PERUSTELUT

1.DELEGOIDUN SÄÄDÖKSEN TAUSTA

Yksi finanssialan digitaalisesta häiriönsietokyvystä annetun asetuksen (EU) 2022/2554 (DORA) tavoitteista on yhdenmukaistaa ja virtaviivaistaa EU:n finanssiyhteisöjen TVT:hen liittyvien poikkeamien raportointijärjestelmää. Tätä varten DORA-asetuksessa otetaan käyttöön finanssiyhteisöjä koskevia yhdenmukaisia vaatimuksia, jotka koskevat TVT:hen liittyvien poikkeamien hallintaa, luokittelua ja raportointia.

Tältä osin DORA-asetuksen 18 artiklan 3 kohdassa annetaan Euroopan valvontaviranomaisille valtuudet laatia yhteiskomiteassa ja EKP:tä ja ENISAa kuultuaan yhteisten teknisten sääntelystandardien luonnoksia, joissa täsmennetään

a)DORA-asetuksen 18 artiklan 1 kohdassa vahvistetut TVT:hen liittyvien poikkeamien luokittelukriteerit ja kyseisten poikkeamien vaikutusten määrittäminen, mukaan lukien olennaisuusrajat sellaisten TVT:hen liittyvien laajavaikutteisten poikkeamien tai tapauksen mukaan toiminnan harjoittamiseen tai turvallisuuteen vaikuttavien maksuihin liittyvien laajavaikutteisten poikkeamien määrittämiseksi, joihin sovelletaan DORA-asetuksen 19 artiklan 1 kohdassa säädettyä ilmoitusvelvollisuutta;

b)kriteerit, joita toimivaltaisten viranomaisten on sovellettava arvioidessaan laajavaikutteisten TVT:hen liittyvien poikkeamien tai tapauksen mukaan toiminnan harjoittamiseen tai turvallisuuteen vaikuttavien maksuihin liittyvien laajavaikutteisten poikkeamien merkitystä muiden jäsenvaltioiden asianomaisten toimivaltaisten viranomaisten kannalta, ja ne laajavaikutteisia TVT:hen liittyviä poikkeamia tai tapauksen mukaan toiminnan harjoittamiseen tai turvallisuuteen vaikuttavia maksuihin liittyviä laajavaikutteisia poikkeamia koskevien raporttien yksityiskohtaiset tiedot, jotka on jaettava muiden toimivaltaisten viranomaisten kanssa DORA-asetuksen 19 artiklan 6 ja 7 kohdan nojalla; ja

c)kriteerit kyberuhkien luokittelemiseksi merkittäviksi, mukaan lukien korkeat olennaisuusrajat merkittävien kyberuhkien määrittämiseksi.

Tämä delegoitu asetus on kyseisen valtuutuksen mukainen, ja se toimitettiin komissiolle 17. tammikuuta 2024.

ENISA ja EKP ovat olleet osa Euroopan valvontaviranomaisten yhteiskomitean digitaalista häiriönsietokykyä käsittelevää alakomiteaa (JC SC DOR).

2.SÄÄDÖKSEN HYVÄKSYMISTÄ EDELTÄNEET KUULEMISET

Osana tässä asetusehdotuksessa esitettyjen standardien laatimista Euroopan valvontaviranomaiset julkaisivat teknisten sääntelystandardien luonnokset 19. kesäkuuta 2023, ja sitä seurasi kolmen kuukauden kuulemisjakso, joka päättyi 11. syyskuuta 2023. Euroopan valvontaviranomaiset saivat 105 vastausta useilta finanssialan markkinatoimijoilta. Euroopan valvontaviranomaisten loppuraportissa 1 luodaan kattava katsaus sidosryhmien vastauksiin.

Julkiseen kuulemiseen vastanneet kommentoivat kaikkia ehdotettujen teknisten sääntelystandardien luonnosten näkökohtia. Keskeisimmät esiin nostetut seikat olivat seuraavat:

·Lähestymistapa laajavaikutteisten poikkeamien luokitteluun: Moni julkiseen kuulemiseen vastannut katsoi, että luokittelua koskeva lähestymistapa on liian monimutkainen. Raportointiprosessi aiheuttaisi finanssiyhteisöille haasteita samalla, kun ne käsittelevät poikkeamia. Osa vastaajista ehdotti myös kriteerien painotusten muuttamista omiin toimialoihinsa paremmin soveltuviksi (esim. kriteerin ”vaikutuksen kohteena olevat asiakkaat, finanssialan vastapuolet ja liiketoimet” siirtämistä toissijaiseksi kriteeriksi ja kriteerin ”kesto ja palvelukatkokset” nostamista ensisijaiseksi kriteeriksi). Usea vastaaja ehdotti myös, että teknisten sääntelystandardien luokittelua koskevassa lähestymistavassa pitäisi keskittyä suoremmin poikkeaman vaikutuksiin.

·Luokittelukriteerit ja niiden olennaisuusrajat: Teknisissä sääntelystandardeissa vahvistettuihin luokittelukriteereihin kuuluvat ”vaikutuksen kohteena olevat asiakkaat, finanssialan vastapuolet ja liiketoimet”, ”maineeseen liittyvät vaikutukset”, ”kesto ja palvelukatkokset”, ”maantieteellinen laajuus”, ”datan menetykset”, ”vaikutuksen kohteena olevat kriittiset palvelut” ja ”taloudelliset vaikutukset”. Yleisesti ottaen sidosryhmät pyysivät lisäselvennyksiä (esim. miten olennaisuusrajat määritetään) ja kehottivat useissa tapauksissa tiukentamaan olennaisuusrajoja.

·Toistuvat poikkeamat: Useat vastaajat ilmaisivat huolensa operatiivisesta rasitteesta, jota poikkeamien samankaltaisuuksien analysointi aiheuttaisi, mukaan lukien huomattava sisäisten resurssien tarve ja tietojen arvioinnin vaikeus. Jotkut esittivät myös oikeasuhteisuuteen liittyviä huolenaiheita, koska tällä vaatimuksella olisi suhteeton vaikutus pienempiin yhteisöihin.

·Oikeasuhteisuus: Sidosryhmät korostivat myös oikeasuhteisuuden varmistamisen tärkeyttä. Lisäksi Euroopan valvontaviranomaisten yhteinen suhteellisuutta käsittelevä neuvoa-antava komitea antoi tapauskohtaisia neuvoja siihen, miten teknisten sääntelystandardien luonnoksen oikeasuhteisuutta voitaisiin parantaa.

Saatujen kommenttien perusteella Euroopan valvontaviranomaiset tekivät muutoksia teknisten sääntelystandardien luonnokseen. Muutokset liittyivät luokittelua koskevaan lähestymistapaan, joidenkin luokittelukriteerien määrittelyyn ja niiden olennaisuusrajoihin sekä toistuviin poikkeamiin sovellettavaan lähestymistapaan:

·Luokittelua koskevan lähestymistavan osalta Euroopan valvontaviranomaiset ovat muuttaneet teknisten sääntelystandardien luonnosta siten, että finanssiyhteisöt luokittelevat poikkeamat laajavaikutteisiksi, jos kriteeri ”vaikutuksen kohteena olevat kriittiset palvelut” täyttyy ja i) kriteerin ”datan menetykset” yhteydessä havaitaan mikä tahansa verkko- ja tietojärjestelmien tahallinen luvaton käyttö tai ii) minkä tahansa kahden muun kriteerin olennaisuusrajat ylittyvät.

·Luokittelukriteerien ja niiden olennaisuusrajojen osalta Euroopan valvontaviranomaiset jatkavat yhdenmukaistettua lähestymistapaa poikkeamien luokittelussa kaikkien DORA-asetuksen soveltamisalaan kuuluvien finanssiyhteisöjen osalta, mutta valvontaviranomaiset ovat selventäneet kriteerien luokittelun eri osa-alueita ja tehneet muutoksia kriteerien ”vaikutuksen kohteena olevat asiakkaat, finanssialan vastapuolet ja liiketoimet” ja ”datan menetykset” olennaisuusrajoihin oikeasuhteisuuden parantamiseksi, esille tuotuihin alakohtaisiin ongelmiin puuttumiseksi ja asiaankuuluvien kyberpoikkeamien havaitsemiseksi.

·Finanssiyhteisöjen raportointitaakkaa koskevien huolenaiheiden ratkaisemiseksi Euroopan valvontaviranomaiset ovat muuttaneet toistuvien poikkeamien luokittelua koskevaa lähestymistapaa. Siinä keskitytään nyt vähintään kaksi kertaa ilmenneisiin poikkeamiin, joilla on sama ilmeinen perimmäinen syy ja jotka olisivat täyttäneet kumulatiivisesti poikkeamien luokittelukriteerit. Toistumista koskeva arviointi on tehtävä kuukausittain.

3.DELEGOIDUN SÄÄDÖKSEN OIKEUDELLINEN SISÄLTÖ

Asetuksen I luvussa vahvistetaan kriteerit, joiden mukaisesti poikkeamat luokitellaan asiakkaiden, finanssialan vastapuolten ja liiketoimien perusteella (1 artikla), maineeseen liittyvien vaikutusten perusteella (2 artikla), keston ja palvelukatkosten perusteella (3 artikla), maantieteellisen laajuuden perusteella (4 artikla), datan menetyksien perusteella (5 artikla), vaikutusten kohteena olevien palvelujen kriittisyyden perusteella (6 artikla) ja taloudellisten vaikutusten perusteella (7 artikla).

Asetuksen II luvussa vahvistetaan edellytykset poikkeaman luokittelemiseksi laajavaikutteiseksi ja toistuvien poikkeamien käsittely (8 artikla) sekä näihin liittyvät olennaisuusrajat (9 artikla).

Asetuksen III luku kattaa merkittävät kyberuhat, ja siinä vahvistetaan olennaisuusrajat, joiden perusteella kyberuhka määritellään merkittäväksi (10 artikla).

Asetuksen IV luvussa vahvistetaan säännöt, joiden perusteella määritellään, onko laajavaikutteinen poikkeama merkityksellinen muiden jäsenvaltioiden toimivaltaisten viranomaisten kannalta (11 artikla) ja miten laajavaikutteisia poikkeamia koskevia yksityiskohtaisia tietoja jaetaan muiden toimivaltaisten viranomaisten kesken (12 artikla).

Asetuksen V luku sisältää voimaantuloa koskevat loppusäännökset (13 artikla).

KOMISSION DELEGOITU ASETUS (EU) …/…,

annettu 13.3.2024,

Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/2554 täydentämisestä teknisillä sääntelystandardeilla, joissa täsmennetään TVT:hen liittyvien poikkeamien ja kyberuhkien luokittelukriteerit, vahvistetaan olennaisuusrajat ja täsmennetään laajavaikutteisia poikkeamia koskevien raporttien yksityiskohdat

(ETA:n kannalta merkityksellinen teksti)

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

ottaa huomioon finanssialan digitaalisesta häiriönsietokyvystä ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014, (EU) N:o 909/2014 ja (EU) 2016/1011 muuttamisesta 14 päivänä joulukuuta 2022 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/2554 2 ja erityisesti sen 18 artiklan 4 kohdan kolmannen alakohdan,

sekä katsoo seuraavaa:

(1)Asetuksella (EU) 2022/2554 pyritään yhdenmukaistamaan ja virtaviivaistamaan raportointivaatimuksia, jotka koskevat TVT:hen liittyviä poikkeamia ja luottolaitoksia, maksulaitoksia, tilitietopalvelun tarjoajia ja sähköisen rahan liikkeeseenlaskijoita koskevia toiminnan harjoittamiseen tai turvallisuuteen vaikuttavia maksuihin liittyviä poikkeamia, jäljempänä ’poikkeamat’. Koska raportointivaatimukset kattavat 20 eri finanssiyhteisötyyppiä, luokittelukriteerejä ja olennaisuusrajoja laajavaikutteisten poikkeamien ja merkittävien kyberuhkien määrittämiseksi olisi täsmennettävä yksinkertaisella, yhdenmukaistetulla ja johdonmukaisella tavalla, jossa otetaan huomioon kaikkien asiaankuuluvien finanssiyhteisöjen palvelujen ja toimintojen erityispiirteet.

(2)Oikeasuhteisuuden varmistamiseksi luokittelukriteereissä ja olennaisuusrajoissa olisi otettava huomioon kaikkien finanssiyhteisöjen koko ja yleinen riskiprofiili sekä palvelujen luonne, laajuus ja monitahoisuus. Lisäksi kriteerit ja olennaisuusrajat olisi suunniteltava siten, että niitä voidaan soveltaa johdonmukaisesti kaikkiin finanssiyhteisöihin niiden koosta ja riskiprofiilista riippumatta, eivätkä ne aiheuta suhteetonta raportointitaakkaa pienemmille finanssiyhteisöille. Jotta voidaan kuitenkin puuttua tilanteisiin, joissa poikkeama, joka ei sinällään ylitä sovellettavaa olennaisuusrajaa, vaikuttaa merkittävään määrään asiakkaita, olisi vahvistettava pääasiassa suurille finanssiyhteisöille tarkoitettu absoluuttinen olennaisuusraja.

(3)Ennen asetuksen (EU) 2022/2554 voimaantuloa olemassa olleiden poikkeamien raportointikehysten suhteen olisi varmistettava jatkuvuus finanssiyhteisöjen osalta. Sen vuoksi luokittelukriteerien ja olennaisuusrajojen olisi oltava yhdenmukaisia EPV:n Euroopan parlamentin ja neuvoston direktiivin (EU) 2366/2015 3 mukaisesti antamien laajavaikutteisten poikkeamien raportointia koskevien ohjeiden, kauppatietorekisterien ESMAlle säännöllisin väliajoin toimitettavia tietoja ja olennaisten muutosten ilmoittamista koskevien ohjeiden, EKP:n/YVM:n kyberpoikkeamien raportointikehyksen ja muiden asiaankuuluvien ohjeiden kanssa ja hyödynnettävä niitä. Luokittelukriteerien ja olennaisuusrajojen olisi sovelluttava myös niille finanssiyhteisöille, joihin ei ole sovellettu poikkeamien raportointia koskevia vaatimuksia ennen asetusta (EU) 2022/2554.

(4)Luokittelukriteerin ”vaikutusten kohteena olevien liiketoimien arvo ja lukumäärä” osalta liiketoimien käsite on laaja ja kattaa erilaisia toimintoja ja palveluja finanssiyhteisöihin sovellettavissa alakohtaisissa säädöksissä. Kyseisen luokittelukriteerin olisi katettava maksutapahtumat ja kaikenlainen rahoitusvälineiden, kryptovarojen, hyödykkeiden tai minkä tahansa muiden omaisuuserien vaihto, myös marginaalin, vakuuden tai pantin muodossa, käteistä ja mitä tahansa muita omaisuuseriä vastaan. Kaikki liiketoimet, joihin liittyy omaisuuseriä, joiden arvo voidaan ilmaista rahamääränä, olisi otettava huomioon luokittelussa.

(5)Luokittelukriteereillä pyritään varmistamaan, että kaikki asiaankuuluvat laajavaikutteisten poikkeamien tyypit havaitaan. Monilla luokittelukriteereillä ei välttämättä pystytä havaitsemaan verkko- tai tietojärjestelmiin tunkeutumiseen liittyviä kyberhyökkäyksiä. Ne ovat kuitenkin tärkeitä, koska kaikki tunkeutumiset verkko- ja tietojärjestelmiin voivat vahingoittaa finanssiyhteisöä. Näin ollen luokittelukriteerejä ”vaikutuksen kohteena olevat kriittiset palvelut” ja ”datan menetykset” olisi täsmennettävä siten, että pystytään havaitsemaan tämäntyyppiset laajavaikutteiset poikkeamat, erityisesti luvattomat tunkeutumiset, joilla voi olla vakavia seurauksia, kuten tietoturvaloukkauksia ja tietovuotoja, vaikka vaikutuksia ei havaittaisi välittömästi.

(6)Koska luottolaitoksiin sovelletaan sekä asetuksen (EU) 2022/2554 18 artiklan mukaista poikkeamien luokittelukehystä että komission delegoidun asetuksen (EU) 2018/959 4 mukaista operatiivisen riskin kehystä, poikkeaman aiheuttamien kustannusten ja tappioiden laskentaan perustuvan taloudellisten vaikutusten arviointimenetelmän olisi oltava mahdollisimman yhdenmukainen molemmissa kehyksissä, jotta vältetään yhteensopimattomien tai ristiriitaisten vaatimusten käyttöönotto.

(7)Asetuksen (EU) 2022/2554 18 artiklan 1 kohdan c alakohdassa säädetyn poikkeaman maantieteellistä laajuutta koskevan kriteerin pitäisi keskittyä poikkeaman rajatylittävään vaikutukseen, koska poikkeaman vaikutus finanssiyhteisön toimintaan yhdellä lainkäyttöalueella katetaan kyseisessä artiklassa vahvistetuilla muilla kriteereillä.

(8)Koska luokittelukriteerit ovat toisistaan riippuvaisia ja liittyvät toisiinsa, asetuksen (EU) 2022/2554 19 artiklan 1 kohdan mukaisesti raportoitavien laajavaikutteisten poikkeamien tunnistamiseen käytettävän lähestymistavan olisi perustuttava eri kriteerien yhdistelmään, jossa joillakin kriteereillä, jotka liittyvät läheisesti asetuksen (EU) 2022/2554 3 artiklan 8 ja 10 alakohdassa vahvistettuihin TVT:hen liittyvän poikkeaman ja laajavaikutteisen TVT:hen liittyvän poikkeaman määritelmiin, olisi oltava enemmän painoarvoa laajavaikutteisten poikkeamien luokittelussa kuin muilla kriteereillä.

(9)Jotta voidaan varmistaa, että toimivaltaisten viranomaisten asetuksen (EU) 2022/2554 19 artiklan 1 kohdan mukaisesti saamia laajavaikutteisia poikkeamia koskevia raportteja ja ilmoituksia käytetään sekä valvontatarkoituksiin että poikkeamien leviämisen estämiseen finanssialalla, olennaisuusrajojen olisi mahdollistettava laajavaikutteisten poikkeamien havaitseminen keskittymällä muun muassa yhteisökohtaisiin kriittisiin palveluihin kohdistuviin vaikutuksiin, asiakkaiden tai finanssialan vastapuolten tiettyihin absoluuttisiin ja suhteellisiin kynnysarvoihin, finanssiyhteisöön kohdistuvaan olennaiseen vaikutukseen viittaaviin liiketoimiin ja vaikutuksen merkittävyyteen muissa jäsenvaltioissa.

(10)Poikkeamat, jotka vaikuttavat kriittisiä tai tärkeitä toimintoja tukeviin TVT-palveluihin tai verkko- ja tietojärjestelmiin tai toimilupaa edellyttäviin finanssipalveluihin, tai kriittisiä tai tärkeitä toimintoja tukevien verkko- ja tietojärjestelmien tahallinen luvaton käyttö olisi katsottava poikkeamiksi, jotka vaikuttavat finanssiyhteisöjen kriittisiin palveluihin. Finanssiyhteisöjen kriittisiä tai tärkeitä toimintoja tukevien verkko- ja tietojärjestelmien tahallinen luvaton käyttö aiheuttaa vakavia riskejä finanssiyhteisölle, ja koska se voi vaikuttaa muihin finanssiyhteisöihin, sitä olisi aina pidettävä laajavaikutteisena poikkeamana, josta on raportoitava.

(11)Toistuvat poikkeamat, joita yhdistää samankaltainen ilmeinen perimmäisen syy ja jotka eivät yksittäin ole laajavaikutteisia poikkeamia, voivat viitata merkittäviin puutteisiin ja heikkouksiin finanssiyhteisön poikkeamia ja riskinhallintaa koskevissa menettelyissä. Toistuvia poikkeamia olisi sen vuoksi pidettävä kokonaisuutena laajavaikutteisina, jos niitä esiintyy toistuvasti tietyn ajanjakson aikana.

(12)Kun otetaan huomioon, että kyberuhkilla voi olla haitallinen vaikutus finanssiyhteisöön ja finanssialaan, finanssiyhteisön merkittäviä kyberuhkia koskevassa raportoinnissa olisi ilmaistava kyseisten uhkien toteutumisen todennäköisyys ja mahdollisten vaikutusten kriittisyys. Jotta voidaan varmistaa kyberuhkien merkittävyyden selkeä ja johdonmukainen arviointi, kyberuhkan merkittäväksi luokittelun olisi perustuttava siihen, miten todennäköistä on, että laajavaikutteisten poikkeamien luokittelukriteerit täyttyisivät ja olennaisuusrajat ylittyisivät uhkan toteutuessa, sekä kyberuhkan tyyppiin ja finanssiyhteisön saatavilla oleviin tietoihin.

(13)Kun otetaan huomioon, että muiden jäsenvaltioiden toimivaltaisille viranomaisille on ilmoitettava poikkeamista, jotka vaikuttavat finanssiyhteisöihin ja asiakkaisiin niiden lainkäyttöalueella, asetuksen (EU) 2022/2554 19 artiklan 7 kohdan mukaisen toiselle lainkäyttöalueelle ulottuvien vaikutusten arvioinnin olisi perustuttava poikkeaman perimmäiseen syyhyn, vaikutusten mahdolliseen leviämiseen palveluntarjoajana olevien kolmansien osapuolten kautta, rahoitusmarkkinoiden infrastruktuureihin ja poikkeaman vaikutukseen merkittäviin asiakasryhmiin tai finanssialan vastapuoliin.

(14)Asetuksen (EU) 2022/2554 19 artiklan 6 ja 7 kohdassa tarkoitettujen raportointi- ja ilmoitusmenettelyjen olisi mahdollistettava se, että vastaanottajat voivat arvioida poikkeamien vaikutuksia. Sen vuoksi toimitettavien tietojen olisi katettava kaikki finanssiyhteisön toimivaltaiselle viranomaiselle toimittamiin poikkeamia koskeviin raportteihin sisältyvät yksityiskohtaiset tiedot.

(15)Jos poikkeama katsotaan asetuksen (EU) 2016/679 ja direktiivin 2002/58 mukaiseksi henkilötietojen tietoturvaloukkaukseksi, tämä asetus ei saisi vaikuttaa kyseisessä unionin lainsäädännössä säädettyihin henkilötietojen tietoturvaloukkausten kirjaamista ja ilmoittamista koskeviin velvoitteisiin. Toimivaltaisten viranomaisten olisi tehtävä yhteistyötä ja vaihdettava tietoja kaikista merkityksellisistä asioista asetuksessa (EU) 2016/679 ja direktiivissä 2002/58/EY tarkoitettujen viranomaisten kanssa.

(16)Tämä asetus perustuu teknisten sääntelystandardien luonnoksiin, jotka Euroopan valvontaviranomaiset ovat toimittaneet komissiolle Euroopan unionin kyberturvallisuusvirastoa (ENISA) ja Euroopan keskuspankkia (EKP) kuullen.

(17)Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1093/2010 5 54 artiklassa, Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1094/2010 6 54 artiklassa ja Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1095/2010 7 54 artiklassa tarkoitettu Euroopan valvontaviranomaisten yhteiskomitea on järjestänyt avoimia julkisia kuulemisia teknisten sääntelystandardien luonnoksista, joihin tämä asetus perustuu, analysoinut ehdotettujen standardien mahdollisia kustannuksia ja hyötyjä sekä pyytänyt neuvontaa asetuksen (EU) N:o 1093/2010 37 artiklan mukaisesti perustetulta pankkialan osallisryhmältä, asetuksen (EU) N:o 1094/2010 37 artiklan mukaisesti perustetuilta vakuutus- ja jälleenvakuutusalan osallisryhmältä ja lisäeläkealan osallisryhmältä sekä asetuksen (EU) N:o 1095/2010 37 artiklan mukaisesti perustetulta arvopaperimarkkina-alan osallisryhmältä.

(18)Euroopan tietosuojavaltuutettua on kuultu Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 8 42 artiklan 1 kohdan mukaisesti, ja hän on antanut lausuntonsa 24 päivänä tammikuuta 2024,

ON HYVÄKSYNYT TÄMÄN ASETUKSEN:

I luku
Luokittelukriteerit

1 artikla
Asiakkaat, finanssialan vastapuolet ja liiketoimet

1.Asetuksen (EU) 2022/2554 18 artiklan 1 kohdan a alakohdassa tarkoitetun niiden asiakkaiden lukumäärän, joihin poikkeama on vaikuttanut, on vastattava kaikkien niiden asiakkaiden (luonnollisten henkilöiden tai oikeushenkilöiden) lukumäärää, joihin poikkeama on vaikuttanut ja jotka eivät voi tai eivät ole voineet käyttää finanssiyhteisön tarjoamaa palvelua poikkeaman aikana tai joihin poikkeama on vaikuttanut haitallisesti. Kyseiseen lukumäärään on sisällytettävä myös kolmannet osapuolet, jotka finanssiyhteisön ja asiakkaan välinen sopimus nimenomaisesti kattaa, koska ne ovat kyseisen palvelun edunsaajia.

2.Asetuksen (EU) 2022/2554 18 artiklan 1 kohdan a alakohdassa tarkoitetun niiden finanssialan vastapuolien lukumäärän, joihin poikkeama on vaikuttanut, on vastattava kaikkien niiden finanssialan vastapuolten lukumäärää, joihin poikkeama on vaikuttanut ja jotka ovat tehneet sopimusjärjestelyn finanssiyhteisön kanssa.

3.Asetuksen (EU) 2022/2554 18 artiklan 1 kohdan a alakohdassa tarkoitetun asiakkaiden ja finanssialan vastapuolien merkityksellisyyden osalta finanssiyhteisön on otettava huomioon, missä määrin asiakkaaseen tai finanssialan vastapuoleen kohdistunut vaikutus vaikuttaa finanssiyhteisön liiketoimintatavoitteiden toteuttamiseen, sekä poikkeaman mahdollinen vaikutus markkinoiden tehokkuuteen.

4.Asetuksen (EU) 2022/2554 18 artiklan 1 kohdan a alakohdassa tarkoitetun liiketoimien määrän tai lukumäärän osalta finanssiyhteisön on otettava huomioon kaikki liiketoimet, joihin poikkeama on vaikuttanut ja joihin liittyy rahamääriä, jos ainakin jokin osa liiketoimesta on toteutettu unionissa.

5.Jos niiden asiakkaiden tai rahoituksen vastapuolien tosiasiallista lukumäärää tai niiden liiketoimien tosiasiallista lukumäärää tai rahamäärää, joihin poikkeama on vaikuttanut, ei voida määrittää, finanssiyhteisön on arvioitava kyseiset lukumäärät tai määrät vertailukelpoisilta viitekausilta saatavilla olevien tietojen perusteella.

2 artikla
Vaikutukset maineeseen

1.Määrittäessään asetuksen (EU) 2022/2554 18 artiklan 1 kohdan a alakohdassa tarkoitettuja poikkeaman maineeseen liittyviä vaikutuksia finanssiyhteisöjen on katsottava, että maineeseen liittyviä vaikutuksia on ilmennyt, jos vähintään yksi seuraavista kriteereistä täyttyy:

a)poikkeama on näkynyt tiedotusvälineissä;

b)poikkeama on johtanut toistuviin asiakaspuolen palveluita tai kriittisiä liikesuhteita koskeviin valituksiin eri asiakkailta tai finanssialan vastapuolilta;

c)finanssiyhteisö ei pysty tai ei todennäköisesti pysty noudattamaan sääntelyvaatimuksia poikkeaman seurauksena;

d)finanssiyhteisö menettää tai todennäköisesti menettää poikkeaman seurauksena asiakkaita tai finanssialan vastapuolia, mikä vaikuttaa olennaisesti sen liiketoimintaan.

2.Arvioidessaan poikkeaman vaikutuksia maineeseen finanssiyhteisöjen on otettava huomioon näkyvyys, jota poikkeama on saanut osakseen tai todennäköisesti saa osakseen kunkin 1 kohdassa luetellun kriteerin osalta.

3 artikla
Kesto ja palvelukatkokset

1.Finanssiyhteisöjen on mitattava asetuksen (EU) 2022/2554 18 artiklan 1 kohdan b alakohdassa tarkoitettu poikkeaman kesto poikkeaman alkamishetkestä siihen asti, kun se on ohitse.

Jos finanssiyhteisöt eivät pysty määrittämään poikkeaman alkamishetkeä, niiden on mitattava poikkeaman kesto siitä hetkestä alkaen, kun se havaittiin. Jos finanssiyhteisöt saavat tietoonsa, että poikkeama alkoi ennen sen havaitsemista, niiden on mitattava sen kesto siitä hetkestä alkaen, jolloin poikkeama on kirjautunut verkko- tai järjestelmälokeihin tai muihin tietolähteisiin.

Jos finanssiyhteisöt eivät vielä tiedä, milloin poikkeama on ohitse, tai ne eivät pysty tarkastamaan lokitietoja tai muita tietolähteitä, niiden on käytettävä arvioita.

2.Finanssiyhteisöjen on mitattava asetuksen (EU) 2022/2554 18 artiklan 1 kohdan b alakohdassa tarkoitettu poikkeamaan liittyvä palvelukatkos siitä hetkestä alkaen, kun palvelu ei ole täysin tai osittain asiakkaiden, finanssialan vastapuolten tai muiden sisäisten tai ulkopuolisten käyttäjien saatavilla, siihen hetkeen asti, kun säännöllinen toiminta tai toiminnot on palautettu poikkeamaa edeltävälle palvelutasolle. Jos palvelukatkos aiheuttaa viivästyksen palvelun tarjoamisessa sen jälkeen, kun säännöllinen toiminta tai toiminnot on palautettu, katkos on mitattava poikkeaman alusta alkaen siihen hetkeen asti, kun viivästynyttä palvelua tarjotaan jälleen täysimääräisesti.

Jos finanssiyhteisöt eivät pysty määrittämään palvelukatkoksen alkamishetkeä, niiden on mitattava palvelukatkos siitä hetkestä alkaen, kun se havaittiin.

4 artikla
Maantieteellinen laajuus

Voidakseen määrittää asetuksen (EU) 2022/2554 18 artiklan 1 kohdan c alakohdassa tarkoitetun maantieteellinen laajuuden niiden alueiden osalta, joihin poikkeama vaikuttaa, finanssiyhteisöjen on arvioitava, onko poikkeamalla vaikutusta tai onko sillä ollut vaikutusta muihin jäsenvaltioihin, ja erityisesti kyseisen vaikutuksen merkittävyys mihin tahansa seuraavista:

a)asiakkaat ja finanssialan vastapuolet muissa jäsenvaltioissa;

b)konserniin kuuluvat sivuliikkeet tai muut finanssiyhteisöt, jotka harjoittavat toimintaa muissa jäsenvaltioissa;

c)rahoitusmarkkinoiden infrastruktuurit tai palveluntarjoajana olevat kolmannet osapuolet, jotka voivat vaikuttaa muiden jäsenvaltioiden finanssiyhteisöihin, joille ne tarjoavat palveluja, siltä osin kuin tällaisia tietoja on saatavilla.

5 artikla
Datan menetykset

Määrittäessään asetuksen (EU) 2022/2554 18 artiklan 1 kohdan d alakohdassa tarkoitettuja poikkeaman aiheuttamia datan menetyksiä finanssiyhteisöjen on otettava huomioon

a)datan saatavuuden osalta se, onko poikkeama tilapäisesti tai pysyvästi estänyt finanssiyhteisön, sen asiakkaiden tai sen vastapuolten pääsyn pyydettyihin tietoihin tai tehnyt tiedoista käyttökelvottomia;

b)datan aitouden osalta se, onko poikkeama vaarantanut tietolähteen luotettavuuden;

c)datan eheyden osalta se, onko poikkeama johtanut tietojen luvattomaan muuttamiseen, minkä vuoksi tiedot ovat epätarkkoja tai puutteellisia;

d)datan luottamuksellisuuden osalta se, onko poikkeama johtanut siihen, että luvatta toimiva osapuoli tai järjestelmä on päässyt käsiksi tietoihin tai tietoja on luovutettu luvatta toimivalle osapuolelle tai järjestelmälle.

6 artikla
Vaikutusten kohteena olevien palvelujen kriittisyys

Määrittäessään asetuksen (EU) 2022/2554 18 artiklan 1 kohdan e alakohdassa tarkoitettua vaikutusten kohteena olevien palvelujen kriittisyyttä finanssiyhteisöjen on otettava huomioon,

a)vaikuttaako poikkeama tai onko se vaikuttanut finanssiyhteisön kriittisiä tai tärkeitä toimintoja tukeviin TVT-palveluihin tai verkko- ja tietojärjestelmiin;

b)vaikuttaako poikkeama tai onko se vaikuttanut finanssiyhteisön tarjoamiin rahoituspalveluihin, jotka edellyttävät toimilupaa tai rekisteröintiä tai joita toimivaltaiset viranomaiset valvovat;

c)katsotaanko poikkeama tai onko se katsottu finanssiyhteisön verkko- ja tietojärjestelmien onnistuneeksi tahalliseksi ja luvattomaksi käytöksi.

7 artikla
Taloudelliset vaikutukset

1.Määrittäessään asetuksen (EU) 2022/2554 18 artiklan 1 kohdan f alakohdassa tarkoitettuja poikkeaman taloudellisia vaikutuksia finanssiyhteisöjen on otettava huomioon seuraavanlaiset välittömät ja välilliset kustannukset ja tappiot, joita niille on aiheutunut poikkeaman seurauksena, ottamatta huomioon takaisinperimisiä:

a)pakkolunastetut varat tai rahoitusomaisuus, joista ne ovat vastuussa, mukaan lukien varkauden vuoksi menetetyt varat;

b)ohjelmistojen, laitteiden tai infrastruktuurin korvaamisesta tai siirtämisestä aiheutuneet kustannukset;

c)henkilöstökustannukset, mukaan lukien kustannukset, jotka liittyvät henkilöstön korvaamiseen tai siirtämiseen, lisähenkilöstön palkkaamiseen, ylityökorvauksiin sekä menetettyjen tai heikentyneiden taitojen palauttamiseen;

d)sopimusvelvoitteiden noudattamatta jättämisestä aiheutuneet maksut;

e)asiakkaille maksettavista hyvityksistä ja korvauksista aiheutuneet kustannukset;

f)menetetyistä tuloista aiheutuneet tappiot;

g)sisäiseen ja ulkoiseen viestintään liittyvät kustannukset;

h)neuvontakustannukset, mukaan lukien oikeudelliseen neuvontaan, rikosteknisiin palveluihin ja korjauspalveluihin liittyvät kustannukset.

2.Edellä 1 kohdassa tarkoitettuihin kustannuksiin ja tappioihin ei sisällytetä päivittäisen liiketoiminnan kannalta välttämättömiä kustannuksia, erityisesti seuraavia:

a)infrastruktuurin, laitteiden, laitteistojen ja ohjelmistojen yleisestä ylläpidosta aiheutuvat kustannukset sekä henkilöstön taitojen ylläpidosta aiheutuvat kustannukset;

b)sisäiset tai ulkoiset kustannukset, joita aiheutuu liiketoiminnan parantamisesta poikkeaman jälkeen, mukaan lukien päivitykset, parannukset ja riskinarviointihankkeet;

c)vakuutusmaksut.

3.Finanssiyhteisöjen on laskettava kustannusten ja tappioiden määrät raportointihetkellä saatavilla olevien tietojen perusteella. Jos kustannusten ja tappioiden tosiasiallisia määriä ei voida määrittää, finanssiyhteisöjen on arvioitava kyseiset määrät.

4.Arvioidessaan poikkeaman taloudellisia vaikutuksia finanssiyhteisöjen on laskettava yhteen 1 kohdassa tarkoitetut kustannukset ja tappiot.

II luku
Laajavaikutteiset poikkeamat ja olennaisuusrajat

8 artikla
Laajavaikutteiset poikkeamat

1.Poikkeama katsotaan asetuksen (EU) 2022/2554 19 artiklan 1 kohdassa tarkoitetuksi laajavaikutteiseksi poikkeamaksi, jos se on vaikuttanut 6 artiklassa tarkoitettuihin kriittisiin palveluihin ja jos jompikumpi seuraavista edellytyksistä täyttyy:

a)9 artiklan 5 kohdan b alakohdassa tarkoitettu olennaisuusraja ylittyy;

b)vähintään kaksi muuta 9 artiklan 1–6 kohdassa tarkoitettua olennaisuusrajaa ylittyy.

2.Toistuvat poikkeamat, joita ei yksittäin pidetä laajavaikutteisina poikkeamina 1 kohdan mukaisesti, katsotaan yhdeksi laajavaikutteiseksi poikkeamaksi, jos ne täyttävät seuraavat edellytykset:

a)poikkeamia on ollut vähintään kaksi kuuden kuukauden sisällä;

b)niillä on sama asetuksen (EU) 2022/2554 20 artiklan b alakohdassa tarkoitettu ilmeinen perimmäinen syy;

c)yhdessä ne täyttävät 1 kohdassa vahvistetut kriteerit, joiden perusteella poikkeama katsotaan laajavaikutteiseksi.

Finanssiyhteisöjen on arvioitava poikkeamien toistuvuutta kuukausittain.

Tätä kohtaa ei sovelleta mikroyrityksiin eikä asetuksen (EU) 2022/2554 16 artiklan 1 kohdassa lueteltuihin finanssiyhteisöihin.

9 artikla
Olennaisuusrajat laajavaikutteisten poikkeamien määrittämiseksi

1.Kriteerin ”asiakkaat, finanssialan vastapuolet ja liiketoimet” olennaisuusraja ylittyy, jos mikä tahansa seuraavista edellytyksistä täyttyy:

a)niiden asiakkaiden lukumäärä, joihin poikkeama on vaikuttanut, on yli 10 prosenttia kaikista kyseistä palvelua käyttävistä asiakkaista;

b)niiden kyseistä palvelua käyttävien asiakkaiden lukumäärä, joihin poikkeama on vaikuttanut, on yli 100 000;

c)niiden finanssialan vastapuolten lukumäärä, joihin poikkeama on vaikuttanut, on yli 30 prosenttia kaikista finanssialan vastapuolista, jotka harjoittavat kyseisen palvelun tarjoamiseen liittyvää toimintaa;

d)niiden liiketoimien lukumäärä, joihin poikkeama on vaikuttanut, on yli 10 prosenttia finanssiyhteisön kyseiseen palveluun liittyvien liiketoimien päivittäisestä keskimääräisestä lukumäärästä;

e)niiden liiketoimien arvo, joihin poikkeama on vaikuttanut, on yli 10 prosenttia finanssiyhteisön kyseiseen palveluun liittyvien liiketoimien päivittäisestä keskimääräisestä arvosta;

f)poikkeama on vaikuttanut 1 artiklan 3 kohdan mukaisesti merkityksellisinä pidettäviin asiakkaisiin tai finanssialan vastapuoliin.

Jos niiden asiakkaiden tai finanssialan vastapuolien tosiasiallista lukumäärää tai niiden liiketoimien tosiasiallista lukumäärää tai rahamäärää, joihin poikkeama on vaikuttanut, ei voida määrittää, finanssiyhteisön on arvioitava kyseiset lukumäärät tai rahamäärät vertailukelpoisilta viitekausilta saatavilla olevien tietojen perusteella.

2.Kriteerin ”maineeseen liittyvät vaikutukset” olennaisuusraja ylittyy, jos mikä tahansa 2 artiklan a–d alakohdassa säädetyistä edellytyksistä täyttyy.

3.Kriteerin ”kesto ja palvelukatkokset” olennaisuusraja ylittyy, jos kumpi tahansa seuraavista edellytyksistä täyttyy:

a)poikkeaman kesto on yli 24 tuntia;

b)kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen katkokset kestävät yli kaksi tuntia.

4.Kriteerin ”maantieteellisen laajuus” olennaisuusraja ylittyy, jos poikkeamalla on ollut vaikutuksia vähintään kahteen jäsenvaltioon 4 artiklan mukaisesti.

5.Kriteerin ”datan menetykset” olennaisuusraja ylittyy, jos kumpi tahansa seuraavista edellytyksistä täyttyy:

a)5 artiklassa tarkoitetuilla vaikutuksilla datan saatavuuteen, aitouteen, eheyteen tai luottamuksellisuuteen on tai tulee olemaan kielteinen vaikutus finanssiyhteisön liiketoimintatavoitteiden toteuttamiseen tai sen kykyyn noudattaa sääntelyvaatimuksia;

b)verkko- ja tietojärjestelmissä ilmenee muuta kuin a alakohdassa tarkoitettua onnistunutta tahallista ja luvatonta käyttöä, ja kyseinen käyttö voi johtaa datan menetyksiin.

6.Kriteerin ”taloudelliset vaikutukset” olennaisuusraja ylittyy, jos finanssiyhteisölle poikkeamasta aiheutuneet kustannukset ja tappiot ovat ylittäneet tai todennäköisesti ylittävät 100 000 euroa.

III luku
Merkittävät kyberuhat

10 artikla
Korkeat olennaisuusrajat merkittävien kyberuhkien määrittämiseksi

Sovellettaessa asetuksen (EU) 2022/2554 18 artiklan 2 kohtaa kyberuhkaa pidetään merkittävänä, jos seuraavat edellytykset täyttyvät:

a)jos kyberuhka toteutuu, finanssiyhteisön käytettävissä olevien tietojen perusteella se voi vaikuttaa tai olisi voinut vaikuttaa kyseisen finanssiyhteisön kriittisiin tai tärkeisiin toimintoihin tai se voi vaikuttaa muihin finanssiyhteisöihin, palveluntarjoajiin, asiakkaisiin tai finanssialan vastapuoliin;

b)kyberuhkan toteutuminen on erittäin todennäköistä kyseisessä finanssiyhteisössä tai muissa finanssiyhteisöissä, kun otetaan huomioon ainakin seuraavat tekijät:

i)a alakohdassa tarkoitetut kyberuhkaan liittyvät riskit, mukaan lukien finanssiyhteisön järjestelmien mahdolliset haavoittuvuudet, joita voidaan hyödyntää;

ii)uhkatoimijoiden valmiudet ja aikomukset siinä määrin kuin finanssiyhteisöllä on niistä tietoa;

iii)uhkan jatkuvuus ja kertyneet tiedot poikkeamista, jotka ovat vaikuttaneet finanssiyhteisöön tai sen palveluntarjoajana oleviin kolmansiin osapuoliin, asiakkaisiin tai finanssialan vastapuoliin;

c)jos kyberuhka toteutuu, se voi täyttää tai ylittää jonkin seuraavista:

i)asetuksen (EU) 2022/2554 18 artiklan 1 kohdan e alakohdassa säädetty palvelujen kriittisyyttä koskeva kriteeri tämän asetuksen 6 artiklan määrityksen mukaisesti;

ii)9 artiklan 1 kohdassa määritetty olennaisuusraja;

iii)9 artiklan 4 kohdassa määritetty olennaisuusraja;

Jos finanssiyhteisö toteaa kyberuhan tyypistä ja saatavilla olevista tiedoista riippuen, että 9 artiklan 2, 3, 5 ja 6 kohdassa määritetyt olennaisuusrajat voivat ylittyä, myös kyseiset olennaisuusrajat voidaan ottaa huomioon.

IV luku
Laajavaikutteisten poikkeamien merkityksellisyys muiden jäsenvaltioiden toimivaltaisten viranomaisten kannalta ja muiden toimivaltaisten viranomaisten kanssa jaettavat raporttien yksityiskohtaiset tiedot

11 artikla
Laajavaikutteisten poikkeamien merkityksellisyys muiden jäsenvaltioiden toimivaltaisten viranomaisten kannalta

Asetuksen (EU) 2022/2554 19 artiklan 7 kohdassa tarkoitetun arvioinnin siitä, onko laajavaikutteinen poikkeama merkityksellinen muiden jäsenvaltioiden toimivaltaisten viranomaisten kannalta, on perustuttava siihen, onko poikkeamalla jokin toisesta jäsenvaltiosta peräisin oleva perimmäinen syy tai onko poikkeamalla tällä hetkellä tai onko sillä aiemmin ollut merkittävä vaikutus toisessa jäsenvaltiossa mihin tahansa seuraavista:

a)asiakkaat tai finanssialan vastapuolet;

b)konserniin kuuluva finanssiyhteisön sivuliike tai toinen finanssiyhteisö;

c)rahoitusmarkkinoiden infrastruktuuri tai palveluntarjoajana oleva kolmas osapuoli, joka voi vaikuttaa niihin finanssiyhteisöihin, joille ne tarjoavat palveluja.

12 artikla
Muiden toimivaltaisten viranomaisten kanssa jaettavat yksityiskohtaiset tiedot laajavaikutteisista poikkeamista

Laajavaikutteisia poikkeamia koskevissa yksityiskohtaisissa tiedoissa, jotka toimivaltaisten viranomaisten on toimitettava muille toimivaltaisille viranomaisille asetuksen (EU) 2022/2554 19 artiklan 6 kohdan mukaisesti, sekä ilmoituksissa, jotka EPV:n, ESMAn tai EIOPAn ja EKP:n on toimitettava muiden jäsenvaltioiden asianomaisille toimivaltaisille viranomaisille kyseisen asetuksen 19 artiklan 7 kohdan mukaisesti, on oltava samantasoiset tiedot ilman anonymisointia kuin finanssiyhteisöiltä asetuksen (EU) 2022/2554 19 artiklan 4 kohdan mukaisesti saaduissa ilmoituksissa ja raporteissa laajavaikutteisista poikkeamista.

V luku
Loppusäännökset

13 artikla
Voimaantulo

Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä. 

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä 13.3.2024

(1)    Euroopan valvontaviranomaiset (2024), ”Final report on Draft Regulatory Technical Standards specifying the criteria for the classification of ICT related incidents, materiality thresholds for major incidents and significant cyber threats under Regulation (EU) 2022/2554”.

(2)    EUVL L 333, 27.12.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj .

(3)    Euroopan parlamentin ja neuvoston direktiivi (EU) 2015/2366, annettu 25 päivänä marraskuuta 2015, maksupalveluista sisämarkkinoilla, direktiivien 2002/65/EY, 2009/110/EY ja 2013/36/EU ja asetuksen (EU) N:o 1093/2010 muuttamisesta sekä direktiivin 2007/64/EY kumoamisesta (EUVL L 337, 23.12.2015, s. 35, ELI: http://data.europa.eu/eli/dir/2015/2366/oj ).

(4)    Komission delegoitu asetus (EU) 2018/959, annettu 14 päivänä maaliskuuta 2018, Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 575/2013 täydentämisestä sellaisen arviointimenetelmän eritelmää koskevilla teknisillä sääntelystandardeilla, jonka nojalla toimivaltaiset viranomaiset myöntävät laitoksille luvan käyttää operatiivisen riskin kehittyneitä mittausmenetelmiä (EUVL L 169, 6.7.2018, s. 1. ELI: http://data.europa.eu/eli/reg_del/2018/959/oj ).

(5)    Euroopan parlamentin ja neuvoston asetus (EU) N:o 1093/2010, annettu 24 päivänä marraskuuta 2010, Euroopan valvontaviranomaisen (Euroopan pankkiviranomainen) perustamisesta sekä päätöksen N:o 716/2009/EY muuttamisesta ja komission päätöksen 2009/78/EY kumoamisesta (EUVL L 331, 15.12.2010, s. 12, ELI:  http://data.europa.eu/eli/reg/2010/1093/oj ).

(6)    Euroopan parlamentin ja neuvoston asetus (EU) N:o 1094/2010, annettu 24 päivänä marraskuuta 2010, Euroopan valvontaviranomaisen (Euroopan vakuutus- ja lisäeläkeviranomainen) perustamisesta sekä päätöksen N:o 716/2009/EY muuttamisesta ja komission päätöksen 2009/79/EY kumoamisesta (EUVL L 331, 15.12.2010, s. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).

(7)    Euroopan parlamentin ja neuvoston asetus (EU) N:o 1095/2010, annettu 24 päivänä marraskuuta 2010, Euroopan valvontaviranomaisen (Euroopan arvopaperimarkkinaviranomainen) perustamisesta sekä päätöksen N:o 716/2009/EY muuttamisesta ja komission päätöksen 2009/77/EY kumoamisesta (EUVL L 331, 15.12.2010, s. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).

(8)    Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta ( EUVL L 295, 21.11.2018, s. 39 ).