Digitalna operativna otpornost za financijski sektor

SAŽETAK DOKUMENTA:

Uredba (EU) 2022/2554 o digitalnoj operativnoj otpornosti za financijski sektor

ČEMU SLUŽI OVA UREDBA?

Njome se utvrđuju jedinstvena pravila o sigurnosti mrežnih i informacijskih sustava financijskih subjekata, kao što su banke, osiguravajuća društva i investicijska društva.

Obuhvaća širok raspon reguliranih financijskih subjekata Europske unije (EU) od kojih se zahtijeva da podnesu bilo koji poremećaj ili prijetnju koji uključuju informacijske i komunikacijske tehnologije (IKT) te na njih odgovore i od njih se oporave.

KLJUČNE TOČKE

Područje primjene

Uredba obuhvaća:

• kreditne, platne, elektroničke i strukovne mirovinske institucije;
• pružatelje usluga za informacije o računu, kripto-imovinu, izvješćivanje o podacima, skupno financiranje i treće strane IKT-a;
• investicijska društva, alternativne investicijske fondove, društva za upravljanje, agencije za kreditni rejting i administratore ključnih referentnih vrijednosti;
• trgovinske i sekuritizacijske repozitorije, središnji depozitoriji vrijednosnih papira, središnje druge ugovorne strane i mjesta trgovanja;
• osiguranje, posrednici u osiguranju i društva za reosiguranje.

Upravljanje IKT rizicima

Financijski subjekti, osim mikropoduzeća moraju:

• uspostaviti mjere unutarnjeg upravljanja i kontrole kojima se osigurava učinkovito i razborito upravljanje IKT rizikom;
• osigurati da njihovo upravljačko tijelo definira, odobrava i nadgleda sve relevantne aranžmane te da je odgovorno za njih;
• imati uspostavljen, sveobuhvatan i dobro dokumentiran okvir za upravljanje IKT rizicima s potrebnim strategijama, politikama, postupcima, protokolima i alatima za brzo i učinkovito odgovaranje;
• upotrebljavati i održavati ažurnima IKT sustave, protokole i alate koji su primjereni, pouzdani, tehnološki otporni te imaju dovoljno kapaciteta;
• utvrditi, klasificirati i na odgovarajući način dokumentirati sve poslovne funkcije, uloge i odgovornosti koje se podupiru u okviru IKT-a te preispitati scenarije rizika;
• stalno pratiti sigurnost i rada IKT sustava i alata kako bi se minimizirao učinak bilo kojeg IKT rizika;
• odmah otkriti nepravilnosti i utvrditi moguće točke kvara;
• uspostaviti sveobuhvatnu politiku kontinuiteta poslovanja u području IKT-a s odgovarajućim planovima, postupcima i mehanizmima;
• razvijati i dokumentirati rezervne politike te postupke obnove i oporavka;
• postavljati resurse i osoblje radi procjene ranjivosti i kiberprijetnji, štetnih događaja povezanih s IKT-om, posebno kibernapada te analizirati njihov mogući učinak na digitalnu operativnu otpornost subjekta;
• osmišljavati planove komunikacije u krizi kako bi se barem otkrili veći štetni događaji ili ranjivosti za klijente, druge ugovorne strane i javnost povezani s IKT-om.

Upravljanje, klasifikacija i izvješćivanje povezani s IKT-om

Financijski subjekti moraju:

• definirati, utvrditi i provoditi mjere za otkrivanje, upravljanje, evidentiranje i obavješćivanje o štetnim događajima povezanima s IKT-om;
• klasificirati štetne događaje i utvrditi njihov učinak na temelju kriterija kao što su broj zahvaćenih klijenata i drugih ugovornih strana, trajanje, geografsko širenje i gubici podataka;
• prijaviti veće štetne događaje povezane s IKT-om imenovanom nadležnom tijelo koje ga prosljeđuje višem tijelu kao što je Europska središnja banka ili Europsko nadzorno tijelo za bankarstvo.

Testiranje digitalne operativne otpornosti

Financijski subjekti, osim mikropoduzeća moraju:

• uspostaviti, održavati i preispitati pouzdani i sveobuhvatni program digitalnog operativnog testiranja koji je opremljen potrebnim procjenama, testiranjima, metodologijama, praksama i alatima;
• provoditi najmanje svake tri godine penetracijsko testiranja razine prijetnje na temelju njihovih profila rizika i uzimajući u obzir operativne okolnosti – i isključivo upotrebljavati provoditelje testiranja koji su certificirani, imaju potrebno stručno znanje i prikladnost te imaju osiguranje od profesionalne odgovornosti.

Upravljanje IKT rizikom treće strane

Financijski subjekti moraju:

• upravljati rizikom treće strane kao sastavnom komponentom njihovog ukupnog IKT rizika;
• uspostaviti ugovorne aranžmane za IKT usluge za upravljanje svojim poslovnim operacijama u potpunosti u skladu s relevantnim zakonodavstvom;
• uzeti u obzir prirodu, opseg, složenost i važnost ovisnosti u području IKT-a i sve moguće rizike;
• analizirati koristi i troškove alternativnih rješenja pri utvrđivanju i procjeni svih uključenih rizik;
• uključiti u ugovor prava i obveze svake stranke i ugovor o uslugama.

Nadzorni okvir ključnih pružatelja IKT usluga treće strane

Okvirom se:

• ovlašćuje europska nadzorna tijela da:
  • na temelju jasnih kriterija odrede pružatelje IKT usluga za koje se smatra da su ključni za financijske subjekte,
  • imenuju, kao glavno nadzorno tijelo za svakog ključnog pružatelja usluga treće strane, europska nadzorno tijelo odgovorno za dotični financijski subjekt;
• uspostavlja Nadzorni forum da:
  • raspravlja o relevantnim razvoju IKT rizika i ranjivosti te o promicanju dosljednog pristupa EU-a za praćenje,
  • godišnje procjenjuju aktivnosti nadzora, promiče korake za povećanje digitalne operativne otpornosti i potiče najbolje prakse,
  • podnosi sveobuhvatne referentne vrijednosti za ključne pružatelje IKT usluga treće strane;
• ovlašćuje glavno nadzorno tijelo da:
  • bude primarna kontaktna točka za ključne pružatelje IKT usluga treće strane
  • procjenjuje ima li svaki od ključnih pružatelja uspostavljena sveobuhvatna, pouzdana i učinkovita pravila, postupke, mehanizme i aranžmane,
  • zahtijeva sve relevantne informacije i dokumentaciju, provodi istrage i inspekcije (uključujući u zemljama koje nisu države članice EU-a), utvrđuje korektivne mjere i izdaje preporuke;
• omogućuje Europskom nadzornom tijelu za bankarstvo,Europskom nadzornom tijelu za osiguranje i strukovno mirovinsko osiguranje i Europskom nadzornom tijelu za vrijednosne papire i tržišta kapitala da rade s regulatornim i nadzornim tijelima izvan EU-a na IKT riziku treće strane;
• zahtijeva od europskih nadzornih tijela podnošenje povjerljivog izvješća svakih 5 godina Europskom parlamentu, Vijeću Europske unije i Europskoj komisiji o svojim postupcima s tijelima izvan EU-a.

Mehanizmi razmjene informacija

Financijski subjekti mogu međusobno razmjenjivati informacije o kiberprijetnjama i obavještajne podatke, pod uvjetom da:

• time nastoje ojačati svoju digitalnu operativnu otpornost;
• do toga dolazi unutar njihovih pouzdanih zajednica;
• pritom štite povjerljivost poduzeća i osobne podatke te poštuje pravila politike tržišnog natjecanja.

Penali i korektivne mjere

Nadležna tijela:

• imaju sve ovlasti nadzora, istrage i sankcija potrebne za obavljanje svojih dužnosti;
• izriču i objavljuju na svoje internetske stranice administrativne kazne i korektivne mjere utvrđene nacionalnim pravom.

europska nadzorna tijela izrađuju nacrte regulatornih tehničkih standarda za alate za upravljanje IKT rizikom, klasifikaciju i izvješćivanje o štetnim događajima povezanima s IKT-om i provedbu aktivnosti nadzora.

Komisija:

• ima ovlasti donositi delegirane akte;
• podnosi, do 17. siječnja 2028., zahtjev za preispitivanje Uredbe nakon savjetovanja s europskim nadzornim tijelima i Europskim odborom za sistemske rizike, Europskom parlamentu i Vijeću.

Uredbom se izmjenjuju uredbe (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 909/2014, (EU) br. 600/2014 i (EU) 2016/1011.

OTKAD SE OVA UREDBA PRIMJENJUJE?

Primjenjuje se od 17. siječnja 2025.

POZADINA

Reforme koje su uslijedile nakon financijske krize iz 2008. godine prvenstveno su ojačale financijsku stabilnost sektora. IKT rizici samo su neizravno zahvaćeni te su i dalje predstavljali izazov za operativnu otpornost, učinkovitost i stabilnost financijskog sustava EU-a.

Uredba, poznata kao DORA, dio je većeg paketa digitalnih financijskih sredstava s ciljem poticanja tehnološkog razvoja i osiguranja financijske stabilnosti i zaštite potrošača. Njezini drugi elementi obuhvaćaju strategiju digitalnog financiranja, tržišta kriptoimovine i tehnologije distribuiranog vođenja evidencije.

Za više informacija vidjeti:

• Paket za digitalno financiranje (Europska komisija).

GLAVNI DOKUMENT

Uredba (EU) 2022/2554 Europskog parlamenta i Vijeća od 14. prosinca 2022. o digitalnoj operativnoj otpornosti za financijski sektor i izmjeni uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014, (EU) br. 909/2014 i (EU) 2016/1011 (SL L 333, 27.12.2022., str. 1.–79.).

VEZANI DOKUMENTI

Komunikacija Komisije Europskom parlamentu, Vijeću, Europskom gospodarskom i socijalnom odboru i Odboru regija o strategiji digitalnog financiranja EU-a (COM (2020) 591 final, 24.9.2020.).

Uredba (EU) 2016/1011 Europskog parlamenta i Vijeća od 8. lipnja 2016. o indeksima koji se upotrebljavaju kao referentne vrijednosti u financijskim instrumentima i financijskim ugovorima ili za mjerenje uspješnosti investicijskih fondova i o izmjeni direktiva 2008/48/EZ i 2014/17/EU te Uredbe (EU) br. 596/2014 (SL L 171, 29.6.2016., str. 1.–65.).

Sukcesivne izmjene i dopune Uredbe (EU) 2016/1011 uključene su u izvorni tekst. Ovaj pročišćeni tekst namijenjen je isključivo dokumentiranju.

Uredba (EU) br. 909/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o poboljšanju namire vrijednosnih papira u Europskoj uniji i o središnjim depozitorijima vrijednosnih papira te izmjeni direktiva 98/26/EZ i 2014/65/EU te Uredbe (EU) br. 236/2012 (SL L 257, 28.8.2014., str. 1.–72.).

Vidjeti pročišćeni tekst.

Uredba (EU) br. 600/2014 Europskog parlamenta i Vijeća od 15. svibnja 2014. o tržištima financijskih instrumenata i izmjeni Uredbe (EU) br. 648/2012 (SL L 173, 12.6.2014., str. 84.–148.).

Vidjeti pročišćeni tekst.

Uredba (EU) br. 648/2012 Europskog parlamenta i Vijeća od 4. srpnja 2012. o OTC izvedenicama, središnjoj drugoj ugovornoj strani i trgovinskom repozitoriju (SL L 201, 27.7.2012., str. 1.–59.).

Vidjeti pročišćeni tekst.

Uredba (EU) br. 1060/2009 Europskog parlamenta i Vijeća od 16. rujna 2009. o agencijama za kreditni rejting (SL L 302, 17.11.2009., str. 1.-31.).

Vidjeti pročišćeni tekst.

Posljednje ažuriranje 10.01.2024