Finanssialan digitaalinen häiriönsietokyky

TIIVISTELMÄ ASIAKIRJASTA:

Asetus (EU) 2022/2554 finanssialan digitaalisesta häiriönsietokyvystä

ASETUKSEN TARKOITUS

Siinä vahvistetaan yhdenmukaiset säännöt finanssiyhteisöjen, kuten pankkien, vakuutusyhtiöiden ja sijoituspalveluyritysten, verkko- ja tietojärjestelmien turvallisuudesta.

Se kattaa useita Euroopan unionin (EU) sääntelemiä rahoitusyhteisöjä, joiden on kestettävä tieto- ja viestintätekniikkaan (TVT) liittyvät häiriöt ja uhat sekä reagoitava niihin ja palauduttava niistä.

TÄRKEIMMÄT KOHDAT

Soveltamisala

Asetus kattaa seuraavat:

• luottolaitokset, maksulaitokset, sähköisen rahan liikkeeseenlaskijalaitokset ja ammatillisia lisäeläkkeitä tarjoavat laitokset
• tilitietopalvelun tarjoajat, kryptovarapalvelun tarjoajat, raportointipalvelujen tarjoajat ja TVT-palveluntarjoajana olevat kolmannet osapuolet
• sijoituspalveluyritykset, vaihtoehtoiset sijoitusrahastot, rahastoyhtiöt, luottoluokituslaitokset ja kriittisten vertailuarvojen hallinnoijat
• kauppatieto- ja arvopaperistamisrekisterit, arvopaperikeskukset, keskusvastapuolet ja kauppapaikat
• vakuutus- ja jälleenvakuutusyritykset ja vakuutusedustajat.

TVT-riskin hallinta

Muiden finanssiyhteisöjen kuin mikroyritysten on toteutettava seuraavat toimet:

• niillä on oltava käytössään sisäisiä hallinto- ja valvontatoimenpiteitä, joilla varmistetaan TVT-riskin tehokas ja järkevä hallinnointi
• niiden on varmistettava, että ylin hallintoelin hyväksyy kaikki asiaankuuluvat järjestelyt sekä valvoo niitä ja on vastuussa niistä
• niillä on oltava vankka, kattava ja hyvin dokumentoitu TVT-riskinhallintajärjestelmä, joka sisältää tarvittavat strategiat, toimintaperiaatteet, menettelyt, protokollat ja välineet nopeaa ja tehokasta reagointia varten
• niiden on käytettävä ja pidettävä yllä ajantasaisia TVT-järjestelmiä, -protokollia ja -välineitä, jotka ovat tarkoituksenmukaisia, luotettavia ja teknisesti kestäviä ja joilla on riittävä kapasiteetti
• niiden on yksilöitävä, luokiteltava ja asianmukaisesti dokumentoitava kaikki TVT:n tukemat liiketoiminnot, tehtävät ja vastuut ja tarkastelevat riskiskenaarioita
• niiden on seurattava jatkuvasti TVT-järjestelmien ja -välineiden turvallisuutta ja toimintaa mahdollisen TVT-riskin vaikutusten minimoimiseksi
• niiden on havaittava nopeasti poikkeamat ja yksilöitävä mahdolliset vikakohdat
• niiden on otettava käyttöön kattavat TVT-liiketoiminnan jatkuvuutta koskevat toimintaperiaatteet sekä asianmukaiset suunnitelmat, menettelyt ja mekanismit
• niiden on laadittava ja dokumentoitava varmuuskopiointikäytäntöjä sekä palautus- ja toipumismenettelyjä
• niiden on käytettävä resursseja ja henkilöstöä arvioimaan haavoittuvuuksia ja kyberuhkia, TVT:hen liittyviä poikkeamia, erityisesti kyberhyökkäyksiä, ja analysoimaan näiden todennäköistä vaikutusta yhteisön digitaaliseen häiriönsietokykyyn
• niiden on laadittava kriisiviestintäsuunnitelmia, joilla voidaan tiedottaa laajavaikutteisista TVT:hen liittyvistä poikkeamista tai haavoittuvuuksista asiakkaille, vastapuolille ja suurelle yleisölle.

TVT:hen liittyvä hallinnointi, luokittelu ja raportointi

Finanssiyhteisöjen on

• määriteltävä, laadittava ja toteutettava toimenpiteitä TVT:hen liittyvien poikkeamien havaitsemiseksi, hallinnoimiseksi ja kirjaamiseksi sekä niistä ilmoittamiseksi
• luokiteltava poikkeamat ja määriteltävä niiden vaikutukset kriteerien, kuten niiden asiakkaiden ja vastapuolten lukumäärän, johon poikkeama on vaikuttanut, keston, maantieteellisen laajuuden ja datan menetysten, perusteella
• raportoitava laajavaikutteisista TVT:hen liittyvistä poikkeamista niiden nimetylle toimivaltaiselle viranomaiselle, joka välittää raportin korkeammalle elimelle, kuten Euroopan keskuspankille tai Euroopan pankkiviranomaiselle.

Digitaalisen häiriönsietokyvyn testaus

Muiden finanssiyhteisöjen kuin mikroyritysten on

• laadittava vankka ja kattava digitaalisen häiriönsietokyvyn testausohjelma, joka sisältää tarvittavat arvioinnit, testit, menetelmät, käytännöt ja välineet, ja pidettävä sitä yllä ja tarkistettava sitä
• suoritettava vähintään kolmen vuoden välein uhkaperusteinen tunkeutumistestaus riskiprofiilinsa perusteella ja ottaen huomioon toimintaolosuhteet – ja käytettävä vain testaajia, joilla on sertifiointi, tarvittava asiantuntemus ja soveltuvuus sekä ammatillinen vastuuvakuutus.

Kolmansiin osapuoliin liittyvän TVT-riskin hallinta

Finanssiyhteisöjen on

• hallinnoitava kolmansiin osapuoliin liittyvää riskiä erottamattomana osana niiden yleistä TVT-riskiä
• tehtävä sopimusjärjestelyjä TVT-palveluista hoitaakseen liiketoimintaansa täysin asiaa koskevan lainsäädännön mukaisesti
• otettava huomioon TVT:hen liittyvien riippuvuuksien ja mahdollisten riskien luonne, laajuus, monitahoisuus ja tärkeys
• punnittava vaihtoehtoisten ratkaisujen hyötyjä ja kustannuksia määrittäessään ja arvioidessaan niihin liittyviä riskejä
• sisällytettävä sopimukseen kunkin osapuolen oikeudet ja velvoitteet ja palvelusopimus.

Kriittisten TVT-palveluntarjoajina olevien kolmansien osapuolten valvontakehys

Kehyksellä

• annetaan Euroopan valvontaviranomaisten (EVV) tehtäväksi
  • nimetä selkeiden kriteerien perusteella finanssiyhteisöjen kannalta kriittiset TVT-palveluntarjoajina olevat kolmannet osapuolet
  • nimittää kullekin kriittiselle palveluntarjoajana olevalle kolmannelle osapuolelle päävalvojaksi Euroopan valvontaviranomainen, joka on vastuussa kyseisestä finanssiyhteisöstä
• perustetaan valvontafoorumi, jonka tehtävänä on
  • keskustella TVT-riskin ja -haavoittuvuuksien kehityksestä ja edistää johdonmukaista EU:n seurannan lähestymistapaa
  • arvioida valvontatoimia vuosittain, edistää toimia digitaalisen häiriönsietokyvyn parantamiseksi ja edistää parhaita käytäntöjä
  • toimittaa kriittisiä TVT-palveluntarjoajina olevia kolmansia osapuolia koskevia kattavia vertailuarvoja
• valtuutetaan päävalvoja
  • olemaan kriittisten TVT-palveluntarjoajina olevien kolmansien osapuolten ensisijainen yhteyspiste
  • arvioimaan, onko kullakin kriittisellä palveluntarjoajalla kattavat, luotettavat ja toimivat säännöt, menettelyt, mekanismit ja järjestelyt
  • pyytämään kaikki asiaankuuluvat tiedot ja asiakirjat, suorittamaan tutkimuksia ja tarkastuksia (myös EU:n ulkopuolisissa maissa), erittelemään korjaavia toimia ja antamaan suosituksia
• annetaan Euroopan pankkiviranomaiselle, Euroopan vakuutus- ja lisäeläkeviranomaiselle ja Euroopan arvopaperimarkkinaviranomaiselle mahdollisuus työskennellä EU:n ulkopuolisten sääntely- ja valvontaviranomaisten kanssa kolmansiin osapuoliin liittyvien TVT-riskien osalta
• edellytetään, että Euroopan valvontaviranomaiset toimittavat joka viides vuosi Euroopan parlamentille, Euroopan unionin neuvostolle ja Euroopan komissiolle luottamuksellisen selvityksen yhteyksistään EU:n ulkopuolisten maiden viranomaisiin.

Tietojenvaihtojärjestelyt

Finanssiyhteisöt voivat vaihtaa keskenään kyberuhkia koskevia tietoja ja tiedustelutietoja edellyttäen, että

• sillä on tarkoitus vahvistaa niiden digitaalista häiriönsietokykyä
• se tapahtuu niiden luotetuissa yhteisöissä
• siinä suojellaan liikesalaisuuksien luottamuksellisuutta ja henkilötietoja ja noudatetaan kilpailupolitiikan sääntöjä.

Seuraamukset ja korjaavat toimenpiteet

Toimivaltaisilla viranomaisilla

• on kaikki tehtäviensä hoitamiseen tarvittavat valtuudet valvoa, tutkia ja määrätä seuraamuksia
• ne määräävät ja julkaisevat verkkosivustoillaan kansallisessa lainsäädännössä määritellyt hallinnolliset seuraamukset ja korjaavat toimenpiteet.

Euroopan valvontaviranomaiset laativat teknisiä sääntelystandardeja TVT-riskinhallintavälineitä, TVT:hen liittyvien poikkeamien luokittelua ja raportointia ja valvontatoimien toteuttamista varten.

Komissio

• on valtuutettu antamaan delegoituja säädöksiä
• toimittaa 17. tammikuuta 2028 mennessä parlamentille ja neuvostolle asetuksen uudelleentarkastelun kuultuaan Euroopan valvontaviranomaisia ja Euroopan järjestelmäriskikomiteaa.

Asetuksella muutetaan asetuksia (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 909/2014, (EU) N:o 600/2014 ja (EU) 2016/1011.

MISTÄ ALKAEN ASETUSTA SOVELLETAAN?

Sitä sovelletaan 17. tammikuuta 2025 alkaen.

TAUSTAA

Vuoden 2008 finanssikriisin jälkeen toteutetuilla uudistuksilla vahvistettiin ensisijaisesti alan rahoitusvakautta. TVT-riskejä käsiteltiin vain epäsuorasti joillakin aloilla, ja ne aiheuttivat edelleen haasteita EU:n rajoitusjärjestelmän häiriönsietokyvylle, toiminnalle ja vakaudelle.

DORA-nimellä tunnettu asetus on osa laajempaa digitaalisen rahoituksen pakettia, jolla pyritään edistämään tekniikan kehitystä ja varmistamaan rahoitusvakaus ja kuluttajansuoja. Paketin muut osat kattavat digitaalisen rahoituksen strategian, kryptovarojen markkinat ja hajautetun tilikirjan teknologian.

Ks. lisätietoja:

• Digitaalisen rahoituksen paketti (Euroopan komissio)

ASIAKIRJA

Euroopan parlamentin ja neuvoston asetus (EU) 2022/2554, annettu 14 päivänä joulukuuta 2022, finanssialan digitaalisesta häiriönsietokyvystä ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014, (EU) N:o 909/2014 ja (EU) 2016/1011 muuttamisesta (EUVL L 333, 27.12.2022, s. 1–79).

MUUT ASIAAN LIITTYVÄT ASIAKIRJAT

Komission tiedonanto Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle EU:n digitaalisen rahoituksen strategiasta (COM(2020) 591 final, 24.9.2020).

Euroopan parlamentin ja neuvoston asetus (EU) 2016/1011, annettu 8 päivänä kesäkuuta 2016, rahoitusvälineissä ja rahoitussopimuksissa vertailuarvoina tai sijoitusrahastojen arvonkehityksen mittaamisessa käytettävistä indekseistä ja direktiivien 2008/48/EY ja 2014/17/EU sekä asetuksen (EU) N:o 596/2014 muuttamisesta (EUVL L 171, 29.6.2016, s. 1–65).

Asetukseen (EU) 2016/1011 tehdyt peräkkäiset muutokset on sisällytetty alkuperäiseen tekstiin. Konsolidoitu toisinto on tarkoitettu ainoastaan dokumentointitarkoituksiin.

Euroopan parlamentin ja neuvoston asetus (EU) N:o 909/2014, annettu 23 päivänä heinäkuuta 2014, arvopaperitoimituksen parantamisesta Euroopan unionissa sekä arvopaperikeskuksista ja direktiivien 98/26/EY ja 2014/65/EU sekä asetuksen (EU) N:o 236/2012 muuttamisesta EUVL L 257, 28.8.2014, s. 1–72).

Ks. konsolidoitu toisinto.

Euroopan parlamentin ja neuvoston asetus (EU) N:o 600/2014, annettu 15 päivänä toukokuuta 2014, rahoitusvälineiden markkinoista sekä asetuksen (EU) N:o 648/2012 muuttamisesta (EUVL L 173, 12.6.2014, s. 84–148).

Ks. konsolidoitu toisinto.

Euroopan parlamentin ja neuvoston asetus (EU) N:o 648/2012, annettu 4 päivänä heinäkuuta 2012, OTC-johdannaisista, keskusvastapuolista ja kauppatietorekistereistä (EUVL L 201, 27.7.2012, s. 1–59).

Ks. konsolidoitu toisinto.

Euroopan parlamentin ja neuvoston asetus (EY) N:o 1060/2009, annettu 16 päivänä syyskuuta 2009, luottoluokituslaitoksista (EUVL L 302, 17.11.2009, s. 1–31).

Ks. konsolidoitu toisinto.

Viimeisin päivitys: 10.01.2024