1.   Kako bi se postigla visoka zajednička razina digitalne operativne otpornosti, ovom se Uredbom utvrđuju jedinstveni zahtjevi u pogledu sigurnosti mrežnih i informacijskih sustava kojima se podupiru poslovni procesi financijskih subjekata kako slijedi:

2.   Kad je riječ o financijskim subjektima koji su identificirani kao ključnih ili važni subjekti na temelju nacionalnih propisa kojima se prenosi članak 3. Direktive (EU) 2022/2555, ova Uredba smatra se sektorskim pravnim aktom Unije za potrebe članka 4. te direktive.

3.   Ovom se Uredbom ne dovodi u pitanje odgovornost država članica u vezi s temeljnim državnim funkcijama koje se odnose na javnu sigurnost, obranu i nacionalnu sigurnost u skladu s pravom Unije.

1.   Ne dovodeći u pitanje stavke 3. i 4., ova se Uredba primjenjuje na sljedeće subjekte:

2.   Za potrebe ove Uredbe subjekti iz stavka 1. točaka od (a) do (t) zajednički se nazivaju „financijski subjekti”.

3.   Ova se Uredba ne primjenjuje na:

4.   Države članice mogu iz područja primjene ove Uredbe isključiti subjekte iz članka 2. stavka 5. točaka od 4. do 23. Direktive 2013/36/EU koji se nalaze na njihovu državnom području. Ako država članica iskoristi tu mogućnost, ona o tome i o svim kasnijim promjenama obavješćuje Komisiju. Komisija te informacije objavljuje na svojim internetskim stranicama ili na drugi lako dostupan način.

1.   Financijski subjekti provode pravila utvrđena u poglavlju II. u skladu s načelom proporcionalnosti, uzimajući u obzir svoju veličinu i ukupni profil rizičnosti te prirodu, opseg i složenost svojih usluga, aktivnosti i poslovanja.

2.   Osim toga, financijski subjekti primjenjuju poglavlja III. i IV. te poglavlje V. odjeljak I. razmjerno svojoj veličini i ukupnom profilu rizičnosti te prirodi, opsegu i složenosti svojih usluga, aktivnosti i poslovanja, kako je konkretno predviđeno u relevantnim pravilima iz tih poglavlja.

3.   Pri preispitivanju dosljednosti okvira za upravljanje IKT rizicima na temelju izvješća podnesenih na zahtjev nadležnih tijela u skladu s člankom 6. stavkom 5. i člankom 16. stavkom 2., nadležna tijela razmatraju jesu li financijski subjekti primijenili načelo proporcionalnosti.

1.   Financijski subjekti uspostavljaju okvir za unutarnje upravljanje i kontrolu kojim se osigurava djelotvorno i razborito upravljanje IKT rizicima, u skladu s člankom 6. stavkom 4., kako bi se postigla visoka razina digitalne operativne otpornosti.

2.   Upravljačko tijelo financijskog subjekta utvrđuje, odobrava i nadzire sve aranžmane povezane s okvirom za upravljanje IKT rizicima iz članka 6. stavka 1. te je odgovorno za njihovu provedbu.

Za potrebe prvog podstavka upravljačko tijelo:

3.   Financijski subjekti koji nisu mikropoduzeća uvode funkciju za praćenje aranžmana o upotrebi IKT usluga sklopljenih s trećim stranama pružateljima IKT usluga ili imenuju člana višeg rukovodstva koji će biti odgovoran za nadzor nad povezanom izloženosti rizicima i relevantnom dokumentacijom.

4.   Članovi upravljačkog tijela financijskog subjekta aktivno osvježavaju znanje i vještine koji su im dostatni kako bi mogli razumjeti i procijeniti IKT rizik i njegov učinak na poslovanje financijskog subjekta, među ostalim i tako da redovito pohađaju posebno osposobljavanje, razmjerno IKT riziku kojima se upravlja.

1.   Financijski subjekti u sklopu svojeg općeg sustava za upravljanje rizicima imaju pouzdan, sveobuhvatan i dobro dokumentiran okvir za upravljanje IKT rizicima, koji im omogućuje brzo, učinkovito i sveobuhvatno odgovaranje na IKT rizik te osigurava visoku razinu digitalne operativne otpornosti.

2.   Okvir za upravljanje IKT rizicima obuhvaća barem strategije, politike, postupke te IKT protokole i alate koji su potrebni za propisnu i primjerenu zaštitu sve informacijske imovine i IKT imovine, što uključuje računalni softver, hardver i poslužitelje, te za zaštitu svih relevantnih fizičkih komponenata i infrastrukture, kao što su prostori, podatkovni centri i područja određena kao osjetljiva, kako bi se osiguralo da je sva informacijska imovina i IKT imovina primjereno zaštićena od rizikâ, među ostalim i od oštećenja te neovlaštenog pristupa ili upotrebe.

3.   Financijski subjekti, u skladu sa svojim okvirom za upravljanje IKT rizicima, svode učinak IKT rizika na najmanju moguću mjeru uvođenjem odgovarajućih strategija, politika, postupaka, IKT protokola i alata. Financijski subjekti dostavljaju nadležnim tijelima potpune i ažurirane informacije o IKT rizicima i o svojem okviru za upravljanje IKT rizicima na zahtjev tih tijela.

4.   Financijski subjekti koji nisu mikropoduzeća odgovornost za upravljanje IKT rizicima i nadzor nad njima dodjeljuju kontrolnoj funkciji i osiguravaju odgovarajuću razinu neovisnosti takve kontrolne funkcije kako bi se izbjegli sukobi interesa. Financijski subjekti osiguravaju odgovarajuće razdvajanje i neovisnost funkcija upravljanja IKT rizicima, kontrolnih funkcija i funkcija unutarnje revizije, u skladu s modelom „triju crta obrane” ili internim modelom upravljanja rizicima i kontrole nad njima.

5.   Okvir za upravljanje IKT rizicima dokumentira se i preispituje najmanje jedanput godišnje, ili periodički ako je riječ o mikropoduzećima, kao i po nastanku značajnih IKT incidenata te u skladu s uputama ili zaključcima nadzornog tijela koji su izrađeni slijedom relevantnog testiranja digitalne operativne otpornosti ili revizijskih procesa. Kontinuirano ga se poboljšava na temelju pouka iz provedbe i praćenja. Izvješće o preispitivanju okvira za upravljanje IKT rizicima podnosi se nadležnom tijelu na njegov zahtjev.

6.   Okvir za upravljanje IKT rizicima financijskih subjekata koji nisu mikropoduzeća podliježe redovitoj unutarnjoj reviziji, koju revizori provode u skladu s planom revizije financijskog subjekta. Ti revizori moraju imati dostatno znanje, vještine i stručno znanje u području IKT rizika, kao i odgovarajuću neovisnost. Učestalost i težište revizija u području IKT-a moraju biti razmjerni IKT riziku financijskog subjekta.

7.   Financijski subjekti na temelju zaključaka unutarnjeg revizijskog pregleda uspostavljaju formalni proces daljnjeg postupanja, uključujući pravila za pravodobnu provjeru i ispravljanje ključnih nalaza revizije u području IKT-a.

8.   Okvir za upravljanje IKT rizicima obuhvaća strategiju za digitalnu operativnu otpornost, u kojoj je utvrđen način provedbe okvira. U tu svrhu strategija za digitalnu operativnu otpornost uključuje metode za odgovaranje na IKT rizik i ostvarenje posebnih ciljeva u području IKT-a na sljedeći način:

9.   U kontekstu strategije za digitalnu operativnu otpornost iz stavka 8. financijski subjekti mogu utvrditi sveobuhvatnu strategiju za nabavu IKT-a od više dobavljača, na razini grupe ili subjekta, u kojoj se izlažu ključne ovisnosti o trećim stranama pružateljima IKT usluga i objašnjava razlog za mješovitu nabavu od različitih trećih strana pružatelja IKT usluga.

10.   Financijski subjekti mogu, u skladu sa sektorskim pravom Unije i nacionalnim sektorskim pravom, eksternalizirati zadaće provjeravanja usklađenosti sa zahtjevima u pogledu upravljanja IKT rizicima društvima unutar grupe ili vanjskim društvima. U slučaju takve eksternalizacije financijski subjekt ostaje u potpunosti odgovoran za provjeru usklađenosti sa zahtjevima u pogledu upravljanja IKT rizicima.

1.   U sklopu okvira za upravljanje IKT rizicima iz članka 6. stavka 1. financijski subjekti utvrđuju, klasificiraju i na odgovarajući način dokumentiraju sve poslovne funkcije, uloge i odgovornosti koje se podupiru IKT-om, informacijsku imovinu i IKT imovinu kojom se te funkcije podupiru te njihove uloge i ovisnosti u odnosu na IKT rizik. Financijski subjekti prema potrebi, a najmanje jedanput godišnje, preispituju primjerenost te klasifikacije i sve relevantne dokumentacije.

2.   Financijski subjekti kontinuirano utvrđuju sve izvore IKT rizika, osobito izloženost riziku drugih financijskih subjekata i od drugih financijskih subjekata, te procjenjuju kiberprijetnje i ranjivosti IKT-a koje su relevantne za njihove poslovne funkcije koje se podupiru IKT-om te za informacijsku imovinu i IKT imovinu. Financijski subjekti redovito, a najmanje jedanput godišnje, preispituju scenarije rizika koji utječu na njih.

3.   Financijski subjekti koji nisu mikropoduzeća provode procjenu rizika nakon svake značajne promjene u infrastrukturi mrežnog i informacijskog sustava, u procesima ili postupcima koji utječu na njihove poslovne funkcije koje se podupiru IKT-om te informacijsku imovinu ili IKT imovinu.

4.   Financijski subjekti utvrđuju svu informacijsku imovinu i IKT imovinu, među ostalima i onu na udaljenim lokacijama, mrežne resurse i hardversku opremu te mapiraju onu koju smatraju ključnom. Financijski subjekti mapiraju konfiguraciju informacijske imovine i IKT imovine te veze među različitom informacijskom imovinom i IKT imovinom i njihove međuovisnosti.

5.   Financijski subjekti utvrđuju i dokumentiraju sve procese koji ovise o trećim stranama pružateljima IKT usluga te utvrđuju međusobnu povezanost s trećim stranama pružateljima IKT usluga koji pružaju usluge kojima se podupiru ključne ili važne funkcije.

6.   Za potrebe stavaka 1., 4. i 5. financijski subjekti vode relevantne evidencije, koje ažuriraju redovito i svaki put kad dođe do značajnih promjena iz stavka 3.

7.   Financijski subjekti koji nisu mikropoduzeća redovito, a najmanje jedanput godišnje, provode posebnu procjenu IKT rizika za sve zastarjele IKT sustave, a u svakom slučaju prije i nakon povezivanja tehnologija, aplikacija ili sustava.

1.   Za potrebe primjerene zaštite IKT sustavâ i u cilju organiziranja mjera odgovora, financijski subjekti kontinuirano prate i kontroliraju sigurnost i funkcioniranje IKT sustavâ i alatâ te učinak IKT rizika na IKT sustave svode na najmanju moguću mjeru uvođenjem odgovarajućih alata, politika i postupaka za sigurnost IKT-a.

2.   Financijski subjekti osmišljavaju, izrađuju i provode politike, postupke, protokole i alate za sigurnost IKT-a čiji je cilj osigurati otpornost, kontinuitet i dostupnost IKT sustava, posebno onih kojima se podupiru ključne ili važne funkcije, te održavati visoke standarde dostupnosti, vjerodostojnosti, cjelovitosti i povjerljivosti podataka, neovisno o tome jesu li u mirovanju, upotrebi ili prijenosu.

3.   Kako bi ostvarili ciljeve iz stavka 2., financijski subjekti primjenjuju IKT rješenja i procese koji su primjereni u skladu s člankom 4. Tim IKT rješenjima i procesima:

4.   U sklopu okvira za upravljanje IKT rizicima iz članka 6. stavka 1. financijski subjekti:

Za potrebe prvog podstavka točke (b) financijski subjekti projektiraju infrastrukturu za mrežnu vezu tako da ju je moguće odmah prekinuti ili segmentirati kako bi se u najvećoj mogućoj mjeri smanjila i spriječila zaraza, posebno u slučaju međusobno povezanih financijskih procesa.

Za potrebe prvog podstavka točke (e) proces upravljanja promjenama IKT-a odobravaju odgovarajuće razine rukovodstva te on mora sadržavati posebne protokole.

1.   Financijski subjekti uspostavljaju mehanizme za brzo otkrivanje neobičnih aktivnosti, u skladu s člankom 17., što uključuje probleme s performansama IKT mreže i IKT incidente, te utvrđuju moguće bitne jedinstvene točke prekida.

Svi mehanizmi otkrivanja iz prvog podstavka redovito se testiraju u skladu s člankom 25.

2.   Mehanizmima otkrivanja iz stavka 1. omogućuje se više razina kontrole, utvrđuju pragovi za upozorenja i kriteriji za aktiviranje i pokretanje procesâ odgovora na IKT incidente, što uključuje mehanizme za automatsko upozoravanje relevantnog osoblja zaduženog za odgovor na IKT incidente.

3.   Financijski subjekti izdvajaju dostatne resurse i sposobnosti za praćenje aktivnosti korisnika, nastanka neobičnih pojava u IKT-u i IKT incidenata, posebno kibernapadâ.

4.   Pružatelji usluga dostave podataka usto uspostavljaju sustave kojima se može djelotvorno provjeriti jesu li izvješća o trgovanju potpuna, kojima se mogu utvrditi propusti i očite pogreške te zahtijevati ponovni prijenos tih izvješća.

1.   U sklopu okvira za upravljanje IKT rizicima iz članka 6. stavka 1. i na temelju zahtjevâ u pogledu utvrđivanja iz članka 8., financijski subjekti uvode sveobuhvatnu politiku kontinuiteta poslovanja u području IKT-a, koja se može donijeti kao zasebna namjenska politika koja je sastavni dio opće politike kontinuiteta poslovanja financijskog subjekta.

2.   Financijski subjekti provode politiku kontinuiteta poslovanja u području IKT-a s pomoću namjenskih, primjerenih i dokumentiranih aranžmana, planova, postupaka i mehanizama čiji je cilj:

3.   U sklopu okvira za upravljanje IKT rizicima iz članka 6. stavka 1. financijski subjekti provode povezane planove odgovora i oporavka u području IKT-a, koji, kad je riječ o financijskim subjektima koji nisu mikropoduzeća, podliježu neovisnim unutarnjim revizijskim pregledima.

4.   Financijski subjekti uvode, održavaju i periodički testiraju odgovarajuće planove kontinuiteta poslovanja u području IKT-a, prije svega za ključne ili važne funkcije koje su eksternalizirane ili ugovorene na temelju aranžmanâ s trećim stranama pružateljima IKT usluga.

5.   U sklopu opće politike kontinuiteta poslovanja financijski subjekti provode analizu učinka na poslovanje (BIA) s obzirom na svoju izloženost ozbiljnim poremećajima u poslovanju. U okviru BIA-e financijski subjekti procjenjuju mogući učinak ozbiljnih poremećaja u poslovanju s pomoću kvantitativnih i kvalitativnih kriterija, pri čemu se služe unutarnjim i vanjskim podatcima i analizom scenarija, ovisno o potrebi. U okviru BIA-e razmatraju se ključnost utvrđenih i mapiranih poslovnih funkcija, potporni procesi, ovisnosti o trećim stranama i informacijske imovine, kao i njihove međuovisnosti. Financijski subjekti osiguravaju da se IKT imovina i IKT usluge oblikuju i upotrebljavaju u potpunosti u skladu s BIA-om, posebno kad je riječ o primjerenom osiguravanju redundantnosti svih ključnih komponenata.

6.   U sklopu sveobuhvatnog upravljanja IKT rizicima financijski subjekti:

Za potrebe prvog podstavka točke (a) financijski subjekti koji nisu mikropoduzeća u planove testiranja uključuju scenarije kibernapadâ i prebacivanja s primarne IKT infrastrukture na redundantne kapacitete, sigurnosne kopije i redundantnu infrastrukturu koji su potrebni za ispunjenje obveza utvrđenih u članku 12.

Financijski subjekti redovito preispituju svoju politiku kontinuiteta poslovanja u području IKT-a te svoje planove odgovora i oporavka u području IKT-a uzimajući u obzir rezultate testova provedenih u skladu s prvim podstavkom i preporuke iz revizijskih ili nadzornih provjera.

7.   Financijski subjekti koji nisu mikropoduzeća imaju funkciju za upravljanje krizama kojom se, u slučaju aktivacije njihovih planova kontinuiteta poslovanja u području IKT-a ili njihovih planova odgovora i oporavka u području IKT-a, među ostalim utvrđuju jasni postupci za upravljanje unutarnjom i vanjskom komunikacijom u krizi u skladu s člankom 14.

8.   U slučaju aktivacije planova kontinuiteta poslovanja u području IKT-a te planova odgovora i oporavka u području IKT-a, financijski subjekti vode evidenciju aktivnosti prije i nakon poremećaja u radu, koja mora biti lako dostupna.

9.   Središnji depozitoriji vrijednosnih papira nadležnim tijelima dostavljaju preslike rezultata testova kontinuiteta poslovanja u području IKT-a ili sličnih vježbi.

10.   Financijski subjekti koji nisu mikropoduzeća nadležnim tijelima na zahtjev dostavljaju procjenu ukupnih godišnjih troškova i gubitaka prouzročenih značajnim IKT incidentima.

11.   U skladu s člankom 16. uredbi (EU) br. 1093/2010, (EU) br. 1094/2010 i (EU) br. 1095/2010 europska nadzorna tijela u okviru zajedničkog odbora do 17. srpnja 2024. izrađuju zajedničke smjernice za procjenu ukupnih godišnjih troškova i gubitaka iz stavka 10.

1.   Kako bi se osigurala ponovna uspostava IKT sustavâ i podataka uz minimalno razdoblje prekida rada te ograničene poremećaje u radu i gubitke, financijski subjekti u sklopu svojeg okvira za upravljanje IKT rizicima razvijaju i dokumentiraju:

2.   Financijski subjekti uspostavljaju sustave za izradu sigurnosnih kopija, koji se mogu aktivirati u skladu s politikama i postupcima za izradu sigurnosnih kopija te postupcima i metodama za ponovnu uspostavu i oporavak. Aktivacijom sustavâ za izradu sigurnosnih kopija ne smije se ugroziti sigurnost mrežnih i informacijskih sustava ni dostupnost, vjerodostojnost, cjelovitost ili povjerljivost podataka. Postupci za izradu sigurnosnih kopija te postupci i metode za ponovnu uspostavu i oporavak periodički se testiraju.

3.   Pri vraćanju podataka sa sigurnosne kopije s pomoću vlastitih sustava financijski subjekti upotrebljavaju IKT sustave koji su fizički i logički odvojeni od izvornog IKT sustava. Ti IKT sustavi moraju biti zaštićeni od neovlaštenog pristupa ili oštećenja u području IKT-a te moraju omogućiti pravodobnu ponovnu uspostavu usluga, pri čemu se prema potrebi upotrebljavaju sigurnosne kopije podataka i sustava.

Središnjim drugim ugovornim stranama planovi oporavka omogućuju oporavak svih transakcija koje su bile u tijeku u trenutku poremećaja kako bi se omogućio siguran nastavak poslovanja središnje druge ugovorne strane te dovršila namira na zakazani datum.

Pružatelji usluga dostave podataka usto osiguravaju odgovarajuće resurse te imaju infrastrukturu za izradu sigurnosnih kopija i ponovnu uspostavu kako bi u svakom trenutku mogli nuditi i održati svoje usluge.

4.   Financijski subjekti koji nisu mikropoduzeća održavaju redundantne IKT kapacitete opremljene resursima, sposobnostima i funkcijama koji su odgovarajući za pokrivanje poslovnih potreba. Mikropoduzeća na temelju svojeg profila rizičnosti procjenjuju potrebu za održavanjem takvih redundantnih IKT kapaciteta.

5.   Središnji depozitoriji vrijednosnih papira održavaju najmanje jedno sekundarno mjesto obrade opremljeno odgovarajućim resursima, sposobnostima, funkcijama i osobljem za pokrivanje poslovnih potreba.

Sekundarno mjesto obrade:

6.   Pri utvrđivanju ciljeva kad je riječ o vremenu oporavka i točki oporavka za svaku funkciju financijski subjekti uzimaju u obzir radi li se o ključnoj ili važnoj funkciji te mogući opći učinak na učinkovitost tržišta. Tim ciljnim vremenima mora se osigurati da se u ekstremnim scenarijima postignu dogovorene razine usluga.

7.   Pri oporavljanju od IKT incidenta financijski subjekti obavljaju potrebne provjere, uključujući višestruke provjere i usklađivanja, kako bi osigurali održavanje najviše razine cjelovitosti podataka. Te se provjere obavljaju i pri rekonstrukciji podataka vanjskih dionika kako bi se osigurala dosljednost podataka među sustavima.

1.   Financijski subjekti raspolažu sposobnostima i osobljem za prikupljanje informacija o ranjivostima i kiberprijetnjama, IKT incidentima, a osobito kibernapadima, te za analizu njihova vjerojatnog učinka na digitalnu operativnu otpornost financijskih subjekata.

2.   Financijski subjekti uvode preispitivanja nakon IKT incidenata, koja se provode nakon što značajni IKT incidenti uzrokuju poremećaje u njihovim osnovnim aktivnostima, pri čemu analiziraju uzroke tih poremećaja i utvrđuju koja su poboljšanja potrebna za operacije IKT-a ili u okviru politike kontinuiteta poslovanja u području IKT-a iz članka 11.

Financijski subjekti koji nisu mikropoduzeća na zahtjev obavješćuju nadležna tijela o promjenama koje su provedene slijedom preispitivanja nakon IKT incidenata iz prvog podstavka.

U okviru preispitivanja nakon IKT incidenata iz prvog podstavaka utvrđuje se je li se postupalo u skladu s uspostavljenim postupcima te jesu li poduzete mjere bile djelotvorne, među ostalim i u pogledu:

3.   Pouke stečene iz testiranja digitalne operativne otpornosti provedenog u skladu s člancima 26. i 27. te iz stvarnih IKT incidenata, osobito kibernapadâ, kao i problemi koji se pojave po aktivaciji planova kontinuiteta poslovanja u području IKT-a te planova odgovora i oporavka u području IKT-a, zajedno s relevantnim informacijama razmijenjenima s partnerskim financijskim subjektima i procijenjenima tijekom nadzornih preispitivanja, propisno se i kontinuirano uključuju u proces procjene IKT rizikâ. Na temelju tih nalaza provode se odgovarajuća preispitivanja relevantnih komponenata okvira za upravljanje IKT rizicima iz članka 6. stavka 1.

4.   Financijski subjekti prate djelotvornost provedbe svoje strategije za digitalnu operativnu otpornost iz članka 6. stavka 8. Financijski subjekti mapiraju kako se IKT rizici razvijaju s vremenom, analiziraju učestalost, vrste, razmjer i razvoj IKT incidenata, osobito kibernapadâ, te njihove obrasce, kako bi razumjeli razinu izloženosti IKT rizicima, osobito u odnosu na ključne ili važne funkcije, i poboljšali kiberzrelost i pripravnost konkretnog financijskog subjekta.

5.   Više IKT osoblje najmanje jedanput godišnje izvješćuje upravljačko tijelo o nalazima iz stavka 3. te iznosi preporuke.

6.   Financijski subjekti osmišljavaju programe za podizanje svijesti o sigurnosti u području IKT-a i osposobljavanja o digitalnoj operativnoj otpornosti kao obvezne module u svojim programima osposobljavanja osoblja. Ti programi i osposobljavanja primjenjuju se na sve zaposlenike i više rukovodstvo, a razina njihove složenosti razmjerna je nadležnostima osoba koje obavljaju određene funkcije. Financijski subjekti u svoje relevantne programe osposobljavanja prema potrebi uključuju i treće strane pružatelje IKT usluga, u skladu s člankom 30. stavkom 2. točkom i.

7.   Financijski subjekti koji nisu mikropoduzeća kontinuirano prate relevantna tehnološka dostignuća, također kako bi bolje razumjeli mogući učinak koji bi uvođenje tih novih tehnologija moglo imati na zahtjeve u pogledu sigurnosti IKT-a i digitalnu operativnu otpornost. Financijski subjekti koji nisu mikropoduzeća ostaju u toku s najnovijim procesima upravljanja IKT rizicima kako bi mogli djelotvorno suzbijati postojeće ili nove oblike kibernapada.

1.   U sklopu okvira za upravljanje IKT rizicima iz članka 6. stavka 1. financijski subjekti izrađuju planove komunikacije u krizi, kojima se osigurava odgovorna objava barem značajnih IKT incidenata ili ranjivosti klijentima, partnerskim financijskim subjektima i javnosti, ovisno o slučaju.

2.   U sklopu okvira za upravljanje IKT rizicima financijski subjekti provode komunikacijske politike za interno osoblje i vanjske dionike. U komunikacijskim politikama za osoblje uzima se u obzir potreba da se mora razlikovati osoblje uključeno u upravljanje IKT rizicima, posebno osoblje nadležno za odgovor i oporavak, od osoblja koje samo treba informirati.

3.   Najmanje jedna osoba u financijskom subjektu zadužena je za provedbu komunikacijske strategije za IKT incidente i u tu svrhu ispunjava funkciju komunikacije s javnošću i medijima.

1.   Članci od 5. do 15. ove Uredbe ne primjenjuju se na mala i nepovezana investicijska društva, institucije za platni promet izuzete na temelju Direktive (EU) 2015/2366; institucije izuzete na temelju Direktive 2013/36/EU u odnosu na koje su države članice odlučile da neće primijeniti mogućnost iz članka 2. stavka 4. ove Uredbe; institucije za elektronički novac izuzete na temelju Direktive 2009/110/EZ; te male institucije za strukovno mirovinsko osiguranje.

Ne dovodeći u pitanje prvi podstavak, subjekti navedeni u prvom podstavku moraju:

2.   Okvir za upravljanje IKT rizicima iz stavka 1. drugog podstavka točke (a) dokumentira se i preispituje periodički, kao i po nastanku značajnih IKT incidenata, u skladu s uputama nadzornog tijela. Kontinuirano ga se poboljšava na temelju pouka koje proizlaze iz provedbe i praćenja. Izvješće o preispitivanju okvira za upravljanje IKT rizicima podnosi se nadležnom tijelu na njegov zahtjev.

3.   Europska nadzorna tijela, u okviru Zajedničkog odbora i uz savjetovanje s ENISA-om, izrađuju zajednički nacrt regulatornih tehničkih standarda kako bi se:

Pri izradi tog nacrta regulatornih tehničkih standarda europska nadzorna tijela uzimaju u obzir veličinu i ukupni profil rizičnosti financijskog subjekta te prirodu, opseg i složenost njegovih usluga, aktivnosti i poslovanja.

Europska nadzorna tijela taj nacrt regulatornih tehničkih standarda dostavljaju Komisiji do 17. siječnja 2024.

Komisiji se dodjeljuje ovlast za dopunjavanje ove Uredbe donošenjem regulatornih tehničkih standarda iz prvog podstavka u skladu s člancima od 10. do 14. Uredbe (EU) br. 1093/2010, Uredbe (EU) br. 1094/2010 i Uredbe (EU) br. 1095/2010.

1.   Financijski subjekti definiraju, uspostavljaju i provode proces upravljanja IKT incidentima radi otkrivanja IKT incidenata, upravljanja njima i obavješćivanja o njima.

2.   Financijski subjekti evidentiraju sve IKT incidente i ozbiljne kiberprijetnje. Financijski subjekti uspostavljaju odgovarajuće postupke i procese za osiguravanje dosljednog i integriranog praćenja IKT incidenata te postupanja i poduzimanja daljnjih mjera u vezi s njima kako bi se osiguralo utvrđivanje i dokumentiranje njihovih temeljnih uzroka te nošenje s tim uzrocima u cilju sprečavanja nastanka takvih incidenata.

3.   U okviru procesa upravljanja IKT incidentima iz stavka 1.:

1.   Financijski subjekti klasificiraju IKT incidente i utvrđuju njihov učinak na temelju sljedećih kriterija:

2.   Financijski subjekti klasificiraju kiberprijetnje kao ozbiljne na temelju ključnosti usluga koje su izložene riziku, što uključuje transakcije i operacije financijskog subjekta, broj i/ili relevantnost zahvaćenih klijenata ili partnerskih financijskih subjekata i zemljopisnu raširenost područja izloženih riziku.

3.   Europska nadzorna tijela, u okviru Zajedničkog odbora i uz savjetovanje s ESB-om i ENISA-om, izrađuju zajednički nacrt regulatornih tehničkih standarda u kojem se pobliže opisuje sljedeće:

4.   Pri izradi zajedničkog nacrta regulatornih tehničkih standarda iz stavka 3. ovog članka europska nadzorna tijela uzimaju u obzir kriterije utvrđene u članku 4. stavku 2. te međunarodne standarde, smjernice i specifikacije koje izradi i objavi ENISA, uključujući prema potrebi specifikacije za druge gospodarske sektore. Za potrebe primjene kriterija utvrđenih u članku 4. stavku 2. europska nadzorna tijela propisno razmatraju potrebu da mikropoduzeća te mala i srednja poduzeća mobiliziraju dostatne resurse i kapacitete kako bi se osiguralo brzo upravljanje IKT incidentima.

Europska nadzorna tijela taj zajednički nacrt regulatornih tehničkih standarda dostavljaju Komisiji do 17. siječnja 2024.

Komisiji se dodjeljuje ovlast za dopunjavanje ove Uredbe donošenjem regulatornih tehničkih standarda iz stavka 3. u skladu s člancima od 10. do 14. Uredbe (EU) br. 1093/2010, Uredbe (EU) br. 1094/2010 i Uredbe (EU) br. 1095/2010.

1.   Financijski subjekti izvješćuju relevantna nadležna tijela iz članka 46. o značajnim IKT incidentima, u skladu sa stavkom 4. ovog članka.

Ako financijski subjekt podliježe nadzoru više nacionalnih nadležnih tijela iz članka 46., države članice imenuju jedno nadležno tijelo kao relevantno nadležno tijelo odgovorno za obavljanje funkcija i zadaća predviđenih u ovom članku.

Kreditne institucije koje su u skladu s člankom 6. stavkom 4. Uredbe (EU) br. 1024/2013 klasificirane kao značajne o značajnim IKT incidentima izvješćuju relevantno nacionalno nadležno tijelo imenovano u skladu s člankom 4. Direktive 2013/36/EU, koje to izvješće odmah prosljeđuje ESB-u.

Za potrebe prvog podstavka financijski subjekti, nakon što su prikupili i analizirali sve relevantne informacije, sastavljaju početnu obavijest i izvješća iz stavka 4. ovog članka s pomoću obrazaca iz članka 20. te ih dostavljaju nadležnom tijelu. Ako zbog tehničkih poteškoća nije moguće dostaviti početnu obavijest s pomoću obrasca, financijski subjekti obavješćuju nadležno tijelo o tome na neki drugi način.

Početna obavijest i izvješća iz stavka 4. sadržavaju sve informacije koje su nadležnom tijelu potrebne da bi utvrdilo ozbiljnost značajnog IKT incidenta i procijenilo moguće prekogranične učinke.

Ne dovodeći u pitanje izvješćivanje relevantnog nadležnog tijela od strane financijskog subjekta na temelju prvog podstavka, države članice povrh toga mogu odrediti da neki ili svi financijski subjekti početnu obavijest i svako izvješće iz stavka 4. ovog članka s pomoću obrazaca iz članka 20. također moraju dostaviti nadležnim tijelima ili timovima za odgovor na računalne sigurnosne incidente (CSIRT-ovi) imenovanima ili uspostavljenima u skladu s Direktivom (EU) 2022/2555.

2.   Financijski subjekti mogu, na dobrovoljnoj osnovi, obavijestiti relevantno nadležno tijelo o ozbiljnim kiberprijetnjama ako smatraju da je prijetnja relevantna za financijski sustav, korisnike usluga ili klijente. Relevantno nadležno tijelo takve informacije može dostaviti drugim relevantnim tijelima iz stavka 6.

Kreditne institucije koje su klasificirane kao značajne u skladu s člankom 6. stavkom 4. Uredbe (EU) br. 1024/2013 mogu, na dobrovoljnoj osnovi, obavijestiti relevantno nacionalno nadležno tijelo imenovano u skladu s člankom 4. Direktive 2013/36/EU o ozbiljnim kiberprijetnjama, koje tu obavijest odmah prosljeđuje ESB-u.

Države članice mogu odrediti da oni financijski subjekti koji dostave obavijest na dobrovoljnoj osnovi u skladu s prvim podstavkom tu obavijest također mogu proslijediti CSIRT-ovima imenovanima ili uspostavljenima u skladu s Direktivom (EU) 2022/2555.

3.   Kad nastane značajan IKT incident koji utječe na financijske interese klijenata, financijski subjekti bez odgode, čim postanu svjesni tog incidenta, obavješćuju svoje klijente o tom značajnom IKT incidentu i o mjerama koje su poduzete kako bi se ublažili njegovi negativni učinci.

U slučaju ozbiljne kiberprijetnje financijski subjekti, ako je to primjenjivo, obavješćuju svoje klijente koji bi njome mogli biti zahvaćeni o svim odgovarajućim zaštitnim mjerama čije bi poduzimanje klijenti mogli razmotriti.

4.   Financijski subjekti, u rokovima koje treba odrediti u skladu s člankom 20. prvim stavkom točkom (a) podtočkom ii, relevantnom nadležnom tijelu dostavljaju sljedeće:

5.   Financijski subjekti mogu, u skladu sa sektorskim pravom Unije i nacionalnim sektorskim pravom, eksternalizirati obveze izvješćivanja iz ovog članka trećoj strani pružatelju usluga. U slučaju takve eksternalizacije financijski subjekt ostaje u potpunosti odgovoran za ispunjavanje zahtjevâ u pogledu izvješćivanja o incidentima.

6.   Nakon primitka početne obavijesti i svakog izvješća iz stavka 4. nadležno tijelo pravodobno dostavlja pojedinosti o značajnom IKT incidentu sljedećim primateljima, ovisno o tome u čijoj je nadležnosti dotični slučaj:

7.   Nakon što prime informacije u skladu sa stavkom 6., EBA, ESMA ili EIOPA i ESB, uz savjetovanje s ENISA-om i u suradnji s relevantnim nadležnim tijelom, procjenjuju je li dotični značajni IKT incident relevantan za nadležna tijela u drugim državama članicama. Nakon te procjene EBA, ESMA ili EIOPA u što kraćem roku obavješćuju relevantna nadležna tijela u drugim državama članicama. ESB obavješćuje članove Europskog sustava središnjih banaka o pitanjima koja su relevantna za platni sustav. Na temelju te obavijesti nadležna tijela prema potrebi poduzimaju sve potrebne mjere u svrhu zaštite neposredne stabilnosti financijskog sustava.

8.   Obaviješću koju ESMA mora dostaviti na temelju stavka 7. ovog članka ne dovodi se u pitanje odgovornost nadležnog tijela da hitno prenese pojedinosti o značajnom IKT incidentu relevantnom tijelu u državi članici domaćinu ako središnji depozitorij vrijednosnih papira ima znatnu prekograničnu aktivnost u državi članici domaćinu, ako će značajni IKT incident vjerojatno imati ozbiljne posljedice za financijska tržišta države članice domaćina i ako među nadležnim tijelima postoje aranžmani za suradnju u vezi s nadzorom financijskih subjekata.

1.   Europska nadzorna tijela, u okviru Zajedničkog odbora i uz savjetovanje s ESB-om i ENISA-om, izrađuju zajedničko izvješće u kojem se procjenjuje izvedivost daljnje centralizacije izvješćivanja o incidentima uvođenjem jedinstvenog EU-ova centra za izvješćivanje o značajnim IKT incidentima za financijske subjekte. U tom zajedničkom izvješću istražuje se kako olakšati tijek izvješćivanja o IKT incidentima, smanjiti povezane troškove i poduprijeti tematske analize radi poboljšanja konvergencije nadzora.

2.   Zajedničko izvješće iz stavka 1. sadržava barem sljedeće elemente:

3.   Europska nadzorna tijela izvješće iz stavka 1. dostavljaju Europskom parlamentu, Vijeću i Komisiji do 17. siječnja 2025.

1.   Ne dovodeći u pitanje tehničke doprinose, savjete ili korektivne mjere i daljnja postupanja koje, ako je to primjenjivo, u skladu s nacionalnim pravom pružaju i provode CSIRT-ovi iz Direktive (EU) 2022/2555, nadležno tijelo nakon primitka početne obavijesti i svakog izvješća iz članka 19. stavka 4. potvrđuje primitak i može, ako je to izvedivo, financijskom subjektu pravodobno dati relevantne i razmjerne povratne informacije ili smjernice na visokoj razini, posebno davanjem na uvid svih relevantnih anonimiziranih informacija i saznanja o sličnim prijetnjama, te može raspravljati o korektivnim mjerama koje su primijenjene na razini financijskog subjekta i o načinima za svođenje negativnih učinaka u cijelom financijskom sektoru na najmanju moguću mjeru i njihovo ublažavanje. Ne dovodeći u pitanje primljene povratne informacije o nadzoru, financijski subjekti snose potpunu odgovornost za postupanje u vezi s IKT incidentima o kojima je izviješćeno u skladu s člankom 19. stavkom 1. i za posljedice tih IKT incidenata.

2.   Europska nadzorna tijela u okviru Zajedničkog odbora svake godine sastavljaju anonimizirano i agregirano izvješće o značajnim IKT incidentima, pri čemu pojedinosti o njima dostavljaju nadležna tijela u skladu s člankom 19. stavkom 6., u kojem se navode barem broj značajnih IKT incidenata, njihova priroda i učinak na poslovanje financijskih subjekata ili klijenata, poduzete korektivne mjere te nastali troškovi.

Europska nadzorna tijela izdaju upozorenja i izrađuju statistike na visokoj razini koje služe kao dopuna procjenama prijetnji i ranjivosti u području IKT-a.

1.   Za potrebe procjene pripravnosti za postupanje u vezi s IKT incidentima, utvrđivanja slabosti, nedostataka i odstupanja u digitalnoj operativnoj otpornosti te brze provedbe korektivnih mjera financijski subjekti koji nisu mikropoduzeća, uzimajući u obzir kriterije utvrđene u članku 4. stavku 2., izrađuju, održavaju i preispituju pouzdan i sveobuhvatan program testiranja digitalne operativne otpornosti kao sastavni dio okvira za upravljanje IKT rizicima iz članka 6.

2.   Program testiranja digitalne operativne otpornosti uključuje razne procjene, testove, metodologije, postupke i alate koji se moraju primjenjivati u skladu s člancima 25. i 26.

3.   Kad provode programe testiranja digitalne operativne otpornosti iz stavka 1. ovog članka financijski subjekti koji nisu mikropoduzeća primjenjuju pristup koji se temelji na procjeni rizika, uzimajući u obzir kriterije utvrđene u članku 4. stavku 2., propisno vodeći računa o razvoju IKT rizika, konkretnim rizicima kojima je dotični financijski subjekt izložen ili bi mogao biti izložen, ključnosti informacijske imovine i usluga koje se pružaju te svim drugim čimbenicima koje financijski subjekt smatra primjerenima.

4.   Financijski subjekti koji nisu mikropoduzeća osiguravaju da testove provode neovisne strane, unutarnje ili vanjske. Ako testove provodi unutarnji provoditelj testiranja, financijski subjekti namjenjuju dostatne resurse u tu svrhu i osiguravaju izbjegavanje sukoba interesa u fazama osmišljavanja i provedbe testa.

5.   Financijski subjekti koji nisu mikropoduzeća uvode postupke i politike za određivanje prioriteta, klasifikaciju i ispravljanje svih problema otkrivenih tijekom testova te utvrđuju metodologije unutarnje provjere kako bi osigurali da se sve utvrđene slabosti, nedostatci ili odstupanja u potpunosti otklone.

6.   Financijski subjekti koji nisu mikropoduzeća osiguravaju da se najmanje jedanput godišnje provedu primjereni testovi svih IKT sustava i aplikacija kojima se podupiru ključne ili važne funkcije.

1.   Programom testiranja digitalne operativne otpornosti iz članka 24. predviđa se, u skladu s kriterijima utvrđenima u članku 4. stavku 2., provedba odgovarajućih testova, kao što su procjene i skeniranja ranjivosti, analize javno dostupnih izvora, procjene mrežne sigurnosti, analize odstupanja, preispitivanja fizičke sigurnosti, upitnici i softverska rješenja za skeniranje, preispitivanja izvornog koda ako je to izvedivo, testiranja na temelju scenarija, testiranje kompatibilnosti, testiranje performansi, integralno testiranje (engl. end-to-end testing) i penetracijsko testiranje.

2.   Središnji depozitoriji vrijednosnih papira i središnje druge ugovorne strane provode procjene ranjivosti prije svakog uvođenja ili ponovnog uvođenja novih ili postojećih aplikacija i infrastrukturnih komponenata te IKT usluga kojima se podupiru ključne ili važne funkcije financijskog subjekta.

3.   Mikropoduzeća provode testove iz stavka 1. kombiniranjem pristupa koji se temelji na procjeni rizika sa strateškim planiranjem testiranja IKT-a, propisno uzimajući u obzir potrebu za održavanjem uravnoteženog pristupa između, s jedne strane, opsega resursa i vremena koje treba izdvojiti za testiranja IKT-a iz ovog članka i, s druge strane, hitnosti, vrste rizika, ključnosti informacijske imovine i usluga koje se pružaju te svih drugih relevantnih čimbenika, što uključuje sposobnost financijskog subjekta da preuzima promišljene rizike.

1.   Financijski subjekti koji nisu subjekti iz članka 16. stavka 1. prvog podstavka i koji nisu mikropoduzeća, koji su utvrđeni u skladu sa stavkom 8. trećim podstavkom ovog članka, provode napredno testiranje u obliku TLPT-a barem svake tri godine. Na temelju profila rizičnosti financijskog subjekta i uzimajući u obzir operativne okolnosti, nadležno tijelo prema potrebi može zatražiti od financijskog subjekta da tu učestalost smanji ili poveća.

2.   Svaki penetracijski test vođen prijetnjama obuhvaća više ključnih ili važnih funkcija financijskog subjekta ili sve takve funkcije te se provodi na produkcijskim sustavima kojima se te funkcije podupiru.

Financijski subjekti utvrđuju sve relevantne temeljne IKT sustave, procese i tehnologije kojima se podupiru ključne ili važne funkcije te IKT usluge, među ostalim i one kojima se podupiru ključne ili važne funkcije koje su eksternalizirane ili ugovorene s trećim stranama pružateljima IKT usluga.

Financijski subjekti procjenjuju koje ključne ili važne funkcije moraju biti obuhvaćene TLPT-om. Na temelju rezultata te procjene određuje se točan opseg TLPT-a, a rezultate te procjene potvrđuju nadležna tijela.

3.   Ako su treće strane pružatelji IKT usluga obuhvaćene TLPT-om, financijski subjekt poduzima potrebne mjere i zaštitne mjere kako bi osigurao sudjelovanje takvih trećih strana pružatelja IKT usluga u TLPT-u te u svakom trenutku zadržava potpunu odgovornost za osiguravanje usklađenosti s ovom Uredbom.

4.   Ne dovodeći u pitanje stavak 2. prvi i drugi podstavak, ako se opravdano može očekivati da će sudjelovanje treće strane pružatelja IKT usluga u TLPT-u, kako je navedeno u stavku 3., negativno utjecati na kvalitetu ili sigurnost usluga koje treća strana pružatelj IKT usluga pruža klijentima koji su subjekti koji nisu obuhvaćeni područjem primjene ove Uredbe ili na povjerljivost podataka povezanih s takvim uslugama, financijski subjekt i treća strana pružatelj IKT usluga mogu se u pisanom obliku dogovoriti da treća strana pružatelj IKT usluga sklopi ugovorni aranžman izravno s vanjskim provoditeljem testiranja za potrebe provedbe, pod vodstvom jednog imenovanog financijskog subjekta, skupnog TLPT-a, u kojem sudjeluje više financijskih subjekata (skupno testiranje) kojima treća strana pružatelj IKT usluga pruža IKT usluge.

To skupno testiranje obuhvaća relevantan raspon IKT usluga kojima se podupiru ključne ili važne funkcije koje su financijski subjekti ugovorili s dotičnom trećom stranom pružateljem IKT usluga. Skupno testiranje smatra se TLPT-om koji provode financijski subjekti koji sudjeluju u skupnom testiranju.

Broj financijskih subjekata koji sudjeluju u skupnom testiranju na odgovarajući se način prilagođava uzimajući u obzir složenost i vrste usluga o kojima je riječ.

5.   Financijski subjekti, u suradnji s trećim stranama pružateljima IKT usluga i ostalim uključenim stranama, uključujući provoditelje testiranja, ali ne i nadležna tijela, provode djelotvorne kontrole upravljanja rizicima kako bi ublažili rizike od mogućeg učinka na podatke, od oštećenja imovine i od poremećaja u radu ključnih ili važnih funkcija, usluga ili operacija u okviru samog financijskog subjekta, njegovih partnerskih financijskih subjekata ili u financijskom sektoru.

6.   Na kraju testiranja, nakon što se postigne dogovor o izvješćima i planovima za ispravljanje nedostataka, financijski subjekt i, ako je to primjenjivo, vanjski provoditelji testiranja tijelu imenovanom u skladu sa stavkom 9. ili stavkom 10. dostavljaju sažetak relevantnih nalaza, planove za ispravljanje nedostataka i dokumentaciju kojom se potvrđuje da je TLPT proveden u skladu sa zahtjevima.

7.   Tijela financijskim subjektima izdaju potvrdu da je test proveden u skladu sa zahtjevima, kako je potvrđeno u dokumentaciji, kako bi se omogućilo da nadležna tijela uzajamno priznaju penetracijske testove vođene prijetnjama. Financijski subjekt obavješćuje relevantno nadležno tijelo o potvrdi, sažetku relevantnih nalaza i planovima za ispravljanje nedostataka.

Ne dovodeći u pitanje takvu potvrdu, financijski subjekti u svakom trenutku snose punu odgovornost za učinke testova iz stavka 4.

8.   Za potrebe provedbe TLPT-a financijski subjekti angažiraju provoditelje testiranja u skladu s člankom 27. Ako financijski subjekti za potrebe provedbe TLPT-a angažiraju unutarnje provoditelje testiranja, za svaki treći test dužni su angažirati vanjske provoditelje testiranja.

Kreditne institucije koje su klasificirane kao značajne u skladu s člankom 6. stavkom 4. Uredbe (EU) br. 1024/2013 angažiraju samo vanjske provoditelje testiranja, u skladu s člankom 27. stavkom 1. točkama od (a) do (e).

Nadležna tijela utvrđuju financijske subjekte koji su dužni provoditi TLPT, uzimajući u obzir kriterije utvrđene u članku 4. stavku 2., na temelju procjene sljedećeg:

9.   Države članice mogu imenovati jedinstveno tijelo javne vlasti u financijskom sektoru koje će biti odgovorno za pitanja povezana s TLPT-om u financijskom sektoru na nacionalnoj razini i tom tijelu povjeravaju sve nadležnosti i zadaće u vezi s time.

10.   Ako se ne imenuje odgovarajuće jedinstveno tijelo javne vlasti u skladu sa stavkom 9. ovog članka, i ne dovodeći u pitanje ovlast za utvrđivanje financijskih subjekata koji su dužni provoditi TLPT, nadležno tijelo može delegirati izvršavanje nekih ili svih zadaća iz ovog članka i članka 27. nekom drugom nacionalnom tijelu u financijskom sektoru.

11.   Europska nadzorna tijela, u dogovoru s ESB-om i u skladu s okvirom TIBER-EU, izrađuju zajednički nacrt regulatornih tehničkih standarda u kojem se pobliže opisuje sljedeće:

Pri izradi tog nacrta regulatornih tehničkih standarda europska nadzorna tijela propisno uzimaju u obzir sve posebne značajke koje proizlaze iz specifične prirode aktivnosti u različitim sektorima financijskih usluga.

Europska nadzorna tijela taj nacrt regulatornih tehničkih standarda dostavljaju Komisiji do 17. srpnja 2024.

Komisiji se dodjeljuje ovlast za dopunjavanje ove Uredbe donošenjem regulatornih tehničkih standarda iz prvog podstavka u skladu s člancima od 10. do 14. Uredbe (EU) br. 1093/2010, Uredbe (EU) br. 1094/2010 i Uredbe (EU) br. 1095/2010.

1.   Financijski subjekti za provedbu TLPT-a angažiraju samo provoditelje testiranja:

2.   Kad angažiraju unutarnje provoditelja testiranja, financijski subjekti osiguravaju da su, uz zahtjeve iz stavka 1., ispunjeni i sljedeći zahtjevi:

3.   Financijski subjekti osiguravaju da se u ugovorima sklopljenima s vanjskim provoditeljima testiranja zahtijeva dobro upravljanje rezultatima TLPT-a i da ni jedna obrada podatka s tim u vezi, uključujući proizvodnju, pohranu, agregiranje, izradu, izvješćivanje, obavješćivanje ili uništavanje, ne stvara rizike za financijski subjekt.

1.   Financijski subjekti upravljaju IKT rizikom povezanim s trećim stranama kao sastavnim dijelom IKT rizika u njihovu okviru za upravljanje IKT rizicima iz članka 6. stavka 1. i u skladu sa sljedećim načelima:

2.   U sklopu svojih okvira za upravljanje IKT rizicima financijski subjekti koji nisu subjekti iz članka 16. stavka 1. prvog podstavka i koji nisu mikropoduzeća donose i redovito preispituju strategiju za IKT rizik povezan s trećim stranama, uzimajući u obzir, ako je to primjenjivo, strategiju nabave od više dobavljača iz članka 6. stavka 9. Strategija za IKT rizik povezan s trećim stranama obuhvaća politiku o upotrebi IKT usluga kojima se podupiru ključne ili važne funkcije, a koje pružaju treće strane pružatelji IKT usluga, i primjenjuje se na pojedinačnoj i, prema potrebi, na potkonsolidiranoj i konsolidiranoj osnovi. Upravljačko tijelo na temelju procjene ukupnog profila rizičnosti financijskog subjekta te opsega i složenosti njegovih poslovnih usluga redovito preispituje rizike koji su utvrđeni u vezi s ugovornim aranžmanima o upotrebi IKT usluga kojima se podupiru ključne ili važne funkcije.

3.   U sklopu okvira za upravljanje IKT rizicima financijski subjekti na razini subjekta te na potkonsolidiranoj i konsolidiranoj razini vode i ažuriraju registar informacija o svim ugovornim aranžmanima o upotrebi IKT usluga koje pružaju treće strane pružatelji IKT usluga.

Ugovorni aranžmani iz prvog podstavka na odgovarajući se način dokumentiraju tako da se aranžmani koji obuhvaćaju IKT usluge kojima se podupiru ključne ili važne funkcije razlikuju od onih koji ne obuhvaćaju takve usluge.

Financijski subjekti nadležna tijela najmanje jedanput godišnje izvješćuju o broju novih aranžmana o upotrebi IKT usluga, kategorijama trećih strana pružatelja IKT usluga, vrsti ugovornih aranžmana te o IKT uslugama i funkcijama koje se pružaju.

Financijski subjekti nadležnom tijelu na zahtjev stavljaju na raspolaganje cijeli registar informacija ili, ovisno o zahtjevu, njegove određene dijelove te sve informacije koje se smatraju potrebnima za djelotvoran nadzor nad financijskim subjektom.

Financijski subjekti pravodobno obavješćuju nadležno tijelo o svim planiranim ugovornim aranžmanima o upotrebi IKT usluga kojima se podupiru ključne ili važne funkcije te o tome da je određena funkcija postala ključna ili važna.

4.   Prije sklapanja ugovornog aranžmana o upotrebi IKT usluga financijski subjekti:

5.   Financijski subjekti mogu sklapati ugovorne aranžmane samo s trećim stranama pružateljima IKT usluga koje ispunjavaju odgovarajuće standarde informacijske sigurnosti. Kad se ti ugovorni aranžmani odnose na ključne ili važne funkcije, financijski subjekti prije njihova sklapanja propisno vode računa o tome da treće strane pružatelji IKT usluga primjenjuju najnovije i najkvalitetnije standarde informacijske sigurnosti.

6.   Pri ostvarivanju pravâ na pristup, inspekcijski nadzor i reviziju u odnosu na treću stranu pružatelja IKT usluga financijski subjekti na temelju pristupa koji se temelji na procjeni rizika unaprijed utvrđuju učestalost revizija i inspekcijskog nadzora te područja u kojima treba provesti revizije, pridržavajući se općeprihvaćenih revizijskih standarda, u skladu s uputama nadzornog tijela o primjeni i uvrštenju tih revizijskih standarda.

Ako su ugovorni aranžmani sklopljeni s trećim stranama pružateljima IKT usluga o upotrebi IKT usluga tehnički vrlo složeni, financijski subjekt provjerava imaju li revizori, neovisno o tome je li riječ o unutarnjim ili vanjskim revizorima ili o skupini revizora, odgovarajuće vještine i znanje za djelotvornu provedbu relevantnih revizija i procjena.

7.   Financijski subjekti osiguravaju mogućnost raskida ugovornog aranžmana o upotrebi IKT usluga u bilo kojoj od sljedećih situacija:

8.   Kad je riječ o IKT uslugama kojima se podupiru ključne ili važne funkcije, financijski subjekti uvode izlazne strategije. U izlaznim strategijama uzimaju se u obzir rizici koji bi se mogli pojaviti na razini trećih strana pružatelja IKT usluga, osobito njihov mogući prekid, opadanje kvalitete IKT usluga koje se pružaju, poremećaji u poslovanju zbog neprikladnog ili neuspješnog pružanja IKT usluga ili svaki značajan rizik koji bi mogao nastati u vezi s prikladnošću i kontinuitetom uvođenja određene IKT usluge ili raskid ugovornog aranžmana s trećim stranama pružateljima IKT usluga u bilo kojoj od situacija navedenih u stavku 7.

Financijski subjekti osiguravaju da se mogu povući iz ugovornih aranžmana bez:

Izlazni planovi moraju biti sveobuhvatni, dokumentirani i, u skladu s kriterijima utvrđenima u članku 4. stavku 2., moraju biti dostatno testirani te se moraju periodički preispitivati.

Financijski subjekti utvrđuju alternativna rješenja i izrađuju tranzicijske planove koji im omogućuju da se ugovorene IKT usluge te relevantni podatci od treće strane pružatelja IKT usluga sigurno i u cijelosti prenesu na alternativne pružatelje ili ponovno uključe u interni sustav.

Financijski subjekti uspostavljaju odgovarajuće mjere za nepredvidive situacije kako bi održali kontinuitet poslovanja ako dođe do okolnosti iz prvog podstavka.

9.   Europska nadzorna tijela u okviru Zajedničkog odbora izrađuju nacrt provedbenih tehničkih standarda u kojem utvrđuju standardne obrasce za potrebe registra informacija iz stavka 3., što uključuje informacije koje se odnose na sve ugovorne aranžmane o upotrebi IKT usluga. Europska nadzorna tijela taj nacrt provedbenih tehničkih standarda dostavljaju Komisiji do 17. siječnja 2024.

Komisiji se dodjeljuje ovlast za donošenje provedbenih tehničkih standarda iz prvog podstavka u skladu s člankom 15. Uredbe (EU) br. 1093/2010, Uredbe (EU) br. 1094/2010 i Uredbe (EU) br. 1095/2010.

10.   Europska nadzorna tijela u okviru Zajedničkog odbora izrađuju nacrt regulatornih tehničkih standarda u kojem pobliže opisuju detaljan sadržaj politike iz stavka 2. u pogledu ugovornih aranžmana o upotrebi IKT usluga kojima se podupiru ključne ili važne funkcije, a koje pružaju treće strane pružatelji IKT usluga.

Pri izradi tog nacrta regulatornih tehničkih standarda europska nadzorna tijela uzimaju u obzir veličinu i ukupni profil rizičnosti financijskog subjekta te prirodu, opseg i složenost njegovih usluga, aktivnosti i poslovanja. Europska nadzorna tijela taj nacrt regulatornih tehničkih standarda dostavljaju Komisiji do 17. siječnja 2024.

Komisiji se dodjeljuje ovlast za dopunjavanje ove Uredbe donošenjem regulatornih tehničkih standarda iz prvog podstavka u skladu s člancima od 10. do 14. Uredbe (EU) br. 1093/2010, Uredbe (EU) br. 1094/2010 i Uredbe (EU) br. 1095/2010.

1.   Pri utvrđivanju i procjeni rizikâ iz članka 28. stavka 4. točke (c) financijski subjekti također uzimaju u obzir bi li predviđeno sklapanje ugovornog aranžmana o IKT uslugama kojima se podupiru ključne ili važne funkcije za posljedicu imalo bilo što od sljedećeg:

Financijski subjekti analiziraju koristi i troškove alternativnih rješenja, kao što je angažman različitih trećih strana pružatelja IKT usluga, uzimajući u obzir podudaraju li se predviđena rješenja s poslovnim potrebama i ciljevima utvrđenima u njihovoj strategiji digitalne otpornosti i u kojoj mjeri.

2.   Ako je ugovornim aranžmanima o upotrebi IKT usluga kojima se podupiru ključne ili važne funkcije predviđena mogućnost da treća strana pružatelj IKT usluga može IKT usluge kojima se podupiru ključne ili važne funkcije podugovoriti nekoj drugoj trećoj strani pružatelju IKT usluga, financijski subjekti analiziraju potencijalne koristi i rizike tog podugovaranja, osobito ako podugovaratelj IKT usluga ima poslovni nastan u trećoj zemlji.

Ako se ugovorni aranžmani odnose na IKT usluge kojima se podupiru ključne ili važne funkcije, financijski subjekti propisno vode računa o odredbama prava o nesolventnosti koje bi se primjenjivale u slučaju stečaja treće strane pružatelja IKT usluga, kao i o svim ograničenjima do kojih bi moglo doći pri hitnom oporavku podataka financijskog subjekta.

Ako su ugovorni aranžmani o upotrebi IKT usluga kojima se podupiru ključne ili važne funkcije sklopljeni s trećom stranom pružateljem IKT usluga s poslovnim nastanom u trećoj zemlji, financijski subjekti, osim o elementima iz drugog podstavka, vode računa i o usklađenosti s pravilima Unije o zaštiti podataka te o djelotvornom izvršavanju zakonodavstva u toj trećoj zemlji.

Ako je u ugovornim aranžmanima o upotrebi IKT usluga kojima se podupiru ključne ili važne funkcije predviđeno podugovaranje, financijski subjekti procjenjuju mogu li, i u kojoj mjeri, potencijalno dugi ili složeni lanci podugovaranja utjecati na njihovu sposobnost da u potpunosti prate ugovorene funkcije i u tom smislu na sposobnost nadležnog tijela za djelotvoran nadzor nad financijskim subjektom.

1.   Prava i obveze financijskog subjekta i treće strane pružatelja IKT usluga jasno se dodjeljuju i utvrđuju u pisanom obliku. Cjeloviti ugovor uključuje sporazume o razini usluga te se navodi u jednom pisanom dokumentu koji je stranama dostupan u papirnatom obliku ili u dokumentu u nekom drugom trajnom i pristupačnom formatu koji se može preuzeti.

2.   Ugovorni aranžmani o upotrebi IKT usluga sadržavaju barem sljedeće elemente:

3.   Ugovorni aranžmani o upotrebi IKT usluga kojima se podupiru ključne ili važne funkcije, uz elemente iz stavka 2., sadržavaju barem sljedeće:

Odstupajući od točke (e), treća strana pružatelj IKT usluga i financijski subjekt koji je mikropoduzeće mogu se dogovoriti da se prava financijskog subjekta u pogledu pristupa, inspekcijskog nadzora i revizije mogu delegirati neovisnoj trećoj strani, koju imenuje treća strana pružatelj IKT usluga, te da financijski subjekt može od te treće strane u bilo kojem trenutku zatražiti informacije i jamstvo o radu treće strane pružatelja IKT usluga.

4.   Tijekom pregovora o ugovornim aranžmanima financijski subjekti i treće strane pružatelji IKT usluga dužni su razmotriti primjenu standardnih ugovornih klauzula koje su tijela javne vlasti sastavila za konkretne usluge.

5.   Europska nadzorna tijela u okviru Zajedničkog odbora izrađuju nacrt regulatornih tehničkih standarda kojima se preciznije utvrđuju elementi iz stavka 2. točke (a) koje financijski subjekt treba utvrditi i procijeniti pri podugovaranju IKT usluga kojima se podupiru ključne ili važne funkcije.

Pri izradi tog nacrta regulatornih tehničkih standarda europska nadzorna tijela uzimaju u obzir veličinu i ukupni profil rizičnosti financijskog subjekta te prirodu, opseg i složenost njegovih usluga, aktivnosti i poslovanja.

Europska nadzorna tijela taj nacrt regulatornih tehničkih standarda dostavljaju Komisiji do 17. srpnja 2024.

Komisiji se dodjeljuje ovlast za dopunjavanje ove Uredbe donošenjem regulatornih tehničkih standarda iz prvog podstavka u skladu s člancima od 10. do 14. Uredbe (EU) br. 1093/2010, Uredbe (EU) br. 1094/2010 i Uredbe (EU) br. 1095/2010.

1.   Europska nadzorna tijela u okviru Zajedničkog odbora i na preporuku Nadzornog foruma osnovanog na temelju članka 32. stavka 1.:

2.   Imenovanje iz stavka 1. točke (a) temelji se na svim sljedećim kriterijima u vezi s IKT uslugama koje pruža treća strana pružatelj IKT usluga:

3.   Ako je treća strana pružatelj IKT usluga dio grupe, kriteriji iz stavka 2. razmatraju se u odnosu na IKT usluge koje pruža grupa kao cjelina.

4.   Ključne treće strane pružatelji IKT usluga koje su dio grupe imenuju jednu pravnu osobu kao koordinacijsku točku kako bi se osigurali odgovarajuće zastupanje i komunikacija s glavnim nadzornim tijelom.

5.   Glavno nadzorno tijelo obavješćuje treću stranu pružatelja IKT usluga o ishodu procjene koja je dovela do imenovanja iz stavka 1. točke (a). U roku od šest tjedana od datuma obavijesti treća strana pružatelj IKT usluga može glavnom nadzornom tijelu dostaviti obrazloženu izjavu sa svim relevantnim informacijama u svrhu procjene. Glavno nadzorno tijelo razmatra obrazloženu izjavu i može zatražiti da se u roku od 30 kalendarskih dana od primitka takve izjave dostave dodatne informacije.

Nakon što treću stranu pružatelja IKT usluga imenuju ključnom, europska nadzorna tijela u okviru Zajedničkog odbora obavješćuju treću stranu pružatelja IKT usluga o takvom imenovanju i početnom datumu od kojeg će efektivno podlijegati aktivnostima nadzora. Taj početni datum ne smije biti kasnije od mjesec dana nakon obavijesti. Treća strana pružatelj IKT usluga obavješćuje financijske subjekte kojima pruža usluge o tome da je imenovana kao ključna.

6.   Komisija je ovlaštena za donošenje delegiranog akta u skladu s člankom 57. radi dopunjavanja ove Uredbe preciznijim utvrđivanjem kriterija iz stavka 2. ovog članka do 17. srpnja 2024.

7.   Imenovanje iz stavka 1. točke (a) ne smije se primjenjivati dok Komisija ne donese delegirani akt u skladu sa stavkom 6.

8.   Imenovanje iz stavka 1. točke (a) ne primjenjuje se na:

9.   Europska nadzorna tijela u okviru Zajedničkog odbora izrađuju, objavljuju i svake godine ažuriraju popis ključnih trećih strana pružatelja IKT usluga na razini Unije.

10.   Za potrebe stavka 1. točke (a) nadležna tijela svake godine dostavljaju Nadzornom forumu osnovanom na temelju članka 32. agregirana izvješća iz članka 28. stavka 3. trećeg podstavka. Nadzorni forum procjenjuje ovisnost financijskih subjekata o IKT uslugama trećih strana na temelju informacija koje je dobio od nadležnih tijela.

11.   Treće strane pružatelji IKT usluga koje nisu uvrštene na popis iz stavka 9. mogu zatražiti da ih se imenuje kao ključne u skladu sa stavkom 1. točkom (a).

Za potrebe prvog podstavka treća strana pružatelj IKT usluga dostavlja obrazložen zahtjev EBA-i, ESMA-i ili EIOPA-i, koje u okviru Zajedničkog odbora odlučuju hoće li tu treću stranu pružatelja IKT usluga imenovati kao ključnu u skladu sa stavkom 1. točkom (a).

Odluka iz drugog podstavka donosi se i o njoj se obavješćuje treću stranu pružatelja IKT usluga u roku od šest mjeseci od primitka zahtjeva.

12.   Financijski subjekti smiju se koristiti uslugama treće strane pružatelja IKT usluga s poslovnim nastanom u trećoj zemlji koja je imenovana kao ključna u skladu sa stavkom 1. točkom (a) samo ako je ta treća strana osnovala društvo kćer u Uniji u roku od 12 mjeseci nakon imenovanja.

13.   Ključna treća strana pružatelj IKT usluga iz stavka 12. obavješćuje glavno nadzorno tijelo o svim promjenama u strukturi uprave društva kćeri s poslovnim nastanom u Uniji.

1.   U skladu s člankom 57. stavkom 1. uredbi (EU) br. 1093/2010, (EU) br. 1094/2010 i (EU) br. 1095/2010 Zajednički odbor osniva Nadzorni forum kao pododbor radi pružanja potpore radu Zajedničkog odbora i glavnog nadzornog tijela iz članka 31. stavka 1. točke (b) u području IKT rizika povezanog s trećim stranama u svim financijskim sektorima. Nadzorni forum izrađuje nacrt zajedničkih stajališta i nacrt zajedničkih akata Zajedničkog odbora u tom području.

Nadzorni forum redovito raspravlja o relevantnom razvoju u području IKT rizika i ranjivosti te na razini Unije promiče dosljedan pristup praćenju IKT rizika povezanog s trećim stranama.

2.   Nadzorni forum svake godine provodi kolektivnu procjenu rezultata i nalaza aktivnosti nadzora provedenih nad svim ključnim trećim stranama pružateljima IKT usluga te promiče koordinacijske mjere radi povećanja digitalne operativne otpornosti financijskih subjekata, poticanja najboljih primjera iz prakse nošenja s koncentracijskim IKT rizikom i razmatranja instrumenata za smanjenje prijenosa rizika među sektorima.

3.   Nadzorni forum predlaže sveobuhvatne referentne vrijednosti za ključne treće strane pružatelje IKT usluga koje Zajednički odbor donosi u obliku zajedničkih stajališta europskih nadzornih tijela u skladu s člankom 56. stavkom 1. uredbi (EU) br. 1093/2010, (EU) br. 1094/2010 i (EU) br. 1095/2010.

4.   Nadzorni forum čine:

Nadzorni forum može, prema potrebi, zatražiti savjet neovisnih stručnjaka imenovanih u skladu sa stavkom 6.

5.   Svaka država članica imenuje relevantno nadležno tijelo čiji je član osoblja predstavnik na visokoj razini iz stavka 4. prvog podstavka točke (b) i o tome obavješćuje glavno nadzorno tijelo.

Europska nadzorna tijela na svojim internetskim stranicama objavljuju popis predstavnika na visokoj razini koje su imenovale države članice koji su članovi osoblja relevantnog nadležnog tijela.

6.   Neovisne stručnjake iz stavka 4. drugog podstavka imenuje Nadzorni forum iz skupine stručnjaka odabranih nakon javnog i transparentnog natječajnog postupka.

Neovisni stručnjaci imenuju se na temelju njihova stručnog znanja u području financijske stabilnosti, digitalne operativne otpornosti i pitanja IKT sigurnosti. Oni djeluju neovisno i objektivno u isključivom interesu Unije kao cjeline, i ne traže niti primaju upute od institucija ili tijela Unije, bilo koje vlade države članice ili bilo kojeg drugog javnog ili privatnog tijela.

7.   U skladu s člankom 16. uredbi (EU) br. 1093/2010, (EU) br. 1094/2010 i (EU) br. 1095/2010 europska nadzorna tijela do 17. srpnja 2024. izdaju, za potrebe ovog odjeljka, smjernice o suradnji između europskih nadzornih tijela i nadležnih tijela koje obuhvaćaju detaljne postupke i uvjete za raspodjelu i izvršavanje zadaća između nadležnih tijela i europskih nadzornih tijela te pojedinosti o razmjenama informacija koje su potrebne nadležnim tijelima kako bi se osiguralo daljnje postupanje prema preporukama na temelju članka 35. stavka 1. točke (d) koje su upućene ključnim trećim stranama pružateljima IKT usluga.

8.   Zahtjevima utvrđenima u ovom odjeljku ne dovodi se u pitanje primjena Direktive (EU) 2022/2555 i drugih pravila Unije o nadzoru koja su primjenjiva na pružatelje usluga računalstva u oblaku.

9.   Europska nadzorna tijela u okviru Zajedničkog odbora i na temelju pripremnog rada Nadzornog foruma jednom godišnje podnose izvješće o primjeni ovog odjeljka Europskom parlamentu, Vijeću i Komisiji.

1.   Glavno nadzorno tijelo, imenovano u skladu s člankom 31. stavkom 1. točkom (b), provodi nadzor nad ključnim trećim stranama pružateljima IKT usluga koje su mu dodijeljene i primarna je kontaktna točka za te ključne treće strana pružatelje IKT usluga u svrhu svih pitanja povezanih s nadzorom.

2.   Za potrebe stavka 1. glavno nadzorno tijelo procjenjuje je li svaka ključna treća strana pružatelj IKT usluga uvela sveobuhvatna, pouzdana i djelotvorna pravila, postupke, mehanizme i aranžmane za upravljanje IKT rizicima kojima bi mogla izložiti financijske subjekte.

Procjena iz prvog podstavka uglavnom je usmjerena na IKT usluge koje pruža ključna treća strana pružatelj IKT usluga kojima se podupiru ključne ili važne funkcije financijskih subjekata. Ako je to potrebno za nošenje sa svim relevantnim rizicima, ta se procjena proširuje na IKT usluge kojima se podupiru funkcije koje nisu ključne ili važne.

3.   Procjena iz stavka 2. obuhvaća:

4.   Na temelju procjene iz stavka 2., i u koordinaciji sa Zajedničkom nadzornom mrežom iz članka 34. stavka 1., glavno nadzorno tijelo donosi jasan, detaljan i obrazložen pojedinačni plan nadzora u kojem se opisuju godišnji ciljevi nadzora i glavne mjere nadzora planirane za svaku ključnu treću stranu pružatelja IKT usluga. O tom se planu svake godine obavješćuje ključnu treću stranu pružatelja IKT usluga.

Prije donošenja plana nadzora glavno nadzorno tijelo dostavlja nacrt plana nadzora ključnoj trećoj strani pružatelju IKT usluga.

Nakon primitka nacrta plana nadzora ključna treća strana pružatelj IKT usluga može u roku od 15 kalendarskih dana dostaviti obrazloženu izjavu u kojoj dokazuje očekivani učinak na klijente koji nisu subjekti obuhvaćeni područjem primjene ove Uredbe i, prema potrebi, formulira rješenja za ublažavanje rizikâ.

5.   Nakon što se donesu planovi nadzora iz stavka 4. i o njima se obavijeste ključne treće strane pružatelji IKT usluga, nadležna tijela mogu u pogledu tih ključnih trećih strana pružatelja IKT usluga poduzimati mjere samo u dogovoru s glavnim nadzornim tijelom.

1.   Kako bi se osigurao dosljedan pristup aktivnostima nadzora i radi omogućivanja koordiniranih općih strategija nadzora i kohezivnih operativnih pristupa i metodologija rada, tri glavna nadzorna tijela imenovana u skladu s člankom 31. stavkom 1. točkom (b) uspostavljaju Zajedničku nadzornu mrežu radi međusobne koordinacije u pripremnim fazama i radi koordinacije provedbe aktivnosti nadzora nad nadziranim ključnim trećim stranama pružateljima IKT usluga, kao i tijekom svake mjere koja bi mogla biti potrebna u skladu s člankom 42.

2.   Za potrebe stavka 1. glavna nadzorna tijela sastavljaju zajednički protokol nadzora kojim se utvrđuju detaljni postupci koje treba slijediti radi provedbe svakodnevne koordinacije i osiguravanja brzih razmjena i reakcija. Protokol se periodički revidira kako bi se njime uzele u obzir operativne potrebe, posebno razvoj praktičnih aranžmana za nadzor.

3.   Glavna nadzorna tijela mogu, na ad hoc osnovi, pozvati ESB i ENISA-u da pruže tehničke savjete, podijele praktično iskustvo ili sudjeluju na posebnim koordinacijskim sastancima Zajedničke nadzorne mreže.

1.   Za potrebe izvršavanja zadaća utvrđenih u ovom odjeljku glavno nadzorno tijelo u pogledu ključnih trećih strana pružatelja IKT usluga ovlašteno je:

2.   Pri izvršavanju ovlasti iz ovog članka glavno nadzorno tijelo:

3.   Glavno nadzorno tijelo savjetuje se s Nadzornim forumom prije izvršavanja ovlasti iz stavka 1.

Prije izdavanja preporuka u skladu sa stavkom 1. točkom (d) glavno nadzorno tijelo daje mogućnost trećoj strani pružatelju IKT usluga da u roku od 30 kalendarskih dana dostavi relevantne informacije kojima se dokazuje očekivani učinak na klijente koji su subjekti koji nisu obuhvaćeni područjem primjene ove Uredbe i, prema potrebi, oblikuju rješenja za ublažavanje rizikâ.

4.   Glavno nadzorno tijelo obavješćuje Zajedničku nadzornu mrežu o ishodu izvršavanja ovlasti iz stavka 1. točaka (a) i (b). Glavno nadzorno tijelo bez nepotrebne odgode prosljeđuje izvješća iz stavka 1. točke (c) Zajedničkoj nadzornoj mreži i nadležnim tijelima financijskih subjekata koji se koriste IKT uslugama te ključne treće strane pružatelja IKT usluga.

5.   Ključne treće strane pružatelji IKT usluga surađuju u dobroj vjeri s glavnim nadzornim tijelom i pomažu mu u obavljanju njegovih zadaća.

6.   U slučaju potpune ili djelomične neusklađenosti s mjerama koje se moraju poduzeti u skladu s izvršavanjem ovlasti iz stavka 1. točaka (a), (b) i (c) i nakon isteka razdoblja od najmanje 30 kalendarskih dana od datuma kad je ključna treća strana pružatelj IKT usluga primila obavijest o dotičnim mjerama, glavno nadzorno tijelo donosi odluku kojom se izriče periodična novčana kazna kako bi se ključnu treću stranu pružatelja IKT usluga primoralo na poštovanje tih mjera.

7.   Periodična novčana kazna iz stavka 6. izriče se na dnevnoj osnovi sve dok se ne osigura usklađenost i tijekom razdoblja od najviše šest mjeseci od obavijesti o odluci kojom se ključnoj trećoj strani pružatelju IKT usluga izriče periodična novčana kazna.

8.   Iznos periodične novčane kazne, koji se izračunava od datuma utvrđenog u odluci kojom se izriče periodična novčana kazna, iznosi do 1 % prosječnoga dnevnog prometa na svjetskoj razini za ključnu treću stranu pružatelja IKT usluga u prethodnoj poslovnoj godini. Pri određivanju iznosa novčane kazne glavno nadzorno tijelo uzima u obzir sljedeće kriterije koji se odnose na neusklađenost s mjerama iz stavka 6.:

Za potrebe prvog podstavka i kako bi se osigurao dosljedan pristup, glavno nadzorno tijelo sudjeluje u savjetovanju u okviru Zajedničke nadzorne mreže.

9.   Novčane kazne administrativne su prirode i izvršive. Izvršenje se uređuje pravilima građanskog postupka koja su na snazi u državi članici na čijem se državnom području provodi inspekcijski nadzor i dodjeljuje pristup. Sudovi dotične države članice nadležni su za pritužbe koje se odnose na nepravilno izvršenje. Uplaćeni iznosi novčanih kazni dodjeljuju se u opći proračun Europske unije.

10.   Glavno nadzorno tijelo javno objavljuje svaku izrečenu periodičnu novčanu kaznu, osim ako bi takva objava ozbiljno ugrozila financijska tržišta ili prouzročila nerazmjernu štetu uključenim stranama.

11.   Prije izricanja periodične novčane kazne na temelju stavka 6. glavno nadzorno tijelo daje predstavnicima ključne treće strane pružatelja IKT usluga koja je predmet postupka mogućnost da se očituju o nalazima i svoje odluke temelji samo na nalazima o kojima se ključna treća strana pružatelj IKT usluga koja je predmet postupka mogla očitovati.

U postupku se u potpunosti poštuju prava na obranu osoba koje su predmet postupka. Ključna treća strana pružatelj IKT usluga koja je predmet postupka ima pravo na pristup spisu, pri čemu se mora uvažiti legitimni interes drugih osoba u pogledu zaštite njihovih poslovnih tajni. Pravo pristupa spisu ne odnosi se na povjerljive informacije ili interne pripremne dokumente glavnog nadzornog tijela.

1.   Ako se ciljevi nadzora ne mogu postići interakcijom s društvom kćeri osnovanim za potrebe članka 31. stavka 12. ili obavljanjem aktivnosti nadzora u prostorima koji se nalaze u Uniji, glavno nadzorno tijelo može izvršavati ovlasti navedene u sljedećim odredbama, u svim prostorima koji se nalaze u trećoj zemlji i koji su u vlasništvu ključne treće strane pružatelja IKT usluga ili ih ona na bilo koji način upotrebljava za potrebe pružanja usluga financijskim subjektima u Uniji, a u vezi s njezinim poslovanjem, funkcijama ili uslugama, uključujući administrativne, poslovne ili operativne urede, prostore, zemljišta, zgrade ili druge nekretnine:

Ovlasti iz prvog podstavka mogu se izvršavati ako su ispunjeni svi sljedeći uvjeti:

2.   Ne dovodeći u pitanje nadležnosti institucija Unije i država članica, za potrebe stavka 1. EBA, ESMA ili EIOPA sklapaju aranžmane za administrativnu suradnju s relevantnim tijelom treće zemlje kako bi glavno nadzorno tijelo i tim koji je ono odredilo za misiju u toj trećoj zemlji mogli neometano provoditi inspekcijski nadzor u dotičnoj trećoj zemlji. Tim aranžmanima za suradnju ne stvaraju se pravne obveze u odnosu na Uniju i njezine države članice niti se sprečava države članice i njihova nadležna tijela da sklapaju bilateralne ili multilateralne aranžmane s tim trećim zemljama i njihovim relevantnim tijelima.

Tim aranžmanima za suradnju utvrđuju se barem sljedeći elementi:

3.   Ako glavno nadzorno tijelo ne može provoditi aktivnosti nadzora iz stavaka 1. i 2. izvan Unije, ono:

Moguće posljedice iz točke (b) ovog stavka uzimaju se u obzir u preporukama glavnog nadzornog tijela izdanima na temelju članka 35. stavka 1. točke (d).

1.   Glavno nadzorno tijelo može putem običnog zahtjeva ili odluke zatražiti da ključne treće strane pružatelji IKT usluga dostave sve informacije koje su glavnom nadzornom tijelu potrebne za izvršavanje njegovih zadaća na temelju ove Uredbe, uključujući sve relevantne poslovne ili operativne dokumente, ugovore, politike, dokumentaciju, izvješća o reviziji IKT sigurnosti, izvješća o IKT incidentima te sve informacije o stranama kojima je ključna treća strana pružatelj IKT usluga eksternalizirala operativne funkcije ili aktivnosti.

2.   Pri slanju običnog zahtjeva za informacije iz stavka 1. glavno nadzorno tijelo:

3.   Kad odlukom iz stavka 1. zahtijeva dostavu informacija, glavno nadzorno tijelo:

4.   Predstavnici ključnih trećih strana pružatelja IKT usluga dostavljaju tražene informacije. Propisno ovlašteni odvjetnici mogu dostaviti informacije u ime svojih klijenata. Ključna treća strana pružatelj IKT usluga ostaje u potpunosti odgovorna ako su dostavljene informacije nepotpune, netočne ili obmanjujuće.

5.   Glavno nadzorno tijelo nadležnim tijelima zaduženima za financijske subjekte koji se koriste uslugama dotične ključne treće strane pružatelja IKT usluga i Zajedničkoj nadzornoj mreži bez odgode dostavlja primjerak odluke kojom se zahtijeva dostava informacija.

1.   Radi izvršavanja svojih zadaća na temelju ove Uredbe, glavno nadzorno tijelo uz pomoć zajedničkog tima za provjeru iz članka 40. stavka 1. može prema potrebi provoditi istrage ključnih trećih strana pružatelja IKT usluga.

2.   Glavno nadzorno tijelo ovlašteno je:

3.   Službenici i druge osobe koje glavno nadzorno tijelo ovlasti za potrebe istrage iz stavka 1. izvršavaju svoje ovlasti uz predočenje pisanog ovlaštenja u kojem se navode predmet i svrha istrage.

U tom se ovlaštenju navode i periodične novčane kazne predviđene u članku 35. stavku 6. ako tražena evidencija, podatci, dokumentirani postupci ili bilo koji drugi materijal ili odgovori na pitanja postavljena predstavnicima treće strane pružatelja IKT usluga nisu dostavljeni ili su nepotpuni.

4.   Predstavnici ključnih trećih strana pružatelja IKT usluga moraju pristati na istrage koje se pokrenu na temelju odluke glavnog nadzornog tijela. U odluci se navode predmet i svrha istrage, periodične novčane kazne predviđene u članku 35. stavku 6., pravni lijekovi dostupni na temelju uredbi (EU) br. 1093/2010, (EU) br. 1094/2010 i (EU) br. 1095/2010 te pravo na preispitivanje odluke pred Sudom.

5.   Pravodobno prije početka istrage glavno nadzorno tijelo obavješćuje nadležna tijela zadužena za financijske subjekte koji se koriste IKT uslugama te ključne treće strane pružatelja IKT usluga o predviđenoj istrazi i identitetu ovlaštenih osoba.

Glavno nadzorno tijelo dostavlja Zajedničkoj nadzornoj mreži sve informacije primljene na temelju prvog podstavka.

1.   Radi izvršavanja svojih zadaća na temelju ove Uredbe glavno nadzorno tijelo uz pomoć zajedničkih timova za provjeru iz članka 40. stavka 1. može ulaziti u sve poslovne prostore, na zemljišta ili u nekretnine trećih strana pružatelja IKT usluga, kao što su registrirana sjedišta, operativni centri, sekundarni poslovni prostori, i u njima provoditi sav potreban izravni, ali i neizravni inspekcijski nadzor.

Za potrebe izvršavanja ovlasti iz prvog podstavka glavno nadzorno tijelo savjetuje se sa Zajedničkom nadzornom mrežom.

2.   Službenici i druge osobe koje je glavno nadzorno tijelo ovlastilo za provođenje izravnog inspekcijskog nadzora ovlaštene su:

Službenici i druge osobe koje je ovlastilo glavno nadzorno tijelo izvršavaju svoje ovlasti uz predočenje pisanog ovlaštenja u kojem se navode predmet i svrha inspekcijskog nadzora te periodične novčane kazne predviđene u članku 35. stavku 6. ako predstavnici dotične ključne treće strane pružatelja IKT usluga ne pristanu na inspekcijski nadzor.

3.   Pravodobno prije početka inspekcijskog nadzora glavno nadzorno tijelo o tome obavješćuje nadležna tijela zadužena za financijske subjekte koji se koriste uslugama te treće strane pružatelja IKT usluga.

4.   Inspekcijski nadzor obuhvaća cijeli dijapazon relevantnih IKT sustava, mreže, uređaje, informacije i podatke koji se koriste za pružanje IKT usluga financijskim subjektima ili mu doprinose.

5.   Prije planiranog izravnog inspekcijskog nadzora glavno nadzorno tijelo u razumnom roku o tome obavješćuje ključne treće strane pružatelje IKT usluga, osim ako slanje obavijesti u tom roku nije moguće zbog hitne ili krizne situacije ili ako bi slanje obavijesti dovelo do situacije u kojoj inspekcijski nadzor ili revizija više ne bi bili djelotvorni.

6.   Ključna treća strana pružatelj IKT usluga mora pristati na izravni inspekcijski nadzor naložen odlukom glavnog nadzornog tijela. U odluci se navode predmet i svrha inspekcijskog nadzora, određuje datum početka inspekcijskog nadzora te se navode periodične novčane kazne predviđene u članku 35. stavku 6., pravni lijekovi dostupni na temelju uredbi (EU) br. 1093/2010, (EU) br. 1094/2010 i (EU) br. 1095/2010, kao i pravo na preispitivanje odluke pred Sudom.

7.   Ako službenici i druge osobe koje je ovlastilo glavno nadzorno tijelo utvrde da se ključna treća strana pružatelj IKT usluga protivi inspekcijskom nadzoru naloženom na temelju ovog članka, glavno nadzorno tijelo obavješćuje ključnu treću stranu pružatelja IKT usluga o posljedicama takvog protivljenja, među ostalim i o mogućnosti da nadležna tijela zadužena za relevantne financijske subjekte od financijskih subjekata zatraže da raskinu ugovorne aranžmane sklopljene s tom ključnom trećom stranom pružateljem IKT usluga.

1.   U provedbi aktivnosti nadzora, osobito općih istraga ili inspekcijskog nadzora, glavnom nadzornom tijelu pomaže zajednički tim za provjeru koji se osniva za svaku ključnu treću stranu pružatelja IKT usluga.

2.   Zajednički tim za provjeru iz stavka 1. čine članovi osoblja iz:

Članovi zajedničkog tima za provjeru moraju imati stručno znanje iz područja IKT-a i operativnih rizika. Rad zajedničkog tima za provjeru koordinira član osoblja glavnog nadzornog tijela koji se za to odredi („koordinator glavnog nadzornog tijela”).

3.   U roku od tri mjeseca od završetka istrage ili inspekcijskog nadzora, a nakon savjetovanja s Nadzornim forumom, glavno nadzorno tijelo donosi preporuke koje upućuje ključnoj trećoj strani pružatelju IKT usluga na temelju svojih ovlasti iz članka 35.

4.   Preporuke iz stavka 3. odmah se dostavljaju ključnoj trećoj strani pružatelju IKT usluga i nadležnim tijelima zaduženima za financijske subjekte kojima ona pruža IKT usluge.

Za potrebe izvršavanja aktivnosti nadzora glavno nadzorno tijelo može uzeti u obzir sve relevantne certifikate treće strane i izvješća unutarnjih ili vanjskih revizora o trećoj strani pružatelju IKT usluga koje im na raspolaganje stavi ključna treća strana pružatelj IKT usluga.

1.   Europska nadzorna tijela u okviru Zajedničkog odbora izrađuju nacrt regulatornih tehničkih standarda kako bi pobliže opisala:

2.   Europska nadzorna tijela taj nacrt regulatornih tehničkih standarda dostavljaju Komisiji do 17. srpnja 2024.

Komisiji se dodjeljuje ovlast za dopunjavanje ove Uredbe donošenjem regulatornih tehničkih standarda iz stavka 1. u skladu s postupkom utvrđenim u člancima od 10. do 14. uredbi (EU) br. 1093/2010, (EU) br. 1094/2010 i (EU) br. 1095/2010.

1.   U roku od 60 kalendarskih dana od primitka preporuka koje je glavno nadzorno tijelo izdalo na temelju članka 35. stavka 1. točke (d) ključne treće strane pružatelji IKT usluga ili obavješćuju glavno nadzorno tijelo o svojoj namjeri da slijede preporuke ili dostavljaju obrazloženo objašnjenje u kojem navode zašto neće slijediti te preporuke. Glavno nadzorno tijelo odmah te informacije prosljeđuju nadležnim tijelima zaduženima za dotične financijske subjekte.

2.   Glavno nadzorno tijelo javno obavješćuje o slučajevima u kojima ga ključna treća strana pružatelj IKT usluga ne obavijesti u skladu sa stavkom 1. ili u kojima se objašnjenje koje je dostavila ključna treća strana pružatelj IKT usluga ne smatra dostatnim. U objavljenim informacijama otkriva se identitet ključne treće strane pružatelja IKT usluga te se navode informacije o vrsti i prirodi neusklađenosti. Takve su informacije ograničene na ono što je relevantno i razmjerno u svrhu osiguravanja javne osviještenosti, osim ako bi takvo objavljivanje uzrokovalo nerazmjernu štetu uključenim stranama ili bi moglo ozbiljno ugroziti uredno funkcioniranje i cjelovitost financijskih tržišta ili stabilnost cijelog financijskog sustava Unije ili njegova dijela.

Glavno nadzorno tijelo obavješćuje treću stranu pružatelja IKT usluga o toj objavi.

3.   Nadležna tijela obavješćuju relevantne financijske subjekte o rizicima utvrđenima u preporukama upućenima ključnim trećim stranama pružateljima IKT usluga u skladu s člankom 35. stavkom 1. točkom (d).

Pri upravljanju IKT rizikom povezanim s trećim stranama financijski subjekti uzimaju u obzir rizike navedene u prvom podstavku.

4.   Ako nadležno tijelo smatra da financijski subjekt u okviru svojeg upravljanja IKT rizikom povezanim s trećim stranama ne uzima u obzir konkretne rizike utvrđene u preporukama ili se u dostatnoj mjeri ne nosi s tim rizicima, ono obavješćuje financijski subjekt o mogućnosti da u roku od 60 kalendarskih dana od primitka takve obavijesti, ako ne postoje odgovarajući ugovorni aranžmani čiji je cilj nošenje s takvim rizicima, donese odluku na temelju stavka 6.

5.   Nakon primitka izvješća iz članka 35. stavka 1. točke (c) i prije donošenja odluke iz stavka 6. ovog članka nadležna tijela mogu se na dobrovoljnoj osnovi savjetovati s nadležnim tijelima imenovanima ili uspostavljenima u skladu s Direktivom (EU) 2022/2555 koja su odgovorna za nadzor nad ključnim ili važnim subjektom koji podliježe toj direktivi i koji je imenovan ključnom trećom stranom pružateljem IKT usluga.

6.   Nadležna tijela, kao krajnju mjeru nakon obavijesti i, ako je to primjereno, nakon savjetovanja iz stavaka 4. i 5. ovog članka, mogu u skladu s člankom 50. donijeti odluku kojom se od financijskih subjekata zahtijeva da djelomično ili u cijelosti privremeno suspendiraju korištenje ili uvođenje usluge koju im pruža ključna treća strana pružatelj IKT usluga dok se ne uklone rizici utvrđeni u preporukama upućenima ključnim trećim stranama pružateljima IKT usluga. Prema potrebi, nadležna tijela mogu od financijskih subjekata zatražiti da raskinu, djelomično ili u cijelosti, relevantne ugovorne aranžmane sklopljene s ključnim trećim stranama pružateljima IKT usluga.

7.   Ako ključna treća strana pružatelj IKT usluga odbije prihvatiti preporuke time što zauzme drukčiji pristup od pristupa koji je savjetovalo glavno nadzorno tijelo, a takav drukčiji pristup može negativno utjecati na velik broj financijskih subjekata ili na znatan dio financijskog sektora, pri čemu pojedinačna upozorenja koja su izdala nadležna tijela nisu rezultirala dosljednim pristupima kojima se ublažava potencijalni rizika za financijsku stabilnost, glavno nadzorno tijelo može, prema potrebi i nakon savjetovanja s Nadzornim forumom, nadležnim tijelima izdati neobvezujuća mišljenja koja nisu javna radi promicanja dosljednih i konvergentnih daljnjih nadzornih mjera.

8.   Nakon primitka izvješća iz članka 35. stavka 1. točke (c) nadležna tijela pri donošenju odluke iz stavka 6. ovog članka uzimaju u obzir vrstu i razmjer rizika koji ključna treća strana pružatelj IKT usluga nije uklonila te ozbiljnost neusklađenosti, vodeći računa o sljedećim kriterijima:

Nadležna tijela financijskim subjektima omogućuju potrebno vrijeme za prilagodbu ugovornih aranžmana s ključnim trećim stranama pružateljima IKT usluga kako bi se izbjegli štetni učinci na njihovu digitalnu operativnu otpornost i kako bi im se omogućilo da uvedu izlazne strategije i tranzicijske planove iz članka 28.

9.   O odluci iz stavka 6. ovog članka obavješćuju se članovi Nadzornog foruma iz članka 32. stavka 4. točaka (a), (b) i (c) i Zajednička nadzorna mreža.

Ključne treće strane pružatelji IKT usluga na koje utječu odluke iz stavka 6. u potpunosti surađuju s pogođenim financijskim subjektima, posebno u kontekstu procesa suspenzije ili raskida njihovih ugovornih aranžmana.

10.   Nadležna tijela redovito informiraju glavno nadzorno tijelo o pristupima i mjerama koje su poduzela u okviru svojih nadzornih zadaća u pogledu financijskih subjekata te o ugovornim aranžmanima koje su sklopili financijski subjekti ako ključne treće strane pružatelji IKT usluga nisu djelomično ili u cijelosti prihvatili preporuke koje im je uputilo glavno nadzorno tijelo.

11.   Glavno nadzorno tijelo može na zahtjev pružiti dodatna pojašnjenja o preporukama izdanima radi usmjeravanja nadležnih tijela u pogledu daljnjih mjera.

1.   Glavno nadzorno tijelo, u skladu s delegiranim aktom iz stavka 2. ovog članka, obračunava ključnim trećim stranama pružateljima IKT usluga naknade koje u potpunosti pokrivaju rashode glavnog nadzornog tijela potrebne za provedbu nadzornih zadaća na temelju ove Uredbe, uključujući povrat troškova koji mogu nastati kao rezultat rada zajedničkog tima za provjeru iz članka 40. kao i troškova savjeta koje su dali neovisni stručnjaci iz članka 32. stavka 4. drugog podstavka u vezi s pitanjima koja su obuhvaćena aktivnostima izravnog nadzora.

Iznos naknade koja se obračunava ključnoj trećoj strani pružatelju IKT usluga pokriva sve troškove koji proizlaze iz izvršavanja zadaća utvrđenih u ovom odjeljku i razmjeran je prometu te treće strane pružatelja IKT usluga.

2.   Komisija je ovlaštena za donošenje delegiranog akta u skladu s člankom 57. radi dopunjavanja ove Uredbe utvrđivanjem iznosa naknada i načina njihova plaćanja do 17. srpnja 2024.

1.   Ne dovodeći u pitanje članak 36., EBA, ESMA i EIOPA mogu, u skladu s člankom 33. uredbi (EU) br. 1093/2010, (EU) br. 1095/2010 odnosno (EU) br. 1094/2010, sklapati administrativne dogovore s regulatornim i nadzornim tijelima trećih zemalja kako bi se potaknula međunarodna suradnja u različitim financijskim sektorima u području IKT rizika povezanog s trećim stranama, osobito razvojem najboljih primjera iz prakse za preispitivanje prakse i kontrola upravljanja IKT rizicima, mjera za ublažavanje i odgovora na incidente.

2.   Europska nadzorna tijela u okviru Zajedničkog odbora podnose svakih pet godina Europskom parlamentu, Vijeću i Komisiji zajedničko povjerljivo izvješće sa sažetkom nalaza relevantnih rasprava s tijelima trećih zemalja iz stavka 1., čije je težište na promjenama IKT rizika povezanog s trećim stranama i posljedicama za financijsku stabilnost, cjelovitost tržišta, zaštitu ulagatelja i funkcioniranje unutarnjeg tržišta.

1.   Financijski subjekti mogu međusobno razmjenjivati informacije i saznanja o kiberprijetnjama, uključujući pokazatelje ugroženosti, taktike, tehnike i postupke, kibersigurnosna upozorenja i konfiguracijske alate, u mjeri u kojoj takva razmjena informacija i saznanja:

2.   Za potrebe stavka 1. točke (c) u aranžmanima za razmjenu informacija utvrđuju se uvjeti sudjelovanja te prema potrebi pojedinosti o sudjelovanju tijela javne vlasti i svojstvu u kojem se ta tijela mogu pridružiti aranžmanima za razmjenu informacija, o sudjelovanju trećih strana pružatelja IKT usluga te o operativnim elementima, uključujući upotrebu namjenskih IT platformi.

3.   Financijski subjekti obavješćuju nadležna tijela o svojem sudjelovanju u aranžmanima za razmjenu informacija iz stavka 1. nakon što se potvrdi njihovo članstvo ili, ovisno o slučaju, nakon prestanka njihova članstva, kad prestanak članstva počne proizvoditi učinke.

1.   Da bi se potaknula suradnja i omogućile razmjene nadzornih informacija između nadležnih tijela imenovanih na temelju ove Uredbe i skupine za suradnju uspostavljene člankom 14. Direktive (EU) 2022/2555, europska nadzorna tijela i nadležna tijela mogu sudjelovati u aktivnostima skupine za suradnju kad je riječ o pitanjima koja se odnose na njihove aktivnosti nadzora nad financijskim subjektima. Europska nadzorna tijela i nadležna tijela mogu zatražiti da ih se pozove da sudjeluju u aktivnostima skupine za suradnju kad je riječ o pitanjima koja se odnose na ključne ili važne subjekte koji podliježu Direktivi (EU) 2022/2555 koji su imenovani ključnim trećim stranama pružateljima IKT usluga na temelju članka 31. ove Uredbe.

2.   Prema potrebi, nadležna tijela mogu se savjetovati i dijeliti informacije s jedinstvenim kontaktnim točkama i CSIRT-ovima imenovanima ili uspostavljenima u skladu s Direktivom (EU) 2022/2555.

3.   Prema potrebi, nadležna tijela mogu zatražiti relevantne tehničke savjete i pomoć od nadležnih tijela imenovanih ili uspostavljenih u skladu Direktivom (EU) 2022/2555 i uspostaviti aranžmane za suradnju kako bi se omogućila uspostava djelotvornih i brzih koordinacijskih mehanizama.

4.   Aranžmanima iz stavka 3. ovog članka mogu se, među ostalim, utvrditi postupci za koordinaciju nadzornih aktivnosti u vezi s ključnim ili važnim subjektima koji podliježu Direktivi (EU) 2022/2555 koji su imenovani ključnim trećim stranama pružateljima IKT usluga na temelju članka 31. ove Uredbe, među ostalim i za provedbu istraga i izravnog inspekcijskog nadzora u skladu s nacionalnim pravom, kao i za mehanizme za razmjenu informacija između nadležnih tijela iz ove Uredbe i nadležnih tijela imenovanih ili uspostavljenih u skladu s tom direktivom, što uključuje pristup informacijama koje zatraže potonja tijela.

1.   Nadležna tijela blisko surađuju međusobno i, ako je to primjenjivo, s glavnim nadzornim tijelom.

2.   Nadležna tijela i glavno nadzorno tijelo pravodobno razmjenjuju sve relevantne informacije o ključnim trećim stranama pružateljima IKT usluga koje su im potrebne za obavljanje njihovih zadaća na temelju ove Uredbe, posebno u pogledu utvrđenih rizika, pristupâ i mjera poduzetih u okviru nadzornih zadaća glavnog nadzornog tijela.

1.   Europska nadzorna tijela, u okviru Zajedničkog odbora i u suradnji s nadležnim tijelima, sanacijskim tijelima iz članka 3. Direktive 2014/59/EU, ESB-om, Jedinstvenim sanacijskim odborom kada je riječ o informacijama koje se odnose na tijela obuhvaćena područjem primjene Uredbe (EU) br. 806/2014, ESRB-om i ENISA-om, ovisno o slučaju, mogu uspostaviti mehanizme za razmjenu djelotvornih primjera iz prakse među financijskim sektorima kako bi se na međusektorskoj razini poboljšala svijest o stanju i utvrdile zajedničke ranjivosti i rizici u pogledu kibersigurnosti.

Europska nadzorna tijela mogu osmisliti vježbe za upravljanje krizama i nepredvidive situacije, uključujući scenarije kibernapada, radi razvoja komunikacijskih kanala i postupnog omogućivanja djelotvornoga koordiniranog odgovora na razini Unije u slučaju značajnoga prekograničnog IKT incidenta ili povezane prijetnje koja ima sistemski učinak na cijeli financijski sektor Unije.

Te bi vježbe mogle biti primjerene i za testiranje ovisnosti financijskog sektora o drugim gospodarskim sektorima.

2.   Nadležna tijela, europska nadzorna tijela i ESB međusobno blisko surađuju i razmjenjuju informacije radi izvršavanja svojih zadaća na temelju članaka od 47. do 54. Blisko koordiniraju svoj nadzor kako bi utvrdili i ispravili povrede ove Uredbe, razvili i promicali najbolje primjere iz prakse, olakšali suradnju, poticali dosljedno tumačenje i u slučaju neslaganja osigurali provedbu procjena koje se oslanjaju na više jurisdikcija.

1.   Nadležna tijela imaju sve ovlasti nadzora, istrage i sankcioniranja potrebne za izvršavanje svojih zadaća iz ove Uredbe.

2.   Ovlasti iz stavka 1. uključuju najmanje sljedeće ovlasti:

3.   Ne dovodeći u pitanje pravo država članica na izricanje kaznenih sankcija u skladu s člankom 52., države članice propisuju pravila kojima se utvrđuju odgovarajuće administrativne kazne i korektivne mjere za povrede ove Uredbe te osiguravaju njihovu djelotvornu provedbu.

Te kazne i mjere moraju biti učinkovite, proporcionalne i odvraćajuće.

4.   Države članice dodjeljuju nadležnim tijelima ovlast za primjenu barem sljedećih administrativnih kazni ili korektivnih mjera za povrede ove Uredbe:

5.   Ako se stavak 2. točka (c) i stavak 4. primjenjuju na pravne osobe, države članice dodjeljuju nadležnim tijelima ovlast da, podložno uvjetima utvrđenima nacionalnim pravom, primijene administrativne kazne i korektivne mjere na članove upravljačkog tijela i na druge osobe koje su na temelju nacionalnog prava odgovorne za povredu.

6.   Države članice osiguravaju da su sve odluke kojima se izriču administrativne kazne ili korektivne mjere iz stavka 2. točke (c) propisno obrazložene i da se protiv njih može podnijeti žalba.

1.   Nadležna tijela izvršavaju ovlasti izricanja administrativnih kazni i korektivnih mjera iz članka 50. u skladu sa svojim nacionalnim pravnim okvirima, prema potrebi i kako slijedi:

2.   Pri utvrđivanju vrste i razine administrativne kazne ili korektivne mjere koja se izriče na temelju članka 50. nadležna tijela uzimaju u obzir mjeru u kojoj je povreda posljedica namjere ili nemara i sve ostale relevantne okolnosti, uključujući prema potrebi sljedeće:

1.   Države članice mogu odlučiti da neće propisati pravila o administrativnim kaznama ili korektivnim mjerama za povrede koje prema njihovu nacionalnom pravu podliježu kaznenim sankcijama.

2.   Ako odluče propisati kaznene sankcije za povrede ove Uredbe, države članice moraju osigurati primjerene mjere kako bi nadležna tijela imala sve potrebne ovlasti za suradnju s pravosudnim tijelima, tijelima kaznenog progona ili kaznenopravnim tijelima u okviru svoje nadležnosti radi dobivanja specifičnih informacija povezanih s kaznenim istragama ili postupcima pokrenutima zbog povreda ove Uredbe i radi dostave tih informacija drugim nadležnim tijelima te EBA-i, ESMA-i ili EIOPA-i kako bi ispunile svoje obveze suradnje za potrebe ove Uredbe.

1.   Nadležna tijela bez nepotrebne odgode na svojim službenim internetskim stranicama objavljuju svaku odluku o administrativnoj kazni protiv koje se ne može podnijeti žalba, nakon što se osoba kojoj je kazna izrečena obavijesti o toj odluci.

2.   Objava iz stavka 1. uključuje informacije o vrsti i prirodi povrede, identitetu odgovornih osoba te izrečenim kaznama.

3.   Ako na temelju ocjene od slučaja do slučaja smatra da bi objava identiteta, u slučaju pravnih osoba, ili identiteta i osobnih podataka, u slučaju fizičkih osoba, bila nerazmjerna, što uključuje rizike u vezi sa zaštitom osobnih podataka, da bi se njome ugrozila stabilnost financijskih tržišta ili provedba kaznene istrage koja je u tijeku ili da bi se njome, u mjeri u kojoj je to moguće utvrditi, dotičnoj osobi prouzročila nerazmjerna šteta, nadležno tijelo na odluku o izricanju administrativne kazne primjenjuje jedno od sljedećih rješenja:

4.   U slučaju odluke o objavi administrativne kazne na anonimnoj osnovi u skladu sa stavkom 3. točkom (b), objava relevantnih podataka može se odgoditi.

5.   Ako nadležno tijelo objavi odluku o izricanju administrativne kazne protiv koje je podnesena žalba mjerodavnim pravosudnim tijelima, nadležna tijela bez odgode na svojim službenim internetskim stranicama dodaju tu informaciju, a kasnije i sve naknadne povezane informacije o ishodu te žalbe. Objavljuje se i svaka pravosudna odluka kojom se poništava odluka o izricanju administrativne kazne.

6.   Nadležna tijela osiguravaju da svaka objava iz stavaka od 1. do 4. ostane na njihovim službenim internetskim stranicama samo tijekom razdoblja koje je potrebno za provedbu ovog članka. To razdoblje ne smije biti dulje od pet godina od objave.

1.   Sve povjerljive informacije primljene, razmijenjene ili prenesene na temelju ove Uredbe podliježu obvezi čuvanja poslovne tajne utvrđenoj u stavku 2.

2.   Obveza čuvanja poslovne tajne primjenjuje se na sve osobe koje rade ili su radile za nadležna tijela na temelju ove Uredbe ili na bilo koje tijelo ili poduzeće na tržištu ili fizičku ili pravnu osobu kojima su ta nadležna tijela delegirala svoje ovlasti, uključujući revizore i stručnjake koje su nadležna tijela angažirala.

3.   Informacije obuhvaćene poslovnom tajnom, uključujući razmjenu informacija između nadležnih tijela iz ove Uredbe i nadležnih tijela imenovanih ili uspostavljenih u skladu s Direktivom (EU) 2022/2555, ne smiju se odavati drugoj osobi ili tijelu, osim na temelju odredaba utvrđenih pravom Unije ili nacionalnim pravom;

4.   Sve informacije razmijenjene među nadležnim tijelima na temelju ove Uredbe koje se odnose na poslovanje ili operativne uvjete i druga ekonomska ili osobna pitanja smatraju se povjerljivima i podliježu zahtjevima čuvanja poslovne tajne, osim ako nadležno tijelo u trenutku dostave informacija izjavi da se takve informacije mogu objaviti ili ako je njihova objava potrebna zbog sudskog postupka.

1.   Europskim nadzornim tijelima i nadležnim tijelima dopušteno je obrađivati osobne podatke samo ako je to potrebno za izvršavanje njihovih obveza i zadaća na temelju ove Uredbe, posebno za istragu, inspekcijski nadzor, zahtjev za informacije, komunikaciju, objavu, evaluaciju, provjeru, procjenu i izradu planova nadzora. Osobni podatci obrađuju se u skladu s Uredbom (EU) 2016/679 ili Uredbom (EU) 2018/1725, ovisno o tome koja je primjenjiva.

2.   Osim ako je drugim sektorskim aktima predviđeno drukčije, osobni podatci iz stavka 1. čuvaju se do obavljanja primjenjivih nadzornih dužnosti, a u svakom slučaju najdulje 15 godina, osim u slučaju sudskih postupaka koji su u tijeku i zahtijevaju da se takvi podatci čuvaju dulje.

1.   Ovlast za donošenje delegiranih akata dodjeljuje se Komisiji podložno uvjetima utvrđenima u ovom članku.

2.   Ovlast za donošenje delegiranih akata iz članka 31. stavka 6. i članka 43. stavka 2. dodjeljuje se Komisiji na razdoblje od pet godina počevši od 17. siječnja 2024. Komisija izrađuje izvješće o delegiranju ovlasti najkasnije devet mjeseci prije kraja razdoblja od pet godina. Delegiranje ovlasti prešutno se produljuje za razdoblja jednakog trajanja, osim ako se Europski parlament ili Vijeće tom produljenju usprotive najkasnije tri mjeseca prije kraja svakog razdoblja.

3.   Europski parlament ili Vijeće u svakom trenutku mogu opozvati delegiranje ovlasti iz članka 31. stavka 6. i članka 43. stavka 2. Odlukom o opozivu prekida se delegiranje ovlasti koje je u njoj navedeno. Opoziv počinje proizvoditi učinke sljedećeg dana od dana objave spomenute odluke u Službenom listu Europske unije ili na kasniji dan naveden u spomenutoj odluci. On ne utječe na valjanost delegiranih akata koji su već na snazi.

4.   Prije donošenja delegiranog akta Komisija se savjetuje sa stručnjacima koje je imenovala svaka država članica u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016.

5.   Čim donese delegirani akt, Komisija ga istodobno priopćuje Europskom parlamentu i Vijeću.

6.   Delegirani akt donesen na temelju članka 31. stavka 6. i članka 43. stavka 2. stupa na snagu samo ako ni Europski parlament ni Vijeće u roku od tri mjeseca od priopćenja tog akta Europskom parlamentu i Vijeću na njega ne podnesu prigovor ili ako su prije isteka tog roka i Europski parlament i Vijeće obavijestili Komisiju da neće podnijeti prigovore. Taj se rok produljuje za tri mjeseca na inicijativu Europskog parlamenta ili Vijeća.

1.   Komisija do 17. siječnja 2028., a nakon savjetovanja s europskim nadzornim tijelima ili s ESRB-om, ovisno o slučaju, provodi preispitivanje te Europskom parlamentu i Vijeću dostavlja izvješće, prema potrebi zajedno s prijedlogom zakonodavnog akta. Preispitivanje uključuje barem sljedeće:

2.   U kontekstu preispitivanja Direktive (EU) 2015/2366 Komisija procjenjuje potrebu za povećanjem kiberotpornosti platnih sustava i aktivnosti obrade plaćanja te primjerenost proširenja područja primjene ove Uredbe na upravitelje platnih sustava i subjekte uključene u aktivnosti obrade plaćanja. S obzirom na tu procjenu Komisija u okviru preispitivanja Direktive (EU) 2015/2366 podnosi izvješće Europskom parlamentu i Vijeću najkasnije 17. srpnja 2023.

Na temelju tog izvješća o preispitivanju i nakon savjetovanja s europskim nadzornim tijelima, ESB-om i ESRB-om Komisija može, prema potrebi i u okviru zakonodavnog prijedloga koji može donijeti na temelju članka 108. drugog stavka Direktive (EU) 2015/2366, podnijeti prijedlog kojim se osigurava da svi upravitelji platnih sustava i subjekti uključeni u aktivnosti obrade plaćanja podliježu odgovarajućem nadzoru, uzimajući u obzir postojeći nadzor koji provodi središnja banka.

3.   Komisija do 17. siječnja 2026. i nakon savjetovanja s europskim nadzornim tijelima i Odborom europskih tijela za nadzor revizije, preispituje primjerenost strožih zahtjeva za ovlaštene revizore i revizorska društva u pogledu digitalne operativne otpornosti uključivanjem ovlaštenih revizora i revizorskih društava u područje primjene ove Uredbe ili izmjenama Direktive 2006/43/EZ Europskog parlamenta i Vijeća (39) te Europskom parlamentu i Vijeću dostavlja izvješće, prema potrebi zajedno sa zakonodavnim prijedlogom.