset ovat elimiä, joilla on pitkälle menevää erityisasiantuntemusta, niiden olisi laadittava ja toimitettava komissiolle luonnoksia teknisiksi sääntelystandardeiksi, joihin ei liity toimintapoliittisia valintoja. Teknisiä sääntelystandardeja olisi laadittava TVT-riskinhallinnan, laajavaikutteisten TVT:hen liittyvien poikkeamien raportoinnin, testauksen sekä keskeisten vaatimusten osa-alueilla kolmansiin osapuoliin liittyvän TVT-riskin asianmukaista seurantaa varten. Komission ja Euroopan valvontaviranomaisten olisi varmistettava, että kaikki finanssiyhteisöt voivat soveltaa kyseisiä standardeja ja vaatimuksia oikeassa suhteessa niiden kokoon ja yleiseen riskiprofiiliin sekä niiden palvelujen, toimintojen ja toiminnan luonteeseen, laajuuteen ja monitahoisuuteen nähden. Komissiolle olisi siirrettävä valta hyväksyä nämä tekniset sääntelystandardit SEUT 290 artiklan mukaisilla delegoiduilla säädöksillä ja asetusten (EU) N:o 1093/2010, (EU) N:o 1094/2010 ja (EU) N:o 1095/2010 10–14 artiklan mukaisesti.

(100)

Jotta voidaan helpottaa TVT:hen liittyvien laajavaikutteisten poikkeamien ja toiminnan harjoittamiseen tai turvallisuuteen vaikuttavien maksuihin liittyvien laajavaikutteisten poikkeamien raportoinnin vertailtavuutta sekä varmistaa TVT-palveluntarjoajana olevien kolmansien osapuolten tarjoamien TVT-palvelujen käyttöä koskevien sopimusjärjestelyjen avoimuus, Euroopan valvontaviranomaisten olisi laadittava luonnoksia teknisiksi täytäntöönpanostandardeiksi, joissa vahvistetaan finanssiyhteisöjä varten vakiomuotoiset mallit, lomakkeet ja menettelyt, joilla ne voivat ilmoittaa laajavaikutteisesta TVT:hen liittyvästä poikkeamasta ja toiminnan harjoittamiseen tai turvallisuuteen vaikuttavasta maksuihin liittyvästä laajavaikutteisesta poikkeamasta, sekä vakiomuotoisia malleja tietorekisteriä varten. Kyseisiä standardeja laatiessaan Euroopan valvontaviranomaisten olisi otettava huomioon finanssiyhteisön koko ja yleinen riskiprofiili sekä sen palvelujen, toiminnan ja toimintojen luonne, laajuus ja monitahoisuus. Komissiolle olisi siirrettävä valta hyväksyä nämä tekniset täytäntöönpanostandardit SEUT 291 artiklan mukaisilla täytäntöönpanosäädöksillä ja asetusten (EU) N:o 1093/2010, (EU) N:o 1094/2010 ja (EU) N:o 1095/2010 15 artiklan mukaisesti.

(101)

Koska lisävaatimuksia on jo täsmennetty Euroopan parlamentin ja neuvoston asetuksiin (EY) N:o 1060/2009 (23), (EU) N:o 648/2012 (24), (EU) N:o 600/2014 (25) ja (EU) N:o 909/2014 (26) sisältyviin teknisiin sääntely- ja täytäntöönpanostandardeihin perustuvilla delegoiduilla säädöksillä ja täytäntöönpanosäädöksillä, on asianmukaista antaa Euroopan valvontaviranomaisten tehtäväksi, joko yksittäin tai yhteiskomitean välityksellä, toimittaa komissiolle teknisiä sääntely- ja täytäntöönpanostandardeja sellaisten delegoitujen ja täytäntöönpanosäädösten hyväksymiseksi, joilla siirretään voimassa olevia TVT-riskinhallintasääntöjä ja päivitetään niitä.

(102)

Koska tässä asetuksessa sekä Euroopan parlamentin ja neuvoston direktiivissä (EU) 2022/2556 (27) edellytetään TVT-riskinhallintaa koskevien säännösten konsolidointia lukuisissa finanssipalveluja koskevan unionin säännöstön asetuksissa ja direktiiveissä, muun muassa asetuksissa (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014 ja (EU) N:o 909/2014 sekä Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/1011 (28), olisi täysimääräisen johdonmukaisuuden varmistamiseksi muutettava kyseisiä asetuksia sen selventämiseksi, että sovellettavista TVT-riskiin liittyvistä säännöksistä on säädetty tässä asetuksessa.

(103)

Näin ollen niiden operatiiviseen riskiin liittyvien asiaankuuluvien artiklojen soveltamisalaa, joiden nojalla asetuksissa (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014, (EU) N:o 909/2014 ja (EU) 2016/1011 on annettu valtuudet hyväksyä delegoituja säädöksiä ja täytäntöönpanosäädöksiä, olisi kavennettava, jotta tähän asetukseen voidaan siirtää kaikki säännökset, jotka kattavat kyseisiin asetuksiin tällä hetkellä kuuluvat digitaalista häiriönsietokykyä koskevat näkökohdat.

(104)

Maksujärjestelmien toiminnan ja maksujen käsittelytoimien tarjoamisen mahdollistavien TVT-infrastruktuurien käyttöön liittyvää mahdollista systeemistä kyberriskiä olisi käsiteltävä asianmukaisesti unionin tasolla digitaalista häiriönsietokykyä koskevien yhdenmukaistettujen sääntöjen avulla. Tätä varten komission olisi pikaisesti arvioitava, onko tämän asetuksen soveltamisalaa tarpeen tarkistaa, ja samalla yhdenmukaistettava tällainen uudelleentarkastelu direktiivissä (EU) 2015/2366 tarkoitetun kattavan uudelleentarkastelun tulosten kanssa. Lukuisat laajamittaiset hyökkäykset viime vuosikymmenen aikana osoittavat, kuinka maksujärjestelmät ovat tulleet alttiiksi kyberuhkille. Koska ne ovat maksupalveluketjun ytimessä ja niillä on vahvat yhteydet koko rahoitusjärjestelmään, maksujärjestelmistä ja maksujen käsittelytoimista on tullut ratkaisevan tärkeitä unionin rahoitusmarkkinoiden toiminnan kannalta. Tällaisiin järjestelmiin kohdistuvat kyberhyökkäykset voivat aiheuttaa vakavia toiminnallisia häiriöitä, joilla on suoria vaikutuksia keskeisiin taloudellisiin toimintoihin, kuten maksujen helpottamiseen, ja välillisiä vaikutuksia niihin liittyviin taloudellisiin prosesseihin. Siihen saakka, kunnes unionin tasolla otetaan käyttöön yhdenmukaistettu järjestelmä ja maksujärjestelmien ylläpitäjien ja käsittely-yksiköiden valvonta, jäsenvaltiot voivat samankaltaisten markkinakäytäntöjen soveltamiseksi hyödyntää tässä asetuksessa säädettyjä digitaalista häiriönsietokykyä koskevia vaatimuksia soveltaessaan sääntöjä omalla lainkäyttöalueellaan valvottuihin maksujärjestelmien ylläpitäjiin ja käsittely-yksiköihin.

(105)

Jäsenvaltiot eivät voi riittävällä tavalla saavuttaa tämän asetuksen tavoitetta eli saavuttaa säänneltyjen finanssiyhteisöiden digitaalisen häiriönsietokyvyn korkeaa tasoa, koska se edellyttää lukuisten erilaisten sääntöjen yhdenmukaistamista unionin oikeudessa ja kansallisessa lainsäädännössä, vaan se voidaan toiminnan laajuuden ja vaikutusten vuoksi saavuttaa paremmin unionin tasolla. Sen vuoksi unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Mainitussa artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä asetuksessa ei ylitetä sitä, mikä on tarpeen kyseisen tavoitteen saavuttamiseksi.

(106)

Euroopan tietosuojavaltuutettua on kuultu Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (29) 42 artiklan 1 kohdan mukaisesti, ja hän on antanut lausunnon 10 päivänä toukokuuta 2021 (30),

OVAT HYVÄKSYNEET TÄMÄN ASETUKSEN:

I LUKU

Yleiset säännökset

1 artikla

Kohde

1.   Yhteisen digitaalisen häiriönsietokyvyn korkean tason saavuttamiseksi tässä asetuksessa vahvistetaan yhdenmukaiset vaatimukset, jotka koskevat finanssiyhteisöjen liiketoimintaprosesseja tukevien verkko- ja tietojärjestelmien turvallisuutta, seuraavasti:

a)

vaatimukset, joita sovelletaan finanssiyhteisöihin seuraavien seikkojen osalta:

i)

tieto- ja viestintätekniikan, jäljempänä ’TVT’, riskinhallinta;

ii)

laajamittaisten TVT:hen liittyvien poikkeamien raportointi ja vapaaehtoinen ilmoittaminen merkittävistä kyberuhkista toimivaltaisille viranomaisille;

iii)

jäljempänä 2 artiklan 1 kohdan a–d alakohdassa tarkoitetut finanssiyhteisöt raportoivat toiminnan harjoittamiseen tai turvallisuuteen vaikuttavista maksuihin liittyvistä laajavaikutteisista poikkeamista toimivaltaisille viranomaisille;

iv)

digitaalisen häiriönsietokyvyn testaus;

v)

kyberuhkia ja haavoittuvuuksia koskevien tietojen ja tiedustelutietojen jakaminen;

vi)

toimenpiteet, joilla varmistetaan, että kolmansiin osapuoliin liittyvää TVT-riskiä hallinnoidaan moitteettomasti;

b)

vaatimukset, jotka koskevat TVT-palveluntarjoajana olevien kolmansien osapuolten ja finanssiyhteisöjen välillä tehtyjä sopimusjärjestelyjä;

c)

säännöt, jotka koskevat sellaisen valvontakehyksen perustamista ja toteuttamista, jota sovelletaan kriittisiin TVT-palveluntarjoajana oleviin kolmansiin osapuoliin niiden tarjotessa palveluja finanssiyhteisöille;

d)

säännöt, jotka koskevat yhteistyötä toimivaltaisten viranomaisten kesken, ja säännöt, jotka koskevat toimivaltaisten viranomaisten suorittamaa valvontaa ja täytäntöönpanoa kaikkien tämän asetuksen soveltamisalaan kuuluvien seikkojen osalta.

2.   Niiden finanssiyhteisöjen osalta, jotka määritellään direktiivin (EU) 2022/2555 3 artiklan kansalliseen lainsäädäntöön sisällyttävissä kansallisissa säännöissä keskeisiksi ja tärkeiksi toimijoiksi, tätä asetusta pidetään alakohtaisena unionin säädöksenä mainitun direktiivin 4 artiklan soveltamista varten.

3.   Tämä asetus ei vaikuta jäsenvaltioiden vastuuseen keskeisistä valtion tehtävistä yleisen turvallisuuden, puolustuksen ja kansallisen turvallisuuden alalla unionin oikeuden mukaisesti.

2 artikla

Soveltamisala

1.   Tätä asetusta sovelletaan seuraaviin yhteisöihin, sanotun kuitenkaan rajoittamatta 3 ja 4 kohdan soveltamista:

a)

luottolaitokset;

b)

maksulaitokset, mukaan lukien direktiivin (EU) 2015/2366 nojalla vapautetut maksulaitokset;

c)

tilitietopalvelun tarjoajat;

d)

sähköisen rahan liikkeeseenlaskijalaitokset, mukaan lukien direktiivin 2009/110/EY nojalla vapautetut sähköisen rahan liikkeeseenlaskijalaitokset;

e)

sijoituspalveluyritykset;

f)

kryptovarapalvelun tarjoajat, jotka hyväksytään kryptovarojen markkinoista ja asetusten (EU) N:o 1093/2010 ja (EU) N:o 1095/2010 sekä direktiivien 2013/36/EU ja (EU) 2019/1937 muuttamisesta annettavan Euroopan parlamentin ja neuvoston asetuksen, jäljempänä ’kryptovarojen markkinoita koskeva asetus’, nojalla, ja referenssivaratokenien liikkeeseenlaskijat;

g)

arvopaperikeskukset;

h)

keskusvastapuolet;

i)

kauppapaikat;

j)

kauppatietorekisterit;

k)

vaihtoehtoisten sijoitusrahastojen hoitajat;

l)

rahastoyhtiöt;

m)

raportointipalvelujen tarjoajat;

n)

vakuutus- ja jälleenvakuutusyritykset;

o)

vakuutus- ja jälleenvakuutusedustajat sekä sivutoimiset vakuutusedustajat;

p)

ammatillisia lisäeläkkeitä tarjoavat laitokset;

q)

luottoluokituslaitokset;

r)

kriittisten vertailuarvojen hallinnoijat;

s)

joukkorahoituspalvelun tarjoajat;

t)

arvopaperistamisrekisterit;

u)

TVT-palveluntarjoajana olevat kolmannet osapuolet.

2.   Edellä 1 kohdan a–t alakohdassa tarkoitetuista yhteisöistä käytetään tätä asetusta sovellettaessa yhteisesti nimitystä ’finanssiyhteisöt’.

3.   Tätä asetusta ei sovelleta

a)

direktiivin 2011/61/EU 3 artiklan 2 kohdassa tarkoitettuihin vaihtoehtoisten sijoitusrahastojen hoitajiin;

b)

direktiivin 2009/138/EY 4 artiklassa tarkoitettuihin vakuutus- ja jälleenvakuutusyrityksiin;

c)

ammatillisia lisäeläkkeitä tarjoaviin laitoksiin, jotka hallinnoivat eläkejärjestelmiä, joissa on yhteensä enintään 15 jäsentä;

d)

luonnollisiin tai oikeushenkilöihin, joihin sovelletaan poikkeusta direktiivin 2014/65/EU 2 ja 3 artiklan nojalla;

e)

vakuutus- ja jälleenvakuutusedustajiin ja sivutoimisiin vakuutusedustajiin, jotka ovat mikroyrityksiä taikka pieniä tai keskisuuria yrityksiä;

f)

direktiivin 2013/36/EU 2 artiklan 5 kohdan 3 alakohdassa tarkoitettuihin postisiirtoa hoitaviin laitoksiin.

4.   Jäsenvaltiot voivat jättää tämän asetuksen soveltamisalan ulkopuolelle direktiivin 2013/36/EU 2 artiklan 5 kohdan 4–23 alakohdassa tarkoitetut yhteisöt, jotka sijaitsevat niiden alueella. Jos jäsenvaltio käyttää tällaista mahdollisuutta, sen on ilmoitettava komissiolle siitä ja soveltamisalan ulkopuolelle jättämisen mahdollisista myöhemmistä muutoksista. Komissio asettaa kyseiset tiedot julkisesti saataville verkkosivustollaan tai muilla helposti saatavilla olevilla keinoilla.

3 artikla

Määritelmät

Tässä asetuksessa tarkoitetaan

1)

’digitaalisella häiriönsietokyvyllä’ finanssiyhteisön kykyä luoda ja turvata toimintavarmuutensa ja luotettavuutensa ja tarkastella sitä uudelleen varmistamalla joko suoraan tai epäsuorasti TVT-palveluntarjoajana olevien kolmansien osapuolten tarjoamia palveluja käyttäen kaikki TVT-valmiudet, jotka tarvitaan finanssiyhteisön käyttämien verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi ja jotka tukevat finanssipalvelujen tarjonnan jatkumista ja niiden laatua myös häiriöiden aikana;

2)

’verkko- ja tietojärjestelmällä’ direktiivin (EU) 2022/2555 6 artiklan 1 alakohdassa määriteltyä verkko- ja tietojärjestelmää;

3)

’aiemman sukupolven TVT-järjestelmällä’ TVT-järjestelmää, joka on saavuttanut elinkaarensa lopun (käyttöikänsä lopun) ja joka ei teknisistä tai kaupallisista syistä sovellu päivitettäväksi tai korjattavaksi tai jota sen toimittaja tai TVT-palveluntarjoajana oleva kolmas osapuoli ei enää tue mutta joka on edelleen käytössä ja tukee finanssiyhteisön toimintoja;

4)

’verkko- ja tietojärjestelmien turvallisuudella’ direktiivin (EU) 2022/2555 6 artiklan 2 alakohdassa määriteltyä verkko- ja tietojärjestelmien turvallisuutta;

5)

’TVT-riskillä’ mitä tahansa kohtuudella tunnistettavissa olevaa verkko- ja tietojärjestelmien käyttöön liittyvää olosuhdetta, joka toteutuessaan voi vaarantaa verkko- ja tietojärjestelmien, minkä tahansa teknologiasta riippuvaisen välineen tai prosessin, toimintojen ja prosessien tai palvelujen tarjoamisen turvallisuuden aiheuttamalla kielteisiä vaikutuksia digitaalisessa tai fyysisessä ympäristössä;

6)

’tieto-omaisuudella’ aineellista tai aineetonta tietokokonaisuutta, joka on suojaamisen arvoinen;

7)

’TVT-omaisuudella’ finanssiyhteisön käyttämissä verkko- ja tietojärjestelmissä olevaa ohjelmistoa tai laitteistoa;

8)

’TVT:hen liittyvällä poikkeamalla’ yksittäistä tapahtumaa tai toisiinsa liittyvien tapahtumien sarjaa, jota finanssiyhteisö ei ole ennakoinut ja joka vaarantaa verkko- ja tietojärjestelmien turvallisuuden ja vaikuttaa haitallisesti datan saatavuuteen, aitouteen, eheyteen tai luottamuksellisuuteen tai finanssiyhteisön tarjoamiin palveluihin;

9)

’toiminnan harjoittamiseen tai turvallisuuteen vaikuttavalla maksuihin liittyvällä poikkeamalla’ yksittäistä tapahtumaa tai toisiinsa liittyvien tapahtumien sarjaa, jota 2 artiklan 1 kohdan a–d alakohdassa tarkoitetut finanssiyhteisöt eivät ole ennakoineet, riippumatta siitä, liittyykö se TVT:hen vai ei, ja jolla on kielteinen vaikutus maksutietojen saatavuuteen, aitouteen, eheyteen tai luottamuksellisuuteen tai finanssiyhtiön tarjoamiin maksuihin liittyviin palveluihin;

10)

’laajavaikutteisella TVT:hen liittyvällä poikkeamalla’ TVT:hen liittyvää poikkeamaa, jolla on suuri haittavaikutus finanssiyhteisön kriittisiä tai tärkeitä toimintoja tukeviin verkko- ja tietojärjestelmiin;

11)

’toiminnan harjoittamiseen tai turvallisuuteen vaikuttavalla maksuihin liittyvällä laajavaikutteisella poikkeamalla’ toiminnan harjoittamiseen tai turvallisuuteen vaikuttavaa maksuihin liittyvää poikkeamaa, jolla on suuri kielteinen vaikutus tarjottuihin maksuihin liittyviin palveluihin;

12)

’kyberuhalla’ asetuksen (EU) 2019/881 2 artiklan 8 alakohdassa määriteltyä ’kyberuhkaa’;

13)

’merkittävällä kyberuhalla’ kyberuhkaa, jonka tekniset ominaisuudet viittaavat siihen, että se voisi johtaa laajavaikutteiseen TVT:hen liittyvään poikkeamaan taikka toiminnan harjoittamiseen tai turvallisuuteen vaikuttavaan maksuihin liittyvään laajavaikutteiseen poikkeamaan;

14)

’kyberhyökkäyksellä’ minkä tahansa uhkatoimijan tahallisesti aiheuttamaa vihamielistä TVT:hen liittyvää poikkeamaa, jonka tarkoituksena on tuhota, paljastaa, muuttaa, tehdä toimintakyvyttömäksi tai varastaa jokin omaisuuserä tai hankkia siihen luvaton pääsy tai käyttää sitä ilman lupaa;

15)

’uhkatiedustelutiedolla’ tietoa, joka on yhdistetty, muunnettu tai analysoitu tai jota on tulkittu tai parannettu niin, että se muodostaa päätöksenteossa tarvittavan kontekstin, ja sen avulla voidaan saada asiasta merkityksellinen ja riittävä käsitys TVT:hen liittyvän poikkeaman tai kyberuhkan vaikutusten lieventämiseksi, mukaan lukien kyberhyökkäyksen tekniset yksityiskohdat, hyökkäyksestä vastuussa olevat tahot sekä niiden toimintatavat ja toiminnan vaikuttimet;

16)

’haavoittuvuudella’ omaisuuserän, järjestelmän, prosessin tai valvonnan heikkoutta, herkkyyttä tai vikaa, jota voidaan hyödyntää;

17)

’uhkaperusteisella tunkeutumistestauksella’ toimintaa, jossa jäljitellään aitona kyberuhkana pidettyjen todellisten uhkatoimijoiden taktiikoita, tekniikoita ja menettelyjä ja jonka avulla finanssiyhteisön kriittisille toiminnassa oleville tuotantojärjestelmille tehdään valvottu, räätälöity, tiedustelutietoon perustuva hyökkäystestaus (ns. red team);

18)

’kolmansiin osapuoliin liittyvällä TVT-riskillä’ TVT-riskejä, joita finanssiyhteisö voi kohdata käyttäessään TVT-palveluntarjoajana olevien kolmansien osapuolten tai niiden alihankkijoiden tarjoamia TVT-palveluja, myös ulkoistamisjärjestelyjen kautta hankittuja;

19)

’TVT-palveluntarjoajana olevilla kolmansilla osapuolilla’ yrityksiä, jotka tarjoavat TVT-palveluja;

20)

’konsernin sisäisellä TVT-palveluntarjoajalla’ yritystä, joka on osa finanssikonsernia ja tarjoaa pääasiassa TVT-palveluja samaan konserniin kuuluville finanssiyhteisöille tai samaan laitosten suojajärjestelmään kuuluville finanssiyhteisöille, myös niiden emoyrityksille, tytäryhtiöille ja sivuliikkeille tai muille yhteisöille, jotka ovat yhteisessä omistuksessa tai yhteisen määräysvallan alaisia;

21)

’TVT-palveluilla’ TVT-järjestelmien kautta yhdelle tai useammalle sisäiselle tai ulkopuoliselle käyttäjälle jatkuvasti tarjottavia digitaalisia ja datapalveluja, mukaan lukien laitteistot palveluna ja laitteistopalvelut, joihin sisältyy teknisen tuen tarjoaminen laitteiston tarjoajan ohjelmisto- tai laiteohjelmistopäivitysten kautta, lukuun ottamatta perinteisiä analogisia puhelinpalveluja;

22)

’kriittisellä tai tärkeällä toiminnolla’ toimintoa, jonka häiriö heikentäisi olennaisesti finanssiyhteisön taloudellista tuloksellisuutta tai sen palvelujen ja toimintojen moitteettomuutta tai jatkuvuutta tai jonka keskeytyminen, vikaantuminen tai puuttuminen heikentäisi olennaisesti finanssiyhteisön kykyä noudattaa jatkuvasti toimilupansa mukaisia ehtoja ja velvoitteita tai sovellettavan finanssipalvelulainsäädännön mukaisia muita velvoitteittaan;

23)

’kriittisellä TVT-palveluntarjoajana olevalla kolmannella osapuolella’ TVT-palveluntarjoajana olevaa kolmatta osapuolta, joka on nimetty kriittiseksi 31 artiklan mukaisesti;

24)

’kolmanteen maahan sijoittautuneella TVT-palveluntarjoajana olevalla kolmannella osapuolella’ TVT-palveluntarjoajana olevaa kolmatta osapuolta, joka on kolmanteen maahan sijoittautunut oikeushenkilö ja joka on tehnyt finanssiyhteisön kanssa TVT-palvelujen tarjoamista koskevan sopimusjärjestelyn;

25)

’tytäryrityksellä’ direktiivin 2013/34/EU 2 artiklan 10 alakohdassa ja 22 artiklassa tarkoitettua tytäryritystä;

26)

’konsernilla’ direktiivin 2013/34/EU 2 artiklan 11 alakohdassa määriteltyä konsernia;

27)

’emoyrityksellä’ direktiivin 2013/34/EU 2 artiklan 9 alakohdassa ja 22 artiklassa tarkoitettua emoyritystä;

28)

’kolmanteen maahan sijoittautuneella TVT-alihankkijalla’ TVT-alihankkijaa, joka on kolmanteen maahan sijoittautunut oikeushenkilö ja joka on tehnyt sopimusjärjestelyn joko TVT-palveluntarjoajana olevan kolmannen osapuolen tai kolmanteen maahan sijoittautuneen TVT-palveluntarjoajana olevan kolmannen osapuolen kanssa;

29)

’TVT-keskittymäriskillä’ sitä, että käytetään yhtä tai useampaa toisiinsa liittyvää kriittistä TVT-palveluntarjoajana olevaa kolmatta osapuolta, mikä johtaa sellaiseen riippuvuuteen tällaisista palveluntarjoajista, että kun ne eivät ole käytettävissä tai kun niiden toiminta keskeytyy tai siihen liittyy muita puutteita, tämä voi vaarantaa finanssiyhteisön kyvyn suorittaa kriittisiä tai tärkeitä toimintoja tai aiheuttaa finanssiyhteisölle muita haittavaikutuksia, myös suuria menetyksiä, taikka vaarantaa koko unionin rahoitusjärjestelmän vakauden;

30)

’ylimmällä hallintoelimellä’ direktiivin 2014/65/EU 4 artiklan 1 kohdan 36 alakohdassa, direktiivin 2013/36/EU 3 artiklan 1 kohdan 7 alakohdassa, Euroopan parlamentin ja neuvoston direktiivin 2009/65//EY (31) 2 artiklan 1 kohdan s alakohdassa, asetuksen (EU) N:o 909/2014 2 artiklan 1 kohdan 45 alakohdassa, asetuksen (EU) 2016/1011 3 artiklan 1 kohdan 20 alakohdassa, kryptovarojen markkinoita koskevan asetuksen asiaankuuluvassa säännöksessä määriteltyä ylintä hallintoelintä tai vastaavia henkilöitä, jotka tosiasiallisesti johtavat yhteisöä tai hoitavat asiaa koskevan unionin oikeuden tai kansallisen lainsäädännön mukaisia keskeisiä tehtäviä;

31)

’luottolaitoksella’ Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 575/2013 (32) 4 artiklan 1 kohdan 1 alakohdassa määriteltyä luottolaitosta;

32)

’direktiivin 2013/36/EU nojalla vapautetulla laitoksella’ direktiivin 2013/36/EU 2 artiklan 5 kohdan 4–23 alakohdassa tarkoitettua yhteisöä;

33)

’sijoituspalveluyrityksellä’ direktiivin 2014/65/EU 4 artiklan 1 kohdan 1 alakohdassa määriteltyä sijoituspalveluyritystä;

34)

’pienellä ja ilman sidossuhteita olevalla sijoituspalveluyrityksellä’ sijoituspalveluyritystä, joka täyttää Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/2033 (33) 12 artiklan 1 kohdassa säädetyt edellytykset;

35)

’maksulaitoksella’ direktiivin (EU) 2015/2366 4 artiklan 4 alakohdassa määriteltyä maksulaitosta;

36)

’direktiivin (EU) 2015/2366 nojalla vapautetulla maksulaitoksella’ maksulaitosta, johon sovelletaan vapautusta direktiivin (EU) 2015/2366 32 artiklan 1 kohdan nojalla;

37)

’tilitietopalvelun tarjoajalla’ direktiivin (EU) 2015/2366 33 artiklan 1 kohdassa tarkoitettua tilitietopalvelun tarjoajaa;

38)

’sähköisen rahan liikkeeseenlaskijalaitoksella’ direktiivin 2009/110/EY 2 artiklan 1 alakohdassa määriteltyä sähköisen rahan liikkeeseenlaskijalaitosta;

39)

’direktiivin 2009/110/EY nojalla vapautetulla sähköisen rahan liikkeeseenlaskijalaitoksella’ sähköisen rahan liikkeeseenlaskijalaitosta, johon sovelletaan direktiivin 2009/110/EY 9 artiklan 1 kohdassa tarkoitettua poikkeusta;

40)

’keskusvastapuolella’ asetuksen (EU) N:o 648/2012 2 artiklan 1 alakohdassa määriteltyä keskusvastapuolta;

41)

’kauppatietorekisterillä’ asetuksen (EU) N:o 648/2012 2 artiklan 2 alakohdassa määriteltyä kauppatietorekisteriä;

42)

’arvopaperikeskuksella’ asetuksen (EU) N:o 909/2014 2 artiklan 1 kohdan 1 alakohdassa määriteltyä arvopaperikeskusta;

43)

’kauppapaikalla’ direktiivin 2014/65/EU 4 artiklan 1 kohdan 24 alakohdassa määriteltyä kauppapaikkaa;

44)

’vaihtoehtoisten sijoitusrahastojen hoitajalla’ direktiivin 2011/61/EU 4 artiklan 1 kohdan b alakohdassa määriteltyä vaihtoehtoisten sijoitusrahastojen hoitajaa;

45)

’rahastoyhtiöllä’ direktiivin 2009/65/EY 2 artiklan 1 kohdan b alakohdassa määriteltyä rahastoyhtiötä;

46)

’raportointipalvelujen tarjoajalla’ asetuksen (EU) N:o 600/2014 2 artiklan 1 kohdan 34–36 alakohdassa tarkoitettua raportointipalvelujen tarjoajaa;

47)

’vakuutusyrityksellä’ direktiivin 2009/138/EY 13 artiklan 1 alakohdassa määriteltyä vakuutusyritystä;

48)

’jälleenvakuutusyrityksellä’ direktiivin 2009/138/EY 13 artiklan 4 alakohdassa määriteltyä jälleenvakuutusyritystä;

49)

’vakuutusedustajalla’ Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/97 (34) 2 artiklan 1 kohdan 3 alakohdassa määriteltyä vakuutusedustajaa;

50)

’sivutoimisella vakuutusedustajalla’ direktiivin (EU) 2016/97 2 artiklan 1 kohdan 4 alakohdassa määriteltyä sivutoimista vakuutusedustajaa;

51)

’jälleenvakuutusedustajalla’ direktiivin (EU) 2016/97 2 artiklan 1 kohdan 5 alakohdassa määriteltyä jälleenvakuutusedustajaa;

52)

’ammatillisia lisäeläkkeitä tarjoavalla laitoksella’ direktiivin (EU) 2016/2341 6 artiklan 1 alakohdassa tarkoitettua ammatillisia lisäeläkkeitä tarjoavaa laitosta;

53)

’pienellä ammatillisia lisäeläkkeitä tarjoavalla laitoksella’ ammatillisia lisäeläkkeitä tarjoavaa laitosta, joka hallinnoi eläkejärjestelmiä, joissa on yhteensä alle 100 jäsentä;

54)

’luottoluokituslaitoksella’ asetuksen (EY) N:o 1060/2009 3 artiklan 1 kohdan b alakohdassa määriteltyä luottoluokituslaitosta;

55)

’kryptovarapalvelun tarjoajalla’ kryptovarojen markkinoita koskevan asetuksen asiaankuuluvassa säännöksessä määriteltyä kryptovarapalvelun tarjoajaa;

56)

’referenssivaratokenien liikkeeseenlaskijalla’ kryptovarojen markkinoita koskevan asetuksen asiaankuuluvassa säännöksessä määriteltyä referenssivaratokenien liikkeeseenlaskijaa;

57)

’kriittisten vertailuarvojen hallinnoijalla’ asetuksen (EU) 2016/1011 3 artiklan 1 kohdan 25 alakohdassa määriteltyjen kriittisten vertailuarvojen hallinnoijaa;

58)

’joukkorahoituspalvelun tarjoajalla’ Euroopan parlamentin ja neuvoston asetuksen (EU) 2020/1503 (35) 2 artiklan 1 kohdan e alakohdassa määriteltyä joukkorahoituspalvelun tarjoajaa;

59)

’arvopaperistamisrekisterillä’ Euroopan parlamentin ja neuvoston asetuksen (EU) 2017/2402 (36) 2 artiklan 23 kohdassa määriteltyä arvopaperistamisrekisteriä;

60)

’mikroyrityksellä’ muuta finanssiyhteisöä kuin kauppapaikkaa, keskusvastapuolta, kauppatietorekisteriä tai arvopaperikeskusta, jonka palveluksessa on alle 10 henkilöä ja jonka vuosiliikevaihto ja/tai vuositaseen loppusumma on enintään 2 miljoonaa euroa;

61)

’päävalvojalla’ tämän asetuksen 31 artiklan 1 kohdan b alakohdan mukaisesti nimettyä Euroopan valvontaviranomaista;

62)

’yhteiskomitealla’ asetusten (EU) N:o 1093/2010, (EU) N:o 1094/2010 ja (EU) N:o 1095/2010 54 artiklassa tarkoitettua komiteaa;

63)

’pienellä yrityksellä’ finanssiyhteisöä, jonka palveluksessa on 10 tai yli työntekijää mutta alle 50 työntekijää ja jonka vuosiliikevaihto ja/tai vuositaseen loppusumma on yli 2 miljoonaa euroa mutta enintään 10 miljoonaa euroa;

64)

’keskisuurella yrityksellä’ finanssiyhteisöä, joka ei ole pieni yritys ja jonka palveluksessa on alle 250 työntekijää ja jonka vuosiliikevaihto on enintään 50 miljoonaa euroa ja/tai jonka vuositaseen loppusumma on enintään 43 miljoonaa euroa;

65)

’viranomaisella’ mitä tahansa valtiollista tai muuta julkishallinnon elintä, kansalliset keskuspankit mukaan luettuina.

4 artikla

Suhteellisuusperiaate

1.   Finanssiyhteisöjen on pantava täytäntöön II luvussa säädetyt säännöt suhteellisuusperiaatteen mukaisesti ottaen huomioon kokonsa ja yleinen riskiprofiilinsa sekä palvelujensa, toimintansa ja toimintojensa luonne, laajuus ja monitahoisuus.

2.   Lisäksi sen, että finanssiyhteisöt soveltavat III, IV ja V luvun I jaksoa, on oltava oikeassa suhteessa niiden kokoon ja yleiseen riskiprofiiliin sekä niiden palvelujen, toiminnan ja toimintojen luonteeseen, laajuuteen ja monitahoisuuteen, kuten kyseisten lukujen asiaa koskevissa säännöissä nimenomaisesti säädetään.

3.   Toimivaltaisten viranomaisten on otettava huomioon, miten finanssiyhteisöt soveltavat suhteellisuusperiaatetta, kun ne tarkastelevat TVT-riskinhallintajärjestelmän johdonmukaisuutta toimivaltaisten viranomaisten pyynnöstä toimitettujen kertomusten perusteella 6 artiklan 5 kohdan ja 16 artiklan 2 kohdan nojalla.

II LUKU

TVT-riskin hallinta

I jakso

5 artikla

Hallinto ja organisaatio

1.   Finanssiyhteisöillä on oltava sisäinen hallinto- ja valvontakehys, jolla varmistetaan TVT-riskin tehokas ja järkevä hallinnointi 6 artiklan 4 kohdan mukaisesti, jotta voidaan saavuttaa digitaalisen häiriönsietokyvyn korkea taso.

2.   Finanssiyhteisön ylimmän hallintoelimen on määriteltävä ja vahvistettava kaikki 6 artiklan 1 kohdassa tarkoitettuun TVT-riskinhallintajärjestelmään liittyvät järjestelyt, valvottava niiden toteuttamista ja vastattava niistä.

Ensimmäisen alakohdan soveltamiseksi ylimmän hallintoelimen on

a)

kannettava lopullinen vastuu finanssiyhteisön TVT-riskistä;

b)

otettava käyttöön toimintatapoja, joilla pyritään pitämään datan saatavuus, aitous, eheys ja luottamuksellisuus korkealla tasolla;

c)

määriteltävä selkeät roolit ja vastuut kaikille TVT:hen liittyville toiminnoille ja otettava käyttöön asianmukaiset hallintojärjestelyt, joilla varmistetaan tehokas ja oikea-aikainen viestintä, yhteistyö ja koordinointi kyseisten toimintojen välillä;

d)

kannettava kokonaisvastuu 6 artiklan 8 kohdassa tarkoitetun digitaalisen häiriönsietokyvyn strategian laatimisesta ja hyväksymisestä, mukaan lukien finanssiyhteisön TVT-riskin asianmukaisen 6 artiklan 8 kohdan b alakohdassa tarkoitetun riskitason määrittäminen;

e)

vahvistettava 11 artiklan 1 kohdassa tarkoitetut finanssiyhteisön TVT-liiketoiminnan jatkuvuutta koskevat toimintaperiaatteet sekä 11 artiklan 3 kohdassa tarkoitetut TVT-reagointi- ja palautumissuunnitelmat, jotka voidaan hyväksyä erityisinä toimintaperiaatteina, jotka ovat erottamaton osa finanssiyhteisön yleisiä liiketoiminnan jatkuvuutta koskevia toimintaperiaatteita ja reagointi- ja palautussuunnitelmaa, sekä valvottava niiden täytäntöönpanoa ja tarkasteltava niitä säännöllisesti uudelleen;

f)

vahvistettava finanssiyhteisön sisäiset TVT-auditointisuunnitelmat, tehdyt TVT-auditoinnit ja olennaiset muutokset niihin sekä tarkasteltava niitä säännöllisesti uudelleen;

g)

osoitettava asianmukaiset määrärahat ja tarkasteltava niitä säännöllisesti uudelleen, jotta finanssiyhteisön digitaalisen häiriönsietokyvyn tarpeet voidaan täyttää kaikkien eri resurssityyppien osalta, mukaan lukien 13 artiklan 6 kohdassa tarkoitetut asianmukaiset TVT-turvallisuutta koskevat valistusohjelmat ja digitaalista häiriönsietokykyä käsittelevä koulutus sekä koko henkilöstön TVT-osaaminen;

h)

vahvistettava finanssiyhteisön toimintaperiaatteet, jotka koskevat TVT-palveluntarjoajana olevien kolmansien osapuolten tarjoamien TVT-palvelujen käyttöön liittyviä järjestelyjä, ja tarkasteltava niitä säännöllisesti uudelleen;

i)

otettava käyttöön yritystasolla raportointikanavia, joiden avulla sille voidaan asianmukaisesti tiedottaa seuraavista:

i)

TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa tehdyistä TVT-palvelujen käyttöä koskevista järjestelyistä,

ii)

suunnitelluista TVT-palveluntarjoajana olevia kolmansia osapuolia koskevista merkittävistä muutoksista,

iii)

tällaisten muutosten mahdollisesta vaikutuksesta kyseisten järjestelyjen kohteena oleviin kriittisiin tai tärkeisiin toimintoihin, mukaan lukien riskianalyysin tiivistelmä kyseisten muutosten vaikutusten arvioimiseksi, ja ainakin laajavaikutteisista TVT:hen liittyvistä poikkeamista ja niiden vaikutuksista sekä reagointi-, palautus- ja korjaustoimenpiteistä.

3.   Muiden kuin mikroyrityksiä olevien finanssiyhteisöjen on perustettava tehtävä, johon kuuluu TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa tehtyjen TVT-palvelujen käyttöä koskevien järjestelyjen valvonta, tai nimettävä ylemmän johdon jäsen vastaamaan niihin liittyvän kokonaisriskin ja niitä koskevan dokumentaation valvonnasta.

4.   Finanssiyhteisön ylimmän hallintoelimen jäsenten on aktiivisesti ylläpidettävä riittäviä tietoja ja osaamista, jotka ovat tarpeen TVT-riskin ja siitä finanssiyhteisön toiminnalle aiheutuvien vaikutusten ymmärtämistä ja arvioimista varten, mukaan lukien säännöllinen osallistuminen erityiskoulutukseen, joka vastaa hallittavaa TVT-riskiä.

II jakso

6 artikla

TVT-riskinhallintajärjestelmä

1.   Finanssiyhteisöillä on oltava osana yleistä riskinhallintajärjestelmäänsä vankka, kattava ja hyvin dokumentoitu TVT-riskinhallintajärjestelmä, jonka avulla ne voivat puuttua TVT-riskiin nopeasti, tehokkaasti ja kattavasti ja varmistaa korkeatasoisen digitaalisen häiriönsietokyvyn.

2.   TVT-riskinhallintajärjestelmän tulee sisältää ainakin strategiat, toimintaperiaatteet, menettelyt, TVT-protokollat ja välineet, jotka ovat tarpeen kaiken tieto-omaisuuden ja TVT-omaisuuden, myös ohjelmistojen, tietokonelaitteistojen ja palvelimien, asianmukaiseksi ja riittäväksi suojelemiseksi, sekä kaikkien asiaankuuluvien fyysisten komponenttien ja infrastruktuurien, kuten tilojen, datakeskusten ja nimettyjen herkkien alueiden suojelemiseksi niin, että voidaan varmistaa kaiken tieto-omaisuuden ja TVT-omaisuuden tarkoituksenmukainen suojelu riskeiltä, myös vahingoittumiselta ja luvattomalta pääsyltä tai käytöltä.

3.   Finanssiyhteisöjen on TVT-riskinhallintajärjestelmänsä mukaisesti minimoitava TVT-riskin vaikutus ottamalla käyttöön asianmukaisia strategioita, toimintaperiaatteita, menettelyjä, TVT-protokollia ja välineitä. Niiden on toimitettava toimivaltaisille viranomaisille näiden pyynnöstä TVT-riskiä ja TVT-riskinhallintajärjestelmäänsä koskevat kattavat ja ajantasaiset tiedot.

4.   Muiden kuin mikroyrityksiä olevien finanssiyhteisöjen on annettava vastuu TVT-riskin hallinnasta ja valvonnasta valvontatoiminnolle ja varmistettava tällaisen valvontatoiminnon asianmukainen riippumattomuuden taso eturistiriitojen välttämiseksi. Finanssiyhteisöjen on huolehdittava siitä, että TVT-riskinhallintotehtävät, valvontatehtävät ja sisäisen tarkastuksen tehtävät ovat asianmukaisella tavalla eroteltuja ja riippumattomia kolmen puolustuslinjan mallin tai sisäisen riskinhallinnan ja valvonnan mallin mukaisesti.

5.   TVT-riskinhallintajärjestelmän on oltava dokumentoitu ja sitä on tarkasteltava uudelleen vähintään kerran vuodessa, tai mikroyritysten osalta määräajoin, ja laajavaikutteisten TVT:hen liittyvien poikkeamien sattuessa sekä digitaalisen häiriönsietokyvyn testauksen tai auditointiprosessien perusteella annettujen valvontaohjeiden tai päätelmien pohjalta. Sitä on parannettava jatkuvasti täytäntöönpanosta ja seurannasta saatujen kokemusten perusteella. Toimivaltaiselle viranomaiselle on toimitettava sen pyynnöstä kertomus TVT-riskinhallintajärjestelmän uudelleentarkastelusta.

6.   Muiden kuin mikroyrityksiä olevien finanssiyhteisöjen TVT-riskinhallintajärjestelmä on otettava säännöllisesti sisäisten tarkastajien toimesta sisäisen tarkastuksen piiriin finanssiyhteisöjen tarkastussuunnitelman mukaisesti. Kyseisillä tarkastajilla on oltava riittävät tiedot, taidot ja asiantuntemus TVT-riskistä ja heidän on oltava asianmukaisesti riippumattomia. TVT-auditointien tiheys ja painopisteet on määritettävä finanssiyhteisön TVT-riskiä vastaavasti.

7.   Finanssiyhteisöjen on otettava käyttöön sisäisen tarkastuksen päätelmien perusteella virallinen seurantaprosessi, johon sisältyvät säännöt kriittisten TVT-tarkastushavaintojen oikea-aikaisesta todentamisesta ja korjaamisesta.

8.   TVT-riskinhallintajärjestelmän on sisällettävä digitaalisen häiriönsietokyvyn strategia, jossa esitetään, miten järjestelmä pannaan täytäntöön. Sitä varten digitaalisen häiriösietokyvyn strategiaan on sisällyttävä menetelmät, joiden avulla puututaan TVT-riskiin ja saavutetaan erityiset TVT-tavoitteet siten, että

a)

kuvataan, miten TVT-riskinhallintajärjestelmä tukee finanssiyhteisön liiketoimintastrategiaa ja -tavoitteita;

b)

määritetään riskitaso TVT-riskille finanssiyhteisön riskinottohalun mukaisesti ja analysoidaan TVT-keskeytymisten sietokyky;

c)

asetetaan selkeät tietoturvatavoitteet, mukaan lukien keskeiset tulosindikaattorit ja keskeiset riskimittarit;

d)

kuvataan TVT-viiterakenne ja tiettyjen liiketoimintatavoitteiden saavuttamiseksi mahdollisesti tarvittavat muutokset;

e)

luetellaan käytössä olevat mekanismit TVT:hen liittyvien poikkeamien havaitsemiseksi, niiden haittavaikutusten estämiseksi ja niiltä suojautumiseksi;

f)

todennetaan nykyinen digitaalisen häiriönsietokyvyn tilanne ilmoitettujen laajavaikutteisten TVT:hen liittyvien poikkeamien lukumäärän ja ehkäisevien toimenpiteiden tehokkuuden perusteella;

g)

toteutetaan digitaalisen häiriönsietokyvyn testaus tämän asetuksen IV luvun mukaisesti;

h)

laaditaan viestintästrategia sellaisia TVT:hen liittyviä poikkeamia varten, joiden julkistamista edellytetään 14 artiklan mukaisesti.

9.   Finanssiyhteisöt voivat 8 kohdassa tarkoitetun digitaalisen häiriönsietokyvyn strategian yhteydessä määritellä konsernin tai yhteisön tasolla kokonaisvaltaisen usean toimittajan tarjoamien TVT-toimitusten strategian, jossa esitetään keskeiset riippuvuudet TVT-palveluntarjoajana olevista kolmansista osapuolista ja selitetään periaatteet, joiden mukaan TVT-palveluntarjoajana olevien kolmansien osapuolten yhdistelmä valitaan.

10.   Finanssiyhteisöt voivat unionin oikeuden ja kansallisen alakohtaisen lainsäädännön mukaisesti ulkoistaa TVT-riskinhallintavaatimusten noudattamisen todentamistehtävät konsernin sisäisille tai ulkopuolisille yrityksille. Tällaisen ulkoistamisen tapauksessa finanssiyhteisö on edelleen täysin vastuussa TVT-riskinhallintavaatimusten noudattamisen todentamisesta.

7 artikla

TVT-järjestelmät, -protokollat ja -välineet

TVT-riskin torjumiseksi ja hallitsemiseksi finanssiyhteisöjen on käytettävä ja pidettävä yllä ajantasaisia TVT-järjestelmiä, -protokollia ja -välineitä, jotka ovat

a)

niiden liiketoimintaa tukevien toimien suuruusluokan kannalta tarkoituksenmukaisia 4 artiklassa tarkoitetun suhteellisuusperiaatteen mukaisesti;

b)

luotettavia;

c)

varustettuja riittävällä kapasiteetilla datan tarkkaan käsittelyyn toimintojen suorittamiseksi ja palvelujen tarjoamiseksi oikea-aikaisesti sekä tarvittaessa toimeksiantojen, viestien tai liiketoimien ruuhkahuippujen käsittelyyn, myös uuden teknologian käyttöönoton yhteydessä;

d)

teknisesti kestäviä selviytyäkseen asianmukaisesti tavallista suuremman tietomäärän käsittelystä silloin kun se on tarpeen stressikausien markkinaolosuhteissa tai muissa vaikeissa tilanteissa.

8 artikla

Yksilöinti

1.   Finanssiyhteisöjen on osana 6 artiklan 1 kohdassa tarkoitettua TVT-riskinhallintajärjestelmää yksilöitävä, luokiteltava ja asianmukaisesti dokumentoitava kaikki TVT:n tukemat liiketoiminnot, tehtävät ja vastuut, kyseisiä toimintoja tukevat tieto-omaisuus ja TVT-omaisuus sekä tehtävänsä ja riippuvuutensa suhteessa TVT-riskiin. Finanssiyhteisöjen on tarkasteltava uudelleen tämän luokittelun ja sitä koskevan dokumentaation asianmukaisuutta tarvittaessa ja vähintään kerran vuodessa.

2.   Finanssiyhteisöjen on jatkuvasti yksilöitävä kaikki TVT-riskin lähteet, erityisesti muihin finanssiyhteisöihin liittyvät riskit, ja arvioitava niiden TVT:n tukemiin liiketoimintoihin, tieto-omaisuuteen ja TVT-omaisuuteen liittyviä kyberuhkia ja TVT-haavoittuvuuksia. Finanssiyhteisöjen on tarkasteltava niihin vaikuttavia riskiskenaarioita säännöllisesti ja vähintään kerran vuodessa.

3.   Muiden kuin mikroyrityksiä olevien finanssiyhteisöjen on tehtävä riskinarviointi aina kun verkko- ja tietojärjestelmäinfrastruktuurissa tai niiden TVT:n tukemiin liiketoimintoihin, tieto-omaisuuteen tai TVT-omaisuuteen vaikuttavissa prosesseissa tai menettelyissä tapahtuu merkittäviä muutoksia.

4.   Finanssiyhteisöjen on yksilöitävä kaikki tieto-omaisuus ja TVT-omaisuus, myös etäkohteissa oleva, sekä verkkoresurssit ja laitteistot, ja kartoitettava ne, joita pidetään kriittisinä. Niiden on kartoitettava tieto-omaisuuden ja TVT-omaisuuden kokoonpano ja erilaisten tieto-omaisuus- ja TVT-omaisuustyyppien keskinäiset yhteydet ja riippuvuussuhteet.

5.   Finanssiyhteisöjen on yksilöitävä ja dokumentoitava kaikki TVT-palveluntarjoajana olevista kolmansista osapuolista riippuvaiset prosessit ja yksilöitävä yhteenkytkennät sellaisten TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa, jotka tarjoavat kriittisiä tai tärkeitä toimintoja tukevia palveluja.

6.   Finanssiyhteisöjen on pidettävä yllä ja päivitettävä säännöllisesti 1, 4 ja 5 kohdan soveltamista varten tarvittavia omaisuusluetteloita ja päivitettävä ne säännöllisesti ja aina, kun 3 kohdassa tarkoitettuja merkittäviä muutoksia tapahtuu.

7.   Muiden kuin mikroyrityksiä olevien finanssiyhteisöjen on tehtävä säännöllisesti ja vähintään kerran vuodessa erityinen TVT-riskinarviointi, joka kattaa kaikki aiemman sukupolven TVT-järjestelmät, joka tapauksessa ennen teknologian, sovellusten tai järjestelmien yhteenliittämistä ja sen jälkeen.

9 artikla

Suojaaminen ja ehkäiseminen

1.   Jotta voidaan asianmukaisesti suojata TVT-järjestelmiä ja organisoida reagointitoimet, finanssiyhteisöjen on jatkuvasti seurattava ja valvottava TVT-järjestelmien ja -välineiden turvallisuutta ja toimintaa ja minimoitava TVT-riskin vaikutus TVT-järjestelmiin ottamalla käyttöön asianmukaiset TVT-turvallisuutta koskevat välineet, toimintatavat ja menettelyt.

2.   Finanssiyhteisöjen on suunniteltava, hankittava ja toteutettava TVT-turvallisuutta koskevat toimintatavat, menettelyt, protokollat ja välineet, joiden tarkoituksena on varmistaa TVT-järjestelmien ja erityisesti kriittisiä tai tärkeitä toimintoja tukevien TVT-järjestelmien häiriönsietokyky, jatkuvuus ja käytettävyys ja säilyttää datan saatavuus, aitous, eheys ja luottamuksellisuus korkealla tasolla riippumatta siitä, onko kyseessä lepäävä, käytössä oleva vai siirrettävä data.

3.   Edellä 2 kohdassa tarkoitettujen tavoitteiden saavuttamiseksi finanssiyhteisöjen on käytettävä 4 artiklan mukaisesti asianmukaisia TVT-ratkaisuja ja -prosesseja. Kyseisten TVT-ratkaisujen ja -prosessien on

a)

varmistettava datansiirtovälineiden suojaus;

b)

minimoitava datan turmeltumisen tai menettämisen, luvattoman käytön ja liiketoimintaa mahdollisesti haittaavien teknisten vikojen riski;

c)

ehkäistävä datan saatavuuden puutetta, aitouden tai eheyden heikkenemistä, luottamuksellisuuden rikkomisia ja datan menettämistä;

d)

varmistettava, että data on suojattu tiedonhallinnassa esiintyviltä riskeiltä, mukaan lukien huono hallinto, käsittelyyn liittyvät riskit ja inhimilliset virheet.

4.   Finanssiyhteisöjen on osana 6 artiklan 1 kohdassa tarkoitettua TVT-riskinhallintajärjestelmää

a)

laadittava ja dokumentoitava tietoturvapolitiikka, jossa määritellään säännöt yhteisöjen ja tarvittaessa niiden asiakkaiden datan, tieto-omaisuuden ja TVT-omaisuuden saatavuuden, aitouden, eheyden ja luottamuksellisuuden suojaamiseksi:

b)

riskiperusteista lähestymistapaa noudattaen otettava käyttöön vankka verkko- ja infrastruktuurin hallinnointirakenne käyttäen asianmukaisia tekniikoita, menetelmiä ja protokollia, joihin voi kuulua automatisoitujen mekanismien toteuttaminen mahdollisen kyberhyökkäyksen yhteydessä vahingoittuneen tieto-omaisuuden eristämiseksi;

c)

otettava käyttöön toimintatavat, joilla rajoitetaan fyysinen tai looginen pääsy tieto-omaisuuteen ja TVT-omaisuuteen vain siihen, mikä on tarpeen oikeutettuja ja hyväksyttyjä toimintoja ja tehtäviä varten, ja laaditaan tätä varten toimintaperiaatteet, menettelyt ja valvontatoimet, joissa määritellään pääsyoikeudet ja varmistetaan sen moitteeton hallinnointi;

d)

toteutettava vahvan todentamisen mekanismien edellyttämät toimintatavat ja protokollat asiaa koskevien standardien ja erityisten valvontajärjestelmien pohjalta, sekä niiden salausavaimien suojaustoimenpiteet, joilla data on salattu, hyväksyttyjen datan luokittelua ja TVT-riskinarviointia koskevien prosessien tulosten perusteella;

e)

toteutettava TVT-muutosten hallintaa koskevat dokumentoidut toimintaperiaatteet, menettelyt ja valvontatoimet, joissa otetaan huomioon ohjelmistojen, laitteiden, laiteohjelmistokomponenttien, järjestelmien tai turvaparametrien muutokset ja jotka perustuvat riskinarviointiin ja ovat olennainen osa finanssiyhteisön yleistä muutoksenhallintaprosessia, jotta voidaan varmistaa, että kaikki TVT-järjestelmien muutokset tallennetaan, testataan, arvioidaan, hyväksytään, toteutetaan ja todennetaan valvotusti;

f)

otettava käyttöön ohjelmisto- ja korjauspäivityksiä koskevat asianmukaiset ja kattavat dokumentoidut toimintaperiaatteet.

Ensimmäisen alakohdan b alakohdan soveltamiseksi finanssiyhteisöjen on suunniteltava verkkoyhteysinfrastruktuuri siten, että se voidaan irrottaa tai segmentoida välittömästi, jotta voidaan minimoida ja estää häiriöiden leviäminen erityisesti toisiinsa sidoksissa olevien rahoitusprosessien yhteydessä.

Ensimmäisen alakohdan e alakohdan soveltamiseksi TVT-muutoksenhallintaprosessin on saatava asianmukaisten hallintolinjojen hyväksyntä ja siinä on oltava erityiset protokollat.

10 artikla

Havaitseminen

1.   Finanssiyhteisöillä on oltava käytössään mekanismit, joiden avulla ne voivat nopeasti havaita poikkeavan toiminnan 17 artiklan mukaisesti, mukaan lukien TVT-verkon suorituskykyyn liittyvät ongelmat ja TVT:hen liittyvät poikkeamat, ja yksilöidä potentiaaliset olennaiset vikakohdat.

Kaikki ensimmäisessä alakohdassa tarkoitetut havaitsemismekanismit on testattava säännöllisesti 25 artiklan mukaisesti.

2.   Edellä 1 kohdassa tarkoitettujen havaitsemismekanismien on mahdollistettava monikerroksinen valvonta, ja niissä on määriteltävä hälytystasot ja -kriteerit, joiden perusteella käynnistetään menettelyt TVT:hen liittyviin poikkeamiin reagoimiseksi, mukaan lukien automaattiset hälytysmekanismit TVT:hen liittyviin poikkeamiin reagoinnista vastaavaa asiaankuuluvaa henkilöstöä varten.

3.   Finanssiyhteisöjen on osoitettava riittävät resurssit ja valmiudet käyttäjien toiminnan, TVT-anomalioiden ja TVT:hen liittyvien poikkeamien ja erityisesti kyberhyökkäysten valvontaa varten.

4.   Raportointipalvelujen tarjoajilla on lisäksi oltava käytössä järjestelmät, joiden avulla voidaan tehokkaasti tarkistaa kaupankäynti-ilmoitusten kattavuus, osoittaa puutteet ja ilmeiset virheet sekä pyytää kyseisten ilmoitusten uudelleenlähettämistä.

11 artikla

Reagointi ja toipuminen

1.   Finanssiyhteisöjen on osana 6 artiklan 1 kohdassa tarkoitettua TVT-riskinhallintajärjestelmää ja 8 artiklassa vahvistettujen yksilöintivaatimusten pohjalta otettava käyttöön kattavat TVT-liiketoiminnan jatkuvuutta koskevat toimintaperiaatteet, jotka voidaan hyväksyä erillisinä erityisinä toimintaperiaatteina ja jotka ovat olennainen osa finanssiyhteisön yleisiä liiketoiminnan jatkuvuutta koskevia toimintaperiaatteita.

2.   Finanssiyhteisöjen on toteutettava TVT-liiketoiminnan jatkuvuutta koskevat toimintaperiaatteet sellaisten erityisten, asianmukaisten ja dokumentoitujen järjestelyjen, suunnitelmien, menettelyjen ja mekanismien avulla, joiden tavoitteena on

a)

varmistaa finanssiyhteisön kriittisten tai tärkeiden toimintojen jatkuvuus;

b)

reagoida kaikkiin TVT:hen liittyviin poikkeamiin nopeasti, asianmukaisesti ja tuloksellisesti ja ratkaista ne, siten että voidaan rajoittaa vahinkoja ja asettaa etusijalle toiminnan jatkaminen ja toipumistoimet;

c)

aktivoida viipymättä erityiset suunnitelmat, joiden nojalla voidaan ottaa käyttöön kunkin TVT:hen liittyvän poikkeamatyypin edellyttämät rajoittamistoimet, -menettelyt ja -teknologiat ja estää lisävahinkojen syntyminen, sekä 12 artiklan mukaisesti vahvistetut räätälöidyt reagointi- ja toipumismenettelyt;

d)

arvioida alustavat vaikutukset, vahingot ja menetykset;

e)

vahvistaa viestintä- ja kriisinhallintatoimet, joilla varmistetaan, että ajantasaiset tiedot toimitetaan kaikille asianomaisille sisäisen henkilöstön jäsenille ja ulkopuolisille sidosryhmille 14 artiklan mukaisesti sekä toimivaltaisille viranomaisille 19 artiklan mukaisesti.

3.   Finanssiyhteisöjen on osana 6 artiklan 1 kohdassa tarkoitettua TVT-riskinhallintajärjestelmää toteutettava siihen liittyvät TVT-reagointi- ja palautumissuunnitelmat, joille on tehtävä riippumaton sisäinen auditointi, jos finanssiyhteisö on muu kuin mikroyritys.

4.   Finanssiyhteisöjen on laadittava asianmukainen TVT-liiketoiminnan jatkuvuutta koskevat suunnitelmat, pidettävä niitä yllä ja testattava niitä määräajoin, erityisesti sellaisten kriittisten tai tärkeiden toimintojen osalta, jotka on ulkoistettu tai joiden toteuttamisesta on tehty sopimusjärjestely TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa.

5.   Finanssiyhteisöjen on osana yleisiä liiketoiminnan jatkuvuutta koskevia toimintaperiaatteita tehtävä liiketoimintaan kohdistuvien vaikutusten analyysi (liiketoiminnan vaikutusanalyysi) altistumisestaan vakaville liiketoiminnan häiriöille. Finanssiyhteisöjen on liiketoiminnan vaikutusanalyysin mukaisesti arvioitava vakavien liiketoiminnan häiriöiden mahdolliset vaikutukset määrällisin ja laadullisin perustein käyttäen tapauksen mukaan sisäistä ja ulkoista dataa ja skenaarioanalyysejä. Liiketoiminnan vaikutusanalyysissä on otettava huomioon yksilöityjen ja kartoitettujen liiketoimintojen, tukiprosessien, kolmansista osapuolista riippuvuuden ja tieto-omaisuuden kriittisyys sekä niiden keskinäiset riippuvuussuhteet. Finanssiyhteisöjen on varmistettava, että TVT-omaisuus ja TVT-palvelut suunnitellaan ja niitä käytetään täysin liiketoiminnan vaikutusanalyysin mukaisesti, erityisesti siten, että varmistetaan asianmukaisesti kaikkien kriittisten komponenttien varakapasiteetti.

6.   Finanssiyhteisöjen on osana kattavaa TVT-riskinhallintajärjestelmäänsä

a)

testattava TVT-toiminnan jatkuvuussuunnitelmia ja TVT-reagointi- ja palautumissuunnitelmia suhteessa kaikkia toimintoja tukeviin TVT-järjestelmiin ainakin kerran vuodessa sekä siinä tapauksessa, että kriittisiä tai tärkeitä toimintoja tukevissa TVT-järjestelmissä tapahtuu merkittäviä muutoksia;

b)

testattava 14 artiklan mukaisesti laadittuja kriisiviestintäsuunnitelmia.

Ensimmäisen alakohdan a alakohdan soveltamista varten muiden kuin mikroyrityksiä olevien finanssiyhteisöjen on sisällytettävä testaussuunnitelmiin skenaariot, jotka koskevat kyberhyökkäyksiä ja vaihtoa ensisijaisen TVT-infrastruktuurin ja 12 artiklassa säädettyjen velvoitteiden täyttämiseksi tarvittavan varakapasiteetin, varmuuskopioiden ja varajärjestelmien välillä.

Finanssiyhteisöjen on tarkasteltava TVT-liiketoiminnan jatkuvuutta koskevia toimintaperiaatteitaan ja TVT-reagointi- ja palautumissuunnitelmiansa säännöllisesti uudelleen ottaen huomioon ensimmäisen alakohdan mukaisesti suoritettujen testien tulokset ja auditointien tai valvontatarkastusten perusteella annetut suositukset.

7.   Muilla kuin mikroyrityksiä olevilla finanssiyhteisöillä on oltava kriisinhallintatoiminto, jossa muun muassa esitetään niiden TVT-liiketoiminnan jatkuvuutta koskevien suunnitelmien tai TVT-reagointi- ja palautumissuunnitelmien käynnistämisen varalta selkeät menettelyt sisäisen ja ulkoisen kriisiviestinnän hoitamiseksi 14 artiklan mukaisesti.

8.   Finanssiyhteisöjen on pidettävä kirjaa helposti saatavilla olevassa muodossa ennen toiminnan keskeytymistä ja sen aikana toteutetuista toimista, kun niiden TVT-liiketoiminnan jatkuvuutta koskevat suunnitelmat ja TVT-reagointi- ja palautumissuunnitelmat on käynnistetty.

9.   Arvopaperikeskusten on toimitettava toimivaltaisille viranomaisille jäljennökset TVT-liiketoiminnan jatkuvuutta koskevien testien tai vastaavien toimenpiteiden tuloksista.

10.   Muiden kuin mikroyrityksiä olevien finanssiyhteisöjen on toimitettava toimivaltaisille viranomaisille näiden pyynnöstä arvio laajavaikutteisten TVT:hen liittyvien poikkeamien aiheuttamista vuotuisista kokonaiskustannuksista ja -tappioista.

11.   Euroopan valvontaviranomaiset laativat asetusten (EU) N:o 1093/2010, (EU) N:o 1094/2010 ja (EU) N:o 1095/2010 16 artiklan mukaisesti yhteiskomiteassa viimeistään 17 päivänä heinäkuuta 2024 yhteiset suuntaviivat 10 kohdassa tarkoitettujen vuotuisten kokonaiskustannusten ja -tappioiden arvioimiseksi.

12 artikla

Varmuuskopiointikäytännöt ja -menettelyt sekä palautus- ja toipumismenettelyt ja -menetelmät

1.   Jotta TVT-järjestelmät ja data voidaan palauttaa niin, että palvelukatkos jää mahdollisimman lyhyeksi ja keskeytymisten ja menetysten määrää rajoitetaan, finanssiyhteisöjen on osana TVT-riskinhallintajärjestelmäänsä laadittava ja dokumentoitava:

a)

varmuuskopiointikäytännöt ja -menettelyt, joissa määritellään varmuuskopioitava data ja varmuuskopioinnin vähimmäistiheys tietojen kriittisyyden tai datan luottamuksellisuustason mukaan;

b)

palautus- ja toipumismenettelyt ja -menetelmät.

2.   Finanssiyhteisöjen on perustettava varmuuskopiointijärjestelmiä, jotka voidaan aktivoida varmuuskopiointikäytäntöjen ja -menettelyjen sekä palautus- ja toipumismenettelyjen ja -menetelmien mukaisesti. Varmuuskopiointijärjestelmien aktivointi ei saa vaarantaa verkko- ja tietojärjestelmien turvallisuutta eikä datan saatavuutta, aitoutta, eheyttä tai luottamuksellisuutta. Varmuuskopiointimenettelyjen sekä palautus- ja toipumismenettelyjen ja -menetelmien testaus on suoritettava säännöllisin väliajoin.

3.   Palauttaessaan varmuuskopioitua dataa omien järjestelmiensä avulla finanssiyhteisöjen on käytettävä TVT-järjestelmiä, jotka on fyysisesti ja loogisesti erotettu lähteenä olevasta TVT-järjestelmästä. TVT-järjestelmät on suojattava turvallisesti kaikelta luvattomalta pääsyltä tai TVT:hen liittyvältä korruptoitumiselta, ja niiden on tarpeen mukaan mahdollistettava dataa ja järjestelmien varmuuskopioita käyttävien palvelujen oikea-aikainen palauttaminen.

Keskusvastapuolten osalta toipumissuunnitelmien on mahdollistettava kaikkien liiketoimien toipuminen keskeytymisen tapahtuessa, jotta keskusvastapuoli voi turvallisesti jatkaa toimintaansa ja saattaa toimituksen loppuun määräpäivänä.

Raportointipalvelujen tarjoajien on lisäksi pidettävä yllä riittävät resurssit, ja niillä on oltava varmuuskopiointi- ja palautusjärjestelyt käytössä palvelujensa tarjoamiseksi ja ylläpitämiseksi kaikkina aikoina.

4.   Muiden kuin mikroyrityksiä olevien finanssiyhteisöjen on pidettävä yllä TVT-varakapasiteettia, jossa on riittävät resurssit, valmiudet ja toiminnot liiketoiminnan tarpeiden täyttämiseksi. Mikroyritysten on arvioitava tarve pitää yllä tällaista TVT-varakapasiteettia riskiprofiilinsa perusteella.

5.   Arvopaperikeskusten on pidettävä yllä ainakin yhtä toissijaista käsittelypaikkaa, jossa on riittävät resurssit, valmiudet, toiminnot ja henkilöstöjärjestelyt liiketoiminnan tarpeiden täyttämiseksi.

Toissijaisen käsittelypaikan on

a)

sijaittava sopivalla maantieteellisellä etäisyydellä ensisijaisesta käsittelypaikasta, jotta toissijaisella käsittelypaikalla olisi erilainen riskiprofiili ja siihen ei vaikuttaisi sama tapahtuma, joka vaikuttaa ensisijaiseen käsittelypaikkaan;

b)

kyettävä turvaamaan kriittisten tai tärkeiden toimintojen jatkuvuus samalla tavalla kuin ensisijaisessa käsittelypaikassa tai tarjottava riittävän tasoiset palvelut sen varmistamiseksi, että finanssiyhteisö suorittaa keskeiset toimintonsa toipumistavoitteiden mukaisesti;

c)

oltava välittömästi finanssiyhteisön henkilöstön käytettävissä, jotta varmistetaan kriittisten tai tärkeiden toimintojen jatkuvuus silloin, kun ensisijainen käsittelypaikka ei ole käytettävissä.

6.   Määrittäessään kunkin toiminnon toipumisaika- ja toipumispistetavoitetta finanssiyhteisöjen on otettava huomioon, onko kyseessä kriittinen tai tärkeä toiminto, sekä mahdollinen kokonaisvaikutus markkinoiden tehokkuuteen. Tällaisilla aikatavoitteilla on varmistettava, että äärimmäisissä skenaarioissa saavutetaan sovitut palvelutasot.

7.   Toipuessaan TVT:hen liittyvästä poikkeamasta finanssiyhteisöjen on suoritettava tarvittavat tarkistukset, myös mahdollisesti useita tarkistuksia ja täsmäytyksiä, jotta voidaan varmistaa, että datan eheys säilyy korkeimmalla tasolla. Nämä tarkistukset on suoritettava myös silloin, kun dataa koostetaan ulkoisilta sidosryhmiltä, jotta voidaan varmistaa kaiken datan yhdenmukaisuus eri järjestelmien kesken.

13 artikla

Oppiminen ja kehitys

1.   Finanssiyhteisöillä on oltava valmiudet ja henkilöstö, jotta ne voivat kerätä tietoa haavoittuvuuksista ja kyberuhkista, TVT:hen liittyvistä poikkeamista ja erityisesti kyberhyökkäyksistä, ja analysoida niiden todennäköistä vaikutusta digitaaliseen häiriönsietokykyynsä.

2.   Finanssiyhteisöjen on toteutettava sellainen TVT:hen liittyvien poikkeamien jälkitarkastelu sen jälkeen kun laajavaikutteinen TVT:hen liittyvä poikkeama aiheuttaa keskeytymisiä niiden ydintoiminnoissa, jossa analysoidaan keskeytymisen syyt ja määritetään tarvittavat TVT-toimien tai 11 artiklassa tarkoitettujen TVT-liiketoiminnan jatkuvuutta koskevien toimintaperiaatteiden parannukset.

Muiden kuin mikroyrityksiä olevien finanssiyhteisöjen on pyynnöstä ilmoitettava toimivaltaisille viranomaisille muutoksista, jotka on toteutettu ensimmäisessä alakohdassa tarkoitettujen TVT:hen liittyvien poikkeamien jälkiarviointien seurauksena.

Ensimmäisessä alakohdassa tarkoitettujen TVT:hen liittyvien poikkeamien jälkitarkastelussa on selvitettävä, noudatettiinko vakiintuneita menettelyjä ja olivatko toteutetut toimet tuloksellisia, muun muassa seuraavien seikkojen osalta:

a)

turvallisuusvaroituksiin reagoinnin ja TVT:hen liittyvien poikkeamien vaikutuksen ja vakavuuden määrittämisen nopeus;

b)

rikosteknisen analyysin laatu ja nopeus, jos tämä katsotaan aiheelliseksi;

c)

poikkeaman eskaloinnin tuloksellisuus finanssiyhteisössä;

d)

sisäisen ja ulkoisen viestinnän vaikuttavuus.

3.   Kokemukset, jotka on saatu 26 ja 27 artiklan mukaisesti toteutetusta digitaalisen häiriönsietokyvyn testauksesta sekä todellisista TVT:hen liittyvistä poikkeamista, erityisesti kyberhyökkäyksistä, sekä TVT-liiketoiminnan jatkuvuutta koskevien suunnitelmien ja TVT-reagointi- ja -toipumissuunnitelmien käynnistämisen yhteydessä kohdatut haasteet ja vastapuolten kanssa vaihdetut ja valvontatarkastusten yhteydessä arvioidut tiedot on asianmukaisesti ja jatkuvasti sisällytettävä TVT-riskinarviointiprosessiin. Kyseisten havaintojen perusteella on tehtävä asianmukaiset tarkastukset 6 artiklan 1 kohdassa tarkoitetun TVT-riskinhallintajärjestelmän asianomaisiin komponentteihin.

4.   Finanssiyhteisöjen on seurattava 6 artiklan 8 kohdassa tarkoitetun digitaalista häiriönsietokykyä koskevan strategiansa toteutuksen tuloksellisuutta. Niiden on kartoitettava TVT-riskin kehitystä ajan mittaan, analysoitava TVT:hen liittyvien poikkeamien esiintymistiheyttä, tyyppejä, laajuutta ja kehitystä, erityisesti kyberhyökkäyksiä ja niiden toteuttamistapoja, voidakseen selvittää finanssiyhteisön TVT-riskille altistumisen tason, erityisesti kriittisten tai tärkeiden toimintojen osalta, ja tehostaa sen kybervalmiutta ja kyberuhkiin varautumista.

5.   Ylemmän TVT-henkilöstön on raportoitava ylimmälle hallintoelimelle ainakin vuosittain 3 kohdassa tarkoitetuista havainnoista ja esitettävä suosituksia.

6.   Finanssiyhteisöjen on laadittava TVT-turvallisuutta koskevia valistusohjelmia ja digitaalista häiriönsietokykyä käsittelevää koulutusta osana henkilöstön pakollista koulutusohjelmaa. Kyseisten ohjelmien ja koulutuksen on oltava pakollisia sekä kaikille työntekijöille että ylemmälle johdolle, ja niiden monimuotoisuuden on oltava suhteessa osallistujien tehtäviin. Finanssiyhteisöjen on tarvittaessa otettava TVT-palveluntarjoajana olevat kolmannet osapuolet mukaan asiaankuuluviin koulutusohjelmiinsa 30 artiklan 2 kohdan i alakohdan mukaisesti.

7.   Muiden kuin mikroyrityksiä olevien finanssiyhteisöjen on jatkuvasti seurattava teknologian kehitystä, myös voidakseen ymmärtää tällaisten uusien teknologioiden käyttöönoton mahdollisia vaikutuksia TVT-turvallisuusvaatimuksiin ja digitaaliseen häiriönsietokykyyn. Niiden on pysyteltävä ajan tasalla uusimmissa TVT-riskinhallintaprosesseissa, jotta nykyisiä tai uusia kyberhyökkäysten muotoja voidaan torjua tuloksellisesti.

14 artikla

Viestintä

1.   Finanssiyhteisöjen on osana 6 artiklan 1 kohdassa tarkoitettua TVT-riskinhallintajärjestelmää toteutettava kriisiviestintäsuunnitelmia, joidenka avulla voidaan vastuullisesti tiedottaa ainakin laajavaikutteisista TVT:hen liittyvistä poikkeamista tai haavoittuvuuksista tarpeen mukaan asiakkaille ja vastapuolille sekä suurelle yleisölle.

2.   Finanssiyhteisöjen on osana TVT-riskinhallintajärjestelmää toteutettava sekä sisäisen henkilöstön jäsenille että ulkoisille sidosryhmille suunnattua viestintäpolitiikkaa. Henkilöstölle suunnatussa viestintäpolitiikassa on tehtävä ero TVT-riskinhallintaan ja erityisesti reagointi- ja toipumistoimiin osallistuvan henkilöstön ja toisaalta sen henkilöstön välillä, jolle on tiedotettava kyseisistä toimista.

3.   Finanssiyhteisössä on oltava ainakin yksi henkilö, jonka tehtävänä on toteuttaa TVT:hen liittyviä poikkeamia koskeva viestintästrategia ja vastata tähän liittyvästä tiedottamisesta yleisölle ja tiedotusvälineille.

15 artikla

TVT-riskinhallintavälineiden, -menetelmien, -menettelyjen ja -politiikkatoimien yhdenmukaistaminen

Euroopan valvontaviranomaisten on yhteiskomitean välityksellä ja Euroopan unionin kyberturvallisuusvirastoa (ENISA) kuullen laadittava yhteisten teknisten sääntelystandardien luonnoksia, jotta voidaan

a)

täsmentää edelleen tekijöitä, jotka on sisällytettävä 9 artiklan 2 kohdassa tarkoitettuihin TVT-turvallisuutta koskeviin toimintatapoihin, menettelyihin, protokolliin ja välineisiin, jotta voidaan varmistaa verkkojen turvallisuus, mahdollistaa riittävät suojatoimet tunkeutumisia ja datan väärinkäyttöä vastaan, säilyttää datan saatavuus, aitous, eheys ja luottamuksellisuus, salaustekniikat mukaan lukien, ja taata datan tarkka ja nopea siirto ilman laajavaikutteisia keskeytymisiä ja aiheetonta viivytystä;

b)

kehittää edelleen 9 artiklan 4 kohdan c alakohdassa tarkoitettuun pääsyoikeuksien hallinnan valvontaan liittyviä elementtejä ja siihen liittyvää henkilöresurssipolitiikkaa, joiden puitteissa määritellään pääsyoikeudet, menettelyt oikeuksien myöntämistä ja peruuttamista varten, TVT-riskiin liittyvän poikkeavan käyttäytymisen seuranta soveltaen asianmukaisia indikaattoreita, mukaan lukien verkon käyttötavat, ajankohdat, IT-toimet ja tuntemattomat laitteet;

c)

kehittää edelleen 10 artiklan 1 kohdassa tarkoitettuja mekanismeja, joiden avulla poikkeava toiminta voidaan havaita, ja 10 artiklan 2 kohdassa vahvistettuja kriteerejä, joiden perusteella TVT:hen liittyvien poikkeamien havaitsemis- ja reagointiprosessit käynnistyvät;

d)

täsmentää edelleen 11 artiklan 1 kohdassa tarkoitettujen TVT-liiketoiminnan jatkuvuutta koskevien toimintaperiaatteiden osatekijöitä;

e)

täsmentää edelleen 11 artiklan 6 kohdassa tarkoitettua TVT-liiketoiminnan jatkuvuutta koskevien suunnitelmien testausta sen varmistamiseksi, että tällaisessa testauksessa otetaan asianmukaisesti huomioon skenaariot, joissa kriittisten tai tärkeiden toimintojen tarjonta heikkenee laadullisesti tasolle, jota ei voida hyväksyä, tai vikaantuu, ja otetaan asianmukaisesti huomioon TVT-palveluntarjoajana olevien kolmansien osapuolten maksukyvyttömyyden tai muiden häiriöiden mahdollinen vaikutus ja tarvittaessa asianomaisten palveluntarjoajien lainkäyttöalueisiin liittyvät poliittiset riskit;

f)

täsmentää edelleen 11 artiklan 3 kohdassa tarkoitettujen TVT-reagointi- ja palautumissuunnitelmien osatekijöitä;

g)

täsmentää edelleen 6 artiklan 5 kohdassa tarkoitetun TVT-riskinhallintajärjestelmän uudelleentarkastelua koskevan kertomuksen sisältöä ja muotoa.

Laatiessaan kyseisiä teknisten sääntelystandardien luonnoksia Euroopan valvontaviranomaisten on otettava huomioon finanssiyhteisön koko ja yleinen riskiprofiili sekä sen palvelujen, toiminnan ja toimintojen luonne, laajuus ja monitahoisuus ottaen samalla asianmukaisesti huomioon eri rahoituspalvelusektoreilla harjoitettavan toiminnan erilaisesta luonteesta johtuvat erityispiirteet.

Euroopan valvontaviranomaiset toimittavat kyseiset teknisten sääntelystandardien luonnokset komissiolle viimeistään 17 päivänä tammikuuta 2024 .

Siirretään komissiolle valta täydentää tätä asetusta hyväksymällä ensimmäisessä kohdassa tarkoitetut tekniset sääntelystandardit asetusten (EU) N:o 1093/2010, (EU) N:o 1094/2010 ja (EU) N:o 1095/2010 10–14 artiklan mukaisesti.

16 artikla

Yksinkertaistettu TVT-riskinhallintajärjestelmä

1.   Tämän asetuksen 5–15 artiklaa ei sovelleta pieniin ja ilman sidossuhteita oleviin sijoituspalveluyrityksiin eikä maksulaitoksiin, joihin sovelletaan vapautusta direktiivin (EU) 2015/2366 nojalla; laitoksiin, joihin sovelletaan vapautusta direktiivin 2013/36/EU nojalla ja joiden osalta jäsenvaltiot ovat päättäneet olla soveltamatta tämän asetuksen 2 artiklan 4 kohdassa tarkoitettua vaihtoehtoa; sähköisen rahan liikkeeseenlaskijalaitoksiin, joihin sovelletaan vapautusta direktiivin 2009/110/EY nojalla; eikä pieniin ammatillisia lisäeläkkeitä tarjoaviin laitoksiin.

Ensimmäisen alakohdan soveltamista rajoittamatta ensimmäisessä alakohdassa lueteltujen finanssiyhteisöjen on

a)

otettava käyttöön luotettava ja dokumentoitu TVT-riskinhallintajärjestelmä, jossa esitetään yksityiskohtaisesti mekanismit ja toimenpiteet, joilla pyritään nopeaan, tehokkaaseen ja kattavaan TVT-riskin hallintaan, mukaan lukien asiaankuuluvien fyysisten komponenttien ja infrastruktuurien suojaaminen, ja ylläpidettävä sitä;

b)

valvottava jatkuvasti kaikkien TVT-järjestelmien turvallisuutta ja toimintaa;

c)

minimoitava TVT-riskin vaikutukset käyttämällä luotettavia, häiriönsietokykyisiä ja ajantasaisia TVT-järjestelmiä, -protokollia ja -välineitä, jotka ovat asianmukaisia tukemaan niiden toimintaa ja palvelujen tarjoamista ja suojaamaan riittävällä tavalla verkko- ja tietojärjestelmien sisältämän datan saatavuutta, aitoutta, eheyttä ja luottamuksellisuutta;

d)

mahdollistettava TVT-riskin ja poikkeamien lähteiden nopea tunnistaminen ja havaitseminen verkko- ja tietojärjestelmissä ja TVT:hen liittyvien poikkeamien nopea käsittely;

e)

yksilöitävä keskeiset riippuvuudet TVT-palveluntarjoajana olevista kolmansista osapuolista;

f)

varmistettava kriittisten tai tärkeiden toimintojen jatkuvuus sellaisten liiketoiminnan jatkuvuussuunnitelmien ja reagointi- ja toipumistoimenpiteiden avulla, joihin sisältyy vähintään varmuuskopiointi- ja palauttamistoimenpiteitä;

g)

testattava säännöllisesti f alakohdassa tarkoitettuja suunnitelmia ja toimenpiteitä sekä a ja c alakohdan mukaisesti toteutettujen tarkastusten tehokkuutta;

h)

pantava tarvittaessa g alakohdassa tarkoitetuista testeistä ja poikkeamien jälkeisestä analyysistä saadut asiaankuuluvat toimintaa koskevat johtopäätökset täytäntöön TVT-riskinarviointiprosessissa ja laadittava tarpeiden ja TVT-riskiprofiilin mukaisesti henkilöstölle ja johdolle suunnattuja TVT-turvallisuutta koskevia valistusohjelmia ja digitaalista häiriönsietokykyä koskevaa koulusta.

2.   Edellä 1 kohdan toisen alakohdan a alakohdassa tarkoitettu TVT-riskinhallintajärjestelmä on dokumentoitava ja sitä on tarkistettava säännöllisesti ja laajavaikutteisten TVT:hen liittyvien poikkeamien yhteydessä valvontaohjeiden mukaisesti. Sitä on parannettava jatkuvasti täytäntöönpanosta ja seurannasta saatujen kokemusten perusteella. Toimivaltaiselle viranomaiselle on sen pyynnöstä toimitettava kertomus TVT-riskinhallintajärjestelmän uudelleentarkastelusta.

3.   Euroopan valvontaviranomaisten on yhteiskomitean välityksellä ja ENISAa kuullen laadittava yhteisten teknisten sääntelystandardien luonnoksia, jotta voidaan

a)

täsmentää edelleen 1 kohdan toisen alakohdan a alakohdassa tarkoitettuun TVT-riskinhallintajärjestelmään sisällytettäviä seikkoja;

b)

täsmentää edelleen järjestelmiin, protokolliin ja välineisiin liittyviä tekijöitä, joilla minimoidaan 1 kohdan toisen alakohdan c alakohdassa tarkoitetut TVT-riskin vaikutukset, jotta voidaan varmistaa verkkojen turvallisuus, mahdollistetaan riittävät suojatoimet tunkeutumisen ja datan väärinkäytön varalta sekä säilytetään datan saatavuus, aitous, eheys ja luottamuksellisuus;

c)

täsmentää edelleen 1 kohdan toisen alakohdan f alakohdassa tarkoitettujen TVT-liiketoiminnan jatkuvuutta koskevien suunnitelmien osatekijöitä;

d)

täsmentää edelleen liiketoiminnan jatkuvuussuunnitelmien testausta koskevat säännöt ja varmistaa 1 kohdan toisen alakohdan g alakohdassa tarkoitettujen valvontatoimien tehokkuus sekä varmistaa, että tällaisessa testauksessa otetaan asianmukaisesti huomioon skenaariot, joissa kriittisen tai tärkeän toiminnon tarjonta heikkenee laadullisesti tasolle, jota ei voida hyväksyä, tai vikaantuu;

e)

täsmentää edelleen 2 kohdassa tarkoitetun TVT-riskinhallintajärjestelmän uudelleentarkastelua koskevan kertomuksen sisältöä ja muotoa.

Kyseisiä teknisten sääntelystandardien luonnoksia laatiessaan Euroopan valvontaviranomaisten on otettava huomioon finanssiyhteisön koko ja yleinen riskiprofiili sekä sen palvelujen, toiminnan ja toimintojen luonne, laajuus ja monitahoisuus.

Euroopan valvontaviranomaisten on toimitettava kyseisten teknisten sääntelystandardien luonnokset komissiolle viimeistään 17 päivänä tammikuuta 2024.

Siirretään komissiolle valta täydentää tätä asetusta hyväksymällä ensimmäisessä alakohdassa tarkoitetut tekniset sääntelystandardit asetusten (EU) N:o 1093/2010, (EU) N:o 1094/2010 ja (EU) N:o 1095/2010 10–14 artiklan mukaisesti.

III LUKU

TVT:hen liittyvien poikkeamien hallinta, luokittelu ja raportointi

17 artikla

TVT:hen liittyvien poikkeamien hallintaprosessi

1.   Finanssiyhteisöjen on määriteltävä, laadittava ja toteutettava TVT:hen liittyvien poikkeamien hallintaprosessi, jonka avulla TVT:hen liittyviä poikkeamia voidaan havaita ja hallinnoida ja niistä voidaan ilmoittaa.

2.   Finanssiyhteisöjen on kirjattava kaikki TVT:hen liittyvät poikkeamat ja merkittävät kyberuhat. Finanssiyhteisöjen on laadittava asianmukaiset menettelyt ja prosessit, joilla taataan TVT:hen liittyvien poikkeamien yhdenmukainen ja yhdennetty valvonta, käsittely ja seuranta sen varmistamiseksi, että niiden perimmäiset syyt tunnistetaan, dokumentoidaan ja niihin puututaan, jotta tällaiset poikkeamat voidaan estää.

3.   Edellä 1 kohdassa tarkoitetussa TVT:hen liittyvien poikkeamien hallintaprosessissa on

a)

otettava käyttöön varhaisen varoituksen indikaattorit;

b)

vahvistettava menettelyt, joiden avulla TVT:hen liittyvät poikkeamat voidaan tunnistaa, jäljittää, kirjata lokiin ja luokitella niiden tärkeyden, vakavuuden ja sen palvelun kriittisyyden mukaan, johon ne vaikuttavat, 18 artiklan 1 kohdassa vahvistettujen kriteerien mukaisesti;

c)

osoitettava tehtävät ja vastuualueet, jotka erityyppisten TVT:hen liittyvien poikkeamien ja skenaarioiden osalta on aktivoitava;

d)

esitettävä 14 artiklan mukaisesti viestintäsuunnitelmat, jotka koskevat tiedottamista henkilöstölle, ulkoisille sidosryhmille ja tiedotusvälineille sekä asiakkaille, sisäisiä eskalointimenettelyjä, myös TVT:hen liittyvien asiakasvalitusten osalta, sekä tarpeen mukaan tiedottamista vastapuolina toimiville finanssiyhteisöille;

e)

varmistettava, että ainakin laajavaikutteisista TVT:hen liittyvistä poikkeamista raportoidaan asiaankuuluvalle ylemmälle johdolle, ja tiedotettava ylimmälle hallintoelimelle ainakin laajavaikutteisista TVT:hen liittyvistä poikkeamista selittämällä niiden vaikutukset ja niiden vuoksi toteutettavat reagointitoimet ja lisävalvontatoimet;

f)

otettava käyttöön TVT:hen liittyviin poikkeamiin liittyvät reagointimenettelyt, jotta voidaan lieventää niiden vaikutuksia ja varmistaa oikea-aikaisesti, että palvelut alkavat jälleen toimia ja ovat turvallisia.

18 artikla

TVT:hen liittyvien poikkeamien ja kyberuhkien luokittelu

1.   Finanssiyhteisöjen on luokiteltava TVT:hen liittyvät poikkeamat ja määriteltävä niiden vaikutukset seuraavien kriteerien perusteella:

a)

niiden asiakkaiden tai finanssialan vastapuolien lukumäärä ja/tai merkityksellisyys, ja tarvittaessa toteutuneiden liiketoimien määrä tai lukumäärä, joihin TVT:hen liittyvä poikkeama on vaikuttanut, ja tieto siitä, onko TVT:hen liittyvällä poikkeamalla ollut maineeseen liittyviä vaikutuksia;

b)

TVT:hen liittyvän poikkeaman kesto, palvelukatkos mukaan lukien;

c)

sen alueen maantieteellinen laajuus, johon TVT:hen liittyvä poikkeama vaikuttaa, varsinkin jos se vaikuttaa useampaan kuin kahteen jäsenvaltioon;

d)

TVT:hen liittyvän poikkeaman aiheuttamat datan menetykset datan saatavuuden, aitouden, eheyden tai luottamuksellisuuden osalta;

e)

vaikutusten kohteena olevien palvelujen kriittisyys, finanssiyhteisön liiketoimet ja toiminnot mukaan lukien;

f)

TVT:hen liittyvän poikkeaman taloudelliset vaikutukset, erityisesti välittömät ja välilliset kustannukset ja tappiot, sekä absoluuttisesti että suhteellisesti ilmaistuna.

2.   Finanssiyhteisöjen on luokiteltava kyberuhat merkittäviksi riskinalaisten palvelujen, mukaan lukien finanssiyhteisön liiketoimet ja toiminnot, kriittisyyden, kohteena olevien asiakkaiden tai finanssialan vastapuolten lukumäärän ja/tai merkityksellisyyden sekä riskialueiden maantieteellisen jakautumisen perusteella.

3.   Euroopan valvontaviranomaiset laativat yhteiskomiteassa ja EKP:tä ja ENISAa kuultuaan yhteisten teknisten sääntelystandardien luonnoksia, joissa määritetään seuraavat:

a)

edellä 1 kohdassa vahvistetut kriteerit, mukaan lukien olennaisuusrajat sellaisten TVT:hen liittyvien laajavaikutteisten poikkeamien tai tapauksen mukaan toiminnan harjoittamiseen tai turvallisuuteen vaikuttavien maksuihin liittyvien laajavaikutteisten poikkeamien määrittämiseksi, joihin sovelletaan 19 artiklan 1 kohdassa säädettyä ilmoitusvelvollisuutta;

b)

kriteerit, joita toimivaltaisten viranomaisten on sovellettava arvioidessaan laajavaikutteisten TVT:hen liittyvien poikkeamien tai tapauksen mukaan toiminnan harjoittamiseen tai turvallisuuteen vaikuttavien maksuihin liittyvien laajavaikutteisten poikkeamien merkitystä muiden jäsenvaltioiden asianomaisten toimivaltaisten viranomaisten kannalta, ja niiden laajavaikutteisia TVT:hen liittyviä poikkeamia tai tapauksen mukaan toiminnan harjoittamiseen tai turvallisuuteen vaikuttavia maksuihin liittyviä laajavaikutteisia poikkeamia koskevien raporttien yksityiskohdat, jotka on jaettava muiden toimivaltaisten viranomaisten kanssa 19 artiklan 6 ja 7 kohdan nojalla;

c)

tämän artiklan 2 kohdassa vahvistetut kriteerit, mukaan lukien korkeat olennaisuusrajat merkittävien kyberuhkien määrittämiseksi.

4.   Kun Euroopan valvontaviranomaiset laativat tämän artiklan 3 kohdassa tarkoitettuja yhteisten teknisten sääntelystandardien luonnoksia, niiden on otettava huomioon 4 artiklan 2 kohdassa vahvistetut kriteerit sekä kansainväliset standardit, ohjaus ja ENISAn laatimat ja julkaisemat eritelmät, tarpeen vaatiessa myös muita talouden aloja koskevat eritelmät. Sovellettaessa 4 artiklan 2 kohdassa vahvistettuja kriteerejä Euroopan valvontaviranomaisten on otettava asianmukaisesti huomioon mikroyritysten sekä pienten ja keskisuurten yritysten tarve ottaa käyttöön riittävät resurssit ja valmiudet sen varmistamiseksi, että TVT:hen liittyviä poikkeamia hallitaan nopeasti.

Euroopan valvontaviranomaiset toimittavat kyseiset yhteisten teknisten sääntelystandardien luonnokset komissiolle viimeistään 17 päivänä tammikuuta 2024.

Siirretään komissiolle valta täydentää tätä asetusta hyväksymällä 3 kohdassa tarkoitetut tekniset sääntelystandardit asetusten (EU) N:o 1093/2010, (EU) N:o 1094/2010 ja (EU) N:o 1095/2010 10–14 artiklan mukaisesti.

19 artikla

Laajavaikutteisista TVT:hen liittyvistä poikkeamista raportointi ja vapaaehtoinen ilmoittaminen merkittävistä kyberuhkista

1.   Finanssiyhteisöjen on raportoitava laajavaikutteisista TVT:hen liittyvistä poikkeamista 46 artiklassa tarkoitetulle asianomaiselle toimivaltaiselle viranomaiselle tämän artiklan 4 kohdan mukaisesti.

Jos finanssiyhteisöä valvoo useampi kuin yksi 46 artiklassa tarkoitettu kansallinen toimivaltainen viranomainen, jäsenvaltioiden on nimettävä yksi toimivaltainen viranomainen asianomaiseksi toimivaltaiseksi viranomaiseksi, joka vastaa tässä artiklassa säädettyjen tehtävien ja velvollisuuksien suorittamisesta.

Luottolaitosten, jotka on luokiteltu merkittäviksi asetuksen (EU) N:o 1024/2013 6 artiklan 4 kohdan mukaisesti, on raportoitava laajavaikutteisista TVT:hen liittyvistä poikkeamista direktiivin 2013/36/EU 4 artiklan mukaisesti nimetylle asianomaiselle kansalliselle toimivaltaiselle viranomaiselle, jonka on välitettävä kyseinen raportti välittömästi EKP:lle.

Ensimmäistä alakohtaa sovellettaessa finanssiyhteisöjen on kaikkien asiaankuuluvien tietojen keräämisen ja analysoinnin jälkeen laadittava tämän artiklan 4 kohdassa tarkoitetut alustava ilmoitus ja raportit 20 artiklassa tarkoitettuja malleja käyttäen ja toimitettava ne toimivaltaiselle viranomaiselle. Jos tekninen mahdottomuus estää alustavan ilmoituksen toimittamisen mallia käyttäen, finanssiyhteisöjen on ilmoitettava siitä toimivaltaiselle viranomaiselle vaihtoehtoisin keinoin.

Jäljempänä 4 kohdassa tarkoitetuissa alustavassa ilmoituksessa ja raporteissa on esitettävä kaikki tiedot, jotka toimivaltainen viranomainen tarvitsee voidakseen määrittää laajavaikutteisen TVT:hen liittyvän poikkeaman merkityksen ja arvioida mahdollisia rajatylittäviä vaikutuksia.

Rajoittamatta ensimmäisen alakohdan mukaista raportointia, jonka finanssiyhteisö suorittaa asianomaiselle toimivaltaiselle viranomaiselle, jäsenvaltiot voivat lisäksi päättää, että joidenkin tai kaikkien finanssiyhteisöjen on myös toimitettava alustava ilmoitus ja kaikki tämän artiklan 4 kohdassa tarkoitetut raportit 20 artiklassa tarkoitettuja malleja käyttäen toimivaltaisille viranomaisille tai direktiivin (EU) 2022/2555 mukaisesti nimetyille tai perustetuille tietoturvaloukkauksiin reagoiville ja niitä tutkiville yksiköille, jäljempänä ’CSIRT-yksiköt’.

2.   Finanssiyhteisöt voivat vapaaehtoisesti ilmoittaa merkittävistä kyberuhkista asianomaiselle toimivaltaiselle viranomaiselle, jos ne pitävät uhkaa merkittävänä rahoitusjärjestelmän, palvelujen käyttäjien tai asiakkaiden kannalta. Asianomainen toimivaltainen viranomainen voi toimittaa tällaisia tietoja 6 kohdassa tarkoitetuille muille asianomaisille viranomaisille.

Luottolaitokset, jotka on luokiteltu merkittäviksi asetuksen (EU) N:o 1024/2013 6 artiklan 4 kohdan mukaisesti, voivat vapaaehtoisesti ilmoittaa merkittävistä kyberuhkista direktiivin 2013/36/EU 4 artiklan mukaisesti nimetylle asianomaiselle kansalliselle toimivaltaiselle viranomaiselle, jonka on välitettävä ilmoitus välittömästi EKP:lle.

Jäsenvaltiot voivat päättää, että ne finanssiyhteisöt, jotka ensimmäisen alakohdan mukaisesti suorittavat ilmoittamisen vapaaehtoisesti, voivat toimittaa kyseisen ilmoituksen myös direktiivin (EU) 2022/2555 mukaisesti nimetyille tai perustetuille CSIRT-yksiköille.

3.   Jos laajavaikutteinen TVT:hen liittyvä poikkeama ilmenee ja vaikuttaa asiakkaiden taloudellisiin etuihin, finanssiyhteisöjen on ilman aiheetonta viivytystä välittömästi tultuaan asiasta tietoisiksi ilmoitettava asiakkailleen laajavaikutteisesta TVT:hen liittyvästä poikkeamasta ja toimenpiteistä, joita on toteutettu tällaisen poikkeaman haitallisten vaikutusten lieventämiseksi.

Jos kyseessä on merkittävä kyberuhka, finanssiyhteisöjen on tarvittaessa ilmoitettava asiakkailleen, joihin asia mahdollisesti vaikuttaa, kaikista asianmukaisista suojatoimenpiteistä, joiden toteuttamista nämä voivat harkita.

4.   Finanssiyhteisöjen on 20 artiklan ensimmäisen kohdan a alakohdan ii alakohdan mukaisesti vahvistettavissa määräajoissa toimitettava asianomaiselle toimivaltaiselle viranomaiselle seuraavat:

a)

alustava ilmoitus;

b)

väliraportti a alakohdassa tarkoitetun alustavan ilmoituksen jälkeen heti, kun alkuperäisen poikkeaman tila on muuttunut merkittävästi tai laajavaikutteisen TVT:hen liittyvän poikkeaman käsittely on muuttunut saatavilla olevien uusien tietojen perusteella, ja tarvittaessa päivitetyt ilmoitukset aina kun asiaa koskeva tilannepäivitys on saatavilla, sekä toimivaltaisen viranomaisen sitä erikseen pyytäessä;

c)

loppuraportti, kun perimmäisten syiden analysointi on saatu päätökseen, riippumatta siitä, onko lieventäviä toimenpiteitä jo toteutettu, ja kun arvioiden sijasta voidaan esittää todellisia vaikutuksia koskevat luvut.

5.   Finanssiyhteisöt voivat ulkoistaa unionin ja kansallisen alakohtaisen lainsäädännön mukaisesti tämän artiklan mukaiset raportointivelvollisuudet palveluntarjoajana olevalle kolmannelle osapuolelle. Tällaisen ulkoistamisen tapauksessa finanssiyhteisö on edelleen täysin vastuussa poikkeamien raportointia koskevien vaatimusten täyttämisestä.

6.   Toimivaltaisen viranomaisen on 4 kohdassa tarkoitetun alustavan ilmoituksen ja kunkin raportin saatuaan hyvissä ajoin toimitettava laajavaikutteista TVT:hen liittyvää poikkeamaa koskevat yksityiskohtaiset tiedot seuraaville vastaanottajille soveltuvin osin näiden toimivallan perusteella:

a)

EPV:lle, ESMAlle tai EIOPAlle;

b)

EKP:lle, jos kyseessä ovat 2 artiklan 1 kohdan a, b ja d alakohdassa tarkoitetut finanssiyhteisöt;

c)

direktiivin (EU) 2022/2555 mukaisesti nimetyille tai perustetuille toimivaltaisille viranomaisille, keskitetyille yhteyspisteille tai CSIRT-yksiköille;

d)

direktiivin 2014/59/EU 3 artiklassa tarkoitetuille kriisinratkaisuviranomaisille sekä yhteiselle kriisinratkaisuneuvostolle Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 806/2014 (37) 7 artiklan 2 kohdassa tarkoitettujen yhteisöjen osalta ja asetuksen (EU) N:o 806/2014 7 artiklan 4 kohdan b alakohdassa ja 5 kohdassa tarkoitettujen yhteisöjen ja konsernien osalta, jos tällaiset tiedot koskevat poikkeamia, jotka aiheuttavat riskin direktiivin 2014/59/EU 2 artiklan 1 kohdan 35 alakohdassa tarkoitettujen kriittisten toimintojen varmistamiselle; ja

e)

muille kansallisen lainsäädännön mukaisille asianomaisille viranomaisille.

7.   Saatuaan tiedot 6 kohdan mukaisesti EPV, ESMA tai EIOPA ja EKP arvioivat ENISAa kuullen ja yhteistyössä asianomaisen toimivaltaisen viranomaisen kanssa, onko laajavaikutteinen TVT:hen liittyvä poikkeama merkityksellinen muiden jäsenvaltioiden toimivaltaisten viranomaisten kannalta. Kyseisen arvioinnin jälkeen EPV, ESMA tai EIOPA ilmoittavat asiasta mahdollisimman pian muiden jäsenvaltioiden asianomaisille toimivaltaisille viranomaisille. EKP ilmoittaa Euroopan keskuspankkijärjestelmän jäsenille maksujärjestelmien kannalta merkityksellisistä seikoista. Toimivaltaisten viranomaisten on kyseisen ilmoituksen perusteella toteutettava tapauksen mukaan kaikki tarvittavat toimenpiteet suojellakseen rahoitusjärjestelmän välitöntä vakautta.

8.   ESMAn tämän artiklan 7 kohdan nojalla tekemä ilmoitus ei rajoita toimivaltaisen viranomaisen velvollisuutta toimittaa kiireellisesti yksityiskohtaiset tiedot laajavaikutteisesta TVT:hen liittyvästä poikkeamasta vastaanottavan jäsenvaltion asianomaiselle viranomaiselle, kun arvopaperikeskuksella on merkittävää rajatylittävää toimintaa vastaanottavassa jäsenvaltiossa, laajavaikutteisesta TVT:hen liittyvästä poikkeamasta todennäköisesti aiheutuu vakavia seurauksia vastaanottavan jäsenvaltion finanssimarkkinoille ja kun toimivaltaisten viranomaisten keskuudessa on finanssiyhteisöjen valvontaan liittyviä yhteistyöjärjestelyjä.

20 artikla

Raportoinnin sisällön ja mallien yhdenmukaistaminen

Euroopan valvontaviranomaiset laativat yhteiskomiteassa ja ENISAa ja EKP:tä kuullen

a)

yhteisten teknisten sääntelystandardien luonnoksia, jotta voidaan

i)

määrittää laajavaikutteisia TVT:hen liittyviä poikkeamia koskevien raporttien sisältö, jotta voidaan ottaa huomioon 18 artiklan 1 kohdassa säädetyt kriteerit, ja sisällyttää muita tekijöitä, kuten yksityiskohtaiset tiedot muille jäsenvaltioille raportoinnin merkityksellisyyden määrittämiseksi ja se, onko kyseessä laajavaikutteinen toiminnan harjoittamiseen tai turvallisuuteen vaikuttava maksuihin liittyvä poikkeama vai ei;

ii)

vahvistaa 19 artiklan 4 kohdassa tarkoitettujen alustavan ilmoituksen ja kunkin raportin määräajat;

iii)

määrittää merkittäviä kyberuhkia koskevan ilmoituksen sisältö.

Laatiessaan kyseisiä luonnoksia teknisiksi sääntelystandardeiksi Euroopan valvontaviranomaisten on otettava huomioon finanssiyhteisön koko ja kokonaisriskiprofiili sekä sen palvelujen, toiminnan ja toimintojen luonne, laajuus ja monitahoisuus, ja erityisesti sen varmistamiseksi, että tämän kohdan a alakohdan ii alakohtaa sovellettaessa eri määräajoissa voidaan tarvittaessa ottaa huomioon rahoitusalojen erityispiirteet, sanotun kuitenkaan rajoittamatta johdonmukaisen lähestymistavan säilyttämistä tämän asetuksen ja direktiivin (EU) 2022/2555 mukaisen TVT:hen liittyviä poikkeamia koskevan raportoinnin osalta. Euroopan valvontaviranomaisten on tapauksen mukaan esitettävä perustelut, kun ne poikkeavat kyseisen direktiivin puitteissa noudatetuista lähestymistavoista;

b)

yhteisten teknisten täytäntöönpanostandardien luonnokset, jotta voidaan vahvistaa vakiomuotoiset lomakkeet, mallit ja menettelyt, joiden avulla finanssiyhteisöt raportoivat laajavaikutteisesta TVT:hen liittyvästä poikkeamasta ja ilmoittavat merkittävästä kyberuhkasta.

Euroopan valvontaviranomaisten on toimitettava ensimmäisen kohdan a alakohdassa tarkoitetut yhteisten teknisten sääntelystandardien luonnokset ja ensimmäisen kohdan b alakohdassa tarkoitetut yhteisten teknisten täytäntöönpanostandardien luonnokset komissiolle viimeistään 17 päivänä heinäkuuta 2024.

Siirretään komissiolle valta täydentää tätä asetusta hyväksymällä ensimmäisen kohdan a alakohdassa tarkoitetut yhteiset tekniset sääntelystandardit asetusten (EU) N:o 1093/2010, (EU) N:o 1094/2010 ja (EU) N:o 1095/2010 10–14 artiklan mukaisesti.

Siirretään komissiolle valta hyväksyä ensimmäisen kohdan b alakohdassa tarkoitetut yhteiset tekniset täytäntöönpanostandardit asetusten (EU) N:o 1093/2010, (EU) N:o 1094/2010 ja (EU) N:o 1095/2010 15 artiklan mukaisesti.

21 artikla

Laajavaikutteisia TVT:hen liittyviä poikkeamia koskevan raportoinnin keskittäminen

1.   Euroopan valvontaviranomaiset laativat yhteiskomiteassa ja EKP:tä ja ENISAa kuullen yhteisen raportin, jossa arvioidaan mahdollisuuksia keskittää poikkeamia koskevaa raportointia edelleen perustamalla yksi yhteinen EU:n keskus finanssiyhteisöjen suorittamaa laajavaikutteisia TVT:hen liittyviä poikkeamia koskevaa raportointia varten. Yhteisessä raportissa on tutkittava keinoja helpottaa TVT:hen liittyviä poikkeamia koskevaa jatkuvaa raportointia, vähentää siihen liittyviä kustannuksia ja tukea aihekohtaisia analyyseja valvontakäytäntöjen lähentymisen tehostamiseksi.

2.   Edellä 1 kohdassa tarkoitetussa yhteisessä raportissa on tarkasteltava ainakin seuraavia seikkoja:

a)

edellytykset yhden yhteisen EU:n keskuksen perustamiselle;

b)

hyödyt, rajoitukset ja riskit, mukaan lukien arkaluonteisten tietojen suureen keskittymään liittyvät riskit;

c)

tarvittava valmius varmistaa yhteentoimivuus suhteessa muihin asiaankuuluviin raportointijärjestelmiin;

d)

käytännön hallinnointiin liittyvät seikat;

e)

jäsenyyden ehdot;

f)

tekniset järjestelyt, joiden mukaisesti finanssiyhteisöillä ja kansallisilla toimivaltaisilla viranomaisilla olisi pääsy yhteen yhteiseen EU:n keskukseen;

g)

alustava arvio yhtä yhteistä EU:n keskusta tukevan operatiivisen alustan perustamiseen liittyvistä rahoituskustannuksista, tarvittava asiantuntemus mukaan lukien.

3.   Euroopan valvontaviranomaisten on toimitettava 1 kohdassa tarkoitettu raportti Euroopan parlamentille, neuvostolle ja komissiolle viimeistään 17 päivänä tammikuuta 2025.

22 artikla

Valvojan palaute

1.   Rajoittamatta CSIRT-yksiköiden direktiivin (EU) 2022/2555 nojalla tapauksen mukaan kansallisen lainsäädännön mukaisesti mahdollisesti toimittamaa teknistä asiantuntemusta, ohjeistusta tai korjaustoimenpiteitä sekä niihin perustuvia jatkotoimia toimivaltaisen viranomaisen on 19 artiklan 4 kohdassa tarkoitetut alustavan ilmoituksen ja kunkin raportin vastaanottaessaan annettava vahvistus vastaanottamisesta; lisäksi se voi mahdollisuuksien mukaan antaa hyvissä ajoin asiaankuuluvaa ja oikeasuhteista palautetta tai korkeatasoista ohjeistusta finanssiyhteisölle, erityisesti asettamalla saataville samankaltaisia uhkia koskevia asiaankuuluvia anonymisoituja tietoja ja tiedustelutietoja, ja se voi keskustella finanssiyhteisön tasolla sovellettavista korjaustoimenpiteistä ja keinoista minimoida kielteiset vaikutukset ja lieventää niitä koko finanssialalla. Finanssiyhteisöt ovat edelleen täysin vastuussa 19 artiklan 1 kohdan mukaisesti raportoitujen TVT:hen liittyvien poikkeamien käsittelystä ja seurauksista, sanotun kuitenkaan rajoittamatta vastaanotettua valvojan palautetta.

2.   Euroopan valvontaviranomaiset raportoivat anonymisoitujen ja yhdistettyjen tietojen pohjalta vuosittain yhteiskomiteassa laajavaikutteisista TVT:hen liittyvistä poikkeamista, joista toimivaltaiset viranomaiset antavat yksityiskohtaiset tiedot 19 artiklan 6 kohdan mukaisesti, ja esittävät ainakin laajavaikutteisten TVT:hen liittyvien poikkeamien lukumäärän, niiden luonteen ja vaikutuksen finanssiyhteisöjen tai asiakkaiden toimintoihin sekä toteutetut korjaustoimenpiteet ja aiheutuneet kustannukset.

Euroopan valvontaviranomaiset antavat varoituksia ja tuottavat laadukkaita tilastoja TVT-uhkia ja -haavoittuvuuksia koskevien arviointien tueksi.

23 artikla

Luottolaitoksia, maksulaitoksia, tilitietopalvelun tarjoajia ja sähköisen rahan liikkeeseenlaskijoita koskevat toiminnan harjoittamiseen tai turvallisuuteen vaikuttavat maksuihin liittyvät poikkeamat

Tässä luvussa säädettyjä vaatimuksia sovelletaan myös toiminnan harjoittamiseen tai turvallisuuteen vaikuttaviin maksuihin liittyviin poikkeamiin ja laajavaikutteisiin toiminnan harjoittamiseen tai turvallisuuteen vaikuttaviin maksuihin liittyviin poikkeamiin, kun ne koskevat luottolaitoksia, maksulaitoksia, tilitietopalvelun tarjoajia ja sähköisen rahan liikkeeseenlaskijoita.

IV LUKU

Digitaalisen häiriönsietokyvyn testaus

24 artikla

Digitaalisen häiriönsietokyvyn testausta koskevat yleiset vaatimukset

1.   Voidakseen arvioida varautumista TVT:hen liittyvien poikkeamien käsittelyyn ja yksilöidä digitaalisen häiriönsietokyvyn heikkouksia, puutteita ja aukkoja ja toteuttaa korjaavia toimenpiteitä nopeasti, muiden kuin mikroyrityksiä olevien finanssiyhteisöjen on 4 artiklan 2 kohdassa vahvistetut kriteerit huomioon ottaen laadittava vankka ja kattava digitaalisen häiriönsietokyvyn testausohjelma, joka on olennainen osa 6 artiklassa tarkoitettua TVT-riskinhallintajärjestelmää, pidettävä sitä yllä ja tarkistettava sitä.

2.   Digitaalisen häiriönsietokyvyn testausohjelman on sisällettävä erilaisia arviointeja, testejä, menetelmiä, käytäntöjä ja välineitä, joita sovelletaan 25 ja 26 artiklan mukaisesti.

3.   Tämän artiklan 1 kohdassa tarkoitettua digitaalisen häiriönsietokyvyn testausohjelmaa toteuttaessaan muiden kuin mikroyrityksiä olevien finanssiyhteisöjen on 4 artiklan 2 kohdassa vahvistetut kriteerit huomioon ottaen noudatettava riskiperusteista lähestymistapaa ottamalla asianmukaisesti huomioon muuttuva TVT-riski, asianomaiseen finanssiyhteisöön kohdistuvat tai mahdollisesti kohdistuvat erityiset riskit, tieto-omaisuuden ja tarjottujen palvelujen kriittisyys sekä kaikki muut tekijät, jotka finanssiyhteisö katsoo aiheellisiksi.

4.   Muiden kuin mikroyrityksiä olevien finanssiyhteisöjen on varmistettava, että testien suorittajat ovat riippumattomia, olivatpa ne sisäisiä tai ulkoisia osapuolia. Jos testit suorittaa sisäinen testaaja, finanssiyhteisöjen on osoitettava riittävästi resursseja ja varmistettava, että eturistiriidat vältetään testin suunnittelu- ja toteutusvaiheissa.

5.   Muiden kuin mikroyrityksiä olevien finanssiyhteisöjen on laadittava menettelyt ja toimintaperiaatteet, joiden avulla ne voivat asettaa tärkeysjärjestykseen, luokitella ja korjata kaikki testien aikana paljastuneet ongelmat, ja otettava käyttöön sisäiset validointimenetelmät sen varmistamiseksi, että kaikki havaitut heikkoudet, puutteet ja aukot korjataan kaikilta osin.

6.   Muiden kuin mikroyrityksiä olevien finanssiyhteisöjen on vähintään kerran vuodessa varmistettava, että kaikille kriittisiä tai tärkeitä toimintoja tukeville TVT-järjestelmille ja -sovelluksille tehdään asianmukaiset testit.

25 artikla

TVT-välineiden ja -järjestelmien testaus

1.   Edellä 24 artiklassa tarkoitetussa digitaalisen häiriönsietokyvyn testausohjelmassa on määrättävä 4 artiklan 2 kohdassa esitettyjen kriteerien mukaisesti aiheellisten testien, kuten haavoittuvuusarviointien ja -kartoitusten, avoimen lähdekoodin analyysien, verkkoturvallisuusarviointien, kuiluanalyysien, fyysisen turvallisuuden tarkastelujen, kyselylomakkeiden ja ohjelmistoratkaisujen kartoittamisen, lähdekoodin tarkastelujen siltä osin kuin mahdollista, skenaarioihin perustuvien testien, yhteensopivuustestauksen, suorituskykytestauksen, päästä päähän -testauksen ja tunkeutumistestauksen, toteuttamisesta.

2.   Arvopaperikeskusten ja keskusvastapuolten on suoritettava haavoittuvuusarviointeja ennen kuin ne ottavat käyttöön tai ottavat uudelleen käyttöön uusia tai olemassa olevia sovelluksia ja infrastruktuurikomponentteja sekä TVT-palveluja, jotka tukevat finanssiyhteisön kriittisiä tai tärkeitä toimintoja.

3.   Mikroyritysten on suoritettava 1 kohdassa tarkoitetut testit yhdistämällä riskiperusteinen lähestymistapa TVT-testauksen strategiseen suunnitteluun ja ottamalla asianmukaisesti huomioon tarve säilyttää tasapainoinen lähestymistapa yhtäältä resurssien laajuuden ja tässä artiklassa säädettyyn TVT-testaukseen osoitettavan ajan ja toisaalta kiireellisyyden, riskin tyypin, tieto-omaisuuden ja tarjottujen palvelujen kriittisyyden sekä muiden merkityksellisten tekijöiden, mukaan lukien finanssiyhteisön kyky ottaa laskelmoituja riskejä, välillä.

26 artikla

TVT-välineiden, -järjestelmien ja -prosessien kehittynyt testaus uhkaperusteisen tunkeutumistestauksen pohjalta

1.   Finanssiyhteisöjen, jotka ovat muita kuin 16 artiklan 1 kohdan ensimmäisessä alakohdassa tarkoitettuja yhteisöjä sekä muita kuin mikroyrityksiä ja jotka yksilöidään tämän artiklan 8 kohdan kolmannen alakohdan mukaisesti, on suoritettava vähintään kolmen vuoden välein kehittynyt testaus uhkaperusteisen tunkeutumistestauksen avulla. Toimivaltainen viranomainen voi tarvittaessa pyytää finanssiyhteisöä harventamaan tai tiuhentamaan tätä testausväliä finanssiyhteisön riskiprofiilin perusteella ja ottaen huomioon toimintaolosuhteet.

2.   Kunkin uhkaperusteisen tunkeutumistestin on katettava finanssiyhteisön useat tai kaikki kriittiset tai tärkeät toiminnot, ja se on toteutettava tällaisia toimintoja tukevilla toiminnassa olevilla tuotantojärjestelmillä.

Finanssiyhteisöjen on yksilöitävä kaikki kriittisiä tai tärkeitä toimintoja ja TVT-palveluja tukevat asiaankuuluvat TVT-järjestelmät, -prosessit ja -teknologiat, mukaan lukien ne, jotka tukevat kriittisiä tai tärkeitä toimintoja, jotka on ulkoistettu tai joista on tehty sopimus TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa.

Finanssiyhteisöjen on arvioitava, mitkä kriittiset tai tärkeät toiminnot on sisällytettävä uhkaperusteisen tunkeutumistestauksen piiriin. Tämän arvioinnin tulos määrittää uhkaperusteisen tunkeutumistestauksen tarkan soveltamisalan, ja toimivaltaiset viranomaiset vahvistavat sen.

3.   Jos uhkaperusteisen tunkeutumistestauksen soveltamisalaan kuuluu TVT-palveluntarjoajana olevia kolmansia osapuolia, finanssiyhteisön on toteutettava tarvittavat toimenpiteet ja suojatoimet varmistaakseen tällaisten TVT-palveluntarjoajina olevien kolmansien osapuolten osallistumisen uhkaperusteiseen tunkeutumistestaukseen ja se on koko ajan täysin vastuussa tämän asetuksen noudattamisen varmistamisesta.

4.   Rajoittamatta 2 kohdan ensimmäisen ja toisen alakohdan soveltamista kun voidaan kohtuudella odottaa, että 3 kohdassa tarkoitettu TVT-palveluntarjoajana olevan kolmannen osapuolen osallistuminen uhkaperusteiseen tunkeutumistestaukseen vaikuttaa kielteisesti niiden palvelujen laatuun tai turvallisuuteen, joita TVT-palveluntarjoajana oleva kolmas osapuoli tarjoaa asiakkaille, jotka ovat tämän asetuksen soveltamisalan ulkopuolisia yhteisöjä, taikka tällaisiin palveluihin liittyvien tietojen luottamuksellisuuteen, finanssiyhteisö ja TVT-palveluntarjoajana oleva kolmas osapuoli voivat sopia kirjallisesti, että TVT-palveluntarjoajana oleva kolmas osapuoli tekee suoraan sopimusjärjestelyjä ulkopuolisen testaajan kanssa yhdistetyn uhkaperusteisen tunkeutumistestauksen toteuttamiseksi yhden nimetyn finanssiyhteisön johdolla siten, että siihen osallistuu useita sellaisia finanssiyhteisöjä (yhdistetty testaus), joille TVT-palveluntarjoajana oleva kolmas osapuoli tarjoaa TVT-palveluja.

Kyseisen yhdistetyn testauksen on katettava asiaankuuluvat TVT-palvelut, jotka tukevat kriittisiä tai tärkeitä toimintoja, joista finanssiyhteisöt ovat tehneet sopimuksen kyseisen TVT-palveluntarjoajana olevan kolmannen osapuolen kanssa. Yhdistettyä testausta on pidettävä yhdistettyyn testaukseen osallistuvien finanssiyhteisöjen suorittamana uhkaperusteisena tunkeutumistestauksena.

Yhdistettyyn testaukseen osallistuvien finanssiyhteisöjen lukumäärä on kalibroitava asianmukaisesti ottaen huomioon asiaan liittyvien palvelujen monimutkaisuus ja tyypit.

5.   Finanssiyhteisöjen on sovellettava yhteistyössä TVT-palveluntarjoajina olevien kolmansien osapuolten ja muiden asiaan liittyvien osapuolten kanssa, mukaan lukien testaajat mutta lukuun ottamatta toimivaltaisia viranomaisia, vaikuttavia riskienhallinnan valvontamenetelmiä lieventääkseen mahdollisten dataan kohdistuvien vaikutusten, omaisuuserille koituvien vahinkojen ja kriittisten tai tärkeiden toimintojen, palvelujen tai toimintojen keskeytymisten riskejä finanssiyhteisössä itsessään, sen vastapuolissa tai finanssialalla.

6.   Testauksen lopuksi, kun raporteista ja korjaussuunnitelmista on sovittu, finanssiyhteisön ja tapauksen mukaan ulkopuolisten testaajien on toimitettava 9 tai 10 kohdan mukaisesti nimetylle viranomaiselle yhteenveto asiaankuuluvista havainnoista, korjaussuunnitelmat ja asiakirjat osoituksena siitä, että uhkaperusteinen tunkeutumistestaus on suoritettu vaatimusten mukaisesti.

7.   Viranomaisten on annettava finanssiyhteisöille todistus, jossa vahvistetaan, että testi on suoritettu asiakirjoissa osoitetun mukaisesti vaatimuksia noudattaen, jotta toimivaltaiset viranomaiset voivat vastavuoroisesti tunnustaa uhkaperusteiset tunkeutumistestit. Finanssiyhteisön on toimitettava todistus, yhteenveto asiaankuuluvista havainnoista ja korjaussuunnitelmat asianomaiselle toimivaltaiselle viranomaiselle.

Tällaisesta todistuksesta huolimatta finanssiyhteisöt ovat edelleen koko ajan täysin vastuussa 4 kohdassa tarkoitetuista testien vaikutuksista.

8.   Finanssiyhteisöjen on tehtävä testaajien kanssa sopimuksia 27 artiklan mukaisen uhkaperusteisen tunkeutumistestauksen toteuttamiseksi. Kun finanssiyhteisöt käyttävät sisäisiä testaajia uhkaperusteisen tunkeutumistestauksen toteuttamisessa, niiden on teetettävä joka kolmas testi ulkopuolisilla testaajilla.

Luottolaitokset, jotka on luokiteltu merkittäviksi asetuksen (EU) N:o 1024/2013 6 artiklan 4 kohdan mukaisesti, saavat käyttää ainoastaan 27 artiklan 1 kohdan a–e alakohdan mukaisia ulkopuolisia testaajia.

Toimivaltaisten viranomaisten on yksilöitävä finanssiyhteisöt, joilta vaaditaan 4 artiklan 2 kohdassa vahvistetut kriteerit huomioon ottaen uhkaperusteisen tunkeutumistestauksen tekemistä seuraavien seikkojen arvioinnin perusteella:

a)

vaikutuksiin liittyvät tekijät, erityisesti missä määrin finanssiyhteisön tarjoamat palvelut ja sen harjoittama toiminta vaikuttavat finanssialaan;

b)

mahdolliset rahoitusvakauteen liittyvät ongelmat, mukaan lukien tapauksen mukaan finanssiyhteisön systeeminen luonne unionin tai kansallisella tasolla;

c)

erityinen TVT-riskiprofiili, finanssiyhteisön TVT-valmiuksien taso tai siihen liittyvät tekniset ominaisuudet.

9.   Jäsenvaltiot voivat nimetä rahoitusalan yhden viranomaisen, joka vastaa rahoitusalalla uhkaperusteiseen tunkeutumistestaukseen kansallisella tasolla liittyvistä asioista, ja antaa sille kaikki tätä koskevat toimivaltuudet ja tehtävät.

10.   Jos tämän artiklan 9 kohdan mukaista nimeämistä ei ole tehty ja rajoittamatta valtuuksia yksilöidä finanssiyhteisöt, joiden on suoritettava uhkaperusteinen tunkeutumistestaus, toimivaltainen viranomainen voi siirtää joidenkin tai kaikkien tässä artiklassa ja 27 artiklassa tarkoitettujen tehtävien hoitamisen toiselle finanssialan kansalliselle viranomaiselle.

11.   Euroopan valvontaviranomaiset laativat yhdessä EKP:n kanssa yhteisten teknisten sääntelystandardien luonnoksia TIBER–EU-kehyksen mukaisesti tarkoituksena täsmentää tarkemmin:

a)

8 kohdan toisen alakohdan soveltamiseksi käytetyt kriteerit;

b)

sisäisten testaajien käyttöä koskevat vaatimukset ja standardit;

c)

vaatimukset, jotka koskevat

i)

edellä 2 kohdassa tarkoitetun uhkaperusteisen tunkeutumistestauksen soveltamisalaa;

ii)

testausmenetelmää ja lähestymistapaa, jota kussakin testausprosessin vaiheessa on noudatettava;

iii)

testauksen tuloksia, sen lopettamista ja korjaustoimenpiteiden vaiheita;

d)

valvontayhteistyö ja muu asianmukainen yhteistyö, joita uhkaperusteisen tunkeutumistestauksen toteuttamisessa ja kyseisen testauksen vastavuoroisen tunnustamisen helpottamiseksi tarvitaan finanssiyhteisöissä, jotka toimivat useammassa kuin yhdessä jäsenvaltiossa, jotta saavutetaan asianmukainen valvonnan taso ja joustava toteutus niin, että voidaan ottaa huomioon finanssialan alasektoreiden tai paikallisten finanssimarkkinoiden erityispiirteet.

Laatiessaan kyseisiä teknisten sääntelystandardien luonnoksia Euroopan valvontaviranomaiset ottavat asianmukaisesti huomioon eri rahoituspalvelusektoreilla harjoitettavan toiminnan erilaisesta luonteesta johtuvat erityispiirteet.

Euroopan valvontaviranomaiset toimittavat kyseiset teknisten sääntelystandardien luonnokset komissiolle viimeistään 17 päivänä heinäkuuta 2024.

Siirretään komissiolle valta täydentää tätä asetusta hyväksymällä ensimmäisessä alakohdassa tarkoitetut tekniset sääntelystandardit asetusten (EU) N:o 1093/2010, (EU) N:o 1094/2010 ja (EU) N:o 1095/2010 10–14 artiklan mukaisesti.

27 artikla

Testaajia uhkaperusteisen tunkeutumistestauksen suorittamisessa koskevat vaatimukset

1.   Finanssiyhteisöjen on käytettävä uhkaperusteisen tunkeutumistestauksen suorittamiseen vain testaajia,

a)

joiden soveltuvuus ja maine ovat erityisen korkeaa tasoa;

b)

joilla on tarvittavat tekniset ja organisatoriset valmiudet ja näyttöä siitä, että heillä on erityistä asiantuntemusta uhkatiedustelusta, tunkeutumistestauksesta ja hyökkäystestauksesta (red team);

c)

joilla on jonkin jäsenvaltion akkreditointielimen myöntämä sertifiointi tai jotka noudattavat virallisia käytännesääntöjä tai eettisiä sääntöjä;

d)

jotka esittävät riippumattoman tahon antaman varmistuksen tai auditointikertomuksen, jonka mukaan uhkaperusteisen tunkeutumistestauksen suorittamiseen liittyvien riskien hallinnointi on moitteetonta, mukaan lukien finanssiyhteisön luottamuksellisten tietojen asianmukainen suojaus ja oikeussuojakeinot finanssiyhteisön liiketoimintariskien osalta;

e)

joilla on asianmukainen ja kattava ammatillinen vastuuvakuutus, joka kattaa myös väärinkäytöksistä ja huolimattomuudesta johtuvat riskit.

2.   Jos käytetään sisäisiä testaajia, finanssiyhteisöjen on varmistettava, että 1 kohdan vaatimusten lisäksi noudatetaan seuraavia edellytyksiä:

a)

asianomainen toimivaltainen viranomainen tai 26 artiklan 9 ja 10 kohdan mukaisesti nimetty yksi viranomainen on hyväksynyt tällaisen käytön;

b)

asianomainen toimivaltainen viranomainen on todentanut finanssiyhteisön kohdennettujen resurssien riittävyyden ja varmistanut, että testin suunnittelu- ja toteutusvaiheissa vältytään eturistiriidoilta; ja

c)

uhkatiedustelutietojen tarjoaja on ulkopuolinen finanssiyhteisöön nähden.

3.   Finanssiyhteisöjen on varmistettava, että ulkopuolisten testaajien kanssa tehdyissä sopimuksissa edellytetään uhkaperusteisen tunkeutumistestauksen tulosten moitteetonta hallintaa ja että niihin liittyvien tietojen käsittely, mukaan lukien tulosten generointi, tallentaminen, koontaminen, luonnostelu, raportointi, välittäminen tai tuhoaminen, eivät aiheuta finanssiyhteisölle riskejä.

V LUKU

Kolmansiin osapuoliin liittyvän TVT-riskin hallinta

I jakso

Kolmansiin osapuoliin liittyvän TVT-riskin moitteetonta hallintaa koskevat keskeiset periaatteet

28 artikla

Yleiset periaatteet

1.   Finanssiyhteisöjen on hallinnoitava kolmansiin osapuoliin liittyvää TVT-riskiä erottamattomana osana TVT-riskiä 6 artiklan 1 kohdassa tarkoitetun TVT-riskinhallintajärjestelmänsä puitteissa ja seuraavien periaatteiden mukaisesti:

a)

finanssiyhteisöjen, jotka ovat tehneet sopimusjärjestelyjä TVT-palvelujen käytöstä liiketoimintojensa hoitamista varten, on aina oltava täysin vastuussa kaikkien tästä asetuksesta ja sovellettavasta finanssipalvelulainsäädännöstä johtuvien velvoitteiden noudattamisesta ja velvollisuuksien suorittamisesta;

b)

finanssiyhteisöjen kolmansiin osapuoliin liittyvän TVT-riskin hallinta on toteutettava suhteellisuusperiaatteen mukaisesti ottaen huomioon seuraavat:

i)

TVT:hen liittyvien riippuvuuksien luonne, laajuus, monitahoisuus ja tärkeys;

ii)

TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa TVT-palvelujen käytöstä tehtyihin sopimusjärjestelyihin liittyvät riskit, ottaen huomioon kyseisen palvelun, prosessin tai toiminnon kriittisyys tai tärkeys ja sen mahdollinen vaikutus finanssipalvelujen ja -toimintojen jatkuvuuteen ja käytettävyyteen sekä yksittäisten yhteisöjen että konsernien tasolla.

2.   Finanssiyhteisöjen, jotka ovat muita kuin 16 artiklan 1 kohdan ensimmäisessä alakohdassa tarkoitettuja yhteisöjä sekä muita kuin mikroyrityksiä, on osana TVT-riskinhallintajärjestelmäänsä hyväksyttävä kolmansiin osapuoliin liittyvää TVT-riskiä koskeva strategia ja tarkistettava sitä säännöllisesti, ottaen tapauksen mukaan huomioon 6 artiklan 9 kohdassa tarkoitettu usean toimittajan tarjoamien TVT-toimitusten strategia. Kolmansiin osapuoliin liittyvää TVT-riskiä koskevassa strategiassa on määriteltävä TVT-palveluntarjoajana olevien kolmansien osapuolten tarjoamien, kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen käyttöä koskevat toimintaperiaatteet, joita on sovellettava sekä yksittäisten yhteisöjen että tarvittaessa alakonsolidointiryhmien ja konsolidointiryhmien tasolla. Ylimmän hallintoelimen on finanssiyhteisön kokonaisriskiprofiilin sekä liike-elämän palvelujen laajuuden ja monitahoisuuden arvioinnin perusteella tarkasteltava säännöllisesti uudelleen havaittuja riskejä, jotka liittyvät kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen käyttöä koskeviin sopimusjärjestelyihin.

3.   Finanssiyhteisöjen on osana TVT-riskinhallintajärjestelmäänsä pidettävä yllä ja päivitettävä yhteisön tasolla sekä alakonsolidointiryhmien ja konsolidointiryhmien tasolla tietorekisteriä kaikista TVT-palveluntarjoajana olevien kolmansien osapuolten tarjoamien TVT-palvelujen käyttöä koskevista sopimusjärjestelyistä.

Ensimmäisessä alakohdassa tarkoitetut sopimusjärjestelyt on dokumentoitava asianmukaisesti siten, että toisistaan erotetaan järjestelyt, jotka kattavat kriittisiä tai tärkeitä toimintoja tukevat TVT-palvelut, ja ne, jotka eivät kata näitä.

Finanssiyhteisöjen on raportoitava toimivaltaisille viranomaisille vähintään vuosittain TVT-palvelujen käyttöä koskevien uusien järjestelyjen määrästä, TVT-palveluntarjoajana olevien kolmansien osapuolten ryhmistä, sopimusjärjestelyjen tyypistä ja tarjotuista TVT-palveluista ja toiminnoista.

Finanssiyhteisöjen on toimitettava toimivaltaiselle viranomaiselle sen pyynnöstä tietorekisteri kokonaisuudessaan tai pyynnön mukaan sen tietyt osat sekä kaikki finanssiyhteisön tehokasta valvontaa varten tarpeellisiksi katsotut tiedot.

Finanssiyhteisöjen on ilmoitettava toimivaltaiselle viranomaiselle hyvissä ajoin kaikista kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen käyttöä koskevista suunnitelluista sopimusjärjestelyistä sekä siitä, että jostakin toiminnosta on tullut kriittinen tai tärkeä.

4.   Ennen kuin finanssiyhteisöt tekevät TVT-palvelujen käyttöä koskevan sopimusjärjestelyn, niiden on

a)

arvioitava, kattaako sopimusjärjestely jotakin kriittistä tai tärkeää toimintoa tukevien TVT-palvelujen käytön;

b)

arvioitava, täyttyvätkö sopimuksentekoa koskevat valvontaedellytykset;

c)

määritettävä ja arvioitava kaikki sopimusjärjestelyyn liittyvät asiaankuuluvat riskit, mukaan lukien mahdollisuus, että tällainen sopimusjärjestely voi edistää 29 artiklassa tarkoitetun TVT-keskittymäriskin voimistumista;

d)

toteutettava mahdollisten TVT-palveluntarjoajana olevien kolmansien osapuolten suhteen kaikki asianmukaista huolellisuutta koskevat menettelyt ja varmistettava koko valinta- ja arviointiprosessin ajan, että TVT-palveluntarjoajana oleva kolmas osapuoli on sopiva;

e)

määritettävä ja arvioitava sopimusjärjestelystä mahdollisesti aiheutuvat eturistiriidat.

5.   Finanssiyhteisöt voivat tehdä sopimusjärjestelyjä vain sellaisten TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa, jotka noudattavat asianmukaisia tietoturvastandardeja. Kun kyseiset sopimusjärjestelyt koskevat kriittisiä tai tärkeitä toimintoja, finanssiyhteisöjen on ennen järjestelyjen tekemistä otettava asianmukaisesti huomioon se, miten TVT-palveluntarjoajana olevat kolmannet osapuolet käyttävät uusimpia ja korkealaatuisimpia tietoturvastandardeja.

6.   Kun finanssiyhteisöt käyttävät TVT-palveluntarjoajana olevan kolmannen osapuolen suhteen pääsy-, tarkastus- ja auditointioikeutta, niiden on riskiperusteisen lähestymistavan perusteella määritettävä ennalta auditointien ja tarkastusten tiheys samoin kuin auditoitavat alueet noudattaen yleisesti hyväksyttyjä auditointistandardeja tällaisten auditointistandardien käytöstä ja niiden noudattamisesta mahdollisesti annettujen valvontaohjeiden mukaisesti.

Jos TVT-palveluntarjoajana olevan kolmannen osapuolen kanssa tehdyt TVT-palvelujen käyttöä koskevat sopimusjärjestelyt ovat teknisesti hyvin monimutkaisia, finanssiyhteisön on varmistettava, että auditoijilla, joko sisäisillä tai ulkopuolisilla taikka auditointiryhmillä, on asianmukaiset taidot ja tiedot asiaankuuluvien auditointien ja arviointien tuloksellista suorittamista varten.

7.   Finanssiyhteisöjen on varmistettava, että TVT-palvelujen käyttöä koskevat sopimusjärjestelyt voidaan irtisanoa missä tahansa seuraavista olosuhteista:

a)

TVT-palveluntarjoajana oleva kolmas osapuoli rikkoo merkittävästi sovellettavia lakeja ja määräyksiä tai sopimusehtoja;

b)

kolmansiin osapuoliin liittyvän riskin valvonnan yhteydessä havaitaan seikkoja, joiden katsotaan voivan muuttaa sopimusjärjestelyn puitteissa tarjottujen toimintojen suorittamista, mukaan lukien olennaiset muutokset, jotka vaikuttavat järjestelyyn tai TVT-palveluntarjoajana olevan kolmannen osapuolen tilanteeseen;

c)

todennetut heikkoudet, jotka liittyvät TVT-palveluntarjoajana olevan kolmannen osapuolen yleiseen TVT-riskinhallintaan, ja erityisesti tavassa, jolla se varmistaa henkilötietojen tai muutoin arkaluonteisten tietojen taikka muiden kuin henkilötietojen saatavuuden, aitouden, eheyden ja luottamuksellisuuden;

d)

toimivaltainen viranomainen ei voi asianomaisen sopimusjärjestelyn ehtojen tai siihen liittyvien olosuhteiden seurauksena enää valvoa finanssiyhteisöä tehokkaasti.

8.   Kun kyseessä ovat kriittisiä tai tärkeitä toimintoja tukevat TVT-palvelut, finanssiyhteisöjen on otettava käyttöön irtautumisstrategiat. Irtautumisstrategioissa on otettava huomioon mahdolliset TVT-palveluntarjoajana olevien kolmansien osapuolten tasolla ilmenevät riskit, erityisesti niiden mahdollinen vikaantuminen, tarjottujen TVT-palvelujen laadun heikkeneminen, virheellisestä tai viallisesta TVT-palvelujen tarjonnasta johtuvat liiketoiminnan keskeytymiset tai kaikki olennaiset riskit, jotka aiheutuvat asianomaisen TVT-palvelun asianmukaisesta ja jatkuvasta käytöstä tai TVT-palveluntarjoajana olevan kolmannen osapuolen kanssa tehtyjen sopimusjärjestelyjen päättymisestä jossakin 7 kohdassa tarkoitetuista tilanteista.

Finanssiyhteisöjen on varmistettava, että ne voivat irtautua sopimusjärjestelyistä ilman, että

a)

niiden liiketoiminnot keskeytyvät;

b)

lakisääteisten vaatimusten noudattamista rajoitetaan;

c)

asiakkaille tarjottavien palvelujen jatkuvuus ja laatu kärsivät.

Irtautumissuunnitelmien on oltava kattavia, dokumentoituja, ja niiden on 4 artiklan 2 kohdassa vahvistettujen kriteerien mukaisesti oltava riittävästi testattuja ja säännöllisesti uudelleen tarkasteltuja.

Finanssiyhteisöjen on määritettävä vaihtoehtoisia ratkaisuja ja laadittava siirtymäsuunnitelmia, joiden avulla ne voivat poistaa sopimusten kattamat TVT-palvelut ja niihin liittyvän datan TVT-palveluntarjoajana olevilta kolmansilta osapuolilta ja siirtää ne turvallisesti ja kokonaisuudessaan vaihtoehtoisille palveluntarjoajille tai integroida ne uudelleen yhteisön sisällä.

Finanssiyhteisöillä on oltava käytössään asianmukaiset varotoimenpiteet liiketoiminnan jatkuvuuden ylläpitämiseksi ensimmäisessä alakohdassa tarkoitetuissa tilanteissa.

9.   Euroopan valvontaviranomaiset laativat yhteiskomiteassa luonnoksia teknisiksi täytäntöönpanostandardeiksi, joissa määritetään vakiomuotoiset mallit 3 kohdassa tarkoitettua tietorekisteriä varten, mukaan lukien yhteiset tiedot kaikille TVT-palvelujen käyttöä koskeville sopimusjärjestelyille. Euroopan valvontaviranomaiset toimittavat kyseisten teknisten täytäntöönpanostandardien luonnokset komissiolle viimeistään 17 päivänä tammikuuta 2024.

Siirretään komissiolle valta hyväksyä ensimmäisessä alakohdassa tarkoitetut tekniset täytäntöönpanostandardit asetusten (EU) N:o 1093/2010, (EU) N:o 1094/2010 ja (EU) N:o 1095/2010 15 artiklan mukaisesti.

10.   Euroopan valvontaviranomaiset laativat yhteiskomiteassa luonnoksia teknisiksi sääntelystandardeiksi, joissa täsmennetään 2 kohdassa tarkoitettujen toimintaperiaatteiden yksityiskohtainen sisältö TVT-palveluntarjoajana olevien kolmansien osapuolten tarjoamien, kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen käytöstä tehtyjen sopimusjärjestelyjen osalta.

Laatiessaan kyseisiä teknisten sääntelystandardien luonnoksia Euroopan valvontaviranomaisten on otettava huomioon finanssiyhteisön koko ja yleinen riskiprofiili sekä sen palvelujen, toiminnan ja toimintojen luonne, laajuus ja monitahoisuus. Euroopan valvontaviranomaiset toimittavat kyseisten teknisten sääntelystandardien luonnokset komissiolle viimeistään 17 päivänä tammikuuta 2024.

Siirretään komissiolle valta täydentää tätä asetusta hyväksymällä ensimmäisessä alakohdassa tarkoitetut tekniset sääntelystandardit asetusten (EU) N:o 1093/2010, (EU) N:o 1094/2010 ja (EU) N:o 1095/2010 10–14 artiklan mukaisesti.

29 artikla

TVT-keskittymäriskin alustava arviointi yhteisötasolla

1.   Kun finanssiyhteisöt suorittavat 28 artiklan 4 kohdan c alakohdassa tarkoitettua riskien määritystä ja arviointia, niiden on myös otettava huomioon, johtaisiko kriittisiä tai tärkeitä toimintoja tukevia TVT-palveluja koskevan sopimusjärjestelyn suunniteltu tekeminen johonkin seuraavista:

a)

sopimukseen vaikeasti korvattavissa olevan TVT-palveluntarjoajana olevan kolmannen osapuolen kanssa; tai

b)

useisiin kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen tarjoamista koskeviin sopimusjärjestelyihin yhden ja saman TVT-palveluntarjoajana olevan kolmannen osapuolen kanssa tai toisiinsa läheisesti yhteydessä olevien TVT-palveluntarjoajina olevien kolmansien osapuolten kanssa.

Finanssiyhteisöjen on punnittava vaihtoehtoisten ratkaisujen, kuten useampien eri TVT-palveluntarjoajina olevien kolmansien osapuolten käytön, hyötyjä ja kustannuksia ottaen huomioon, vastaavatko suunnitellut ratkaisut niiden liiketoiminnan tarpeita ja digitaalisen häiriönsietokyvyn strategiassa asetettuja tavoitteita.

2.   Jos kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen käyttöä koskeviin sopimusjärjestelyihin sisältyy mahdollisuus, että TVT-palveluntarjoajana oleva kolmas osapuoli edelleenulkoistaa kriittistä tai tärkeää toimintoa tukevia TVT-palveluja muille TVT-palveluntarjoajina oleville kolmansille osapuolille, finanssiyhteisöjen on punnittava etuja ja riskejä, joita tällaisesta edelleenulkoistamisesta voi aiheutua, erityisesti siinä tapauksessa, että on kyse kolmanteen maahan sijoittautuneesta TVT-alihankkijasta.

Jos sopimusjärjestelyt koskevat kriittisiä tai tärkeitä toimintoja tukevia TVT-palveluja, finanssiyhteisöjen on otettava asianmukaisesti huomioon maksukyvyttömyyslainsäädännön säännökset, joita sovelletaan, jos TVT-palveluntarjoajana oleva kolmas osapuoli ajautuu konkurssiin, sekä pakottavat tilanteet, joita voi syntyä finanssiyhteisön datan kiireelliseen pelastamiseen liittyen.

Jos kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen käyttöä koskevista sopimusjärjestelyistä sovitaan kolmanteen maahan sijoittautuneen TVT-palveluntarjoajana olevan kolmannen osapuolen kanssa, finanssiyhteisöjen on toisessa alakohdassa tarkoitettujen näkökohtien lisäksi otettava huomioon myös unionin tietosuojasääntöjen noudattaminen ja lainsäädännön tehokas täytäntöönpano kyseisessä kolmannessa maassa.

Jos kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen käyttöä koskevissa sopimusjärjestelyissä sallitaan edelleenulkoistaminen, finanssiyhteisöjen on arvioitava, voivatko mahdollisesti pitkät tai monimutkaiset edelleenulkoistusketjut vaikuttaa niiden kykyyn kaikilta osin seurata ulkoistettuja toimintoja ja toimivaltaisen viranomaisen kykyyn tosiasiallisesti valvoa finanssiyhteisöä tältä osin.

30 artikla

Keskeiset sopimusmääräykset

1.   Finanssiyhteisön ja TVT-palveluntarjoajana olevan kolmannen osapuolen oikeudet ja velvoitteet on jaettava selkeästi ja vahvistettava kirjallisesti. Koko sopimuksen on sisällettävä palvelutasosopimukset, ja se on dokumentoitava yhdessä kirjallisessa asiakirjassa, joka on osapuolten käytettävissä paperilla, tai muussa ladattavassa, kestävässä ja saatavilla olevassa muodossa.

2.   TVT-palvelujen käyttöä koskeviin sopimusjärjestelyihin on sisällytettävä ainakin seuraavat seikat:

a)

kaikkien TVT-palveluntarjoajana olevien kolmansien osapuolten tarjoamien toimintojen ja TVT-palvelujen selkeä ja kaikenkattava kuvaus, josta käy ilmi, onko kriittistä tai tärkeää toimintoa tai sen olennaisia osia tukevan TVT-palvelun edelleenulkoistaminen sallittua, ja jos on, tällaiseen edelleenulkoistamiseen sovellettavat ehdot;

b)

paikat, eli alueet tai maat, joissa ulkoistetut tai edelleenulkoistetut toiminnot ja TVT-palvelut on määrä tarjota ja joissa dataa on tarkoitus käsitellä, mukaan lukien datan säilytyspaikka, ja TVT-palveluntarjoajana olevalle kolmannelle osapuolelle asetettu vaatimus ilmoittaa ennakolta finanssiyhteisölle, jos se suunnittelee tällaisten paikkojen muuttamista;

c)

tietosuojaan, myös henkilötietojen suojaan, liittyvät saatavuutta, aitoutta, eheyttä ja luottamuksellisuutta koskevat määräykset;

d)

määräykset, jotka koskevat sen varmistamista, että finanssiyhteisön käsittelemiin henkilötietoihin ja muihin kuin henkilötietoihin on pääsy ja ne voidaan pelastaa ja saada takaisin helposti saatavilla olevassa muodossa siinä tapauksessa, että TVT-palvelujentarjoajana oleva kolmas osapuoli on maksukyvytön tai kriisinratkaisun kohteena tai se lopettaa liiketoimintansa tai siinä tapauksessa, että sopimusjärjestelyt irtisanotaan;

e)

palvelutason kuvaukset, mukaan lukien niiden päivitykset ja tarkistukset;

f)

TVT-palveluntarjoajana olevan kolmannen osapuolen velvollisuus antaa finanssiyhteisölle apua ilman lisäkustannuksia tai etukäteen määritetyin kustannuksin, kun ilmenee finanssiyhteisölle tarjottuun TVT-palveluun liittyvä TVT-poikkeama;

g)

TVT-palveluntarjoajana olevan kolmannen osapuolen velvollisuus tehdä täysimääräisesti yhteistyötä toimivaltaisten viranomaisten ja finanssiyhteisön kriisinratkaisuviranomaisten, myös näiden nimittämien henkilöiden, kanssa;

h)

irtisanomisoikeudet ja niihin liittyvät sopimusjärjestelyjen vähimmäisirtisanomisajat toimivaltaisten viranomaisten ja kriisinratkaisuviranomaisten odotuksia vastaavasti;

i)

edellytykset TVT-palveluntarjoajina olevien kolmansien osapuolten osallistumiselle finanssiyhteisöjen TVT-turvallisuutta koskeviin valistusohjelmiin ja digitaalista häiriönsietokykyä käsittelevään koulutukseen 13 artiklan 6 kohdan mukaisesti.

3.   Kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen käyttöä koskeviin sopimusjärjestelyihin on sisällyttävä 2 kohdassa tarkoitettujen seikkojen lisäksi ainakin seuraavat:

a)

kattavat palvelutason kuvaukset, mukaan lukien niiden päivitykset ja tarkistukset, sekä täsmälliset määrälliset ja laadulliset suoritustavoitteet sovittujen palvelutasojen sisällä, jotta finanssiyhteisö voi tosiasiallisesti seurata TVT-palveluja ja jotta voidaan ilman aiheetonta viivytystä toteuttaa asianmukaisia korjaustoimia, kun sovittuja palvelutasoja ei saavuteta;

b)

TVT-palveluntarjoajana olevan kolmannen osapuolen irtisanomisajat ja raportointivelvoitteet suhteessa finanssiyhteisöön, mukaan lukien ilmoittaminen kaikesta sellaisesta kehityksestä, jolla saattaa olla olennainen vaikutus TVT-palveluntarjoajana olevan kolmannen osapuolen kykyyn tosiasiallisesti tarjota kriittisiä tai tärkeitä toimintoja tukevia TVT-palveluja sovittujen palvelutasojen mukaisesti;

c)

TVT-palveluntarjoajana olevalle kolmannelle osapuolelle asetetut vaatimukset toteuttaa ja testata liiketoiminnan jatkuvuussuunnitelmia ja ottaa käyttöön TVT:hen liittyviä turvallisuustoimenpiteitä, -välineitä ja -periaatteita, joilla varmistetaan riittävän tasoinen turvallisuus kun finanssiyhteisö tarjoaa palveluja sääntelykehyksensä mukaisesti;

d)

TVT-palveluntarjoajana olevan kolmannen osapuolen velvollisuus osallistua 26 ja 27 artiklassa tarkoitettuun finanssiyhteisön uhkaperusteiseen tunkeutumistestaukseen ja tehdä sen yhteydessä täysimääräistä yhteistyötä;

e)

oikeus seurata jatkuvasti TVT-palveluntarjoajana olevan kolmannen osapuolen suoriutumista, mihin kuuluu

i)

finanssiyhteisön tai jonkin nimetyn kolmannen osapuolen ja toimivaltaisen viranomaisen rajoittamaton oikeus tutustua asiaankuuluvaan dokumentaation ja tutkia ja auditoida sitä sekä oikeus ottaa siitä jäljennöksiä paikalla, jos ne ovat kriittisiä TVT-palveluntarjoajana olevan kolmannen osapuolen toiminnan kannalta, ilman, että muut sopimusjärjestelyt tai toteutusperiaatteet estävät tai rajoittavat tämän oikeuden tosiasiallista käyttöä;

ii)

oikeus sopia vaihtoehtoisista varmuustasoista, jos muiden asiakkaiden oikeuksiin kohdistuu vaikutuksia;

iii)

TVT-palveluntarjoajana olevan kolmannen osapuolen velvollisuus tehdä täysimääräistä yhteistyötä toimivaltaisten viranomaisten, päävalvojan, finanssiyhteisön tai nimetyn kolmannen osapuolen paikalla tekemien tarkastusten ja auditointien aikana; ja

iv)

velvollisuus antaa yksityiskohtaiset tiedot tällaisten tarkastusten ja auditointien laajuudesta, niissä noudatettavista menettelyistä ja niiden tiheydestä;

f)

irtautumisstrategiat, erityisesti riittävän pitkä pakollinen siirtymäkausi

i)

jonka aikana TVT-palveluntarjoajana oleva kolmas osapuoli jatkaa asianomaisten toimintojen tai TVT-palvelujen tarjoamista finanssiyhteisön häiriöriskin pienentämiseksi tai tilanteen tehokkaan ratkaisemisen tai uudelleenjärjestämisen varmistamiseksi;

ii)

joka antaa finanssiyhteisölle mahdollisuuden siirtyä toiseen TVT-palveluntarjoajana olevaan kolmanteen osapuoleen tai vaihtaa sisäisiin ratkaisuihin tarjotun palvelun monitahoisuutta vastaavasti.

Poiketen siitä, mitä e alakohdassa säädetään, TVT-palveluntarjoajana oleva kolmas osapuoli ja finanssiyhteisö, joka on mikroyritys, voivat sopia, että finanssiyhteisön pääsy-, tarkastus- ja auditointioikeudet voidaan siirtää riippumattomalle kolmannelle osapuolelle, jonka TVT-palveluntarjoajana oleva kolmas osapuoli nimittää, ja että finanssiyhteisö voi milloin tahansa pyytää kolmannelta osapuolelta tietoja ja vakuutuksen TVT-palveluntarjoajana olevan kolmannen osapuolen suoriutumisesta.

4.   Sopimusjärjestelyistä neuvotellessaan finanssiyhteisöjen ja TVT-palveluntarjoajina toimivien kolmansien osapuolien on harkittava viranomaisten yksittäisiä palveluja varten laatimien mallisopimuslausekkeiden käyttöä.

5.   Euroopan valvontaviranomaiset laativat yhteiskomiteassa luonnoksia teknisiksi sääntelystandardeiksi, joissa täsmennetään tarkemmin 2 kohdan a alakohdassa tarkoitetut seikat, jotka finanssiyhteisön on määritettävä ja arvioitava, kun kriittisiä tai tärkeitä toimintoja tukevia TVT-palveluja edelleenulkoistetaan.

Laatiessaan kyseisiä luonnoksia teknisiksi sääntelystandardeiksi Euroopan valvontaviranomaisten on otettava huomioon finanssiyhteisön koko ja yleinen riskiprofiili sekä sen palvelujen, toiminnan ja toimintojen luonne, laajuus ja monitahoisuus.

Euroopan valvontaviranomaiset toimittavat kyseiset teknisten sääntelystandardien luonnokset komissiolle viimeistään 17 päivänä heinäkuuta 2024.

Siirretään komissiolle valta täydentää tätä asetusta hyväksymällä ensimmäisessä alakohdassa tarkoitetut tekniset sääntelystandardit asetusten (EU) N:o 1093/2010, (EU) N:o 1094/2010 ja (EU) N:o 1095/2010 10–14 artiklan mukaisesti.

II jakso

Kriittisten TVT-palveluntarjoajina olevien kolmansien osapuolten valvontakehys

31 artikla

Kriittisten TVT-palveluntarjoajina olevien kolmansien osapuolten nimeäminen

1.   Yhteiskomitean välityksellä ja 32 artiklan 1 kohdan nojalla perustetun valvontafoorumin suosituksesta Euroopan valvontaviranomaiset

a)

nimeävät finanssiyhteisöjen kannalta kriittiset TVT-palveluntarjoajina olevat kolmannet osapuolet 2 kohdassa täsmennetyt kriteerit huomioon ottavan arvioinnin perusteella;

b)

nimittävät kullekin kriittiselle TVT-palveluntarjoajana olevalle kolmannelle osapuolelle päävalvojaksi Euroopan valvontaviranomaisen, joka on asetusten (EU) N:o 1093/2010, (EU) N:o 1094/2010 tai (EU) N:o 1095/2010 mukaisesti vastuussa finanssiyhteisöistä, joilla on yhdessä suurin kokonaisvarojen osuus kaikkien asianomaisen kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen palveluja käyttävien finanssiyhteisöjen yhteenlaskettujen varojen kokonaisarvosta kyseisten finanssiyhteisöjen erillisten taseiden summan perusteella.

2.   Edellä 1 kohdan a alakohdassa tarkoitettu nimeäminen perustuu kaikkiin seuraaviin, TVT-palveluntarjoajana olevan kolmannen osapuolen tarjoamia TVT-palveluja koskeviin kriteereihin:

a)

järjestelmävaikutus finanssipalvelujen tarjoamisen vakauteen, jatkuvuuteen tai laatuun siinä tapauksessa, että asianomainen TVT-palveluntarjoajana oleva kolmas osapuoli epäonnistuisi laajamittaisesti palvelujensa tarjoamisessa, kun otetaan huomioon niiden finanssiyhteisöjen lukumäärä ja niiden finanssiyhteisöjen varojen kokonaisarvo, joille asianomainen TVT-palveluntarjoajana oleva kolmas osapuoli tarjoaa palveluja;

b)

niiden finanssiyhteisöjen systeeminen luonne tai merkitys, jotka tukeutuvat asianomaisen TVT-palveluntarjoajana olevan kolmannen osapuolen palveluihin, seuraavilla parametreilla arvioituna:

i)

niiden maailmanlaajuisten järjestelmän kannalta merkittävien laitosten (G-SII-laitokset) tai muiden järjestelmän kannalta merkittävien laitosten (O-SII-laitokset) lukumäärä, jotka tukeutuvat asianomaiseen TVT-palveluntarjoajana olevaan kolmanteen osapuoleen;

ii)

edellä i alakohdassa tarkoitettujen G-SII-laitosten tai O-SII-laitosten ja muiden finanssiyhteisöjen keskinäinen riippuvuus, mukaan lukien tilanteet, joissa G-SII-laitokset tai O-SII-laitokset tarjoavat finanssi-infrastruktuuripalveluja muille finanssiyhteisöille;

c)

finanssiyhteisöjen tukeutuminen asianomaisen TVT-palveluntarjoajana olevan kolmannen osapuolen tarjoamiin palveluihin sellaisten finanssiyhteisöjen kriittisten tai tärkeiden toimintojen osalta, joissa viime kädessä on mukana sama TVT-palveluntarjoajana oleva kolmas osapuoli, riippumatta siitä, tukeutuvatko finanssiyhteisöt kyseisiin palveluihin suoraan tai välillisesti, ulkoistusjärjestelyjen välityksellä;

d)

TVT-palveluntarjoajana olevan kolmannen osapuolen korvattavuus ottaen huomioon seuraavat parametrit:

i)

todellisten tai edes osittaisten vaihtoehtojen puute, joka johtuu yksittäisillä markkinoilla toimivien TVT-palveluntarjoajina olevien kolmansien osapuolten vähäisestä määrästä, asianomaisen TVT-palveluntarjoajana olevan kolmannen osapuolen markkinaosuudesta, asiaan liittyvästä teknisestä monimutkaisuudesta tai kehittyneisyydestä, myös suhteessa valmistajakohtaiseen teknologiaan, tai TVT-palveluntarjoajana olevan kolmannen osapuolen organisaation tai toiminnan erityispiirteistä;

ii)

vaikeudet, joita asianomaisen datan ja työn siirtäminen asianomaiselta TVT-palveluntarjoajana olevalta kolmannelta osapuolelta osittain tai kokonaan toiselle TVT-palveluntarjoajana olevalle kolmannelle osapuolelle aiheuttaa siirtoprosessiin liittyvien merkittävien taloudellisten kustannusten, ajan tai muiden resurssien vuoksi, tai lisääntyneen TVT-riskin tai muiden sellaisten operatiivisten riskien vuoksi, joille finanssiyhteisö voi altistua tällaisessa siirrossa.

3.   Jos TVT-palveluntarjoajana oleva kolmas osapuoli kuuluu johonkin konserniin, 2 kohdassa tarkoitetut kriteerit on otettava huomioon koko konsernin tarjoamien TVT-palvelujen yhteydessä.

4.   Konserniin kuuluvien kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten on nimettävä koordinointipisteeksi yksi oikeushenkilö, jotta varmistetaan riittävä edustus ja helpotetaan viestintää päävalvojan kanssa.

5.   Päävalvojan on ilmoitettava TVT-palveluntarjoajana olevalle kolmannelle osapuolelle 1 kohdan a alakohdassa tarkoitettuun nimeämiseen johtavan arvioinnin tuloksesta. TVT-palveluntarjoajana oleva kolmas osapuoli voi kuuden viikon kuluessa ilmoituspäivästä toimittaa päävalvojalle perustellun lausunnon, joka sisältää kaikki merkitykselliset tiedot arviointia varten. Päävalvojan on tarkasteltava perusteltua lausuntoa, ja se voi pyytää lisätietoja, jotka on toimitettava 30 kalenteripäivän kuluessa tällaisen lausunnon vastaanottamisesta.

Nimettyään jonkin TVT-palveluntarjoajana olevan kolmannen osapuolen kriittiseksi Euroopan valvontaviranomaiset antavat yhteiskomitean välityksellä kyseiselle TVT-palveluntarjoajana olevalle kolmannelle osapuolelle tiedon kyseisestä nimeämisestä ja ilmoittavat päivän, josta alkaen siihen tosiasiallisesti sovelletaan valvontatoimia. Kyseinen alkamispäivä voi olla enintään yhden kuukauden kuluttua ilmoituksesta. TVT-palveluntarjoajana olevan kolmannen osapuolen on ilmoitettava kriittiseksi nimeämisestään finanssiyhteisöille, joille ne tarjoavat palveluja.

6.   Siirretään komissiolle valta antaa viimeistään 17 päivänä heinäkuuta 2024 57 artiklan mukaisesti delegoitu säädös, jolla täydennetään tätä asetusta täsmentämällä tarkemmin tämän artiklan 2 kohdassa tarkoitetut perusteet.

7.   Edellä 1 kohdan a alakohdassa tarkoitettua nimeämistä ei käytetä ennen kuin komissio on antanut delegoidun säädöksen 6 kohdan mukaisesti.

8.   Edellä 1 kohdan a alakohdassa tarkoitettua nimeämistä ei sovelleta seuraaviin:

i)

finanssiyhteisöt, jotka tarjoavat TVT-palveluja muille finanssiyhteisöille;

ii)

TVT-palveluntarjoajana olevat kolmannet osapuolet, joihin sovelletaan Euroopan unionin toiminnasta tehdyn sopimuksen 127 artiklan 2 kohdassa tarkoitettujen tehtävien tukemiseksi perustettuja valvontakehyksiä;

iii)

konsernin sisäiset TVT-palveluntarjoajat;

iv)

TVT-palveluntarjoajana olevat kolmannet osapuolet, jotka tarjoavat TVT-palveluja yksinomaan yhdessä jäsenvaltiossa finanssiyhteisöille, jotka toimivat ainoastaan kyseisessä jäsenvaltiossa.

9.   Euroopan valvontaviranomaisten on yhteiskomitean välityksellä laadittava, julkaistava ja päivitettävä vuosittain luettelo unionin tason kriittisistä TVT-palveluntarjoajina olevista kolmansista osapuolista.

10.   Sovellettaessa 1 kohdan a alakohtaa toimivaltaisten viranomaisten on toimitettava 28 artiklan 3 kohdan kolmannessa alakohdassa tarkoitetut kertomukset 32 artiklan nojalla perustetulle valvontafoorumille vuosittain kootusti. Valvontafoorumi arvioi toimivaltaisilta viranomaisilta saatujen tietojen perusteella finanssiyhteisöjen riippuvuutta TVT-palveluntarjoajina olevista kolmansista osapuolista.

11.   TVT-palveluntarjoajina olevat kolmannet osapuolet, joita ei ole sisällytetty 9 kohdassa tarkoitettuun luetteloon, voivat pyytää, että ne nimetään 1 kohdan a alakohdan mukaisesti kriittisiksi.

TVT-palveluntarjoajana olevan kolmannen osapuolen on ensimmäistä alakohtaa sovellettaessa toimitettava perusteltu hakemus EPV:lle, ESMAlle tai EIOPAlle, joka päättää yhteiskomitean välityksellä, nimetäänkö kyseinen TVT-palveluntarjoajana oleva kolmas osapuoli 1 kohdan a alakohdan mukaisesti kriittiseksi.

Toisessa alakohdassa tarkoitettu päätös tehdään ja annetaan tiedoksi TVT-palveluntarjoajana olevalle kolmannelle osapuolelle kuuden kuukauden kuluessa hakemuksen vastaanottamisesta.

12.   Finanssiyhteisöt saavat käyttää kolmanteen maahan sijoittautuneen ja 1 kohdan a alakohdan mukaisesti kriittiseksi nimetyn TVT-palveluntarjoajana olevan kolmannen osapuolen palveluja ainoastaan, jos viimeksi mainittu on perustanut unioniin tytäryhtiön 12 kuukauden kuluessa nimeämisestä.

13.   Edellä 12 kohdassa tarkoitetun kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen on ilmoitettava päävalvojalle kaikista muutoksista unioniin perustetun tytäryhtiön johdon rakenteessa.

32 artikla

Valvontakehyksen rakenne

1.   Yhteiskomitea perustaa asetusten (EU) N:o 1093/2010, (EU) N:o 1094/2010 ja (EU) N:o 1095/2010 57 artiklan 1 kohdan nojalla alakomiteakseen valvontafoorumin, joka tukee yhteiskomitean ja 31 artiklan 1 kohdan b alakohdassa tarkoitetun päävalvojan työtä kolmansiin osapuoliin liittyvän TVT-riskin alalla finanssialan eri sektoreilla. Valvontafoorumi valmistelee luonnokset yhteiskomitean yhteisiksi kannoiksi ja yhteisiksi säädöksiksi kyseisellä osa-alueella.

Valvontafoorumi keskustelee säännöllisesti TVT-riskin ja -haavoittuvuuksien kehityksestä ja edistää johdonmukaista lähestymistapaa kolmansiin osapuoliin liittyvän TVT-riskin seurannassa unionin tasolla.

2.   Valvontafoorumi tekee vuosittain kollektiivisen arvioinnin kaikkien kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten osalta toteutettujen valvontatoimien tuloksista ja havainnoista ja edistää koordinointitoimenpiteitä finanssiyhteisöjen digitaalisen häiriönsietokyvyn parantamiseksi ja parhaita käytäntöjä TVT-keskittymäriskin käsittelemiseksi sekä tutkii tekijöitä, joilla voidaan hillitä riskien siirtymistä sektorilta toiseen.

3.   Valvontafoorumi toimittaa kriittisiä TVT-palveluntarjoajana olevia kolmansia osapuolia koskevia kattavia vertailuarvoja yhteiskomitealle, joka hyväksyy ne Euroopan valvontaviranomaisten yhteisinä kantoina asetusten (EU) N:o 1093/2010, (EU) N:o 1094/2010 ja (EU) N:o 1095/2010 56 artiklan 1 kohdan nojalla.

4.   Valvontafoorumi muodostuu seuraavista:

a)

Euroopan valvontaviranomaisten puheenjohtajat;

b)

yksi korkean tason edustaja 46 artiklassa tarkoitetusta kunkin jäsenvaltion asianomaisen toimivaltaisen viranomaisen kulloisestakin henkilöstöstä;

c)

kunkin Euroopan valvontaviranomaisen toimitusjohtaja ja yksi edustaja komissiosta, EJRK:stä, EKP:stä ja ENISAsta tarkkailijoina;

d)

tarvittaessa yksi 46 artiklassa tarkoitetun toimivaltaisen viranomaisen lisäedustaja kustakin jäsenvaltiosta tarkkailijana;

e)

tapauksen mukaan tarkkailijana yksi sellaisten direktiivin (EU) 2022/2555 mukaisesti nimettyjen tai perustettujen toimivaltaisten viranomaisten edustaja, jotka ovat vastuussa kriittiseksi TVT-palveluntarjoajana olevaksi kolmanneksi osapuoleksi nimetyn keskeisen tai tärkeän toimijan, johon sovelletaan kyseistä direktiiviä, valvonnasta.

Valvontafoorumi voi tarvittaessa pyytää neuvoa 6 kohdan mukaisesti nimitetyiltä riippumattomilta asiantuntijoilta.

5.   Kunkin jäsenvaltion on nimettävä asianomainen toimivaltainen viranomainen, jonka henkilöstön jäsen on 4 kohdan ensimmäisen alakohdan b alakohdassa tarkoitettu korkean tason edustaja, ja sen on ilmoitettava asiasta päävalvojalle.

Euroopan valvontaviranomaiset julkaisevat verkkosivustollaan luettelon jäsenvaltioiden nimeämistä asianomaisen toimivaltaisen viranomaisen nykyiseen henkilöstöön kuuluvista korkean tason edustajista.

6.   Valvontafoorumi nimittää 4 kohdan toisessa alakohdassa tarkoitetut riippumattomat asiantuntijat asiantuntijaryhmästä, joka on valittu julkista ja avointa hakumenettelyä noudattaen.

Riippumattomat asiantuntijat nimitetään heidän rahoitusvakautta, digitaalista häiriönsietokykyä ja tieto- ja viestintätekniikan turvallisuuskysymyksiä koskevan asiantuntemuksensa perusteella. Heidän on toimittava riippumattomasti, puolueettomasti ja yksinomaan koko unionin edun mukaisesti pyytämättä tai ottamatta vastaan ohjeita unionin toimielimiltä tai elimiltä, minkään jäsenvaltion hallitukselta tai muulta julkiselta tai yksityiseltä elimeltä.

7.   Tämän jakson soveltamiseksi Euroopan valvontaviranomaiset antavat asetusten (EU) N:o 1093/2010, (EU) N:o 1094/2010 ja (EU) N:o 1095/2010 16 artiklan mukaisesti viimeistään 17 päivänä heinäkuuta 2024 Euroopan valvontaviranomaisten ja toimivaltaisten viranomaisten välistä yhteistyötä koskevia ohjeita, jotka kattavat yksityiskohtaiset menettelyt ja edellytykset tehtävien jakamiseksi toimivaltaisten viranomaisten ja Euroopan valvontaviranomaisten välillä ja kyseisten tehtävien suorittamiseksi sekä yksityiskohtaiset tiedot tietojenvaihdosta, jota tarvitaan toimivaltaisten viranomaisten välillä, jotta voidaan varmistaa kriittisille TVT-palveluntarjoajana oleville kolmansille osapuolille 35 artiklan 1 kohdan d alakohdan mukaisesti osoitettujen suositusten jatkotoimet.

8.   Tässä jaksossa vahvistetut vaatimukset eivät rajoita direktiivin (EU) 2022/2555 ja pilvipalvelujen tarjoajien valvontaa koskevien unionin muiden sääntöjen soveltamista.

9.   Euroopan valvontaviranomaiset toimittavat yhteiskomitean välityksellä ja valvontafoorumin tekemän valmistelutyön pohjalta vuosittain Euroopan parlamentille, neuvostolle ja komissiolle kertomuksen tämän jakson soveltamisesta.

33 artikla

Päävalvojan tehtävät

1.   Edellä olevan 31 artiklan 1 kohdan b alakohdan mukaisesti nimitetty päävalvoja valvoo nimettyjä kriittisiä TVT-palveluntarjoajana olevia kolmansia osapuolia ja on kyseisten kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten ensisijainen yhteyspiste kaikissa valvontaan liittyvissä asioissa.

2.   Edellä olevan 1 kohdan soveltamiseksi päävalvoja arvioi, onko kullakin kriittisellä TVT-palveluntarjoajana olevalla kolmannella osapuolella kattavat, luotettavat ja toimivat säännöt, menettelyt, mekanismit ja järjestelyt, joilla hallita TVT-riskiä, jonka se voi finanssiyhteisöille aiheuttaa.

Ensimmäisessä alakohdassa tarkoitetussa arvioinnissa on keskityttävä pääasiassa kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen tarjoamiin, finanssiyhteisöjen kriittisiä tai tärkeitä toimintoja tukeviin TVT-palveluihin. Kaikkien merkityksellisten riskien käsittelemiseksi kyseinen arviointi on tarvittaessa laajennettava muita kuin kriittisiä tai tärkeitä toimintoja tukeviin TVT-palveluihin.

3.   Edellä 2 kohdassa tarkoitettu arviointi kattaa

a)

TVT-vaatimukset, joilla varmistetaan erityisesti kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen finanssiyhteisöille tarjoamien palvelujen turvallisuus, käytettävyys, jatkuvuus, skaalattavuus ja laatu sekä kyky pitää datan saatavuus, aitous, eheys ja luottamuksellisuus jatkuvasti korkealla tasolla;

b)

fyysinen turvallisuus, joka edistää TVT-turvallisuuden varmistamista, mukaan lukien tilojen, laitteiden ja datakeskusten turvallisuus;

c)

riskinhallintaprosessit, mukaan lukien TVT-riskinhallinnan toimintaperiaatteet, TVT-toiminnan jatkuvuussuunnitelmat ja TVT-reagointi- ja -toipumissuunnitelmat;

d)

hallintojärjestelyt, mukaan lukien organisaatiorakenne, jossa on selkeät, läpinäkyvät ja johdonmukaiset vastuusuhteet ja vastuuvelvollisuutta koskevat säännöt, jotka mahdollistavat toimivan TVT-riskinhallinnan;

e)

TVT:hen liittyvien olennaisten poikkeamien tunnistaminen, seuranta ja nopea raportointi finanssiyhteisöille sekä kyseisten poikkeamien, erityisesti kyberhyökkäysten, hallinta ja ratkaiseminen;

f)

datan siirrettävyyteen, sovellusten siirrettävyyteen ja yhteentoimivuuteen liittyvät mekanismit, joilla varmistetaan, että finanssiyhteisöt voivat tosiasiallisesti käyttää oikeuttaan sopimuksen purkamiseen;

g)

TVT-järjestelmien, -infrastruktuurin ja -valvonnan testaaminen;

h)

TVT-auditoinnit;

i)

sellaisten asiaankuuluvien kansallisten ja kansainvälisten standardien käyttö, joita sovelletaan sen TVT-palvelujen tarjoamiseen finanssiyhteisöille.

4.   Päävalvoja hyväksyy 2 kohdassa tarkoitetun arvioinnin perusteella ja koordinoidusti 34 artiklan 1 kohdassa tarkoitetun yhteisen valvontaverkoston kanssa selkeän, yksityiskohtaisen ja perustellun yksilöllisen valvontasuunnitelman, jossa kuvaillaan kunkin kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen osalta suunnitellut vuosittaiset valvontatavoitteet ja tärkeimmät valvontatoimet. Kyseinen suunnitelma toimitetaan kriittiselle TVT-palveluntarjoajana olevalle kolmannelle osapuolelle vuosittain.

Ennen valvontasuunnitelman hyväksymistä päävalvoja toimittaa valvontasuunnitelman luonnoksen kriittiselle TVT-palveluntarjoajana olevalle kolmannelle osapuolelle.

Valvontasuunnitelman luonnoksen saatuaan kriittinen TVT-palveluntarjoajana oleva kolmas osapuoli voi toimittaa 15 kalenteripäivän kuluessa perustellun lausunnon, jossa osoitetaan odotettavissa oleva vaikutus asiakkaisiin, jotka ovat tämän asetuksen soveltamisalaan kuulumattomia yhteisöjä, ja esitetään tarvittaessa ratkaisuja riskien lieventämiseksi.

5.   Kun 4 kohdassa tarkoitetut vuotuiset valvontasuunnitelmat on hyväksytty ja niistä on ilmoitettu kriittisille TVT-palveluntarjoajana oleville kolmansille osapuolille, toimivaltaiset viranomaiset voivat toteuttaa tällaisia kriittisiä TVT-palveluntarjoajana olevia kolmansia osapuolia koskevia toimenpiteitä ainoastaan yhteisymmärryksessä päävalvojan kanssa.

34 artikla

Toiminnan koordinointi päävalvojien välillä

1.   Valvontatoimiin liittyvän johdonmukaisen toimintatavan varmistamiseksi sekä koordinoitujen yleisten valvontastrategioiden, yhtenäisten operatiivisten toimintatapojen ja työskentelymenetelmien mahdollistamiseksi 31 artiklan 1 kohdan b alakohdan mukaisesti nimitetyt kolme päävalvojaa perustavat yhteisen valvontaverkoston koordinoidakseen toimintaansa keskenään valmisteluvaiheissa ja koordinoidakseen kriittisiin TVT-palveluntarjoajana oleviin kolmansiin osapuoliin kohdistamiensa valvontatoimien toteuttamista sekä kaikissa toimissa, jotka saattavat olla tarpeen 42 artiklan nojalla.

2.   Edellä olevan 1 kohdan soveltamiseksi päävalvojat laativat yhteisen valvontaprotokollan, jossa täsmennetään yksityiskohtaiset menettelyt, joita on noudatettava päivittäisen koordinoinnin toteuttamiseksi sekä nopean tietojenvaihdon ja reagoinnin varmistamiseksi. Protokollaa tarkistetaan säännöllisesti operatiivisten tarpeiden, erityisesti käytännön valvontajärjestelyjen kehityksen huomioon ottamiseksi.

3.   Päävalvojat voivat pyytää tapauskohtaisesti EKP:tä ja ENISAa antamaan teknistä neuvontaa, jakamaan käytännön kokemuksia tai osallistumaan tiettyihin yhteisen valvontaverkoston koordinointikokouksiin.

35 artikla

Päävalvojan valtuudet

1.   Tässä jaksossa säädettyjen tehtävien hoitamiseksi päävalvojalla on valtuudet kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten osalta

a)

pyytää kaikkia asiaankuuluvia tietoja ja asiakirjoja 37 artiklan mukaisesti;

b)

suorittaa 38 artiklan mukaisia yleisiä tutkimuksia ja 39 artiklan mukaisia tarkastuksia;

c)

pyytää valvontatoimien päätyttyä raportteja, joissa eritellään kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten tämän kohdan d alakohdassa tarkoitettujen suositusten perusteella toteuttamat toimet tai korjaukset;

d)

antaa suosituksia 33 artiklan 3 kohdassa tarkoitetuilla osa-alueilla, erityisesti seuraavien osalta:

i)

erityisten TVT-turvallisuus- ja laatuvaatimusten tai -prosessien käyttö, etenkin kun on kyse ohjelmistokorjauksista, päivityksistä, salauksesta ja muiden sellaisten turvallisuustoimenpiteiden käyttöönotosta, joita päävalvoja pitää merkityksellisinä finanssiyhteisöille tarjottavien palvelujen TVT-turvallisuuden varmistamiseksi;

ii)

sellaisten ehtojen käyttö kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten tarjotessa TVT-palveluja finanssiyhteisöille, mukaan lukien ehtojen tekninen toteutus, joita päävalvoja pitää merkityksellisinä yksittäisten vikaantumispisteiden syntymisen tai lisääntymisen estämiseksi tai TVT-keskittymäriskin tapauksessa mahdollisen järjestelmävaikutuksen minimoimiseksi unionin finanssialalla;

iii)

suunniteltu alihankinta, jos päävalvoja katsoo, että edelleenulkoistus, mukaan lukien alihankintajärjestelyt, joihin kriittiset TVT-palveluntarjoajana olevat kolmannet osapuolet aikovat ryhtyä TVT-palveluntarjoajana olevien kolmansien osapuolten tai kolmanteen maahan sijoittautuneiden TVT-alihankkijoiden kanssa, voi aiheuttaa riskejä finanssiyhteisön palvelujen tarjonnalle tai rahoitusvakaudelle 37 ja 38 artiklan mukaisesti koottujen tietojen tarkastelun perusteella;

iv)

pidättäytyminen edelleenulkoistusjärjestelystä, jos seuraavat kumulatiiviset edellytykset täyttyvät:

suunniteltu alihankkija on TVT-palveluntarjoajana oleva kolmas osapuoli tai kolmanteen maahan sijoittautunut TVT-alihankkija;

alihankinta koskee finanssiyhteisön kriittisiä tai tärkeitä toimintoja; ja

päävalvoja arvioi, että tällaisen alihankinnan käyttö aiheuttaa selkeän ja vakavan riskin unionin rahoitusvakaudelle tai finanssiyhteisöille, mukaan lukien finanssiyhteisöjen kyvylle noudattaa valvontavaatimuksia.

Tämän kohdan iv alakohdan soveltamiseksi TVT-palveluntarjoajana olevien kolmansien osapuolten on toimitettava päävalvojalle alihankintaa koskevat tiedot käyttäen 41 artiklan 1 kohdan b alakohdassa tarkoitettua mallia.

2.   Tässä artiklassa tarkoitettuja valtuuksia käyttäessään päävalvojan on

a)

varmistettava säännöllinen koordinointi yhteisessä valvontaverkostossa ja erityisesti pyrittävä tarvittaessa johdonmukaisiin toimintatapoihin kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten valvonnan osalta;

b)

otettava asianmukaisesti huomioon direktiivillä (EU) 2022/2555 perustettu kehys ja kuultava tarvittaessa kyseisen direktiivin mukaisesti nimettyjä tai perustettuja asiasta vastaavia viranomaisia, jotta vältetään tarpeettomat päällekkäiset tekniset ja organisatoriset toimenpiteet, joita voidaan soveltaa kriittisiin TVT-palveluntarjoajana oleviin kolmansiin osapuoliin kyseisen direktiivin nojalla;

c)

pyrittävä minimoimaan, siinä määrin kuin mahdollista, häiriöriski palveluille, joita kriittiset TVT-palveluntarjoajana olevat kolmannet osapuolet tarjoavat asiakkaille, jotka ovat tämän asetuksen soveltamisalaan kuulumattomia yhteisöjä.

3.   Päävalvoja kuulee valvontafoorumia ennen 1 kohdassa tarkoitettujen valtuuksien käyttämistä.

Ennen suositusten antamista 1 kohdan d alakohdan mukaisesti päävalvojan on annettava TVT-palveluntarjoajana oleville kolmansille osapuolille mahdollisuus toimittaa 30 kalenteripäivän kuluessa asiaankuuluvat tiedot, joissa osoitetaan odotettavissa oleva vaikutus asiakkaisiin, jotka ovat tämän asetuksen soveltamisalaan kuulumattomia yhteisöjä, ja esitetään tarvittaessa ratkaisuja riskien lieventämiseksi.

4.   Päävalvojan on ilmoitettava yhteiselle valvontaverkostolle 1 kohdan a ja b alakohdassa tarkoitettujen valtuuksien käyttämisen tuloksesta. Päävalvojan on ilman aiheetonta viivytystä toimitettava yhteiselle valvontaverkostolle ja kyseisen kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen TVT-palveluja käyttävien finanssiyhteisöjen toimivaltaisille viranomaisille 1 kohdan c alakohdassa tarkoitetut raportit.

5.   Kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten on tehtävä vilpitöntä yhteistyötä päävalvojan kanssa ja avustettava sitä sen tehtävien suorittamisessa.

6.   Jos 1 kohdan a, b ja c alakohdan mukaisten valtuuksien käyttämisen nojalla toteutettaviksi vaadittuja toimenpiteitä ei noudateta kokonaan tai osittain ja sen jälkeen, kun on kulunut vähintään 30 kalenteripäivää siitä, kun kriittinen TVT-palveluntarjoajana oleva kolmas osapuoli sai ilmoituksen asianomaisista toimenpiteistä, päävalvojan on tehtävä päätös, jossa määrätään uhkasakko, pakottaakseen kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen noudattamaan kyseisiä toimenpiteitä.

7.   Edellä 6 kohdassa tarkoitettu uhkasakko määrätään maksettavaksi päivittäin, kunnes vaatimuksia noudatetaan, ja enintään kuuden kuukauden ajan siitä, kun kriittiselle TVT-palveluntarjoajana olevalle kolmannelle osapuolelle on ilmoitettu uhkasakon määräävästä päätöksestä.

8.   Uhkasakon määrä, joka lasketaan uhkasakon määräämistä koskevassa päätöksessä säädetystä päivästä alkaen, on enintään 1 prosentti kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen edellisen tilikauden päivittäisestä maailmanlaajuisesta keskiliikevaihdosta. Uhkasakon määrää määrittäessään päävalvojan on otettava huomioon seuraavat kriteerit, jotka koskevat 6 kohdassa tarkoitettujen toimenpiteiden laiminlyöntiä:

a)

laiminlyönnin vakavuus ja kesto;

b)

onko laiminlyönti tapahtunut tahallisesti vai tuottamuksellisesti;

c)

se, missä määrin TVT-palveluntarjoajana oleva kolmas osapuoli on tehnyt yhteistyötä päävalvojan kanssa.

Ensimmäisen alakohdan soveltamiseksi päävalvojan on kuultava yhteistä valvontaverkostoa johdonmukaisen toimintatavan varmistamiseksi.

9.   Uhkasakko on luonteeltaan hallinnollinen ja täytäntöönpanokelpoinen. Täytäntöönpanoon sovelletaan sen jäsenvaltion säännöksiä lainkäytöstä riita-asioissa, jonka alueella tutkimukset ja tilojen tarkastaminen tapahtuu. Asianomaisen jäsenvaltion tuomioistuimet ovat toimivaltaisia tutkimaan virheellistä täytäntöönpanoa koskevat valitukset. Uhkasakkojen määrät kohdennetaan Euroopan unionin yleiseen talousarvioon.

10.   Päävalvojan on julkistettava jokainen uhkasakko, joka on määrätty, paitsi jos tällainen julkistaminen vaarantaisi vakavasti finanssimarkkinat tai aiheuttaisi kohtuutonta haittaa asianosaisille.

11.   Ennen kuin päävalvoja määrää uhkasakon 6 kohdan nojalla, se antaa menettelyn kohteena olevan kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen edustajille mahdollisuuden tulla kuulluiksi havainnoistaan ja tekee päätöksensä ainoastaan sellaisten havaintojen perusteella, joista menettelyn kohteena olevalla kriittisellä TVT-palveluntarjoajana olevalla kolmannella osapuolella on ollut mahdollisuus esittää huomautuksensa.

Menettelyssä on kunnioitettava täysin niiden henkilöiden puolustautumisoikeuksia, joita menettely koskee. Menettelyn kohteena olevalla kriittisellä TVT-palveluntarjoajana olevalla kolmannella osapuolella on oikeus tutustua asiakirja-aineistoon, jollei muiden henkilöiden liikesalaisuuksien suojelemiseen liittyvistä oikeutetuista eduista muuta johdu. Oikeus tutustua asiakirja-aineistoon ei ulotu luottamuksellisiin tietoihin eikä päävalvojan sisäisiin valmisteleviin asiakirjoihin.

36 artikla

Päävalvojan valtuuksien käyttö unionin ulkopuolella

1.   Kun valvontatavoitteita ei voida saavuttaa toimimalla vuorovaikutuksessa 31 artiklan 12 kohdan soveltamiseksi perustetun tytäryhtiön kanssa tai toteuttamalla valvontatoimia unionissa sijaitsevissa tiloissa, päävalvoja voi käyttää seuraavissa säännöksissä tarkoitettuja valtuuksia kaikissa kolmannessa maassa sijaitsevissa tiloissa, jotka ovat kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen omistuksessa tai millä tahansa tavalla niiden käytössä palvelujen tarjoamiseksi unionin finanssiyhteisöille ja jotka ovat yhteydessä sen liiketoimintaan, toimintoihin, palveluihin, mukaan lukien kaikki hallinnolliset, liiketoiminnan ja operatiiviset toimipisteet, tilat, maa-alat, rakennukset tai muut kiinteistöt:

a)

35 artiklan 1 kohdan a alakohta; ja

b)

35 artiklan 1 kohdan b alakohta 38 artiklan 2 kohdan a, b ja d alakohdan ja 39 artiklan 1 kohdan ja 2 kohdan a alakohdan mukaisesti.

Ensimmäisessä alakohdassa tarkoitettuja valtuuksia voi käyttää, jos kaikki seuraavat edellytykset täyttyvät:

i)

päävalvoja katsoo, että tarkastuksen suorittaminen kolmannessa maassa on tarpeen, jotta se voisi hoitaa täysimääräisesti ja tehokkaasti tämän asetuksen mukaiset tehtävänsä;

ii)

kolmannessa maassa suoritettava tarkastus liittyy suoraan TVT-palvelujen tarjoamiseen unionissa sijaitseville finanssiyhteisöille;

iii)

asianomainen kriittinen TVT-palveluntarjoajana oleva kolmas osapuoli suostuu tarkastuksen suorittamiseen kolmannessa maassa; ja

iv)

päävalvoja on ilmoittanut asiasta virallisesti kyseisen kolmannen maan asiaankuuluvalle viranomaiselle eikä tämä ole vastustanut sitä.

2.   Edellä olevan 1 kohdan soveltamiseksi EPV:n, ESMAn tai EIOPAn on sovittava kolmannen maan asiaankuuluvien viranomaisten kanssa hallinnollisista yhteistyöjärjestelyistä mahdollistaakseen niiden tarkastusten sujuvuuden asianomaisessa kolmannessa maassa, joita päävalvoja ja sen tehtävää varten kyseiseen kolmanteen maahan nimetty ryhmä suorittaa, sanotun kuitenkaan rajoittamatta unionin toimielinten ja jäsenvaltioiden toimivaltaa. Kyseisistä järjestelyistä ei saa seurata oikeudellisia velvoitteita unionille ja sen jäsenvaltioille, eivätkä ne saa estää jäsenvaltioita ja niiden toimivaltaisia viranomaisia tekemästä kahden- tai monenvälisiä järjestelyjä kyseisten kolmansien maiden ja näiden asiaankuuluvien viranomaisten kanssa.

Kyseisissä yhteistyöjärjestelyissä täsmennetään vähintään seuraavat seikat:

a)

menettelyt tämän asetuksen mukaisesti toteutettavien valvontatoimien ja asianomaisen kolmannen maan asiaankuuluvan viranomaisen vastaavasti suorittaman kolmansiin osapuoliin liittyvän finanssialan TVT-riskin valvonnan koordinoimiseksi, mukaan lukien yksityiskohtaiset tiedot viimeksi mainitun antaman suostumuksen välittämiseksi, jotta päävalvoja ja sen nimetty ryhmä voivat toteuttaa sen lainkäyttövaltaan kuuluvalla alueella yleisiä tutkimuksia ja paikalla tehtäviä tarkastuksia 1 kohdan ensimmäisen alakohdan mukaisesti;

b)

mekanismi kaikkien merkityksellisten tietojen välittämiseksi EPV:n, ESMAn tai EIOPAn sekä asianomaisen kolmannen maan asiaankuuluvan viranomaisen kesken, erityisesti päävalvojan 37 artiklan nojalla mahdollisesti pyytämien tietojen osalta;

c)

mekanismit, joiden avulla asianomaisen kolmannen maan asiaankuuluva viranomainen ilmoittaa viipymättä EPV:lle, ESMAlle tai EIOPAlle tapauksista, joissa kolmanteen maahan sijoittautuneen TVT-palveluntarjoajana olevan kolmannen osapuolen, joka on nimetty 31 artiklan 1 kohdan alakohdan mukaisesti kriittiseksi, katsotaan rikkoneen vaatimuksia, joita sen edellytetään noudattavan asianomaisessa kolmannessa maassa sovellettavan lainsäädännön nojalla tarjotessaan finanssiyhteisöille palveluja kyseisessä kolmannessa maassa, sekä sovellettavat korjaustoimenpiteet ja seuraamukset;

d)

säännöllisesti lähetettävät päivitykset sääntelyn tai valvonnan kehityksestä kolmansiin osapuoliin liittyvän rahoituslaitosten TVT-riskin valvonnan alalla asianomaisessa kolmannessa maassa;

e)

yksityiskohtaiset tiedot, jotka koskevat tarvittaessa sen sallimista, että yksi asiaankuuluvan kolmannen maan viranomaisen edustaja osallistuu päävalvojan ja nimetyn ryhmän toteuttamiin tarkastuksiin.

3.   Kun päävalvoja ei kykene toteuttamaan 1 ja 2 kohdassa tarkoitettuja valvontatoimia unionin ulkopuolella, sen on

a)

käytettävä 35 artiklan mukaisia valtuuksiaan kaikkien käytettävissään olevien tosiseikkojen ja asiakirjojen pohjalta;

b)

dokumentoitava ja selitettävä mahdolliset seuraukset, joita aiheutuu sen kyvyttömyydestä toteuttaa tässä artiklassa tarkoitettuja suunniteltuja valvontatoimia.

Tämän kohdan b alakohdassa tarkoitetut mahdolliset seuraukset on otettava huomioon päävalvojan 35 artiklan 1 kohdan d alakohdan mukaisesti antamissa suosituksissa.

37 artikla

Tietojen pyytäminen

1.   Päävalvoja voi pelkällä pyynnöllä tai tekemällään päätöksellä vaatia kriittisiä TVT-palveluntarjoajana olevia kolmansia osapuolia toimittamaan kaikki tiedot, jotka ovat tarpeen, jotta päävalvoja voi suorittaa tämän asetuksen mukaiset tehtävänsä, mukaan lukien kaikki asiaankuuluvat liiketoimintaan liittyvät tai operatiiviset asiakirjat, sopimukset, toimintaperiaatteita koskevat asiakirjat, TVT-turvallisuusauditointiraportit, TVT:hen liittyviä poikkeamia koskevat raportit sekä tiedot osapuolista, joille kriittinen TVT-palveluntarjoajana oleva kolmas osapuoli on ulkoistanut operatiivisia tehtäviä tai toimintaa.

2.   Lähettäessään 1 kohdan nojalla tietojensaantia koskevan pyynnön päävalvoja

a)

viittaa tähän artiklaan pyynnön oikeusperustana;

b)

ilmoittaa pyynnön tarkoituksen;

c)

täsmentää, mitä tietoja pyydetään;

d)

asettaa määräajan, jonka kuluessa tiedot on toimitettava;

e)

ilmoittaa sen kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen edustajalle, jolta tietoja pyydetään, että se ei ole velvollinen antamaan tietoja mutta jos se vastaa pyyntöön vapaaehtoisesti, annetut tiedot eivät saa olla virheellisiä tai harhaanjohtavia.

3.   Päätöksessään, jossa vaaditaan 1 kohdan nojalla toimittamaan tietoja, päävalvoja

a)

viittaa tähän artiklaan pyynnön oikeusperustana;

b)

ilmoittaa pyynnön tarkoituksen;

c)

täsmentää, mitä tietoja pyydetään;

d)

asettaa määräajan, jonka kuluessa tiedot on toimitettava;

e)

ilmoittaa uhkasakoista, joista 35 artiklan 6 kohdassa säädetään sen varalta, että toimitetut tiedot ovat puutteellisia tai jos tällaisia tietoja ei ole toimitettu tämän kohdan d alakohdassa tarkoitetussa määräajassa;

f)

ilmoittaa oikeudesta hakea päätökseen muutosta Euroopan valvontaviranomaisen valituslautakunnalta ja oikeudesta saattaa päätös Euroopan unionin tuomioistuimen käsiteltäväksi asetusten (EU) N:o 1093/2010, (EU) N:o 1094/2010 ja (EU) N:o 1095/2010 60 ja 61 artiklan mukaisesti.

4.   Kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten edustajien on toimitettava pyydetyt tiedot. Asianmukaisesti valtuutetut lakimiehet voivat antaa pyydetyt tiedot asiakkaidensa nimissä. Kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen on kannettava kuitenkin täysi vastuu, jos annetut tiedot ovat puutteellisia, virheellisiä tai harhaanjohtavia.

5.   Päävalvoja välittää tietojen toimittamista koskevasta päätöksestä viipymättä jäljennöksen asianomaisten kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten palveluja käyttävien finanssiyhteisöjen toimivaltaisille viranomaisille ja yhteiselle valvontaverkostolle.

38 artikla

Yleiset tutkimukset

1.   Voidakseen hoitaa tämän asetuksen mukaiset tehtävänsä päävalvoja, jota avustaa 40 artiklan 1 kohdassa tarkoitettu yhteinen tutkintaryhmä, voi tarvittaessa suorittaa kriittisiä TVT-palveluntarjoajana olevia kolmansia osapuolia koskevia tutkimuksia.

2.   Päävalvojalla on valtuudet

a)

tutkia asiakirjoja, dataa, menettelyjä ja muuta aineistoa, jolla on merkitystä sen tehtävien hoidolle, riippumatta välineestä, jolle ne on tallennettu;

b)

ottaa tai hankkia oikeaksi todistettuja jäljennöksiä tai otteita tällaisista asiakirjoista, datasta, dokumentoiduista menettelyistä ja mistä tahansa muusta aineistosta;

c)

pyytää kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen edustajilta suullisia tai kirjallisia selvityksiä tutkimuksen kohteeseen ja tarkoitukseen liittyvistä tosiseikoista tai asiakirjoista ja tallentaa vastaukset;

d)

haastatella ketä tahansa muuta haastatteluun suostuvaa luonnollista henkilöä tai oikeushenkilöä tutkimuksen kohteeseen liittyvien tietojen keräämiseksi;

e)

vaatia puhelin- ja dataliikennetietoja.

3.   Päävalvojan 1 kohdassa tarkoitettua tutkimusta suorittamaan valtuuttamien virkamiesten ja muiden henkilöiden on valtuuksiaan käyttäessään esitettävä kirjallinen valtuutus, jossa yksilöidään tutkimuksen kohde ja tarkoitus.

Lisäksi kyseisessä valtuutuksessa on ilmoitettava uhkasakoista, joista 35 artiklan 6 kohdassa säädetään sen varalta, että pyydettyjä asiakirjoja, dataa, dokumentoituja menettelyjä tai mitä tahansa muuta aineistoa taikka vastauksia TVT-palveluntarjoajana olevan kolmannen osapuolen edustajille esitettyihin kysymyksiin ei anneta lainkaan tai niitä ei anneta kokonaisuudessaan.

4.   Kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten edustajien on suostuttava tutkimuksiin päävalvojan päätöksen perusteella. Päätöksessä yksilöidään tutkimuksen kohde ja tarkoitus sekä ilmoitetaan 35 artiklan 6 kohdassa säädetyistä uhkasakoista, asetusten (EU) N:o 1093/2010, (EU) N:o 1094/2010 ja (EU) N:o 1095/2010 nojalla käytettävissä olevista oikeussuojakeinoista sekä oikeudesta saattaa päätös Euroopan unionin tuomioistuimen käsiteltäväksi.

5.   Päävalvoja antaa kyseisen kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen TVT-palveluja käyttävien finanssiyhteisöjen toimivaltaisille viranomaisille hyvissä ajoin ennen tutkimuksen aloittamista tiedon suunnitellusta tutkimuksesta ja sitä suorittamaan valtuutettujen henkilöiden henkilöllisyydestä.

Päävalvoja ilmoittaa yhteiselle valvontaverkostolle kaikki ensimmäisen alakohdan nojalla toimitetut tiedot.

39 artikla

Tarkastukset

1.   Voidakseen hoitaa tämän asetuksen mukaiset tehtävänsä päävalvoja, jota 40 artiklan 1 kohdassa tarkoitetut yhteiset tutkintaryhmät avustavat, saa mennä TVT-palveluntarjoajana olevien kolmansien osapuolten liiketiloihin, maa-alueille tai kiinteistöihin, kuten päätoimitiloihin, operaatiokeskuksiin ja toissijaisiin tiloihin, ja suorittaa siellä kaikki tarvittavat paikalla tehtävät tarkastukset sekä tehdä tarkastuksia muualla kuin paikalla.

Ensimmäisessä alakohdassa tarkoitettujen valtuuksien käyttämistä varten päävalvojan on kuultava yhteistä valvontaverkostoa.

2.   Virkamiehillä ja muilla henkilöillä, jotka päävalvoja on valtuuttanut tekemään tarkastuksen paikalla, on valtuudet

a)

mennä kaikkiin tällaisiin liiketiloihin tai kiinteistöihin ja kaikille tällaisille maa-alueille, ja

b)

sinetöidä mitkä tahansa tällaiset liiketilat, kirjanpito tai asiakirjat siksi ajaksi ja siinä laajuudessa kuin se on tarpeen tarkastuksen suorittamiseksi.

Virkamiesten ja muiden päävalvojan valtuuttamien henkilöiden on valtuuksiaan käyttäessään esitettävä kirjallinen valtuutus, jossa yksilöidään tutkimuksen kohde ja tarkoitus sekä 35 artiklan 6 kohdassa säädetyt uhkasakot, jos kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten edustajat eivät suostu tarkastukseen.

3.   Päävalvoja antaa kyseistä TVT-palveluntarjoajana olevaa kolmatta osapuolta käyttävien finanssiyhteisöjen toimivaltaisille viranomaisille hyvissä ajoin ennen tarkastusta siitä tiedon.

4.   Tarkastukset kattavat kaikki asiaankuuluvat TVT-järjestelmät, verkot, laitteet, tiedot ja datan, joita käytetään tai jotka myötävaikuttavat TVT-palvelujen tarjoamiseen finanssiyhteisöille.

5.   Ennen suunniteltua paikalla tehtävää tarkastusta päävalvoja ilmoittaa asiasta kriittisille TVT-palveluntarjoajana oleville kolmansille osapuolille hyvissä ajoin, jollei se hätätapauksen tai kriisitilanteen vuoksi ole mahdotonta tai jos se johtaisi tilanteeseen, jossa tarkastus tai auditointi ei enää olisi vaikuttava.

6.   Kriittisen TVT-palveluntarjoajan on suostuttava päävalvojan päätöksellä määrättyihin paikalla tehtäviin tarkastuksiin. Päätöksessä yksilöidään tarkastuksen kohde ja tarkoitus, vahvistetaan päivä, jona tarkastus alkaa, ja ilmoitetaan 35 artiklan 6 kohdassa säädetyistä uhkasakoista, asetusten (EU) N:o 1093/2010, (EU) N:o 1094/2010 ja (EU) N:o 1095/2010 nojalla käytettävissä olevista oikeussuojakeinoista sekä oikeudesta saattaa päätös Euroopan unionin tuomioistuimen käsiteltäväksi.

7.   Jos virkamiehet ja muut päävalvojan valtuuttamat henkilöt toteavat, että kriittinen TVT-palveluntarjoajana oleva kolmas osapuoli vastustaa tämän artiklan nojalla määrättyä tarkastusta, päävalvoja ilmoittaa kriittiselle TVT-palveluntarjoajana olevalle kolmannelle osapuolelle tällaisen vastustuksen seurauksista, mukaan lukien asianomaisten finanssiyhteisöjen toimivaltaisten viranomaisten mahdollisuus vaatia finanssiyhteisöjä irtisanomaan kyseisen kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen kanssa tehdyt sopimusjärjestelyt.

40 artikla

Jatkuva valvonta

1.   Päävalvojaa avustaa valvontatoimien, erityisesti yleisten tutkimusten tai tarkastusten, suorittamisessa kutakin kriittistä TVT-palveluntarjoajana olevaa kolmatta osapuolta varten perustettu yhteinen tutkintaryhmä.

2.   Edellä 1 kohdassa tarkoitetun yhteisen tutkintaryhmän kokoonpanoon kuuluu seuraavien viranomaisten henkilöstön jäseniä:

a)

Euroopan valvontaviranomaiset;

b)

kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen TVT-palveluja käyttäviä finanssiyhteisöjä valvovat asianomaiset toimivaltaiset viranomaiset;

c)

32 artiklan 4 kohdan e alakohdassa tarkoitettu, vapaaehtoispohjalta osallistuva toimivaltainen kansallinen viranomainen;

d)

yksi vapaaehtoispohjalta osallistuva toimivaltainen kansallinen viranomainen siitä jäsenvaltiosta, johon kriittinen TVT-palveluntarjoajana oleva kolmas osapuoli on sijoittautunut.

Yhteisen tutkintaryhmän jäsenillä on oltava asiantuntemusta TVT-asioista ja operatiivisista riskeistä. Yhteinen tutkintaryhmä toimii nimetyn päävalvojan henkilöstön jäsenen, jäljempänä ’päävalvojan koordinaattori’, koordinoimana.

3.   Päävalvoja antaa valvontafoorumia kuultuaan kolmen kuukauden kuluessa siitä, kun tutkimus tai tarkastus on saatettu päätökseen, 35 artiklassa tarkoitettujen valtuuksien nojalla suosituksia, jotka osoitetaan kriittiselle TVT-palveluntarjoajana olevalle kolmannelle osapuolelle.

4.   Edellä 3 kohdassa tarkoitetut suositukset annetaan välittömästi tiedoksi kriittiselle TVT-palveluntarjoajana olevalle kolmannelle osapuolelle ja niiden finanssiyhteisöjen toimivaltaisille viranomaisille, joille se tarjoaa TVT-palveluja.

Valvontatoimien toteuttamiseksi päävalvoja voi ottaa huomioon kaikki asiaankuuluvat kolmannen osapuolen sertifioinnit ja TVT-palveluja tarjoavan kolmannen osapuolen sisäiset tai ulkoiset auditointiraportit, jotka kriittinen TVT-palveluntarjoajana oleva kolmas osapuoli on asettanut saataville.

41 artikla

Valvontatoimien toteuttamisen mahdollistavien edellytysten yhdenmukaistaminen

1.   Euroopan valvontaviranomaiset laativat yhteiskomiteassa luonnoksia teknisiksi sääntelystandardeiksi, joissa täsmennetään

a)

tiedot, jotka TVT-palveluntarjoajana olevan kolmannen osapuolen on annettava hakemuksessa, joka koskee vapaaehtoista pyyntöä tulla nimetyksi kriittiseksi 31 artiklan 11 kohdan mukaisesti;

b)

niiden tietojen sisältö, rakenne ja muoto, jotka TVT-palveluntarjoajana olevien kolmansien osapuolten on 35 artiklan 1 kohdan mukaisesti toimitettava, julkistettava tai raportoitava, mukaan lukien vakiomuotoinen malli alihankintajärjestelyjä koskevien tietojen ilmoittamiseen;

c)

arviointiperusteet, joiden mukaisesti päätetään yhteisen tutkintaryhmän kokoonpanosta, jonka osalta varmistetaan Euroopan valvontaviranomaisten henkilöstön jäsenten ja asiaankuuluvien toimivaltaisten viranomaisten henkilöstön jäsenten välinen tasapainoinen edustus, sekä heidän nimeämisestään, tehtävistään ja työjärjestelyistään;

d)

yksityiskohdat toimivaltaisten viranomaisten 42 artiklan 3 kohdan nojalla suorittamalle arvioinnille, joka koskee päävalvojan suositusten perusteella toteutettuja kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten toteuttamia toimenpiteitä.

2.   Euroopan valvontaviranomaiset toimittavat kyseiset teknisten sääntelystandardien luonnokset komissiolle viimeistään 17 päivänä heinäkuuta 2024.

Siirretään komissiolle valta täydentää tätä asetusta hyväksymällä 1 kohdassa tarkoitetut tekniset sääntelystandardit asetusten (EU) N:o 1093/2010, (EU) N:o 1094/2010 ja (EU) N:o 1095/2010 10–14 artiklassa säädetyn menettelyn mukaisesti.

42 artikla

Toimivaltaisten viranomaisten jatkotoimenpiteet

1.   Kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten on 60 kalenteripäivän kuluessa siitä, kun ne ovat vastaanottaneet 35 artiklan 1 kohdan d alakohdan nojalla annetut päävalvojan suositukset, joko ilmoitettava päävalvojalle aikovansa noudattaa suosituksia tai annettava perusteltu selitys tällaisten suositusten noudattamatta jättämiselle. Päävalvoja toimittaa tämän tiedon välittömästi asianomaisten finanssiyhteisöjen toimivaltaisille viranomaisille.

2.   Jos jokin kriittinen TVT-palveluntarjoajana oleva kolmas osapuoli jättää antamatta päävalvojalle 1 kohdan mukaisen ilmoituksen tai jos kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen antamaa selitystä ei pidetä riittävänä, päävalvoja julkistaa tiedon siitä. Julkaistavissa tiedoissa kerrotaan kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen henkilöllisyys sekä tiedot siitä, minkä tyyppisestä ja luonteisesta noudattamatta jättämisestä on kyse. Tällaisten tietojen sisältö rajataan siihen, mikä on merkityksellistä ja suhteellista yleisen tietoisuuden varmistamiseksi, paitsi jos tällainen julkistaminen aiheuttaisi suhteetonta vahinkoa asiaankuuluville osapuolille tai vaarantaa vakavalla tavalla finanssimarkkinoiden asianmukaisen toiminnan ja eheyden tai unionin rahoitusjärjestelmän vakauden kokonaisuudessaan tai osittain.

Päävalvoja ilmoittaa TVT-palveluntarjoajana olevalle kolmannelle osapuolelle kyseisestä tietojen julkistamisesta.

3.   Toimivaltaiset viranomaiset tiedottavat asiaankuuluville finanssiyhteisöille riskeistä, jotka on yksilöity kriittisille TVT-palveluntarjoajana oleville kolmansille osapuolille 35 artiklan 1 kohdan d alakohdan mukaisesti osoitetuissa suosituksissa.

Finanssiyhteisöjen on otettava kolmansiin osapuoliin liittyvän TVT-riskin hallinnassa huomioon ensimmäisessä alakohdassa tarkoitetut riskit.

4.   Kun toimivaltainen viranomainen katsoo, ettei finanssiyhteisö ole TVT-palveluntarjoajana oleviin kolmansiin osapuoliin liittyvän riskin hallinnassa ottanut lainkaan tai ei riittävästi huomioon suosituksissa yksilöityjä erityisiä riskejä, se ilmoittaa finanssiyhteisölle siitä mahdollisuudesta, että 60 kalenteripäivän kuluessa tällaisen ilmoituksen vastaanottamisesta tehdään 6 kohdan mukainen päätös, ellei tällaisten riskien hallitsemiseen tarkoitettuja asianmukaisia sopimusjärjestelyjä ole tehty.

5.   Toimivaltaiset viranomaiset voivat 35 artiklan 1 kohdan c alakohdassa tarkoitetut raportit saatuaan ja ennen tämän artiklan 6 kohdassa tarkoitetun päätöksen tekemistä kuulla vapaaehtoispohjalta direktiivin (EU) 2022/2555 mukaisesti nimettyjä tai perustettuja toimivaltaisia viranomaisia, jotka vastaavat kriittiseksi TVT-palveluntarjoajana olevaksi kolmanneksi osapuoleksi nimetyn keskeisen tai tärkeän toimijan, johon sovelletaan kyseistä direktiiviä, valvonnasta.

6.   Toimivaltaiset viranomaiset voivat tämän artiklan 4 ja 5 kohdan mukaisen ilmoittamisen ja tarvittaessa suoritetun kuulemisen jälkeen kaikkein viimeisimpänä toimenpiteenä tehdä 50 artiklan mukaisesti päätöksen, jonka mukaan finanssiyhteisöjä vaaditaan tilapäisesti joko osittain tai kokonaan keskeyttämään kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen tarjoaman palvelun käyttö tai käyttöönotto, kunnes kriittisille TVT-palveluntarjoajana oleville kolmansille osapuolille osoitetuissa suosituksissa yksilöityihin riskeihin on puututtu. Ne voivat tarvittaessa vaatia finanssiyhteisöjä kokonaan tai osittain irtisanomaan kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa tehdyt asiaankuuluvat sopimusjärjestelyt.

7.   Jos kriittinen TVT-palveluntarjoajana oleva kolmas osapuoli kieltäytyy hyväksymästä suosituksia perustuen päävalvojan suosittelemasta poikkeavaan toimintatapaan ja jos tällainen suositellusta poikkeava toimintatapa voi vaikuttaa kielteisesti suureen määrään finanssiyhteisöjä tai merkittävään osaan finanssialaa ja jos toimivaltaisten viranomaisten antamat yksittäiset varoitukset eivät ole johtaneet johdonmukaisiin toimintatapoihin, joilla lievennettäisiin rahoitusjärjestelmän vakauteen kohdistuvaa potentiaalista riskiä, päävalvoja voi valvontafoorumia kuultuaan antaa toimivaltaisille viranomaisille lausuntoja, jotka eivät ole sitovia eivätkä julkisia, tarkoituksena edistää tarvittaessa yhdenmukaisten ja yhtenäisten valvonnan jatkotoimien toteuttamista.

8.   Saatuaan 35 artiklan 1 kohdan c alakohdassa tarkoitetut raportit toimivaltaisten viranomaisten on tämän artiklan 6 kohdassa tarkoitettua päätöstä tehdessään otettava huomioon, minkä tyyppinen ja kuinka suuri on riski, johon kriittinen TVT-palveluntarjoajana oleva kolmas osapuoli ei ole puuttunut, sekä se, kuinka vakavasta laiminlyönnistä on kyse, tarkastellen asiaa seuraavien kriteerien perusteella:

a)

laiminlyönnin vakavuus ja kesto;

b)

onko laiminlyönti paljastanut vakavia heikkouksia kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen menettelyissä, hallintojärjestelmissä, riskinhallinnassa ja sisäisessä valvonnassa;

c)

onko laiminlyönti helpottanut tai aiheuttanut talousrikollisuutta tai liittyykö laiminlyönti siihen muulla tavoin;

d)

onko laiminlyönti tapahtunut tahallisesti vai tuottamuksellisesti;

e)

aiheuttaako sopimusjärjestelyjen keskeyttäminen tai irtisanominen riskin finanssiyhteisön liiketoimien jatkuvuudelle huolimatta finanssiyhteisön toimista, joilla pyritään välttämään häiriöt sen palvelujen tarjonnassa;

f)

tapauksen mukaan tämän artiklan 5 kohdan mukaisesti vapaaehtoispohjalta pyydetty lausunto niiltä direktiivin (EU) 2022/2555 mukaisesti nimetyiltä tai perustetuilta toimivaltaisilta viranomaisilta, jotka vastaavat kriittiseksi TVT-palveluntarjoajana olevaksi kolmanneksi osapuoleksi nimetyn keskeisen tai tärkeän toimijan, johon sovelletaan kyseistä direktiiviä, valvonnasta.

Toimivaltaiset viranomaiset antavat finanssiyhteisöille tarvittavan ajan siihen, että ne voivat mukauttaa kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa tehtyjä sopimusjärjestelyjä siten, että vältetään haitalliset vaikutukset niiden digitaaliseen häiriönsietokykyyn, ja ne voivat ottaa käyttöön 28 artiklassa tarkoitetut irtautumisstrategiat ja siirtymäsuunnitelmat.

9.   Tämän artiklan 6 kohdassa tarkoitettu päätös annetaan tiedoksi 32 artiklan 4 kohdan a, b ja c alakohdassa tarkoitetun valvontafoorumin jäsenille ja yhteiselle valvontaverkostolle.

Kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten, joita 6 kohdassa säädetyt päätökset koskevat, on tehtävä täysimääräisesti yhteistyötä niiden finanssiyhteisöjen kanssa, joihin asia vaikuttaa, erityisesti niiden sopimusjärjestelyjen keskeyttämisen tai irtisanomisen yhteydessä.

10.   Toimivaltaiset viranomaiset tiedottavat säännöllisesti päävalvojalle noudattamistaan toimintatavoista ja toimenpiteistä, joita ne ovat toteuttaneet finanssiyhteisöihin liittyvissä valvontatehtävissään, sekä finanssiyhteisöjen tekemistä sopimusjärjestelyistä, siinä tapauksessa, että kriittiset TVT-palveluntarjoajana olevat kolmannet osapuolet eivät ole kaikilta osin tai lainkaan hyväksyneet päävalvojan niille antamia suosituksia.

11.   Päävalvoja voi antaa pyynnöstä lisäselvityksiä annetuista suosituksista ohjeeksi toimivaltaisille viranomaisille jatkotoimien toteuttamiseen.

43 artikla

Valvontamaksut

1.   Päävalvoja perii tämän artiklan 2 kohdassa tarkoitetun delegoidun säädöksen mukaisesti kriittisiltä TVT-palveluntarjoajana olevilta kolmansilta osapuolilta maksuja, jotka kattavat kokonaan päävalvojan tämän asetuksen mukaisten valvontatehtävien suorittamisesta aiheutuvat välttämättömät menot, mukaan lukien sellaisten kustannusten korvaaminen, joita voi aiheutua 40 artiklassa tarkoitetun yhteisen tutkintaryhmän tekemästä työstä sekä 32 artiklan 4 kohdan toisessa alakohdassa tarkoitettujen riippumattomien asiantuntijoiden antamasta neuvonnasta asioissa, jotka kuuluvat suoraa valvontatoimintaa koskevan toimeksiannon piiriin.

Kriittiseltä TVT-palveluntarjoajana olevalta kolmannelta osapuolelta perittävän maksun on katettava kaikki tässä jaksossa säädettyjen tehtävien suorittamisesta aiheutuvat kustannukset, ja sen on oltava oikeassa suhteessa sen liikevaihtoon.

2.   Siirretään komissiolle valta antaa 57 artiklan mukaisesti delegoitu säädös, jolla täydennetään tätä asetusta määrittämällä maksujen suuruus ja maksutapa, viimeistään 17 päivänä heinäkuuta 2024.

44 artikla

Kansainvälinen yhteistyö

1.   EPV, ESMA ja EIOPA voivat asetusten (EU) N:o 1093/2010, (EU) N:o 1095/2010 ja (EU) N:o 1094/2010 33 artiklan nojalla sopia kolmansien maiden sääntely- ja valvontaviranomaisten kanssa hallinnollisista järjestelyistä, joilla edistetään kolmansiin osapuoliin liittyviä TVT-riskejä koskevaa kansainvälistä yhteistyötä finanssialan eri sektoreilla, erityisesti kehittämällä parhaita käytäntöjä TVT-riskinhallintakäytäntöjen ja -valvonnan, riskinlieventämistoimenpiteiden ja poikkeamiin reagoimisen uudelleentarkastelua varten, sanotun kuitenkaan rajoittamatta tämän asetuksen 36 artiklan soveltamista.

2.   Euroopan valvontaviranomaiset toimittavat yhteiskomitean välityksellä joka viides vuosi Euroopan parlamentille, neuvostolle ja komissiolle yhteisen luottamuksellisen selvityksen, jossa esitetään yhteenveto 1 kohdassa tarkoitettujen kolmansien maiden viranomaisten kanssa käytyjen asiaankuuluvien keskustelujen havainnoista ja erityisesti kolmansiin osapuoliin liittyvän TVT-riskin kehittymisestä ja vaikutuksista rahoitusvakauteen, markkinoiden eheyteen, sijoittajien suojaan ja sisämarkkinoiden toimintaan.

VI LUKU

Tietojenvaihtojärjestelyt

45 artikla

Järjestelyt kyberuhkia koskevien tietojen ja tiedustelutietojen vaihtamiseksi

1.   Finanssiyhteisöt voivat vaihtaa keskenään kyberuhkia koskevia tietoja ja tiedustelutietoja, mukaan lukien vaarantumisindikaattorit, taktiikat, tekniikat ja menettelyt, kyberturvallisuushälytykset ja konfigurointivälineet, siltä osin kuin tällainen tietojen ja tiedustelutietojen vaihto

a)

on tarkoitettu parantamaan finanssiyhteisöjen digitaalista häiriönsietokykyä erityisesti lisäämällä tietoisuutta kyberuhista, rajoittamalla tai estämällä kyberuhkien leviämiskykyä, tukemalla puolustautumisvalmiuksia, uhkien havaitsemistekniikoita, riskinlieventämisstrategioita tai reagointi- ja toipumisvaiheita;

b)

toteutetaan luotettavissa finanssiyhteisöjen muodostamissa yhteisöissä;

c)

toteutetaan tietojenvaihtojärjestelyillä, joilla suojellaan jaettujen tietojen mahdollista arkaluonteisuutta ja joita säännellään käytännesäännöillä kunnioittaen kaikilta osin liikesalaisuuksien luottamuksellisuutta ja asetuksen (EU) 2016/679 mukaista henkilötietojen suojaa ja noudattaen kilpailupolitiikkaa koskevia suuntaviivoja.

2.   Edellä olevan 1 kohdan c alakohdan soveltamiseksi tietojenvaihtojärjestelyissä on määriteltävä osallistumisedellytykset ja tarvittaessa vahvistettava yksityiskohtaiset säännöt viranomaisten osallistumisesta ja siitä, missä ominaisuudessa viranomaiset voivat osallistua tietojenvaihtojärjestelyihin, TVT-palveluntarjoajana olevien kolmansien osapuolten osallistumisesta sekä operatiivisista elementeistä, mukaan lukien erityisten tietoteknisten alustojen käyttö.

3.   Finanssiyhteisöjen on ilmoitettava toimivaltaisille viranomaisille osallistumisestaan 1 kohdassa tarkoitettuihin tietojenvaihtojärjestelyihin, kun niiden jäsenyys on vahvistettu, tai tapauksen mukaan jäsenyytensä päättymisestä, kun se tulee voimaan.

VII LUKU

Toimivaltaiset viranomaiset

46 artikla

Toimivaltaiset viranomaiset

Rajoittamatta tämän asetuksen V luvun II jaksossa tarkoitetun kriittisiin TVT-palveluntarjoajana oleviin kolmansiin osapuoliin sovellettavan valvontakehyksen säännösten soveltamista seuraavien toimivaltaisten viranomaisten on varmistettava tässä asetuksessa säädettyjen velvoitteiden noudattaminen asiaa koskevissa säädöksissä annettujen valtuuksien mukaisesti:

a)

luottolaitosten ja direktiivin 2013/36/EU nojalla vapautettujen laitosten osalta kyseisen direktiivin 4 artiklan mukaisesti nimetty toimivaltainen viranomainen ja niiden luottolaitosten osalta, jotka on asetuksen (EU) N:o 1024/2013 6 artiklan 4 kohdan mukaisesti luokiteltu merkittäviksi, EKP kyseisessä asetuksessa määritellyn toimivallan ja tehtävien mukaisesti;

b)

maksulaitosten, mukaan lukien direktiivin (EU) 2015/2366 perusteella vapautettujen maksulaitosten, sähköisen rahan liikkeeseenlaskijalaitosten, mukaan lukien direktiivin 2009/110/EY perusteella vapautettujen sähköisen rahan liikkeeseenlaskijalaitosten, ja direktiivin (EU) 2015/2366 33 artiklan 1 kohdassa tarkoitettujen tilitietopalvelun tarjoajien osalta direktiivin (EU) 2015/2366 22 artiklan mukaisesti nimetty toimivaltainen viranomainen;

c)

sijoituspalveluyritysten osalta Euroopan parlamentin ja neuvoston direktiivin (EU) 2019/2034 (38) 4 artiklan mukaisesti nimetty toimivaltainen viranomainen;

d)

kryptovarojen markkinoita koskevan asetuksen perusteella hyväksyttyjen kryptovarapalvelun tarjoajien ja referenssivaratokenien liikkeeseenlaskijoiden osalta kyseisen asetuksen asiaankuuluvien säännösten mukaisesti nimetty toimivaltainen viranomainen;

e)

arvopaperikeskusten osalta asetuksen (EU) N:o 909/2014 11 artiklan mukaisesti nimetty toimivaltainen viranomainen;

f)

keskusvastapuolten osalta asetuksen (EU) N:o 648/2012 22 artiklan mukaisesti nimetty toimivaltainen viranomainen;

g)

kauppapaikkojen osalta direktiivin 2014/65/EU 67 artiklan mukaisesti nimetty toimivaltainen viranomainen ja raportointipalvelujen tarjoajien osalta asetuksen (EU) N:o 600/2014 2 artiklan 1 kohdan 18 alakohdassa määritelty toimivaltainen viranomainen;

h)

kauppatietorekistereiden osalta asetuksen (EU) N:o 648/2012 22 artiklan mukaisesti nimetty toimivaltainen viranomainen;

i)

vaihtoehtoisten sijoitusrahastojen hoitajien osalta direktiivin 2011/61/EU 44 artiklan mukaisesti nimetty toimivaltainen viranomainen;

j)

rahastoyhtiöiden osalta direktiivin 2009/65/EY 97 artiklan mukaisesti nimetty toimivaltainen viranomainen;

k)

vakuutus- ja jälleenvakuutusyritysten osalta direktiivin 2009/138/EY 30 artiklan mukaisesti nimetty toimivaltainen viranomainen;

l)

vakuutus- ja jälleenvakuutusedustajien sekä sivutoimisten vakuutusedustajien osalta direktiivin (EU) 2016/97 12 artiklan mukaisesti nimetty toimivaltainen viranomainen;

m)

ammatillisia lisäeläkkeitä tarjoavien laitosten osalta direktiivin (EU) 2016/2341 47 artiklan mukaisesti nimetty toimivaltainen viranomainen;

n)

luottoluokituslaitosten osalta asetuksen (EY) N:o 1060/2009 21 artiklan mukaisesti nimetty toimivaltainen viranomainen;

o)

kriittisten vertailuarvojen hallinnoijien osalta asetuksen (EU) 2016/1011 40 ja 41 artiklan mukaisesti nimetty toimivaltainen viranomainen;

p)

joukkorahoituspalvelun tarjoajien osalta asetuksen (EU) 2020/1503 29 artiklan mukaisesti nimetty toimivaltainen viranomainen;

q)

arvopaperistamisrekistereiden osalta asetuksen (EU) 2017/2402 10 artiklan ja 14 artiklan 1 kohdan mukaisesti nimetty toimivaltainen viranomainen.

47 artikla

Yhteistyö direktiivillä (EU) 2022/2555 perustettujen rakenteiden ja viranomaisten kanssa

1.   Jotta voitaisiin edistää yhteistyötä ja mahdollistaa valvontaa koskevien tietojen vaihto tämän asetuksen nojalla nimettyjen toimivaltaisten viranomaisten ja direktiivin (EU) 2022/2555 14 artiklalla perustetun yhteistyöryhmän välillä, Euroopan valvontaviranomaiset ja toimivaltaiset viranomaiset voivat osallistua yhteistyöryhmän toimintaan asioissa, jotka koskevat niiden valvontatoimia finanssilaitosten osalta. Euroopan valvontaviranomaiset ja toimivaltaiset viranomaiset voivat pyytää, että ne kutsutaan osallistumaan yhteistyöryhmän toimintaan asioissa, jotka koskevat keskeisiä tai tärkeitä toimijoita, joihin sovelletaan direktiiviä (EU) 2022/2555 ja jotka on myös nimetty tämän asetuksen 31 artiklan mukaisesti kriittisiksi TVT-palveluntarjoajana oleviksi kolmansiksi osapuoliksi.

2.   Toimivaltaiset viranomaiset voivat tarvittaessa kuulla direktiivin (EU) 2022/2555 mukaisesti nimettyjä tai perustettuja keskitettyjä yhteyspisteitä ja CSIRT-yksiköitä sekä vaihtaa tietoja niiden kanssa.

3.   Toimivaltaiset viranomaiset voivat tarvittaessa pyytää asiaankuuluvaa teknistä neuvontaa ja apua direktiivin (EU) 2022/2555 mukaisesti nimetyiltä tai perustetuilta toimivaltaisilta viranomaisilta ja sopia yhteistyöjärjestelyistä, joiden perusteella voidaan ottaa käyttöön tehokkaita ja nopeaan reagointiin pystyviä koordinointimekanismeja.

4.   Tämän artiklan 3 kohdassa tarkoitetuissa järjestelyissä voidaan muun muassa täsmentää koordinointimenettelyt valvontatoimille, jotka koskevat tämän asetuksen 31 artiklan nojalla kriittisiksi TVT-palveluntarjoajana oleviksi kolmansiksi osapuoliksi nimettyjä keskeisiä tai tärkeitä toimijoita, joihin sovelletaan direktiiviä (EU) 2022/2555, mukaan lukien menettelyt tutkimusten ja paikalla suoritettavien tarkastusten suorittamiseen kansallisen lainsäädännön mukaisesti sekä menettelyt tämän asetuksen mukaisten toimivaltaisten viranomaisten ja kyseisen direktiivin mukaisesti nimettyjen tai perustettujen toimivaltaisten viranomaisten välisen tiedonvaihdon mekanismeille, mihin sisältyy myös oikeus saada käyttöön viimeksi mainittujen viranomaisten pyytämät tiedot.

48 artikla

Viranomaisten välinen yhteistyö

1.   Toimivaltaiset viranomaiset tekevät läheistä yhteistyötä keskenään ja tarvittaessa päävalvojan kanssa.

2.   Toimivaltaiset viranomaiset ja päävalvoja vaihtavat hyvissä ajoin keskenään kaikkia kriittisiä TVT-palveluntarjoajana olevia kolmansia osapuolia koskevia asiaankuuluvia tietoja, joita ne tarvitsevat hoitaakseen tämän asetuksen mukaiset tehtävänsä, erityisesti tietoja päävalvojan valvontatehtävien yhteydessä määritellyistä riskeistä, toimintatavoista ja toimenpiteistä.

49 artikla

Finanssialan sektorien väliset harjoitukset, viestintä ja yhteistyö

1.   Euroopan valvontaviranomaiset voivat yhteiskomitean välityksellä ja yhteistyössä toimivaltaisten viranomaisten, direktiivin 2014/59/EU 3 artiklassa tarkoitettujen kriisinratkaisuviranomaisten, EKP:n, asetuksen (EU) N:o 806/2014 soveltamisalaan kuuluviin yhteisöihin liittyvien tietojen osalta yhteisen kriisinratkaisuneuvoston, EJRK:n ja ENISAn kanssa ottaa tarvittaessa käyttöön mekanismeja, joiden avulla voidaan jakaa toimivia käytäntöjä finanssialan eri sektoreiden välillä tilannetietoisuuden parantamiseksi ja yhteisten kyberhaavoittuvuuksien ja -riskien tunnistamiseksi eri sektoreilla.

Ne voivat kehittää kriisinhallinta- ja valmiusharjoituksia, joihin sisältyy kyberhyökkäysskenaarioita, jotta voidaan kehittää viestintäkanavia ja asteittain mahdollistaa toimiva koordinoitu reagointi unionin tasolla, jos ilmenee laajavaikutteinen rajatylittävä TVT:hen liittyvä poikkeama tai siihen liittyvä uhka, jolla on järjestelmävaikutuksia unionin finanssialaan kokonaisuutena.

Kyseisillä harjoituksilla voidaan tarvittaessa testata myös finanssialan riippuvuutta muista talouden aloista.

2.   Toimivaltaisten viranomaisten, Euroopan valvontaviranomaisten ja EKP:n on tehtävä tiivistä yhteistyötä keskenään ja vaihdettava tietoja suorittaakseen 47–54 artiklassa säädetyt tehtävänsä. Niiden on koordinoitava tiiviisti valvontatoimiaan havaitakseen ja korjatakseen tämän asetuksen rikkomiset, kehittääkseen ja edistääkseen parhaita käytäntöjä, helpottaakseen yhteistyötä, parantaakseen tulkinnan johdonmukaisuutta ja antaakseen toisia oikeudenkäyttöalueita koskevia arviointeja erimielisyystilanteissa.

50 artikla

Hallinnolliset seuraamukset ja korjaavat toimenpiteet

1.   Toimivaltaisilla viranomaisilla on oltava kaikki tämän asetuksen mukaisten tehtäviensä hoitamiseen tarvittavat valtuudet valvoa, tutkia ja määrätä seuraamuksia.

2.   Edellä 1 kohdassa tarkoitettuihin valtuuksiin on kuuluttava ainakin seuraavat valtuudet:

a)

saada tutustua kaikkiin sellaisiin missä tahansa muodossa oleviin asiakirjoihin tai muuhun dataan, joilla toimivaltainen viranomainen katsoo olevan merkitystä tehtäviensä suorittamisen kannalta, ja oikeus saada tai ottaa jäljennös niistä;

b)

suorittaa paikalla tehtäviä tarkastuksia tai tutkimuksia, joiden yhteydessä voidaan muun muassa

i)

pyytää finanssiyhteisöjen edustajilta suullisia tai kirjallisia selvityksiä tutkimuksen kohteeseen ja tarkoitukseen liittyvistä tosiseikoista tai asiakirjoista ja tallentaa vastaukset;

ii)

haastatella ketä tahansa muuta haastatteluun suostuvaa luonnollista henkilöä tai oikeushenkilöä tutkimuksen kohteeseen liittyvien tietojen keräämiseksi;

c)

vaatia oikaisevia ja korjaavia toimenpiteitä, jos tämän asetuksen vaatimuksia rikotaan.

3.   Jäsenvaltioiden on vahvistettava säännöt, jotka koskevat tämän asetuksen rikkomiseen liittyviä asianmukaisia hallinnollisia seuraamuksia ja korjaavia toimenpiteitä, ja varmistettava niiden tehokas täytäntöönpano, sanotun kuitenkaan rajoittamatta jäsenvaltioiden oikeutta määrätä rikosoikeudellisia seuraamuksia 52 artiklan mukaisesti.

Kyseisten seuraamusten ja toimenpiteiden on oltava tehokkaita, oikeasuhteisia ja varoittavia.

4.   Jäsenvaltioiden on annettava tämän asetuksen rikkomistapauksissa toimivaltaisille viranomaisille valtuudet soveltaa ainakin seuraavia hallinnollisia seuraamuksia tai korjaavia toimenpiteitä:

a)

antaa määräys, jossa kyseessä olevaa luonnollista henkilöä tai oikeushenkilöä vaaditaan lopettamaan tämän asetuksen vastainen toiminta ja pidättäytymään toistamasta kyseistä toimintaa;

b)

vaatia sellaisen käytännön tai menettelytavan tilapäistä tai pysyvää lopettamista, jonka toimivaltainen viranomainen katsoo olevan ristiriidassa tämän asetuksen säännösten kanssa, ja estää kyseisen käytännön tai menettelytavan toistuminen;

c)

ottaa käyttöön minkä tahansa tyyppisiä toimenpiteitä, myös taloudellisia, sen varmistamiseksi, että finanssiyhteisöt jatkavat lakisääteisten vaatimusten noudattamista;

d)

vaatia, siinä määrin kuin se sallitaan kansallisessa lainsäädännössä, teleoperaattorin hallussa olevia dataliikennetietoja, jos voidaan perustellusti epäillä tämän asetuksen rikkomista ja jos tällaiset tiedot voivat olla merkityksellisiä tämän asetuksen rikkomista koskevan tutkinnan kannalta; ja

e)

antaa julkisia ilmoituksia, mukaan lukien julkiset lausumat, joissa ilmoitetaan luonnollisen henkilön tai oikeushenkilön henkilöllisyys ja rikkomisen luonne.

5.   Jos 2 kohdan c alakohtaa ja 4 kohtaa sovelletaan oikeushenkilöihin, jäsenvaltioiden on annettava toimivaltaisille viranomaisille toimivalta soveltaa kansallisessa lainsäädännössä säädetyin edellytyksin hallinnollisia seuraamuksia ja korjaavia toimenpiteitä ylimmän hallintoelimen jäseniin ja muihin luonnollisiin henkilöihin, jotka ovat kansallisen lainsäädännön mukaan vastuussa rikkomisesta.

6.   Jäsenvaltioiden on varmistettava, että kaikki päätökset, joilla määrätään 2 kohdan c alakohdassa säädettyjä hallinnollisia seuraamuksia tai korjaavia toimenpiteitä, ovat asianmukaisesti perusteltuja ja että niihin voidaan hakea muutosta.

51 artikla

Hallinnollisten seuraamusten ja korjaavien toimenpiteiden määräämisvaltuuksien käyttö

1.   Toimivaltaisten viranomaisten on käytettävä valtuuksiaan määrätä 50 artiklassa tarkoitettuja hallinnollisia seuraamuksia ja korjaavia toimenpiteitä kansallisen oikeudellisen kehyksensä mukaisesti tapauksen mukaan

a)

suoraan;

b)

yhteistyössä muiden viranomaisten kanssa;

c)

omalla vastuullaan antamalla valtuudet muille viranomaisille; tai

d)

saattamalla asia toimivaltaisten oikeusviranomaisten käsiteltäväksi.

2.   Kun toimivaltaiset viranomaiset määrittävät 50 artiklan mukaisesti määrättävän hallinnollisen seuraamuksen tai korjaavan toimenpiteen tyyppiä ja tasoa, niiden on otettava huomioon, missä määrin rikkominen on tahallinen tai tuottamuksellinen, ja kaikki muut asiaan vaikuttavat olosuhteet, mukaan lukien tapauksen mukaan seuraavat:

a)

rikkomisen olennaisuus, vakavuus ja kesto;

b)

rikkomuksesta vastuussa olevan luonnollisen henkilön tai oikeushenkilön vastuun aste;

c)

vastuussa olevan luonnollisen henkilön tai oikeushenkilön taloudellinen vahvuus;

d)

vastuussa olevan luonnollisen henkilön tai oikeushenkilön saamien voittojen tai näiden välttämien tappioiden suuruus, jos ne ovat määritettävissä;

e)

rikkomisen kolmansille osapuolille aiheuttamat tappiot, jos ne ovat määritettävissä;

f)

se, missä määrin vastuussa oleva luonnollinen henkilö tai oikeushenkilö on tehnyt yhteistyötä toimivaltaisen viranomaisen kanssa, sanotun kuitenkaan rajoittamatta tarvetta varmistaa, että kyseinen luonnollinen henkilö tai oikeushenkilö joutuu luopumaan saamistaan voitoista tai välttämistään tappioista;

g)

vastuussa olevan luonnollisen henkilön tai oikeushenkilön aiempi syyllistyminen rikkomiseen.

52 artikla

Rikosoikeudelliset seuraamukset

1.   Jäsenvaltiot voivat päättää, että ne eivät säädä hallinnollisia seuraamuksia tai korjaavia toimenpiteitä koskevia sääntöjä sellaisten rikkomisten osalta, joihin sovelletaan niiden kansallisen lainsäädännön mukaisia rikosoikeudellisia seuraamuksia.

2.   Jos jäsenvaltiot ovat päättäneet säätää rikosoikeudellisista seuraamuksista tämän asetuksen rikkomisesta, niiden on varmistettava, että on toteutettu asianmukaiset toimenpiteet, jotta toimivaltaisilla viranomaisilla on kaikki tarvittavat valtuudet olla yhteydessä oikeus- ja syyttäjäviranomaisiin tai rikosoikeusviranomaisiin niiden lainkäyttöalueella vastaanottaakseen tietoja rikosoikeudellisista tutkimuksista tai menettelyistä, jotka on käynnistetty tämän asetuksen rikkomisen vuoksi, ja antaakseen samat tiedot muille toimivaltaisille viranomaisille sekä EPV:lle, ESMAlle tai EIOPAlle, jotta ne voivat täyttää yhteistyövelvoitteensa tätä asetusta sovellettaessa.

53 artikla

Ilmoitusvelvollisuudet

Jäsenvaltioiden on ilmoitettava viimeistään 17 päivänä tammikuuta 2025 komissiolle, ESMAlle, EPV:lle ja EIOPAlle tämän luvun täytäntöönpanoa koskevat lakinsa, asetuksensa ja hallinnolliset määräyksensä, mukaan lukien asiaa koskevat rikosoikeudelliset säännökset. Jäsenvaltioiden on ilman aiheetonta viivästystä ilmoitettava komissiolle, ESMAlle, EPV:lle ja EIOPAlle myöhemmistä muutoksista kyseisiin säännöksiin.

54 artikla

Hallinnollisten seuraamusten julkaiseminen

1.   Toimivaltaisten viranomaisten on julkaistava virallisilla verkkosivustoillaan ilman aiheetonta viivytystä kaikki hallinnollisen seuraamuksen määräämistä koskevat päätökset, joihin ei voi hakea muutosta, sen jälkeen, kun kyseinen päätös on annettu tiedoksi seuraamuksen kohteena olevalle henkilölle.

2.   Edellä 1 kohdassa tarkoitetun julkaisemisen on sisällettävä tiedot rikkomisen tyypistä ja luonteesta, tiedot vastuussa olevista henkilöistä sekä määrätyt seuraamukset.

3.   Jos toimivaltainen viranomainen tapauskohtaisen arvioinnin perusteella katsoo, että oikeushenkilöiden henkilöllisyyden tai luonnollisten henkilöiden henkilöllisyyden ja henkilötietojen julkaiseminen olisi kohtuutonta, mukaan lukien henkilötietojen suojaan liittyvät riskit, tai vaarantaisi finanssimarkkinoiden vakauden tai meneillään olevan rikostutkinnan tai aiheuttaisi asianomaiselle henkilölle kohtuutonta vahinkoa sikäli kuin vahinko on arvioitavissa, sen on valittava hallinnollisen seuraamuksen määräämistä koskevan päätöksen suhteen jokin seuraavista ratkaisuista:

a)

julkaisemisen lykkääminen siihen saakka, kunnes julkaisematta jättämiseen ei enää ole mitään syytä;

b)

julkaiseminen ilman nimiä kansallista lainsäädäntöä noudattaen; tai

c)

julkaisemisesta pidättyminen, jos a ja b alakohdassa esitetyt vaihtoehdot katsotaan joko riittämättömiksi takaamaan, ettei finanssimarkkinoiden vakaudelle aiheudu vaaraa, tai jos tällainen julkaiseminen ei olisi oikeassa suhteessa määrätyn seuraamuksen lievyyteen.

4.   Jos kyseessä on päätös julkaista hallinnollinen seuraamus 3 kohdan b alakohdan mukaisesti ilman nimiä, kyseiset tiedot voidaan julkaista myöhemmin.

5.   Jos toimivaltainen viranomainen julkaisee hallinnollisen seuraamuksen määräämistä koskevan päätöksen, johon haetaan muutosta asianomaisilta oikeusviranomaisilta, toimivaltaisten viranomaisten on välittömästi lisättävä viralliselle verkkosivustolleen tämä tieto ja myöhemmissä vaiheissa kaikki myöhemmät asiaan liittyvät tiedot tällaisen muutoksenhaun lopputuloksesta. Lisäksi on julkaistava kaikki tuomioistuimen päätökset, joilla kumotaan hallinnollisen seuraamuksen määräämistä koskeva päätös.

6.   Toimivaltaisten viranomaisten on varmistettava, että 1–4 kohdassa tarkoitetut julkaistut tiedot pysyvät niiden virallisella verkkosivustolla vain sen ajan, joka on tarpeen tämän artiklan tarkoituksen täyttämiseksi. Kyseinen ajanjakso saa olla korkeintaan viisi vuotta tietojen julkaisemisesta.

55 artikla

Salassapitovelvollisuus

1.   Tämän asetuksen nojalla saatuja, vaihdettuja tai toimitettuja luottamuksellisia tietoja koskee 2 kohdassa säädetty salassapitovelvollisuus.

2.   Salassapitovelvollisuutta sovelletaan kaikkiin, jotka tämän asetuksen nojalla työskentelevät tai ovat työskennelleet toimivaltaisen viranomaisen tai sellaisten viranomaisten tai markkinoilla toimivien yritysten tai luonnollisen henkilön tai oikeushenkilön palveluksessa, joille toimivaltaiset viranomaiset ovat siirtäneet valtuuksiaan, mukaan lukien niiden kanssa sopimuksen tehneet auditoijat ja asiantuntijat.

3.   Salassapitovelvollisuuden piiriin kuuluvaa tietoa, mukaan lukien tämän asetuksen mukaisten toimivaltaisten viranomaisten ja direktiivin (EU) 2022/2555 mukaisesti nimettyjen tai perustettujen toimivaltaisten viranomaisten välinen tiedonvaihto, ei saa ilmaista toiselle henkilölle eikä toiselle viranomaiselle, jollei unionin oikeudessa tai kansallisessa lainsäädännössä toisin säädetä.

4.   Kaikki toimivaltaisten viranomaisten välillä tämän asetuksen nojalla vaihdetut tiedot, jotka koskevat liiketoiminta- tai toimintaolosuhteita ja muita taloudellisia tai henkilökohtaisia asioita, on katsottava luottamuksellisiksi ja niihin on sovellettava salassapitovelvollisuutta koskevia vaatimuksia, paitsi jos toimivaltainen viranomainen ilmoittaa tietoja toimittaessaan, että tällaiset tiedot saa luovuttaa, tai jos niiden luovuttaminen on tarpeen oikeudenkäyntiä varten.

56 artikla

Tietosuoja

1.   Euroopan valvontaviranomaisilla ja toimivaltaisilla viranomaisilla on lupa käsitellä henkilötietoja vain siltä osin, mikä on tarpeen niille tämän asetuksen nojalla kuuluvien velvoitteiden ja tehtävien täyttämiseksi erityisesti tutkintojen, tarkastusten, tietopyyntöjen, viestinnän, tietojen julkistamisen, arviointien, todentamisten, arvioinnin ja valvontasuunnitelmien laatimisen yhteydessä. Henkilötietoja on käsiteltävä tapauksen mukaan asetuksen (EU) 2016/679 tai asetuksen (EU) 2018/1725 mukaisesti.

2.   Jollei muissa alakohtaisissa säädöksissä toisin säädetä, 1 kohdassa tarkoitettuja henkilötietoja säilytetään siihen saakka, kunnes sovellettavat valvontatehtävät on suoritettu, ja joka tapauksessa enintään 15 vuoden ajan, ellei vireillä ole tuomioistuinkäsittelyä, joka edellyttää tällaisten tietojen säilyttämistä tuota pidemmän ajan.

VIII LUKU

Delegoidut säädökset

57 artikla

Siirretyn säädösvallan käyttäminen

1.   Komissiolle siirrettyä valtaa antaa delegoituja säädöksiä koskevat tässä artiklassa säädetyt edellytykset.

2.   Siirretään komissiolle 17 päivästä tammikuuta 2024 viiden vuoden ajaksi 31 artiklan 6 kohdassa ja 43 artiklan 2 kohdassa tarkoitettu valta antaa delegoituja säädöksiä. Komissio laatii siirrettyä säädösvaltaa koskevan kertomuksen viimeistään yhdeksän kuukautta ennen tämän viiden vuoden kauden päättymistä. Säädösvallan siirtoa jatketaan ilman eri toimenpiteitä samanpituisiksi kausiksi, jollei Euroopan parlamentti tai neuvosto vastusta tällaista jatkamista viimeistään kolme kuukautta ennen kunkin kauden päättymistä.

3.   Euroopan parlamentti tai neuvosto voi milloin tahansa peruuttaa 31 artiklan 6 kohdassa ja 43 artiklan 2 kohdassa tarkoitetun säädösvallan siirron. Peruuttamispäätöksellä lopetetaan tuossa päätöksessä mainittu säädösvallan siirto. Peruuttaminen tulee voimaan sitä päivää seuraavana päivänä, jona sitä koskeva päätös julkaistaan Euroopan unionin virallisessa lehdessä, tai jonakin myöhempänä, kyseisessä päätöksessä mainittuna päivänä. Peruuttamispäätös ei vaikuta jo voimassa olevien delegoitujen säädösten pätevyyteen.

4.   Ennen kuin komissio hyväksyy delegoidun säädöksen, se kuulee kunkin jäsenvaltion nimeämiä asiantuntijoita paremmasta lainsäädännöstä 13 päivänä huhtikuuta 2016 tehdyssä toimielinten välisessä sopimuksessa vahvistettujen periaatteiden mukaisesti.

5.   Heti kun komissio on antanut delegoidun säädöksen, komissio antaa sen tiedoksi yhtäaikaisesti Euroopan parlamentille ja neuvostolle.

6.   Edellä olevien 31 artiklan 6 kohdan ja 43 artiklan 2 kohdan nojalla annettu delegoitu säädös tulee voimaan ainoastaan, jos Euroopan parlamentti tai neuvosto ei ole kolmen kuukauden kuluessa siitä, kun asianomainen säädös on annettu tiedoksi Euroopan parlamentille ja neuvostolle, ilmaissut vastustavansa sitä tai jos sekä Euroopan parlamentti että neuvosto ovat ennen mainitun määräajan päättymistä ilmoittaneet komissiolle, että ne eivät vastusta säädöstä. Euroopan parlamentin tai neuvoston aloitteesta tätä määräaikaa jatketaan kolmella kuukaudella.

IX LUKU

Siirtymä- ja loppusäännökset

I jakso

58 artikla

Uudelleentarkastelulauseke

1.   Komissio toteuttaa, tarvittaessa Euroopan valvontaviranomaisia ja EJRK:ta kuultuaan, viimeistään 17 päivänä tammikuuta 2028 uudelleentarkastelun ja toimittaa Euroopan parlamentille ja neuvostolle kertomuksen, tarvittaessa yhdessä lainsäädäntöehdotuksen kanssa. Uudelleentarkastelun on katettava vähintään seuraavat osa-alueet:

a)

kriteerit, joiden perusteella kriittiset TVT-palveluntarjoajana olevat kolmannet osapuolet nimetään 31 artiklan 2 kohdan mukaisesti;

b)

edellä 19 artiklassa tarkoitetun merkittävistä kyberuhkista ilmoittamisen vapaaehtoisuus;

c)

edellä 31 artiklan 12 kohdassa tarkoitettu järjestelmä ja 35 artiklan 1 kohdan d alakohdan iv alakohdan ensimmäisessä luetelmakohdassa säädetty päävalvojan toimivalta, tarkoituksena arvioida kyseisten säännösten vaikuttavuutta sen osalta, mikä koskee kolmansiin maihin sijoittautuneiden, kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten tehokkaan valvonnan varmistamista ja tarvetta perustaa tytäryhtiö unionin alueelle.

Uudelleentarkastelun on tämän alakohdan ensimmäisen alakohdan soveltamiseksi sisällettävä analyysi 31 artiklan 12 kohdassa tarkoitetusta järjestelmästä, mukaan lukien ehdot unionin finanssiyhteisöjen pääsylle kolmansista maista käsin tarjottavien palvelujen piiriin ja tällaisten palvelujen saatavuus unionin markkinoilla, ja uudelleentarkastelussa on otettava huomioon kehitys tämän asetuksen soveltamisalaan kuuluvien palvelujen markkinoilla, finanssiyhteisöjen käytännön kokemukset kyseisen järjestelmän soveltamisesta ja finanssivalvojien käytännön kokemukset sen valvonnasta sekä mahdollinen kansainvälisen tason kehitys sääntelyn ja valvonnan alalla;

d)

sen aiheellisuus, että tämän asetuksen soveltamisalaan luetaan 2 artiklan 3 kohdan e alakohdassa tarkoitetut finanssiyhteisöt, jotka käyttävät automatisoituja myyntijärjestelmiä, tällaisten järjestelmien käytön tulevan markkinakehityksen kannalta;

e)

yhteisen valvontaverkoston toiminta ja tehokkuus valvonnan johdonmukaisuuden tukemisessa ja tietojenvaihdon tehokkuus valvontakehyksessä.

2.   Komissio arvioi direktiivin (EU) 2015/2366 uudelleentarkastelun yhteydessä tarvetta vahvistaa maksujärjestelmien ja maksunkäsittelytoimintojen häiriönsietokykyä kyberuhkien varalta sekä sitä, onko aiheellista laajentaa tämän asetuksen soveltamisala koskemaan maksujärjestelmien ylläpitäjiä ja maksunkäsittelytoimintojen alalla toimivia yhteisöjä. Komissio antaa tämän arvioinnin pohjalta osana direktiivin (EU) 2015/2366 uudelleentarkastelua kertomuksen Euroopan parlamentille ja neuvostolle viimeistään 17 päivänä heinäkuuta 2023.

Komissio voi kyseisen uudelleentarkastelukertomuksen pohjalta ja Euroopan valvontaviranomaisia, EKP:tä ja EJRK:ta kuultuaan antaa tarvittaessa ja osana säädösehdotusta, jonka se voi antaa direktiivin (EU) 2015/2366 108 artiklan toisen kohdan mukaisesti, ehdotuksen sen varmistamiseksi, että kaikki maksujärjestelmien ylläpitäjät ja maksunkäsittelytoimintojen alalla toimivat yhteisöt kuuluvat asianmukaisen valvonnan piiriin, ottaen samalla huomioon olemassa olevan keskuspankin suorittaman valvonnan.

3.   Komissio toteuttaa Euroopan valvontaviranomaisia ja Euroopan tilintarkastajien valvontaelinten komiteaa kuultuaan viimeistään 17 päivänä tammikuuta 2026 uudelleentarkastelun ja toimittaa Euroopan parlamentille ja neuvostolle kertomuksen, tarvittaessa yhdessä lainsäädäntöehdotuksen kanssa, sen aiheellisuudesta, että lakisääteisiä tilintarkastajia ja tilintarkastusyrityksiä koskevia vaatimuksia tiukennetaan digitaalisen häiriönsietokyvyn osalta sisällyttämällä lakisääteiset tilintarkastajat ja tilintarkastusyritykset tämän asetuksen soveltamisalaan tai muuttamalla Euroopan parlamentin ja neuvoston direktiiviä 2006/43/EY (39).

II jakso

Muutokset

59 artikla

Asetuksen (EY) N:o 1060/2009 muuttaminen

Muutetaan asetus (EY) N:o 1060/2009 seuraavasti:

1)

korvataan liitteessä I olevan A jakson 4 kohdan ensimmäinen alakohta seuraavasti:

”Luottoluokituslaitoksella on oltava moitteettomat hallinto- ja kirjanpitomenettelyt, omat sisäiset valvontamekanismit, tehokkaat riskinarviointimenettelyt sekä tehokkaat valvonta- ja turvajärjestelyt, jotta se voi hallinnoida tieto- ja viestintäteknisiä järjestelmiä Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/2554 (*1) mukaisesti.

(*1)  Euroopan parlamentin ja neuvoston asetus (EU) 2022/2554, annettu 14 päivänä joulukuuta 2022, finanssialan digitaalisesta häiriönsietokyvystä ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014, (EU) N:o 909/2014 ja (EU) 2016/1011 muuttamisesta (EUVL L 333, 27.12.2022, s. 1).”;"

2)

korvataan liitteessä III oleva 12 kohta seuraavasti:

”12.

Luottoluokituslaitos rikkoo 6 artiklan 2 kohtaa yhdessä liitteessä I olevan A jakson 4 kohdan kanssa siten, että sillä ei ole moitteettomia hallinto- tai kirjanpitomenettelyjä, omia sisäisiä valvontamekanismeja, tehokkaita riskinarviointimenettelyjä tai tehokkaita valvonta- ja turvajärjestelyjä, jotta se voi hallinnoida tieto- ja viestintäteknisiä järjestelmiä asetuksen (EU) 2022/2554 mukaisesti, tai siten, että se ei sovella tai ylläpidä kyseisessä kohdassa vaadittuja päätöksentekomenettelyjä tai organisaatiorakenteita.”

60 artikla

Asetuksen (EU) N:o 648/2012 muuttaminen

Muutetaan asetus (EU) N:o 648/2012 seuraavasti:

1)

muutetaan 26 artikla seuraavasti:

a)

korvataan 3 kohta seuraavasti:

”3.   Keskusvastapuolen on pidettävä yllä ja käytettävä organisaatiorakennetta, jolla varmistetaan sen palvelujen tarjoamisen ja toiminnan harjoittamisen jatkuvuus ja säännönmukaisuus. Sen on käytettävä tarkoituksenmukaisia ja oikeasuhteisia järjestelmiä, resursseja ja menettelyjä, mukaan lukien Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/2554 (*2) mukaisesti hallinnoidut tieto- ja viestintätekniset järjestelmät.

(*2)  Euroopan parlamentin ja neuvoston asetus (EU) 2022/2554, annettu 14 päivänä joulukuuta 2022, finanssialan digitaalisesta häiriönsietokyvystä ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014, (EU) N:o 909/2014 ja (EU) 2016/1011 muuttamisesta (EUVL L 333, 27.12.2022, s. 1).”;"

b)

kumotaan 6 kohta;

2)

muutetaan 34 artikla seuraavasti:

a)

korvataan 1 kohta seuraavasti:

”1.   Keskusvastapuolen on otettava käyttöön ja pantava täytäntöön asianmukaiset liiketoiminnan jatkuvuutta koskevat toimintaperiaatteet ja palautumissuunnitelma, mukaan lukien asetuksen (EU) 2022/2554 mukaisesti laaditut ja täytäntöön pannut liiketoiminnan jatkuvuutta koskevat tieto- ja viestintätekniset toimintaperiaatteet sekä tieto- ja viestintätekniset -reagointi- ja palautumissuunnitelmat, joiden tavoitteena on varmistaa keskusvastapuolen toimintojen säilyminen, toiminnan nopea palautuminen ja velvollisuuksien täyttäminen, sekä ylläpidettävä kyseisiä suunnitelmia.”;

b)

korvataan 3 kohdan ensimmäinen alakohta seuraavasti:

”3.   Jotta voidaan varmistaa tämän artiklan yhdenmukainen soveltaminen, arvopaperimarkkinaviranomainen laatii EKPJ:n jäseniä kuultuaan luonnoksia teknisiksi sääntelystandardeiksi, joissa yksilöidään tarkemmin toiminnan jatkuvuutta koskevien toimintaperiaatteiden ja palautumissuunnitelman vähimmäissisältö ja vaatimukset, lukuun ottamatta liiketoiminnan jatkuvuutta koskevia tieto- ja viestintäteknisiä toimintaperiaatteita ja palautumissuunnitelmia.”;

3)

korvataan 56 artiklan 3 kohdan ensimmäinen alakohta seuraavasti:

”3.   Jotta voidaan varmistaa tämän artiklan yhdenmukainen soveltaminen, arvopaperimarkkinaviranomainen laatii luonnoksia teknisiksi sääntelystandardeiksi, joissa yksilöidään 1 kohdassa tarkoitetun rekisteröintihakemuksen tiedot lukuun ottamatta tieto- ja viestintätekniseen riskinhallintaan liittyviä vaatimuksia.”;

4)

korvataan 79 artiklan 1 ja 2 kohta seuraavasti:

”1.   Kauppatietorekisterin on tunnistettava operatiivisen riskin lähteet ja minimoitava ne, myös kehittämällä tarkoituksenmukaisia järjestelmiä, tarkastuksia ja menettelyjä, mukaan lukien asetuksen (EU) 2022/2554 mukaisesti hallinnoidut tieto- ja viestintätekniset järjestelmät.

2.   Kauppatietorekisterin on otettava käyttöön ja pantava täytäntöön asianmukaiset liiketoiminnan jatkuvuutta koskevat toimintaperiaatteet ja palautumissuunnitelma, mukaan lukien asetuksen (EU) 2022/2554 mukaisesti vahvistetut liiketoiminnan jatkuvuutta koskevat tieto- ja viestintätekniset toimintaperiaatteet sekä tieto- ja viestintätekniset reagointi- ja palautumissuunnitelmat, joiden tavoitteena on varmistaa kauppatietorekisterin toimintojen säilyminen, toiminnan nopea palautuminen ja velvollisuuksien täyttäminen, sekä ylläpidettävä kyseisiä suunnitelmia.”;

5)

kumotaan 80 artiklan 1 kohta;

6)

muutetaan liitteessä I oleva II jakso seuraavasti:

a)

korvataan a ja b alakohta seuraavasti:

”a)

kauppatietorekisteri rikkoo 79 artiklan 1 kohtaa, koska se ei tunnista operatiivisen riskin lähteitä tai ei minimoi kyseisiä riskejä kehittämällä tarkoituksenmukaisia järjestelmiä, tarkastuksia ja menettelyjä, mukaan lukien asetuksen (EU) 2022/2554 mukaisesti hallinnoidut tieto- ja viestintätekniset järjestelmät;

b)

kauppatietorekisteri rikkoo 79 artiklan 2 kohtaa, koska se ei ole ottanut käyttöön, pannut täytäntöön tai ylläpitänyt asetuksen (EU) 2022/2554 mukaisesti laadittuja asianmukaisia liiketoiminnan jatkuvuutta koskevia toimintaperiaatteita ja palautumissuunnitelmaa, joiden tavoitteena on varmistaa kauppatietorekisterin toimintojen säilyminen, toiminnan nopea palautuminen ja velvollisuuksien täyttäminen;”

b)

kumotaan c alakohta;

7)

muutetaan liite III seuraavasti:

a)

muutetaan II jakso seuraavasti:

i)

korvataan c alakohta seuraavasti:

”c)

toisen tason keskusvastapuoli rikkoo 26 artiklan 3 kohtaa, koska se ei pidä yllä tai ei käytä organisaatiorakennetta, jolla varmistetaan sen palvelujen tarjoamisen ja toiminnan harjoittamisen jatkuvuus ja säännönmukaisuus, tai se ei käytä tarkoituksenmukaisia ja oikeasuhteisia järjestelmiä, resursseja tai menettelyjä, mukaan lukien asetuksen (EU) 2022/2554 mukaisesti hallinnoidut tieto- ja viestintätekniset järjestelmät;”

ii)

kumotaan f alakohta;

b)

korvataan III jakson a alakohta seuraavasti:

”a)

toisen tason keskusvastapuoli rikkoo 34 artiklan 1 kohtaa, koska se ei ota käyttöön, pane täytäntöön tai ylläpidä asetuksen (EU) 2022/2554 mukaisesti vahvistettuja asianmukaisia liiketoiminnan jatkuvuutta koskevia toimintaperiaatteita ja reagointi- ja palautumissuunnitelmaa, joiden tavoitteena on varmistaa sen toimintojen säilyminen, toiminnan nopea palautuminen ja velvollisuuksien täyttäminen ja joiden on mahdollistettava ainakin kaikkien transaktioiden elvyttäminen häiriön aikana, jotta keskusvastapuoli voi jatkaa luotettavasti toimintaansa ja saattaa toimituksen loppuun määräaikaan mennessä;”.

61 artikla

Asetuksen (EU) N:o 909/2014 muuttaminen

Muutetaan asetuksen (EU) N:o 909/2014 45 artikla seuraavasti:

1)

korvataan 1 kohta seuraavasti:

”1.   Arvopaperikeskuksen on tunnistettava operatiivisen riskin lähteet – niin ulkoiset kuin sisäiset – ja minimoitava niiden vaikutus käyttämällä tarkoituksenmukaisia Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/2554 (*3) mukaisesti luotuja ja hallinnoituja tieto- ja viestintäteknisiä välineitä, prosesseja ja periaatteita sekä muita tarkoituksenmukaisia välineitä, tarkastuksia ja menettelyjä muuntyyppisten operatiivisten riskien varalta, myös kaikkien ylläpitämiensä arvopapereiden selvitysjärjestelmien osalta.

(*3)  Euroopan parlamentin ja neuvoston asetus (EU) 2022/2554, annettu 14 päivänä joulukuuta 2022, finanssialan digitaalisesta häiriönsietokyvystä ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014, (EU) N:o 909/2014 ja (EU) 2016/1011 muuttamisesta (EUVL L 333, 27.12.2022, s. 1).”;"

2)

kumotaan 2 kohta;

3)

korvataan 3 ja 4 kohta seuraavasti:

”3.   Arvopaperikeskuksen on tarjoamiensa palvelujen sekä kunkin ylläpitämänsä arvopapereiden selvitysjärjestelmän osalta otettava käyttöön ja pantava täytäntöön asianmukaiset liiketoiminnan jatkuvuutta koskevat toimintaperiaatteet ja palautumissuunnitelma, mukaan lukien asetuksen (EU) 2022/2554 mukaisesti vahvistetut liiketoiminnan jatkuvuutta koskevat tieto- ja viestintätekniset toimintaperiaatteet sekä tieto- ja viestintätekniset reagointi- ja palautumissuunnitelmat, joiden tavoitteena on varmistaa arvopaperikeskuksen toimintojen säilyminen, toiminnan nopea palautuminen ja velvollisuuksien täyttäminen, jos jokin tapahtuma vakavasti vaarantaa toiminnan jatkuvuuden, sekä ylläpidettävä kyseisiä toimintaperiaatteita ja suunnitelmia.

4.   Edellä 3 kohdassa tarkoitetun suunnitelman on mahdollistettava kaikkien tapahtumien ja osallistujien positioiden palauttaminen häiriön tapahtuessa muun muassa takaamalla olennaisten tietotekniikkajärjestelmien toiminnan jatkuminen häiriön alettua, kuten asetuksen (EU) 2022/2554 12 artiklan 5 ja 7 kohdassa säädetään, jotta arvopaperikeskuksen osallistujat voivat turvallisesti jatkaa toimintaansa ja saattaa toteutuksen loppuun määräpäivänä.”;

4)

korvataan 6 kohta seuraavasti:

”6.   Arvopaperikeskuksen on tunnistettava riskit, joita sen ylläpitämän arvopapereiden selvitysjärjestelmän keskeisistä osallistujista, palveluntarjoajista, toisista arvopaperikeskuksista ja muista markkinainfrastruktuureista saattaa aiheutua sen toiminnoille, sekä seurattava ja hallittava niitä. Sen on pyynnöstä toimitettava toimivaltaisille viranomaisille ja muille asiaan liittyville viranomaisille tiedot kaikista tällaisista tunnistetuista riskeistä. Sen on myös ilmoitettava toimivaltaiselle viranomaiselle ja muille asiaan liittyville viranomaisille viipymättä toiminnan harjoittamiseen vaikuttavista tapahtumista, jotka johtuvat kyseisistä riskeistä, lukuun ottamatta tieto- ja viestintäteknisiä riskejä.”;

5)

korvataan 7 kohdan ensimmäinen alakohta seuraavasti:

”7.   EAMV laatii tiiviissä yhteistyössä EKPJ:n jäsenten kanssa teknisten sääntelystandardien luonnoksia tarkentaakseen 1 ja 6 kohdassa tarkoitetut operatiiviset riskit, tieto- ja viestintäteknisiä riskejä lukuun ottamatta, sekä menetelmät, joilla kyseisiä riskejä testataan ja käsitellään tai ne minimoidaan, mukaan lukien 3 ja 4 kohdassa tarkoitetut liiketoiminnan jatkuvuutta koskevat toimintaperiaatteet ja palautumissuunnitelmat, sekä käytettävät arviointimenetelmät.”

62 artikla

Asetuksen (EU) N:o 600/2014 muuttaminen

Muutetaan asetus (EU) N:o 600/2014 seuraavasti:

1)

muutetaan 27 g artikla seuraavasti:

a)

korvataan 4 kohta seuraavasti:

”4.

Hyväksytyn julkistamisjärjestelyn on noudatettava Euroopan parlamentin ja neuvoston asetuksessa (EU) 2022/2554 (*4) asetettuja vaatimuksia verkko- ja tietojärjestelmien turvallisuudesta.

(*4)  Euroopan parlamentin ja neuvoston asetus (EU) 2022/2554, annettu 14 päivänä joulukuuta 2022, finanssialan digitaalisesta häiriönsietokyvystä ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014, (EU) N:o 909/2014 ja (EU) 2016/1011 muuttamisesta (EUVL L 333, 27.12.2022, s. 1).”;"

b)

korvataan 8 kohdan c alakohta seuraavasti:

”c)

edellä 3 ja 5 kohdassa asetetut toiminnan järjestämistä koskevat käytännön vaatimukset.”;

2)

muutetaan 27 h artikla seuraavasti:

a)

korvataan 5 kohta seuraavasti:

”5.   Konsolidoitujen kauppatietojen tarjoajan on noudatettava asetuksessa (EU) 2022/2554 asetettuja vaatimuksia verkko- ja tietojärjestelmien turvallisuudesta.”;

b)

korvataan 8 kohdan e alakohta seuraavasti:

”e)

edellä 4 kohdassa asetetut toiminnan järjestämistä koskevat käytännön vaatimukset.”;

3)

muutetaan 27 i artikla seuraavasti:

a)

korvataan 3 kohta seuraavasti:

”3.   Hyväksytyn ilmoitusjärjestelmän on noudatettava asetuksessa (EU) 2022/2554 asetettuja vaatimuksia verkko- ja tietojärjestelmien turvallisuudesta.”;

b)

korvataan 5 kohdan b alakohta seuraavasti:

”b)

edellä 2 ja 4 kohdassa asetetut toiminnan järjestämistä koskevat käytännön vaatimukset.”

63 artikla

Asetuksen (EU) 2016/1011 muuttaminen

Lisätään asetuksen (EU) 2016/1011 6 artiklaan kohta seuraavasti:

”6.

Kriittisten vertailuarvojen osalta hallinnoijalla on oltava moitteettomat hallinto- ja kirjanpitomenettelyt, omat sisäiset valvontamekanismit, tehokkaat riskinarviointimenettelyt sekä tehokkaat valvonta- ja turvajärjestelyt, jotta se voi hallinnoida tieto- ja viestintäteknisiä järjestelmiä Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/2554 (*5) mukaisesti.

64 artikla

Voimaantulo ja soveltaminen

Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Sitä sovelletaan 17 päivästä tammikuuta 2025.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Strasbourgissa 14 päivänä joulukuuta 2022.

Euroopan parlamentin puolesta

Puhemies

R. METSOLA

Neuvoston puolesta

Puheenjohtaja

M. BEK


(1)  EUVL C 343, 26.8.2021, s. 1.

(2)  EUVL C 155, 30.4.2021, s. 38.

(3)  Euroopan parlamentin kanta, vahvistettu 10. marraskuuta 2022 (ei vielä julkaistu virallisessa lehdessä), ja neuvoston päätös, tehty 28. marraskuuta 2022.

(4)  Euroopan parlamentin ja neuvoston asetus (EU) N:o 1093/2010, annettu 24 päivänä marraskuuta 2010, Euroopan valvontaviranomaisen (Euroopan pankkiviranomainen) perustamisesta sekä päätöksen N:o 716/2009/EY muuttamisesta ja komission päätöksen 2009/78/EY kumoamisesta (EUVL L 331, 15.12.2010, s. 12).

(5)  Euroopan parlamentin ja neuvoston asetus (EU) N:o 1094/2010, annettu 24 päivänä marraskuuta 2010, Euroopan valvontaviranomaisen (Euroopan vakuutus- ja lisäeläkeviranomainen) perustamisesta sekä päätöksen N:o 716/2009/EY muuttamisesta ja komission päätöksen 2009/79/EY kumoamisesta (EUVL L 331, 15.12.2010, s. 48).

(6)  Euroopan parlamentin ja neuvoston asetus (EU) N:o 1095/2010, annettu 24 päivänä marraskuuta 2010, Euroopan valvontaviranomaisen (Euroopan arvopaperimarkkinaviranomainen) perustamisesta sekä päätöksen N:o 716/2009/EY muuttamisesta ja komission päätöksen 2009/77/EY kumoamisesta (EUVL L 331, 15.12.2010, s. 84).

(7)  Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/1148, annettu 6 päivänä heinäkuuta 2016, toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa (EUVL L 194, 19.7.2016, s. 1).

(8)  Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555, annettu 14 päivänä joulukuuta 2022, toimenpiteistä yhteisen korkean kyberturvatason varmistamiseksi koko unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 (toinen verkko- ja tietoturvadirektiivi) kumoamisesta (ks. tämän virallisen lehden s. 80)

(9)  Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2557, annettu 14 päivänä joulukuuta 2022, kriittisten toimijoiden häiriönsietokyvystä ja direktiivin 2008/114/EY kumoamisesta (ks. tämän virallisen lehden s. 164).

(10)  Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/2341, annettu 14 päivänä joulukuuta 2016, ammatillisia lisäeläkkeitä tarjoavien laitosten toiminnasta ja valvonnasta (EUVL L 354, 23.12.2016, s. 37).

(11)  Euroopan parlamentin ja neuvoston asetus (EU) 2019/881, annettu 17 päivänä huhtikuuta 2019, Euroopan unionin kyberturvallisuusvirasto ENISAsta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista sekä asetuksen (EU) N:o 526/2013 kumoamisesta (kyberturvallisuusasetus) (EUVL L 151, 7.6.2019, s. 15).

(12)  Euroopan parlamentin ja neuvoston direktiivi (EU) 2015/2366, annettu 25 päivänä marraskuuta 2015, maksupalveluista sisämarkkinoilla, direktiivien 2002/65/EY, 2009/110/EY ja 2013/36/EU ja asetuksen (EU) N:o 1093/2010 muuttamisesta sekä direktiivin 2007/64/EY kumoamisesta (EUVL L 337, 23.12.2015, s. 35).

(13)  Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).

(14)  Euroopan parlamentin ja neuvoston direktiivi 2009/110/EY, annettu 16 päivänä syyskuuta 2009, sähköisen rahan liikkeeseenlaskijalaitosten liiketoiminnan aloittamisesta, harjoittamisesta ja toiminnan vakauden valvonnasta, direktiivien 2005/60/EY ja 2006/48/EY muuttamisesta sekä direktiivin 2000/46/EY kumoamisesta (EUVL L 267, 10.10.2009, s. 7).

(15)  Euroopan parlamentin ja neuvoston direktiivi 2013/36/EU, annettu 26 päivänä kesäkuuta 2013, oikeudesta harjoittaa luottolaitostoimintaa ja luottolaitosten vakavaraisuusvalvonnasta, direktiivin 2002/87/EY muuttamisesta sekä direktiivien 2006/48/EY ja 2006/49/EY kumoamisesta (EUVL L 176, 27.6.2013, s. 338).

(16)  Euroopan parlamentin ja neuvoston direktiivi 2011/61/EU, annettu 8 päivänä kesäkuuta 2011, vaihtoehtoisten sijoitusrahastojen hoitajista ja direktiivin 2003/41/EY ja 2009/65/EY sekä asetuksen (EY) N:o 1060/2009 ja (EU) N:o 1095/2010 muuttamisesta (EUVL L 174, 1.7.2011, s. 1).

(17)  Euroopan parlamentin ja neuvoston direktiivi 2009/138/EY, annettu 25 päivänä marraskuuta 2009, vakuutus- ja jälleenvakuutustoiminnan aloittamisesta ja harjoittamisesta (Solvenssi II) (EUVL L 335, 17.12.2009, s. 1).

(18)  Euroopan parlamentin ja neuvoston direktiivi 2014/65/EU, annettu 15 päivänä toukokuuta 2014, rahoitusvälineiden markkinoista sekä direktiivin 2002/92/EY ja direktiivin 2011/61/EU muuttamisesta (EUVL L 173, 12.6.2014, s. 349).

(19)  Neuvoston asetus (EU) N:o 1024/2013, annettu 15 päivänä lokakuuta 2013, luottolaitosten vakavaraisuusvalvontaan liittyvää politiikkaa koskevien erityistehtävien antamisesta Euroopan keskuspankille (EUVL L 287, 29.10.2013, s. 63).

(20)  Euroopan parlamentin ja neuvoston direktiivi 2014/59/EU, annettu 15 päivänä toukokuuta 2014, luottolaitosten ja sijoituspalveluyritysten elvytys- ja kriisinratkaisukehyksestä sekä neuvoston direktiivin 82/891/ETY, Euroopan parlamentin ja neuvoston direktiivien 2001/24/EY, 2002/47/EY, 2004/25/EY, 2005/56/EY, 2007/36/EY, 2011/35/EU, 2012/30/EU ja 2013/36/EU ja asetusten (EU) N:o 1093/2010 ja (EU) N:o 648/2012 muuttamisesta (EUVL L 173, 12.6.2014, s. 190).

(21)  Euroopan parlamentin ja neuvoston direktiivi 2013/34/EU, annettu 26 päivänä kesäkuuta 2013, tietyntyyppisten yritysten vuositilinpäätöksistä, konsernitilinpäätöksistä ja niihin liittyvistä kertomuksista, Euroopan parlamentin ja neuvoston direktiivin 2006/43/EY muuttamisesta ja neuvoston direktiivien 78/660/ETY ja 83/349/ETY kumoamisesta (EUVL L 182, 29.6.2013, s. 19).

(22)  EUVL L 123, 12.5.2016, s. 1.

(23)  Euroopan parlamentin ja neuvoston asetus (EY) N:o 1060/2009, annettu 16 päivänä syyskuuta 2009, luottoluokituslaitoksista (EUVL L 302, 17.11.2009, s. 1).

(24)  Euroopan parlamentin ja neuvoston asetus (EU) N:o 648/2012, annettu 4 päivänä heinäkuuta 2012, OTC-johdannaisista, keskusvastapuolista ja kauppatietorekistereistä (EUVL L 201, 27.7.2012, s. 1).

(25)  Euroopan parlamentin ja neuvoston asetus (EU) N:o 600/2014, annettu 15 päivänä toukokuuta 2014, rahoitusvälineiden markkinoista sekä asetuksen (EU) N:o 648/2012 muuttamisesta (EUVL L 173, 12.6.2014, s. 84).

(26)  Euroopan parlamentin ja neuvoston asetus (EU) N:o 909/2014, annettu 23 päivänä heinäkuuta 2014, arvopaperitoimituksen parantamisesta Euroopan unionissa sekä arvopaperikeskuksista ja direktiivien 98/26/EY ja 2014/65/EU sekä asetuksen (EU) N:o 236/2012 muuttamisesta (EUVL L 257, 28.8.2014, s. 1).

(27)  Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2556, annettu 14 päivänä joulukuuta 2022, direktiivien 2009/65/EY, 2009/138/EY, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 ja (EU) 2016/2341 muuttamisesta finanssialan digitaalisen häiriönsietokyvyn osalta (ks. tämän virallisen lehden s. 153).

(28)  Euroopan parlamentin ja neuvoston asetus (EU) 2016/1011, annettu 8 päivänä kesäkuuta 2016, rahoitusvälineissä ja rahoitussopimuksissa vertailuarvoina tai sijoitusrahastojen arvonkehityksen mittaamisessa käytettävistä indekseistä ja direktiivien 2008/48/EY ja 2014/17/EU sekä asetuksen (EU) N:o 596/2014 muuttamisesta (EUVL L 171, 29.6.2016, s. 1).

(29)  Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EYVL L 295, 21.11.2018, s. 39).

(30)  EUVL C 229, 15.6.2021, s. 16.

(31)  Euroopan parlamentin ja neuvoston direktiivi 2009/65/EY, annettu 13 päivänä heinäkuuta 2009, siirtokelpoisiin arvopapereihin kohdistuvaa yhteistä sijoitustoimintaa harjoittavia yrityksiä (yhteissijoitusyritykset) koskevien lakien, asetusten ja hallinnollisten määräysten yhteensovittamisesta (EUVL L 302, 17.11.2009, s. 32).

(32)  Euroopan parlamentin ja neuvoston asetus (EU) N:o 575/2013, annettu 26 päivänä kesäkuuta 2013, luottolaitosten vakavaraisuusvaatimuksista ja asetuksen (EU) N:o 648/2012 muuttamisesta (EUVL L 176, 27.6.2013, s. 1).

(33)  Euroopan parlamentin ja neuvoston asetus (EU) 2019/2033, annettu 27 päivänä marraskuuta 2019, sijoituspalveluyritysten vakavaraisuusvaatimuksista sekä asetusten (EU) N:o 1093/2010, (EU) N:o 575/2013, (EU) N:o 600/2014 ja (EU) N:o 806/2014 muuttamisesta (EUVL L 314, 5.12.2019, s. 1).

(34)  Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/97, annettu 20 päivänä tammikuuta 2016, vakuutusten tarjoamisesta (EUVL L 26, 2.2.2016, s. 19).

(35)  Euroopan parlamentin ja neuvoston asetus (EU) 2020/1503, annettu 7 päivänä lokakuuta 2020, yrityksille suunnatun joukkorahoituspalvelun eurooppalaisista tarjoajista sekä asetuksen (EU) 2017/1129 ja direktiivin (EU) 2019/1937 muuttamisesta (EUVL L 347, 20.10.2020, s. 1).

(36)  Euroopan parlamentin ja neuvoston asetus (EU) 2017/2402, annettu 12 päivänä joulukuuta 2017, yleisestä arvopaperistamista koskevasta kehyksestä ja erityisestä kehyksestä yksinkertaiselle, läpinäkyvälle ja standardoidulle arvopaperistamiselle sekä direktiivien 2009/65/EY, 2009/138/EY ja 2011/61/EU ja asetusten (EY) N:o 1060/2009 ja (EU) N:o 648/2012 muuttamisesta (EUVL L 347, 28.12.2017, s. 35).

(37)  Euroopan parlamentin ja neuvoston asetus (EU) N:o 806/2014, annettu 15 päivänä heinäkuuta 2014, yhdenmukaisten sääntöjen ja yhdenmukaisen menettelyn vahvistamisesta luottolaitosten ja tiettyjen sijoituspalveluyritysten kriisinratkaisua varten yhteisen kriisinratkaisumekanismin ja yhteisen kriisinratkaisurahaston puitteissa sekä asetuksen (EU) N:o 1093/2010 muuttamisesta (EUVL L 225, 30.7.2014, s. 1).

(38)  Euroopan parlamentin ja neuvoston direktiivi (EU) 2019/2034, annettu 27 päivänä marraskuuta 2019, sijoituspalveluyritysten vakavaraisuusvalvonnasta ja direktiivien 2002/87/EY, 2009/65/EY, 2011/61/EU, 2013/36/EU, 2014/59/EU ja 2014/65/EU muuttamisesta (EUVL L 314, 5.12.2019, s. 64).

(39)  Euroopan parlamentin ja neuvoston direktiivi 2006/43/EY, annettu 17 päivänä toukokuuta 2006, tilinpäätösten ja konsolidoitujen tilinpäätösten lakisääteisestä tilintarkastuksesta, direktiivien 78/660/ETY ja 83/349/ETY muuttamisesta sekä neuvoston direktiivin 84/253/ETY kumoamisesta (EUVL L 157, 9.6.2006, s. 87).