DELEGIRANA UREDBA KOMISIJE (EU) 2025/299

оd 31. listopada 2024.

o dopuni Uredbe (EU) 2023/1114 Europskog parlamenta i Vijeća o tržištima kriptoimovine u pogledu regulatornih tehničkih standarda o kontinuitetu i redovitosti obavljanja usluga povezanih s kriptoimovinom

(Tekst značajan za EGP)

EUROPSKA KOMISIJA,

uzimajući u obzir Ugovor o funkcioniranju Europske unije,

uzimajući u obzir Uredbu (EU) 2023/1114 Europskog parlamenta i Vijeća od 31. svibnja 2023. o tržištima kriptoimovine i izmjeni uredaba (EU) br. 1093/2010 i (EU) br. 1095/2010 te direktiva 2013/36/EU i (EU) 2019/1937 (1), a posebno njezin članak 68. stavak 10. treći podstavak,

budući da:

(1)

U člancima 11. i 12. Uredbe (EU) 2022/2554 Europskog parlamenta i Vijeća (2) propisuju se zahtjevi u pogledu odgovora i oporavka, politika i postupaka za izradu sigurnosnih kopija te postupaka i metoda za ponovnu uspostavu i oporavak koji se odnose na IKT sustave IKT-a financijskih subjekata, uključujući pružatelje usluga povezanih s kriptoimovinom. U Delegiranoj uredbi Komisije (EU) 2024/1774 (3) dodatno se utvrđuju komponente politike kontinuiteta poslovanja u području IKT-a, testiranje planova kontinuiteta poslovanja u području IKT-a i komponente planova odgovora i oporavka financijskih subjekata u području IKT-a, uključujući pružatelje usluga povezanih s kriptoimovinom. Ovom se Uredbom dopunjuju te odredbe Uredbe (EU) 2022/2554 i Delegirane uredbe (EU) 2024/1774 u pogledu kontinuiteta i redovitosti obavljanja usluga povezanih s kriptoimovinom.

(2)

Pri pružanju svojih usluga pružatelji usluga povezanih s kriptoimovinom mogu koristiti distribuirani zapis nad kojim nemaju kontrolu, uključujući otvoreni distribuirani zapis. U tom slučaju možda neće moći osigurati redovitost i kontinuitet svojih usluga ako su poremećaji prouzročeni problemima koji su svojstveni funkcioniranju tih distribuiranih zapisa. Kako bi ublažili volatilnost tržišta koja može negativno utjecati na klijente pogođene tim poremećajima, pružatelji usluga povezanih s kriptoimovinom trebali bi u svoju politiku kontinuiteta poslovanja uključiti mjere za pravodobnu komunikaciju s klijentima i drugim vanjskim dionicima. Ta bi komunikacija trebala sadržavati bitne i pravodobne informacije za klijente o tim poremećajima, uključujući kontinuirano pružanje ažuriranih informacija o statusu, sve dok se poremećaji ne riješe i usluge nastave pružati. Ako mu informacije o statusu otvorenog distribuiranog zapisa odgovornog za poremećaj u pružanju usluga nisu odmah dostupne, pružatelj usluga povezanih s kriptoimovinom trebao bi klijentima i drugim dionicima, uključujući nadležna tijela, dostavljati ažurirane informacije u okviru svojih mogućnosti i tako im omogućiti da raspolažu što sveobuhvatnijim informacijama o tim poremećajima.

(3)

Kako bi se izbjeglo nerazmjerno administrativno opterećenje za mala, srednja i start-up poduzeća, pružatelji usluga povezanih s kriptoimovinom trebali bi u svojoj politici kontinuiteta poslovanja uzeti u obzir opseg, prirodu i raspon usluga koje pružaju. To znači da bi pružatelji usluga povezanih s kriptoimovinom trebali utvrditi svoje posebne zahtjeve u pogledu kontinuiteta poslovanja na osnovi pouzdane samoprocjene, koja se temelji na nizu kriterija koji im omogućuju provedbu politike kontinuiteta poslovanja koja je razmjerna utjecaju njihovih usluga na tržište. U samoprocjeni bi osim okolnosti navedenih u Prilogu trebalo uzeti u obzir i druge okolnosti koje mogu utjecati na pružatelja usluga povezanih s kriptoimovinom.

(4)	Ova Uredba temelji se na nacrtu regulatornih tehničkih standarda koji je Europsko nadzorno tijelo za vrijednosne papire i tržišta kapitala dostavilo Komisiji.

(5)

Europsko nadzorno tijelo za vrijednosne papire i tržišta kapitala provelo je otvoreno javno savjetovanje o nacrtu regulatornih tehničkih standarda na kojem se temelji ova Uredba, analiziralo moguće povezane troškove i koristi te zatražilo mišljenje Interesne skupine za vrijednosne papire i tržišta kapitala osnovane u skladu s člankom 37. Uredbe (EU) br. 1095/2010 Europskog parlamenta i Vijeća (4),

DONIJELA JE OVU UREDBU:

Članak 1.

Definicije

Za potrebe ove Uredbe primjenjuju se sljedeće definicije:

(a)	„ključna ili važna funkcija” znači ključna ili važna funkcija kako je definirana u članku 3. točki 22. Uredbe (EU) 2022/2554;

(b)	„otvoreni distribuirani zapis” znači posebna vrsta distribuiranog zapisa koji ne kontrolira nijedan subjekt, a mrežne čvorove DLT-a može uspostaviti bilo koja osoba koja ispunjava tehničke zahtjeve i postupa u skladu s protokolima tog distribuiranog zapisa.

Članak 2.

Organizacijski aranžmani za kontinuitet poslovanja

1. Politika kontinuiteta poslovanja iz članka 68. stavka 7. Uredbe (EU) 2023/1114 sastoji se od planova, postupaka i mjera.

2. Pri izvršavanju svojih funkcija iz članka 68. stavka 6. Uredbe (EU) 2023/1114 upravljačko tijelo pružatelja usluga povezanih s kriptoimovinom uspostavlja i odobrava planove, postupke i mjere koji čine politiku kontinuiteta poslovanja. Upravljačko tijelo pružatelja usluga povezanih s kriptoimovinom odgovorno je za provedbu politike kontinuiteta poslovanja i preispitivanje njezine djelotvornosti najmanje jednom godišnje.

3. Pružatelji usluga povezanih s kriptoimovinom brinu se da se sve izmjene politike kontinuiteta poslovanja djelotvornim komunikacijskim kanalima dostave svim relevantnim članovima internog osoblja.

Članak 3.

Politika kontinuiteta poslovanja

1. Politika kontinuiteta poslovanja iz članka 68. stavka 7. Uredbe (EU) 2023/1114 čuva se na trajnom mediju i pružateljima usluga povezanih s kriptoimovinom omogućuje da na odgovarajući način odgovore na incidente koji uzrokuju poremećaje ili probleme s performansama koji se odnose na sustave ključne za rad njihovih poslovnih funkcija.

2. Pružatelji usluga povezanih s kriptoimovinom u politiku kontinuiteta poslovanja uključuju sljedeće elemente:

(a)	pojedinosti o području primjene politike kontinuiteta poslovanja, uključujući njezina ograničenja i izuzeća, koje treba obuhvatiti planovima, postupcima i mjerama kontinuiteta poslovanja;

(b)	opis kriterija za aktivaciju planova kontinuiteta poslovanja, uključujući postupke eskalacije do razine upravljačkog tijela;

(c)	odredbe o upravljanju i organizaciji pružatelja usluga povezanih s kriptoimovinom, uključujući uloge i odgovornosti osoblja, kako bi na raspolaganju uvijek bili dostatni resursi za učinkovitu provedbu politike;

(d)	odredbe koje osiguravaju dosljednost između planova kontinuiteta poslovanja i planova kontinuiteta poslovanja u području IKT-a te planova odgovora i oporavka u području IKT-a iz članaka 24. i 26. Delegirane uredbe (EU) 2024/1774.

Članak 4.

Planovi kontinuiteta poslovanja

1. Pri provedbi politike kontinuiteta poslovanja iz članka 68. stavka 7. Uredbe (EU) 2023/1114 pružatelji usluga povezanih s kriptoimovinom izrađuju planove kontinuiteta poslovanja. U tim se planovima utvrđuju postupci potrebni za zaštitu i, prema potrebi, ponovnu uspostavu:

(a)	povjerljivosti, cjelovitosti i dostupnosti podataka klijenata;

(b)	dostupnosti poslovnih funkcija, potpornih procesa i informacijske imovine pružatelja usluga povezanih s kriptoimovinom.

2. Planovi kontinuiteta poslovanja sadržavaju sljedeće:

(a)	niz mogućih negativnih scenarija koji se odnose na rad ključnih ili važnih funkcija, uključujući nedostupnost poslovnih funkcija, osoblja, radnog prostora, vanjskih dobavljača i podatkovnih centara, te na gubitak ili preinake ključnih podataka i dokumenata;

(b)

postupke i politike koje treba slijediti u slučaju incidenta koji uzrokuje poremećaj, uključujući:

i.	mjere potrebne za oporavak ključnih ili važnih funkcija;

ii.	rokove za oporavak tih ključnih ili važnih funkcija;

iii.	ciljeve u pogledu točke oporavka;

iv.	rok za nastavak pružanja usluga;

(c)	postupke i politike za premještanje poslovnih funkcija za pružanje usluga povezanih s kriptoimovinom na pričuvnu lokaciju;

(d)	sigurnosne kopije ključnih poslovnih podataka, uključujući ažurirane informacije o kontaktima potrebnima za komunikaciju unutar pružatelja usluga povezanih s kriptoimovinom te između pružatelja usluga povezanih s kriptoimovinom i njegovih klijenata;

(e)	postupke za pravodobnu komunikaciju s klijentima i drugim vanjskim dionicima, uključujući nadležna tijela.

3. Kad je riječ o poremećaju koji uključuje otvoreni distribuirani zapis koji pružatelj usluga povezanih s kriptoimovinom koristi u pružanju svojih usluga, komunikacija iz stavka 2. točke (e) uključuje sljedeće:

(a)	informacije o tome kad se očekuje nastavak pružanja usluga;

(b)	razloge i utjecaj incidenta koji uzrokuje poremećaj;

(c)	sve rizike koji se odnose na novčana sredstva i kriptoimovinu koja se drži u ime klijenata;

(d)	mjere koje pružatelj usluga povezanih s kriptoimovinom namjerava poduzeti kao odgovor na poremećaj u otvorenom distribuiranom zapisu.

Ako mu te informacije nisu odmah dostupne, pružatelj usluga povezanih s kriptoimovinom u okviru svojih mogućnosti dostavlja klijentima i dionicima, uključujući nadležna tijela, ažurirane informacije iz prvog podstavka.

4. Planovi kontinuiteta poslovanja sadržavaju postupke za otklanjanje svih poremećaja u eksternaliziranim ključnim ili važnim funkcijama, pa i kad one postanu nedostupne.

Članak 5.

Periodično testiranje planova kontinuiteta poslovanja

1. Pružatelji usluga povezanih s kriptoimovinom testiraju funkcioniranje planova kontinuiteta poslovanja iz članka 4. na temelju realističnih scenarija. Testiranjem se provjerava sposobnost pružatelja usluga povezanih s kriptoimovinom da se oporavi od incidenata koji uzrokuju poremećaje i nastavi pružati usluge u skladu s člankom 4. stavkom 2. točkom (b).

2. Pružatelji usluga povezanih s kriptoimovinom svake godine testiraju planove kontinuiteta poslovanja uzimajući u obzir:

(a)	rezultate testiranja iz stavka 1.;

(b)	najnovija saznanja o prijetnjama;

(c)	pouke iz dosadašnjeg iskustva;

(d)	prema potrebi, sve promjene ciljeva oporavka, uključujući ciljeve u pogledu vremena i točke oporavka iz članka 4. stavka 2. točke (b);

(e)	promjene u poslovnim funkcijama.

3. Pružatelji usluga povezanih s kriptoimovinom u pisanom obliku dokumentiraju rezultate aktivnosti testiranja te ih dostavljaju svojem upravljačkom tijelu i operativnim jedinicama uključenima u planove kontinuiteta poslovanja.

4. Pružatelji usluga povezanih s kriptoimovinom vode brigu o tome da testiranje planova kontinuiteta poslovanja ne ometa uobičajeno pružanje njihovih usluga.

Članak 6.

Složenost i razmatranja rizika

1. Pri uspostavi politike kontinuiteta poslovanja, uključujući planove, postupke i mjere, pružatelji usluga povezanih s kriptoimovinom uzimaju u obzir elemente povećane složenosti ili rizičnosti, uključujući:

(a)	vrstu i raspon ponuđenih usluga povezanih s kriptoimovinom;

(b)	mjeru u kojoj se usluge pružatelja usluga povezanih s kriptoimovinom oslanjaju na otvoreni distribuirani zapis;

(c)	mogući utjecaj poremećaja na kontinuitet aktivnosti pružatelja usluga povezanih s kriptoimovinom i dostupnost njegovih usluga.

2. Za potrebe stavka 1. pružatelji usluga povezanih s kriptoimovinom svake godine provode samoprocjenu opsega, prirode i raspona svojih usluga. Pružatelji usluga povezanih s kriptoimovinom tu samoprocjenu temelje na kriterijima iz Priloga i svim drugim kriterijima koje pružatelj usluga povezanih s kriptoimovinom smatra relevantnima.

Članak 7.

Stupanje na snagu

Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Bruxellesu 31. listopada 2024.

Za Komisiju

Predsjednica

Ursula VON DER LEYEN

(1) SL L 150, 9.6.2023., str. 40., ELI: http://data.europa.eu/eli/reg/2023/1114/oj.

(2) Uredba (EU) 2022/2554 Europskog parlamenta i Vijeća od 14. prosinca 2022. o digitalnoj operativnoj otpornosti za financijski sektor i izmjeni uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014, (EU) br. 909/2014 i (EU) 2016/1011 (SL L 333, 27.12.2022., str. 1., ELI: http://data.europa.eu/eli/reg/2022/2554/oj).

(3) Delegirana uredba Komisije (EU) 2024/1774 od 13. ožujka 2024. o dopuni Uredbe (EU) 2022/2554 Europskog parlamenta i Vijeća u pogledu regulatornih tehničkih standarda kojima se utvrđuju alati, metode, procesi i politike za upravljanje IKT rizicima te pojednostavnjeni okvir za upravljanje IKT rizicima (SL L, 2024/1774, 25.6.2024., ELI: http://data.europa.eu/eli/reg_del/2024/1774/oj).

(4) Uredba (EU) br. 1095/2010 Europskog parlamenta i Vijeća od 24. studenog 2010. o osnivanju europskog nadzornog tijela (Europskog nadzornog tijela za vrijednosne papire i tržišta kapitala), izmjeni Odluke br. 716/2009/EZ i stavljanju izvan snage Odluke Komisije 2009/77/EZ (SL L 331, 15.12.2010., str. 84., ELI: http://data.europa.eu/eli/reg/2010/1095/oj).

PRILOG

KRITERIJI ZA SAMOPROCJENU PRUŽATELJA USLUGA POVEZANIH S KRIPTOIMOVINOM

(a)

Priroda pružatelja usluga povezanih s kriptoimovinom na temelju sljedećih elemenata:

i.	oznake razreda iz Priloga IV. Uredbi (EU) 2023/1114;

ii.	prosječnih razina likvidnosti ili dubine tržišta kriptoimovine dostupne za trgovanje na platformi za trgovanje kriptoimovinom, ako je primjenjivo;

iii.	uloge pružatelja usluga povezanih s kriptoimovinom u financijskom sustavu, među ostalim s obzirom na to upravlja li pružatelj usluga povezanih s kriptoimovinom platformom za trgovanje kriptoimovinom i trguje li se istom kriptoimovinom i na drugim platformama za trgovanje kriptoimovinom.

(b)

Opseg na osnovi procjene utjecaja pružatelja usluga povezanih s kriptoimovinom na uredno funkcioniranje tržišta na temelju sljedećih elemenata, ako je primjenjivo:

i.	informacije smatra li se pružatelj usluga povezanih s kriptoimovinom značajnim u skladu s člankom 85. Uredbe (EU) 2023/1114;

ii.	broja zemalja u kojima pružatelj usluga povezanih s kriptoimovinom obavlja gospodarsku djelatnost;

iii.	broja klijenata;

iv.	broja aktivnih korisnika;

v.	vrijednosti kriptoimovine na skrbništvu;

vi.	količine transakcija na platformi za trgovanje kriptoimovinom;

vii.	broja prijenosa kriptoimovine provedenih u ime klijenata;

viii.

broja naloga izvršenih u ime klijenata.

(c)

Složenost na temelju procjene sljedećih elemenata, ako je primjenjivo:

i.	strukture pružatelja usluga povezanih s kriptoimovinom u smislu vlasništva i upravljanja te njegove organizacijske, operativne, tehničke, fizičke i geografske prisutnosti;

ii.	razine eksternalizacije koju provodi pružatelj usluga povezanih s kriptoimovinom, a posebno informacije jesu li eksternalizirane ključne ili važne operativne funkcije;

iii.	broja i vrste distribuiranih zapisa korištenih u pružanju usluga;

iv.	broja mrežnih čvorova DLT-a kojima pružatelj usluga povezanih s kriptoimovinom upravlja u jednom ili više distribuiranih zapisa;

v.	broja i vrste pametnih ugovora koje pružatelj usluga povezanih s kriptoimovinom primjenjuje i održava;

vi.	načina na koji se privatni kriptografski ključevi klijenata ili druga sredstva za pristup kriptoimovini sigurno pohranjuju;

vii.	korištenja softverskih i hardverskih skrbničkih novčanika ili novčanika koji sigurno pohranjuju kriptografske ključeve tako što se oslanjaju na više opunomoćenika.

Za potrebe točke (b) podtočaka od iii. do viii. pružatelj usluga povezanih s kriptoimovinom za samoprocjenu koristi dnevni prosjek u jednogodišnjem referentnom razdoblju.