KOMISSION DELEGOITU ASETUS (EU) 2025/299,

annettu 31 päivänä lokakuuta 2024,

kryptovarojen markkinoista annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2023/1114 täydentämisestä kryptovarapalvelujen suorittamisen jatkuvuutta ja säännöllisyyttä koskevilla teknisillä sääntelystandardeilla

(ETA:n kannalta merkityksellinen teksti)

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

ottaa huomioon kryptovarojen markkinoista sekä asetusten (EU) N:o 1093/2010 ja (EU) N:o 1095/2010 ja direktiivien 2013/36/EU ja (EU) 2019/1937 muuttamisesta 31 päivänä toukokuuta 2023 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2023/1114 (1) ja erityisesti sen 68 artiklan 10 kohdan kolmannen alakohdan,

sekä katsoo seuraavaa:

(1)

Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/2554 (2) 11 ja 12 artiklassa säädetään finanssiyhteisöjen, myös kryptovarapalvelun tarjoajien, TVT-järjestelmiin sovellettavista vaatimuksista, jotka koskevat reagointia ja toipumista, varmuuskopiointikäytäntöjä ja -menettelyjä sekä palautus- ja toipumismenettelyjä ja -menetelmiä. Komission delegoidussa asetuksessa (EU) 2024/1774 (3) täsmennetään TVT-toiminnan jatkuvuutta koskevien toimintaperiaatteiden osatekijät, TVT-toiminnan jatkuvuussuunnitelmien testaus sekä finanssiyhteisöjen, mukaan lukien kryptovarapalvelun tarjoajat, TVT-reagointi- ja palautumissuunnitelmien osatekijät. Tällä asetuksella täydennetään kyseisiä asetuksen (EU) 2022/2554 ja delegoidun asetuksen (EU) 2024/1774 säännöksiä kryptovarapalvelujen suorittamisen jatkuvuuden ja säännöllisyyden osalta.

(2)

Kryptovarapalvelun tarjoajat saattavat palvelujaan tarjotessaan käyttää hajautettua tilikirjaa, jota ne eivät hallinnoi, mukaan lukien avointa hajautettua tilikirjaa. Tällöin ne eivät ehkä pysty varmistamaan palvelujensa säännöllisyyttä ja jatkuvuutta, jos tällaisten hajautettujen tilikirjojen tavanomaiseen toimintaan liittyvistä ongelmista aiheutuu häiriöitä. Jotta voidaan lieventää markkinoiden epävakautta, jolla voi olla kielteinen vaikutus tällaisten häiriöiden kohteena oleviin asiakkaisiin, kryptovarapalvelun tarjoajien olisi sisällytettävä toiminnan jatkuvuutta koskeviin toimintaperiaatteisiinsa toimenpiteet asiakkaiden ja muiden ulkoisten sidosryhmien kanssa käytävää oikea-aikaista viestintää varten. Viestintään olisi sisällyttävä asiakkaille olennaisia ja oikea-aikaisia tietoja tällaisista häiriöistä, mukaan lukien jatkuvat tilannepäivitykset, kunnes häiriö päättyy ja palveluja jatketaan. Jos tietoja palvelun keskeytymisen aiheuttaneen avoimen hajautetun tilikirjan tilasta ei ole helposti kryptovarapalvelun tarjoajan saatavilla, kyseisen kryptovarapalvelun tarjoajan olisi ilmoitettava tilannepäivitykset asiakkaille ja muille sidosryhmille, myös toimivaltaisille viranomaisille, parhaan kykynsä mukaan, jotta varmistetaan, että asiakkailla ja sidosryhmillä on häiriöistä mahdollisimman kattavat tiedot.

(3)

Jotta vältetään pienille ja keskisuurille yrityksille ja startup-yrityksille aiheutuva kohtuuton hallinnollinen rasite, kryptovarapalvelun tarjoajien olisi toiminnan jatkuvuutta koskevissa toimintaperiaatteissaan otettava huomioon tarjoamiensa palvelujen laajuus, luonne ja valikoima. Tämä tarkoittaa sitä, että kun kryptovarapalvelun tarjoajat määrittävät omat toiminnan jatkuvuutta koskevat vaatimuksensa, niiden olisi käytettävä perustana luotettavaa itsearviointia ja kriteerejä, joiden avulla ne voivat varmistaa, että niiden laatimat toiminnan jatkuvuutta koskevat toimintaperiaatteet ovat oikeassa suhteessa niiden tarjoamien palvelujen markkinavaikutukseen. Itsearvioinnissa olisi otettava huomioon myös muut kuin liitteessä luetellut olosuhteet, joilla voi olla vaikutusta kryptovarapalvelun tarjoajaan.

(4)	Tämä asetus perustuu teknisten sääntelystandardien luonnokseen, jonka Euroopan arvopaperimarkkinaviranomainen on toimittanut komissiolle.

(5)

Euroopan arvopaperimarkkinaviranomainen on järjestänyt avoimia julkisia kuulemisia tämän asetuksen perustana olevista teknisten sääntelystandardien luonnoksista, analysoinut niihin mahdollisesti liittyviä kustannuksia ja hyötyjä sekä pyytänyt lausunnon Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1095/2010 (4) 37 artiklalla perustetulta arvopaperimarkkina-alan osallisryhmältä,

ON HYVÄKSYNYT TÄMÄN ASETUKSEN:

1 artikla

Määritelmät

Tässä asetuksessa tarkoitetaan:

a)	’kriittisellä tai tärkeällä toiminnolla’ asetuksen (EU) 2022/2554 3 artiklan 22 alakohdassa määriteltyä kriittistä tai tärkeää toimintoa;

b)	’avoimella hajautetulla tilikirjalla’ tietyntyyppistä hajautettua tilikirjaa, jota mikään yhteisö ei hallinnoi ja jossa DLT-verkon solmuja voi perustaa kuka tahansa kyseisen hajautetun tilikirjan teknisiä vaatimuksia ja protokollia noudattava henkilö.

2 artikla

Toiminnan jatkuvuutta koskevat organisatoriset järjestelyt

1. Asetuksen (EU) 2023/1114 68 artiklan 7 kohdassa tarkoitetuissa toiminnan jatkuvuutta koskevissa toimintaperiaatteissa on oltava suunnitelmat, menettelyt ja toimenpiteet.

2. Kryptovarapalvelun tarjoajien ylimmän hallintoelimen on asetuksen (EU) 2023/1114 68 artiklan 6 kohdassa tarkoitettuja tehtäviään hoitaessaan laadittava ja hyväksyttävä suunnitelmat, menettelyt ja toimenpiteet, jotka muodostavat toiminnan jatkuvuutta koskevat toimintaperiaatteet. Kryptovarapalvelun tarjoajan ylin hallintoelin on vastuussa toiminnan jatkuvuutta koskevien toimintaperiaatteiden täytäntöönpanosta ja vähintään vuotuisesta tehokkuuden tarkistamisesta.

3. Kryptovarapalvelun tarjoajien on varmistettava, että kaikki toiminnan jatkuvuutta koskeviin toimintaperiaatteisiin tehtävät muutokset välitetään asiaankuuluvalle sisäiselle henkilöstölle tehokkaiden viestintäkanavien kautta.

3 artikla

Toiminnan jatkuvuutta koskevat toimintaperiaatteet

1. Asetuksen (EU) 2023/1114 68 artiklan 7 kohdassa tarkoitetut toiminnan jatkuvuutta koskevat toimintaperiaatteet on tallennettava pysyvällä välineellä ja niillä on varmistettava, että kryptovarapalvelun tarjoajat käsittelevät asianmukaisesti niiden liiketoiminnan kannalta kriittisiin järjestelmiin liittyvät häiriöt tai suorituskykyongelmat.

2. Kryptovarapalvelun tarjoajien on sisällytettävä toiminnan jatkuvuutta koskeviin toimintaperiaatteisiin seuraavat seikat:

a)	toiminnan jatkuvuutta koskevien toimintaperiaatteiden soveltamisala, mukaan lukien sen rajoitukset ja poissulkemiset, jotka on katettava toiminnan jatkuvuutta koskevilla suunnitelmilla, menettelyillä ja toimenpiteillä;

b)	kuvaus toiminnan jatkuvuutta koskevien suunnitelmien aktivoimisperusteista, mukaan lukien eskalointimenettelyt ylimmän hallintoelimen tasolle asti;

c)	kryptovarapalvelun tarjoajan hallintoa ja organisaatiota, mukaan lukien henkilöstön tehtävät ja vastuut, koskevat säännökset, joilla varmistetaan, että toimintaperiaatteiden tehokasta täytäntöönpanoa varten on käytettävissä riittävät resurssit;

d)	säännökset, joilla varmistetaan toiminnan jatkuvuutta koskevien suunnitelmien yhdenmukaisuus delegoidun asetuksen (EU) 2024/1774 24 ja 26 artiklassa tarkoitettujen TVT-toiminnan jatkuvuutta koskevien suunnitelmien ja TVT-reagointi- ja palautumissuunnitelmien kanssa.

4 artikla

Toiminnan jatkuvuutta koskevat suunnitelmat

1. Kun kryptovarapalvelun tarjoajat ottavat käyttöön asetuksen (EU) 2023/1114 68 artiklan 7 kohdassa tarkoitetut toiminnan jatkuvuutta koskevat toimintaperiaatteet, niiden on laadittava toiminnan jatkuvuutta koskevat suunnitelmat. Toiminnan jatkuvuutta koskevissa suunnitelmissa on esitettävä menettelyt, jotka ovat tarpeen seuraavien suojaamiseksi ja tarvittaessa palauttamiseksi:

a)	asiakastietojen luottamuksellisuus, eheys ja käytettävyys;

b)	kryptovarapalvelun tarjoajien liiketoimintojen, tukiprosessien ja tieto-omaisuuden käytettävyys.

2. Toiminnan jatkuvuutta koskevien suunnitelmien on sisällettävä seuraavat:

valikoima mahdollisia epäsuotuisia skenaarioita, jotka liittyvät kriittisten tai tärkeiden toimintojen toimintaan, mukaan lukien häiriöt liiketoimintojen, henkilöstön, toimitilojen, ulkopuolisten toimittajien tai datakeskusten saatavuudessa tai kriittisten tietojen ja asiakirjojen häviäminen tai muuttuminen;

häiriötilanteissa noudatettavat menettelyt ja toimintaperiaatteet, mukaan lukien

i)	kriittisten tai tärkeiden toimintojen palauttamiseksi tarvittavat toimenpiteet;

ii)	määräajat, joihin mennessä kriittiset tai tärkeät toiminnot on palautettava;

iii)	toipumispistetavoitteet;

iv)	enimmäisaika palvelujen suorittamisen jatkamiselle;

c)	menettelyt ja toimintaperiaatteet, joilla kryptovarapalvelujen tarjoamiseen käytetyt toiminnot siirretään varatoimipaikkaan;

d)	kriittisten liiketoimintatietojen varmuuskopiointi, mukaan lukien ajantasaiset yhteystiedot, joita tarvitaan kryptovarapalvelun tarjoajan sisäisen viestinnän ja kryptovarapalvelun tarjoajan ja sen asiakkaiden välisen viestinnän varmistamiseksi;

e)	menettelyt oikea-aikaiseen viestintään asiakkaiden ja muiden ulkoisten sidosryhmien, kuten toimivaltaisten viranomaisten, kanssa.

3. Jos häiriö liittyy avoimeen hajautettuun tilikirjaan, jota kryptovarapalvelun tarjoaja käyttää palvelujensa tarjoamiseen, 2 kohdan e alakohdassa tarkoitetussa viestinnässä on ilmoitettava seuraavat tiedot:

a)	milloin palvelujen odotetaan alkavan uudelleen;

b)	häiriön syyt ja vaikutukset;

c)	asiakkaiden varoihin ja heidän lukuunsa hallussa pidettyihin kryptovaroihin liittyvät riskit;

d)	toimenpiteet, jotka kryptovarapalvelu aikoo toteuttaa avoimeen hajautettuun tilikirjaan liittyvän häiriön johdosta.

Jos nämä tiedot eivät ole helposti kryptovarapalvelun tarjoajan saatavilla, kryptovarapalvelun tarjoajan on ilmoitettava ensimmäisessä alakohdassa tarkoitettuja tietoja koskevat tilannepäivitykset asiakkaille ja sidosryhmille, myös toimivaltaisille viranomaisille, parhaan kykynsä mukaan.

4. Toiminnan jatkuvuutta koskeviin suunnitelmiin on sisällytettävä menettelyt, joilla puututaan ulkoistettujen kriittisten tai tärkeiden toimintojen häiriöihin myös silloin, kun kyseiset toiminnot eivät ole enää käytettävissä.

5 artikla

Toiminnan jatkuvuutta koskevien suunnitelmien säännöllinen testaus

1. Kryptovarapalvelun tarjoajien on testattava 4 artiklassa tarkoitettujen toiminnan jatkuvuutta koskevien suunnitelmien toiminta realististen skenaarioiden perusteella. Testauksella on todennettava kryptovarapalvelun tarjoajan kyky toipua häiriöistä ja jatkaa palvelujen suorittamista 4 artiklan 2 kohdan b alakohdan mukaisesti.

2. Kryptovarapalvelun tarjoajien on testattava toiminnan jatkuvuutta koskevat suunnitelmat vuosittain ottaen huomioon

a)	1 kohdassa tarkoitettujen testien tulokset;

b)	viimeisimmät uhkatiedustelutiedot;

c)	aiemmista häiriötapahtumista saadut kokemukset;

d)	tarvittaessa muutokset toipumistavoitteissa, mukaan lukien 4 artiklan 2 kohdan b alakohdassa tarkoitetuissa toipumisaikatavoitteissa ja toipumispistetavoitteissa;

e)	muutokset liiketoiminnoissa.

3. Kryptovarapalvelun tarjoajien on dokumentoitava testaustoiminnan tulokset kirjallisesti ja toimitettava ne ylimmälle hallintoelimelleen sekä toiminnan jatkuvuutta koskeviin suunnitelmiin osallistuville toimintayksiköille.

4. Kryptovarapalvelun tarjoajien on varmistettava, että toiminnan jatkuvuutta koskevien suunnitelmien testaaminen ei vaikuta niiden palvelujen tavanomaiseen suorittamiseen.

6 artikla

Monimutkaisuuteen ja riskeihin liittyvät näkökohdat

1. Laatiessaan toiminnan jatkuvuutta koskevia toimintaperiaatteita, mukaan lukien suunnitelmat, menettelyt ja toimenpiteet, kryptovarapalvelun tarjoajien on otettava huomioon monimutkaisuutta tai riskiä lisäävät osatekijät, mukaan lukien

a)	tarjottujen kryptovarapalvelujen tyyppi ja valikoima;

b)	se, missä määrin kryptovarapalvelun tarjoajan palvelut ovat riippuvaisia avoimesta hajautetusta tilikirjasta;

c)	häiriöiden mahdollinen vaikutus kryptovarapalvelun tarjoajan toiminnan jatkuvuuteen ja sen palvelujen saatavuuteen.

2. Sovellettaessa 1 kohtaa kryptovarapalvelun tarjoajien on tehtävä vuosittain itsearviointi palvelujensa laajuudesta, luonteesta ja valikoimasta. Kryptovarapalvelun tarjoajien on käytettävä itsearvioinnin perusteena liitteessä vahvistettuja kriteerejä ja mahdollisia muita kriteerejä, joita kryptovarapalvelun tarjoaja pitää merkityksellisinä.

7 artikla

Voimaantulo

Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä 31 päivänä lokakuuta 2024.

Komission puolesta

Puheenjohtaja

Ursula VON DER LEYEN

(1) EUVL L 150, 9.6.2023, s. 40, ELI: http://data.europa.eu/eli/reg/2023/1114/oj.

(2) Euroopan parlamentin ja neuvoston asetus (EU) 2022/2554, annettu 14 päivänä joulukuuta 2022, finanssialan digitaalisesta häiriönsietokyvystä ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014, (EU) N:o 909/2014 ja (EU) 2016/1011 muuttamisesta (EUVL L 333, 27.12.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj).

(3) Komission delegoitu asetus (EU) 2024/1774, annettu 13 päivänä maaliskuuta 2024, Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/2554 täydentämisestä TVT-riskinhallintavälineitä, -menetelmiä, -menettelyitä ja -politiikkatoimia sekä yksinkertaistettua TVT-riskinhallintajärjestelmää koskevilla teknisillä sääntelystandardeilla (EUVL L, 2024/1774, 25.6.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1774/oj).

(4) Euroopan parlamentin ja neuvoston asetus (EU) N:o 1095/2010, annettu 24 päivänä marraskuuta 2010, Euroopan valvontaviranomaisen (Euroopan arvopaperimarkkinaviranomainen) perustamisesta sekä päätöksen N:o 716/2009/EY muuttamisesta ja komission päätöksen 2009/77/EY kumoamisesta (EUVL L 331, 15.12.2010, s. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).

LIITE

KRYPTOVARAPALVELUN TARJOAJIEN ITSEARVIOINTIKRITEERIT

Kryptovarapalvelun tarjoajan luonne seuraavien seikkojen perusteella:

i)	asetuksen (EU) 2023/1114 liitteessä IV tarkoitettu luokka;

ii)	tapauksen mukaan kryptovarojen kaupankäyntialustalla kaupankäyntiin käytettävissä olevien kryptovarojen keskimääräinen likviditeettitaso tai markkinoiden syvyys;

iii)	kryptovarapalvelun tarjoajan rooli rahoitusjärjestelmässä, mukaan lukien se, ylläpitääkö kryptovarapalvelun tarjoaja kryptovarojen kaupankäyntialustaa ja käydäänkö sen kaupankäyntialustalla kaupankäynnin kohteena olevilla kryptovaroilla kauppaa myös muilla kryptovarojen kaupankäyntialustoilla.

Mittakaava arvioimalla kryptovarapalvelun tarjoajan vaikutusta markkinoiden moitteettomaan toimintaan seuraavien tekijöiden perusteella, siltä osin kuin ne ovat soveltuvia:

i)	voidaanko kryptovarapalvelun tarjoajaa pitää asetuksen (EU) 2023/1114 85 artiklassa tarkoitettuna merkittävänä kryptovarapalvelun tarjoajana;

ii)	niiden maiden lukumäärä, joissa kryptovarapalvelun tarjoaja harjoittaa liiketoimintaa;

iii)	asiakkaiden määrä;

iv)	aktiivisten käyttäjien määrä;

v)	säilytettävänä olevien kryptovarojen arvo;

vi)	kryptovarojen kaupankäyntialustalla toteutettujen liiketoimien volyymi;

vii)	asiakkaiden lukuun suoritettujen kryptovarojen siirtojen lukumäärä;

viii)

asiakkaiden lukuun toteutettujen toimeksiantojen lukumäärä.

Monimutkaisuus arvioimalla soveltuvin osin seuraavat tekijät:

i)	kryptovarapalvelun tarjoajan rakenne omistuksen ja hallinnon osalta sekä sen organisatorinen, operatiivinen, tekninen, fyysinen ja maantieteellinen sijainti;

ii)	kryptovarapalvelun tarjoajan toimien ulkoistamisen taso ja erityisesti se, onko ulkoistettu kriittisiä tai tärkeitä operatiivisia toimintoja;

iii)	palvelujen suorittamisessa käytettyjen hajautettujen tilikirjojen lukumäärä ja tyyppi;

iv)	niiden DLT-verkon solmujen lukumäärä, joita kryptovarapalvelun tarjoaja käyttää yhdessä tai useammassa hajautetussa tilikirjassa;

v)	kryptovarapalvelun tarjoajan käyttöön ottamien ja ylläpitämien älysopimusten lukumäärä ja tyyppi;

vi)	miten asiakkaiden yksityiset salausavaimet tai muut kryptovaroihin pääsyn tavat on suojattu säilytyksessä;

vii)	ohjelmisto- ja laitteistopohjaisten säilytyslompakoiden käyttö tai sellaisten lompakoiden käyttö, joissa salausavaimet turvataan useita omaisuudenhoitajia käyttämällä.

Sovellettaessa b alakohdan iii–viii alakohtaa kryptovarapalvelun tarjoajan on käytettävä itsearviointia varten päivittäistä keskiarvoa yhden vuoden viiteajanjaksolta.