ISSN 1977-0731 |
||
Az Európai Unió Hivatalos Lapja |
L 333 |
|
Magyar nyelvű kiadás |
Jogszabályok |
65. évfolyam |
|
|
|
(1) EGT-vonatkozású szöveg. |
HU |
Azok a jogi aktusok, amelyek címe normál szedéssel jelenik meg, a mezőgazdasági ügyek napi intézésére vonatkoznak, és rendszerint csak korlátozott ideig maradnak hatályban. Valamennyi más jogszabály címét vastagon szedik, és előtte csillag szerepel. |
I Jogalkotási aktusok
RENDELETEK
2022.12.27. |
HU |
Az Európai Unió Hivatalos Lapja |
L 333/1 |
AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2022/2554 RENDELETE
(2022. december 14.)
a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról
(EGT-vonatkozású szöveg)
AZ EURÓPAI PARLAMENT ÉS AZ EURÓPAI UNIÓ TANÁCSA,
tekintettel az Európai Unió működéséről szóló szerződésre és különösen annak 114. cikkére,
tekintettel az Európai Bizottság javaslatára,
a jogalkotási aktus tervezete nemzeti parlamenteknek való megküldését követően,
tekintettel az Európai Központi Bank véleményére (1) ,
tekintettel az Európai Gazdasági és Szociális Bizottság véleményére (2) ,
rendes jogalkotási eljárás keretében (3),
mivel:
(1) |
A digitális korban a mindennapos tevékenységek során alkalmazott összetett rendszereket információs és kommunikációs technológia (IKT) támogatja. Ez biztosítja a gazdaság folyamatos működését az ágazatokban, többek között a pénzügyi ágazatban, és javítja a belső piac működését is. A megnövekedett digitalizáció és az összekapcsoltság felerősíti az IKT-kockázatot is, kiszolgáltatottabbá téve a társadalom egészét és különösen a pénzügyi rendszert, a kiberfenyegetésekkel és az IKT-zavarokkal szemben. Míg az IKT-rendszerek általános alkalmazása, valamint a nagy fokú digitalizáció és összekapcsoltság ma az uniós pénzügyi szervezetek tevékenységeire alapvetően jellemző, a digitális rezilienciájukkal többet kell még foglalkozni, és azt jobban kell integrálni a tágabb működési kereteikbe. |
(2) |
Az IKT használata az elmúlt évtizedekben lényeges szerepet nyert a pénzügyi szolgáltatások nyújtása terén, egészen addig a pontig, hogy mára kritikus fontosságra tett szert a valamennyi pénzügyi szervezet által ellátott tipikus mindennapos funkciók működésében. A digitalizáció mostanra kiterjed például a fizetésekre amelyek a készpénz- és papíralapú módszerektől mind inkább a digitális megoldások alkalmazása felé mozdultak el , valamint az értékpapírok elszámolására és kiegyenlítésére, az elektronikus és algoritmikus kereskedésre, a hitelnyújtási és finanszírozási műveletekre, a személyközi finanszírozásra, a hitelminősítésekre, a követeléskezelésre és a háttértevékenységekre. Az IKT-technológia használata a biztosítási ágazatot is átalakította, az InsturTech-hel működő, szolgáltatásaikat online kínáló biztosításközvetítők megjelenésétől kezdve a digitális biztosítási kockázatvállalásig. Amellett, hogy a pénzügyi szolgáltatások az ágazat egészében nagyrészt digitálissá váltak, a digitalizáció fokozottabb összekapcsoltságot és kölcsönös függést is eredményezett a pénzügyi ágazaton belül, valamint a harmadik felektől igénybe vett infrastruktúrák és szolgáltatások terén. |
(3) |
Az Európai Rendszerkockázati Testület (ERKT) a rendszerszintű kiberkockázattal foglalkozó 2020. évi jelentésében megerősítette, hogy a pénzügyi szervezetek, a pénzügyi piacok és a pénzügyi piaci infrastruktúrák meglévő nagy fokú összekapcsoltsága és különösen az IKT-rendszereik kölcsönös függései miképpen jelenthetnek rendszerszintű sérülékenységet amiatt, hogy a lokalizált kiberbiztonsági események a mintegy 22 000 uniós pénzügyi szervezet bármelyikéről gyorsan, földrajzi határoktól függetlenül átterjedhetnek a teljes pénzügyi rendszerre. Súlyos IKT-biztonsági sérülések, amelyek előfordulnak a pénzügyi ágazatban, nem csak elszigetelt pénzügyi szervezeteket érintenek. Lehetővé teszik a lokalizált sérülékenységek pénzügyi transzmissziós csatornákon keresztüli zavartalan terjedését is, és potenciálisan kedvezőtlen következményekkel járhatnak az Unió pénzügyi rendszerének stabilitására nézve, így például likviditáselvonási hullámokat és a pénzügyi piacokkal szembeni általános bizalomvesztést kelthetnek. |
(4) |
Az elmúlt években az IKT-kockázat magára vonzotta a nemzetközi, uniós és nemzeti szakpolitikai döntéshozók, szabályozó és standardalkotó szervek figyelmét, arra törekedve, hogy fokozzák a digitális rezilienciát, rögzítsenek standardokat, és koordinálják a szabályozói és felügyeleti munkát. Nemzetközi szinten a Bázeli Bankfelügyeleti Bizottság, a Fizetési és Piaci Infrastruktúra Bizottság, a Pénzügyi Stabilitási Tanács, a Pénzügyi Stabilitási Intézet, valamint a G7 és a G20 célja az, hogy a különböző joghatóságokban az illetékes hatóságokat és a piaci szereplőket olyan eszközökhöz juttassák, amelyek támogatják pénzügyi rendszereik rezilienciáját. Az említett munkát annak szükségessége is vezérli, hogy az IKT-kockázatot – egy nagymértékben összekapcsolt globális pénzügyi rendszer összefüggésében – megfelelően figyelembe vegyék, és a releváns legjobb gyakorlatok terén nagyobb következetességre törekedjenek. |
(5) |
Az uniós és nemzeti célzott szakpolitikai és jogalkotási kezdeményezések ellenére az IKT-kockázat továbbra is kihívást jelent az uniós pénzügyi rendszer digitális működési rezilienciája, teljesítménye és stabilitása szempontjából. A 2008. évi pénzügyi válságot követő reformok elsősorban az uniós pénzügyi ágazat pénzügyi rezilienciáját erősítették, és arra irányultak, hogy – gazdasági és prudenciális szempontból, valamint a piaci magatartás tekintetében – megóvják az Unió versenyképességét és stabilitását. Bár az IKT-biztonság és a digitális reziliencia a működési kockázat részei, a pénzügyi válság utáni szabályozási menetrendben kisebb hangsúlyt kaptak, és fejlesztésükre az Unió pénzügyi szolgáltatásokkal kapcsolatos szakpolitikájának és szabályozási környezetének csak egyes területein vagy csak néhány tagállamban került sor. |
(6) |
A „Pénzügyi technológiai cselekvési terv: Egy versenyképesebb és innovatívabb európai pénzügyi ágazat felé” című, 2018. március 8-i közleményében a Bizottság kiemelte annak kiemelkedő fontosságát, hogy az uniós pénzügyi ágazatot – többek között működési szempontból is – reziliensebbé kell tenni annak érdekében, hogy garantált legyen technológiai biztonsága és megfelelő működése, az IKT-biztonsági sérüléseket és eseményeket követő gyors helyreállítása, ami végső soron lehetővé teszi a pénzügyi szolgáltatások hatékony és zökkenőmentes nyújtását az Unió egészében stresszkörülmények között is, egyúttal hozzájárul a fogyasztói és piaci bizalom megóvásához is. |
(7) |
2019 áprilisában az 1093/2010/EU európai parlamenti és tanácsi rendelettel (4) létrehozott európai felügyeleti hatóság (Európai Bankhatóság, EBH), az 1094/2010/EU európai parlamenti és tanácsi rendelettel (5) létrehozott európai felügyeleti hatóság (Európai Biztosítás- és Foglalkoztatóinyugdíj-hatóság, EIOPA) és az 1095/2010/EU európai parlamenti és tanácsi rendelettel (6) létrehozott európai felügyeleti hatóság (Európai Értékpapírpiaci Hatóság, ESMA) (a továbbiakban együttesen: európai felügyeleti hatóságok vagy EFH-k) együttes szakvéleményt adtak ki, szorgalmazva a pénzügyi szolgáltatási ágazat IKT-kockázatához való koherens megközelítést, és javaslatot téve a pénzügyi szolgáltatási ágazat digitális működési rezilienciájának egy ágazatspecifikus uniós kezdeményezésen keresztül, arányos módon történő megerősítésére. |
(8) |
Az uniós pénzügyi ágazatot egységes szabálykönyv szabályozza, és a Pénzügyi Felügyeletek Európai Rendszere irányítja. Mindazonáltal a digitális működési rezilienciára és az IKT-biztonságra vonatkozó rendelkezések egyelőre nem teljesen, vagy nem következetesen harmonizáltak annak ellenére, hogy a digitális korban a digitális működési reziliencia létfontosságú a pénzügyi stabilitás és a piaci integritás biztosításához, és legalább olyan fontos, mint például a prudenciális vagy a piaci magatartásra vonatkozó általános előírások. Az egységes szabálykönyvet és a felügyeleti rendszert ezért olyan módon kell továbbfejleszteni, hogy azok a digitális működési rezilienciára is kiterjedjenek; ehhez meg kell erősíteni az illetékes hatóságok megbízatását, hogy e hatóságok – a belső piac integritásának és hatékonyságának védelme, valamint a piac szabályos működésének elősegítése érdekében – felügyelni tudják az IKT-kockázat kezelését a pénzügyi ágazatban. |
(9) |
A jogszabályi eltérések, valamint az IKT-kockázattal kapcsolatos heterogén nemzeti szabályozási és felügyeleti megközelítések akadályozzák a pénzügyi szolgáltatások belső piacának működését, és megnehezítik a határokon átnyúló tevékenységet végző pénzügyi szervezetek számára a letelepedés és a szolgáltatásnyújtás szabadságának zavartalan gyakorlását. Torzulhat a verseny a különböző tagállamokban tevékenységet folytató, azonos típusú pénzügyi szervezetek között is. Különösen igaz ez olyan területeken, ahol az uniós harmonizáció eddig nagyon korlátozottan valósult meg, így például a digitális működési reziliencia tesztelése tekintetében, vagy ahol hiányzik, így például a harmadik féltől eredő IKT-kockázat nyomon követése tekintetében. A nemzeti szintű tervezett fejlesztésekből adódó eltérések további akadályokat képezhetnek a belső piac működésében a piaci szereplők és a pénzügyi stabilitás kárára. |
(10) |
Annak köszönhetően, hogy az IKT-kockázattal kapcsolatos rendelkezéseket uniós szinten csak részben kezelték, máig hiányosságok vagy átfedések mutatkoznak olyan fontos területeken, mint az IKT-vonatkozású események bejelentése és a digitális működési reziliencia tesztelése, továbbá következetlenségek is a megjelenő, egymástól eltérő nemzeti szabályoknak vagy az egymást átfedő szabályok nem költséghatékony alkalmazásának eredményeként. Ez különösen hátrányos az IKT olyan, intenzív felhasználóira nézve, mint a pénzügyi ágazat, mivel a technológiai kockázatok nem ismernek határokat, és a pénzügyi ágazat az Unión belül és azon kívül kiterjedt, határokon átnyúló jelleggel kínálja szolgáltatásait. Egyedi pénzügyi szervezetek, amelyek határokon átnyúló tevékenységet végeznek, vagy több engedéllyel is rendelkeznek (például ugyanaz a pénzügyi szervezet bankként, befektetési vállalkozásként és pénzforgalmi intézményként is rendelkezhet működési engedéllyel, amelyek mindegyikét más-más illetékes hatóság adta ki egy vagy több tagállamban), működési kihívásokkal szembesülnek az IKT-kockázat önálló, koherens és költséghatékony kezelése, valamint az IKT-vonatkozású események káros hatásainak enyhítése során. |
(11) |
mivel az egységes szabálykönyvet nem egészítette ki átfogó IKT- vagy működésikockázat-kezelési keret, a digitális működési rezilienciára vonatkozó követelmények további harmonizációjára van szükség valamennyi pénzügyi szervezet tekintetében. Az IKT-képességek és az általános reziliencia pénzügyi szervezetek általi, az említett alapkövetelményeken alapuló, az üzemszünetek elviselése céljából történő fejlesztése elősegítené az uniós pénzügyi piacok stabilitásának és integritásának megőrzését, és így hozzájárulna a befektetők és fogyasztók magas szintű védelmének biztosításához az Unióban. Mivel e rendelet célja, hogy hozzájáruljon a belső piac zavartalan működéséhez, annak az Európai Unió működéséről szóló szerződés (EUMSZ) 114. cikkében foglalt, az Európai Unió Bíróságának (Bíróság) állandó ítélkezési gyakorlatával összhangban értelmezett rendelkezéseken kell alapulnia. |
(12) |
E rendelet célja az, hogy egységes szerkezetbe foglalja és korszerűsítse a működési kockázatokra vonatkozó követelmények részét képező, az IKT-kockázatra vonatkozó követelményeket, amelyekkel eddig a különböző uniós jogi aktusokban külön foglalkoztak. Míg az említett jogi aktusok lefedték a pénzügyi kockázatok fő kategóriáit (pl. a hitelkockázatot, a piaci kockázatot, a partnerkockázatot, a likviditási kockázatot és a piaci magatartási kockázatot), elfogadásuk időpontjában nem kezelték átfogóan a digitális működési reziliencia valamennyi összetevőjét. A működési kockázatra vonatkozó szabályokat az említett uniós jogi aktusok gyakran a kockázatkezelés hagyományos kvantitatív megközelítését előnyben részesítve (nevezetesen az IKT-kockázat fedezését célzó tőkekövetelmény előírásával) fejlesztették tovább az IKT-vonatkozású eseményekhez kapcsolódó védelmi, észlelési, elszigetelési és helyreállítási képességekre, vagy a bejelentési és digitális tesztelési képességekre vonatkozó célzott kvalitatív szabályok helyett. Az említett jogi aktusok elsődleges célja a prudenciális felügyeletre, a piaci integritásra és a piaci magatartásra vonatkozó alapvető szabályok meghatározása és naprakésszé tétele volt.Az IKT-kockázatra vonatkozó különböző szabályok egységes szerkezetbe foglalása és korszerűsítése révén első alkalommal foglalnák következetes módon egyetlen jogalkotási aktusba a pénzügyi ágazatban rejlő digitális kockázatokra vonatkozó valamennyi rendelkezést. Ezért e rendelet egyes korábbi jogi aktusokban pótolja a hiányosságokat, vagy orvosolja a következetlenségeket, többek között az azokban használt terminológia kapcsán, és az IKT-kockázatkezelési képességekre, az események bejelentésére, a működési reziliencia tesztelésére és a harmadik féltől eredő IKT-kockázat nyomon követésére vonatkozó célzott szabályok révén kifejezetten utal az IKT-kockázatra. E rendeletnek tehát az IKT-kockázatra is fel kell hívnia a figyelmet, továbbá el kell ismernie, hogy az IKT-vonatkozású események és a működési reziliencia hiánya veszélyeztethetik a pénzügyi szervezetek megbízhatóságát. |
(13) |
A pénzügyi szervezeteknek az IKT-kockázat kezelésekor ugyanazon megközelítést és ugyanazon elvalapú szabályokat kell alkalmazniuk, figyelembe véve méretüket és általános kockázati profiljukat, valamint szolgáltatásaik, tevékenységeik és műveleteik jellegét, nagyságrendjét és összetettségét. A következetesség hozzájárul a pénzügyi rendszerrel szembeni bizalom erősítéséhez és a rendszer stabilitásának megőrzéséhez, különösen az IKT-rendszerekre, -platformokra és -infrastruktúrákra való nagy fokú támaszkodás idején, amely megnövekedett digitális kockázattal jár. Az alapvető kiberhigiénia betartásával egyidejűleg – az IKT-zavarok hatásának és költségeinek minimalizálása révén – elkerülhetők a súlyos gazdasági áldozatok is. |
(14) |
Egy rendelet elősegíti a szabályozás összetettségének csökkentését, előmozdítja a felügyeleti konvergenciát, és növeli a jogbiztonságot, továbbá hozzájárul a megfelelési költségek csökkentéséhez – különösen a határokon átnyúló tevékenységet végző pénzügyi szervezetek esetében – és a versenytorzulások mérsékléséhez. Ezért a pénzügyi szervezetek digitális működési rezilienciájára vonatkozó közös keret létrehozása céljából a leginkább megfelelő eszköz a rendelet, amellyel garantálható, hogy az uniós pénzügyi ágazat egységesen és koherensen alkalmazza az IKT-kockázatkezelés valamennyi összetevőjét. |
(15) |
Az (EU) 2016/1148 európai parlamenti és tanácsi irányelv (7) volt a kiberbiztonságra vonatkozó első olyan, uniós szinten elfogadott horizontális keret, amely a pénzügyi szervezetek három típusára, nevezetesen a hitelintézetekre, a kereskedési helyszínekre, valamint a központi szerződő felekre is vonatkozott. Mivel azonban az (EU) 2016/1148 irányelv az alapvető szolgáltatásokat nyújtó gazdasági szereplők azonosítására nemzeti szintű mechanizmust határozott meg, csak egyes olyan hitelintézetek, kereskedési helyszínek és központi szerződő felek, amelyeket a tagállamok azonosítottak, kerültek a gyakorlatban annak hatálya alá, és így azok számára írták elő az IKT-biztonságra és események bejelentésére vonatkozóan az irányelvben megállapított követelményeknek való megfelelést. Az (EU) 2022/2555 európai parlamenti és tanácsi irányelv (8) egységes kritériumot ír elő annak meghatározására, hogy mely szervezetek tartoznak az irányelv hatálya alá (méretkorlát-szabály), miközben a pénzügyi szervezetek három típusát továbbra is a hatálya alatt tartja. |
(16) |
mivel azonban ez a rendelet a digitális reziliencia különböző összetevői tekintetében fokozza a harmonizáció szintjét azáltal, hogy az IKT-kockázatkezelés és az IKT-vonatkozású események bejelentése tekintetében a pénzügyi szolgáltatásokra vonatkozó jelenlegi uniós jogban foglaltakhoz képest szigorúbb kötelezettségeket vezet be, ez a magasabb szintű harmonizáció az (EU) 2022/2555 irányelvben foglalt követelményeknél is fokozottabb harmonizációt jelent. Következésképpen ez a rendelet különös szabályt képez az (EU) 2022/2555 irányelv tekintetében. Ugyanakkor alapvető fontosságú a pénzügyi ágazat és a jelenleg az (EU) 2022/2555 irányelvben meghatározott uniós horizontális kiberbiztonsági keret közötti erős kapcsolat fenntartása ahhoz, hogy biztosított legyen a tagállamok által már elfogadott kiberbiztonsági stratégiákkal való összhang, valamint ahhoz, hogy a pénzügyi felügyeletek értesülhessenek az említett irányelv hatálya alá tartozó egyéb ágazatokat érintő kiberbiztonsági eseményekről. |
(17) |
Az Európai Unióról szóló szerződés 4. cikkének (2) bekezdésével összhangban és a Bíróság által végzett bírósági felülvizsgálat sérelme nélkül, ez a rendelet nem érintheti a tagállamoknak a közbiztonságra, a védelemre és a nemzetbiztonság védelmére vonatkozó alapvető állami funkciók – például a nemzetbiztonság védelmével ellentétes információszolgáltatás – tekintetében fennálló felelősségét. |
(18) |
Az ágazatközi tanulás lehetővé tétele, és annak érdekében, hogy eredményesen hasznosíthatók legyenek más ágazatok tapasztalatai a kiberfenyegetések kezelése terén, az (EU) 2022/2555 irányelvben említett pénzügyi szervezeteknek továbbra is az említett irányelv „ökoszisztémájának” részét kell képezniük (például az együttműködési csoport és a számítógép-biztonsági eseményekre reagáló csoportok [CSIRT-ek]). Az EFH-knak és az illetékes nemzeti hatóságoknak részt kell tudniuk venni az említett irányelv szerinti Együttműködési Csoport szakpolitikai jellegű stratégiai egyeztetéseiben és technikai tevékenységében, továbbá információt cserélni és továbbra is együttműködni az említett irányelvvel összhangban kijelölt vagy létrehozott egyedüli kapcsolattartó pontokkal. Az e rendelet szerinti illetékes hatóságoknak egyeztetniük is kell és együttműködniük a CSIRT-ekkel. Az illetékes hatóságok számára lehetővé kell tenni azt is, hogy szakvéleményt kérjenek az (EU) 2022/2555 irányelvvel összhangban kijelölt vagy létrehozott illetékes hatóságoktól, valamint hogy együttműködési megállapodásokat kössenek a hatékony és gyors reagálású koordinációs mechanizmusok biztosítása céljából. |
(19) |
Tekintettel a pénzügyi szervezetek digitális rezilienciája és fizikai rezilienciája közötti szoros kapcsolatokra, e rendeletben és az (EU) 2022/2557 európai parlamenti és tanácsi irányelvben (9) koherens megközelítésre van szükség a kritikus fontosságú szervezetek rezilienciájával kapcsolatban. Mivel az e rendelet hatálya alá tartozó IKT-kockázatkezelési és bejelentési kötelezettségek révén átfogó módon kezelik a pénzügyi szervezetek fizikai rezilienciáját, az (EU) 2022/2557 irányelv III. és IV. fejezetében meghatározott kötelezettségek az említett irányelv hatálya alá tartozó pénzügyi szervezetekre nem alkalmazandók. |
(20) |
A felhőszolgáltatók alkotják az (EU) 2022/2555 irányelv hatálya alá tartozó digitális infrastruktúra egyik kategóriáját. Az e rendelettel létrehozott uniós felvigyázási keretrendszer (a továbbiakban: felvigyázási keretrendszer) a kritikus harmadik fél IKT-szolgáltatók mindegyikére, köztük a pénzügyi szervezetek részére IKT-szolgáltatásokat nyújtó felhőszolgáltatókra is vonatkozik, és azt az (EU) 2022/2555 irányelv alapján végzett felügyelet kiegészítésének kell tekinteni. Emellett az e rendelettel létrehozott felvigyázási keretrendszernek – a digitális felügyeleti hatóságot létrehozó horizontális uniós keret hiányában – ki kell terjednie a felhőszolgáltatókra is. |
(21) |
Az IKT-kockázat feletti teljes kontroll megőrzése érdekében a pénzügyi szervezeteknek az erőteljes és eredményes IKT-kockázatkezelést megalapozó átfogó képességekkel, továbbá valamennyi IKT-vonatkozású esemény kezelésére és a jelentős IKT-vonatkozású események bejelentésére vonatkozó konkrét mechanizmusokkal és politikákkal kell rendelkezniük. Hasonlóképpen, a pénzügyi szervezeteknek az IKT-rendszerek, -kontrollok és -folyamatok tesztelésére, valamint a harmadik féltől eredő IKT-kockázat kezelésére vonatkozó politikákkal kell rendelkezniük. A digitális működési reziliencia-alapértéket növelni kell a pénzügyi szervezetek tekintetében, lehetővé téve ugyanakkor meghatározott pénzügyi szervezetek számára, különösen a mikrovállalkozások, valamint az egyszerűsített IKT-kockázatkezelési keretrendszer hatálya alá tartozó pénzügyi szervezetek számára a követelmények arányos alkalmazását. A foglalkoztatói nyugellátást szolgáltató intézmények olyan, hatékony felügyeletének elősegítése érdekében, amely arányos, és reagál arra, hogy az illetékes hatóságokra háruló adminisztratív terheket csökkenteni kell, az ilyen pénzügyi szervezetek tekintetében a releváns nemzeti felügyeleti rendszereknek figyelembe kell venniük azok méretét és általános kockázati profilját, valamint szolgáltatásaik, tevékenységeik és műveleteik jellegét, nagyságrendjét és összetettségét, még akkor is, amikor az (EU) 2016/2341 európai parlamenti és tanácsi irányelv (10) 5. cikkében megállapított releváns küszöbértékek túllépésére kerül sor. Így különösen a felügyeleti tevékenységeknek azon súlyos kockázatok kezelésének szükségességére kell összpontosítaniuk, amelyek egy adott szervezet IKT-kockázatkezeléséhez társíthatók. Az illetékes hatóságoknak éber, de arányos megközelítést kell fenntartaniuk a foglalkoztatói nyugellátást szolgáltató olyan intézmények felügyeletével kapcsolatban is, amelyek fő tevékenységük jelentős részét – például az eszközkezelést, a biztosításmatematikai számításokat, a számvitelt és az adatgazdálkodást – az (EU) 2016/2341 irányelv 31. cikkének megfelelően – szolgáltatókhoz szervezik ki. |
(22) |
Az IKT-vonatkozású események bejelentésének küszöbértékei és taxonómiái tagállamonként jelentősen eltérnek. Míg az (EU) 2019/881 európai parlamenti és tanácsi rendelettel (11) létrehozott Európai Uniós Kiberbiztonsági Ügynökség (ENISA) és az (EU) 2022/2555 irányelv szerinti Együttműködési Csoport által végzett releváns munka révén közös alap teremthető, a többi pénzügyi szervezet tekintetében a küszöbértékek meghatározása és a taxonómiák alkalmazása terén továbbra is maradhatnak vagy megjelenhetnek tagállamonként eltérő megközelítések. Az említett eltérések miatt a pénzügyi szervezeteknek többszörös követelményeknek kell megfelelniük, különösen akkor, ha több tagállamban működnek, és akkor, ha egy pénzügyi csoport részét képezik. Továbbá az ilyen eltérések potenciálisan akadályozhatják olyan további egységes vagy központosított uniós mechanizmusok létrehozását, amelyek felgyorsítják a bejelentési folyamatot, és támogatják az illetékes hatóságok közötti gyors és zavartalan információcserét, ami elengedhetetlen az IKT-kockázat kezeléséhez a kiterjedt, potenciálisan rendszerszintű következményekkel járó támadások esetén. |
(23) |
Ahhoz, hogy csökkenteni lehessen egyes pénzügyi szervezetek adminisztratív terheit és potenciálisan duplikatív bejelentési kötelezettségeit, indokolt, hogy az (EU) 2015/2366 európai parlamenti és tanácsi irányelv (12) alapján fennálló esemény bejelentési követelmény többé ne legyen alkalmazandó az e rendelet hatálya alá tartozó pénzforgalmi szolgáltatókra. Következésképpen az említett irányelv 33. cikkének (1) bekezdésében hivatkozott hitelintézeteknek, elektronikuspénz-kibocsátó intézményeknek, pénzforgalmi intézményeknek és számlainformációkat összesítő szolgáltatóknak e rendelet alkalmazásának kezdőnapjától e rendelet alapján kell bejelenteniük valamennyi olyan pénzforgalmi vonatkozású működési vagy biztonsági eseményt, amelyet korábban az említett irányelv alapján jelentettek be, függetlenül attól, hogy az ilyen események IKT-vonatkozásúak-e. |
(24) |
Annak érdekében, hogy az illetékes hatóságok az IKT-vonatkozású események jellegére, gyakoriságára, jelentőségére és hatására vonatkozó teljes áttekintés megszerzése révén képesek legyenek ellátni felügyeleti szerepüket, továbbá a releváns hatóságok, ezen belül a bűnüldöző hatóságok és a szanálási hatóságok közötti információcsere fokozása érdekében e rendeletnek olyan, az IKT-vonatkozású események bejelentésére vonatkozó szilárd rendszert kell létrehoznia, ahol a releváns követelmények kezelik a pénzügyi szolgáltatásokra vonatkozó jogszabályok jelenlegi hiányosságait, és a költségek mérséklése érdekében megszüntetnék a fennálló átfedéseket és párhuzamosságokat. Elengedhetetlen az IKT-vonatkozású események bejelentési rendszerének harmonizálása olyan módon, hogy minden pénzügyi szervezetnek az e rendeletben meghatározott egységes, egyszerűsített keretben legyen bejelentési kötelezettsége az illetékes hatósága felé. Ezenkívül az EFH-knak felhatalmazást kell kapniuk arra, hogy részletesen meghatározzák az IKT-vonatkozású események bejelentési keretének releváns elemeit, köztük a taxonómiákat, az időkereteket, az adatállományokat, a mintadokumentumokat, valamint az alkalmazandó küszöbértékeket. Az (EU) 2022/2555 irányelvvel való teljes összhang biztosítása érdekében a pénzügyi szervezetek számára lehetővé kell tenni, hogy önkéntes alapon értesíthessék a releváns illetékes hatóságot a jelentős kiberfenyegetésekről, amennyiben úgy ítélik meg, hogy a kiberfenyegetés relevanciával bír a pénzügyi rendszer, a szolgáltatást használók vagy az ügyfelek számára. |
(25) |
Egyes pénzügyi szolgáltatási alágazatokban ugyan kidolgoztak a digitális működési reziliencia tesztelésére vonatkozó követelményeket, de olyan keretek meghatározásával, amelyeket nem minden esetben hangoltak össze teljes mértékben. Ez a határokon átnyúló tevékenységet végző pénzügyi szervezetek számára a költségek esetleges halmozódásához vezet, emellett bonyolítja a digitális működési reziliencia teszteléséből származó eredmények kölcsönös elismerését is, ami viszont a belső piac széttagolódásával járhat. |
(26) |
Emellett, kötelező IKT-tesztelés hiányában a sérülékenységek észlelésére nem kerül sor, ami azt eredményezi, hogy a pénzügyi szervezet IKT-kockázatnak van kitéve, és végső soron nagyobb kockázatot jelent a pénzügyi ágazat stabilitására és integritására nézve. Uniós beavatkozás nélkül a digitális működési reziliencia tesztelése továbbra sem lenne egységes, és az IKT-teszteredmények különböző joghatóságok közötti kölcsönös elismerési rendszere sem valósulna meg. Emellett, mivel valószínűleg más pénzügyi szolgáltatási alágazatok nem vezetnének be ilyen tesztelési rendszereket érdemi nagyságrendben, nem használnák ki a tesztelési keret potenciális előnyeit az IKT-sérülékenységek és kockázatok feltárása, valamint a védelmi képességek és az üzletmenet-folytonosság tesztelése tekintetében sem, ami hozzájárul az ügyfelek, a beszállítók és az üzleti partnerek bizalmának növeléséhez. Az említett átfedések, eltérések és hiányosságok kiküszöbölése céljából meg kell állapítani a koordinált tesztelési rendszerre vonatkozó szabályokat, és ezáltal megkönnyíteni a fejlett tesztelés kölcsönös elismerését az e rendeletben meghatározott kritériumoknak megfelelő pénzügyi szervezetek számára. |
(27) |
A pénzügyi szervezeteket részben az motiválja IKT-szolgáltatások igénybevételére, hogy képesek legyenek alkalmazkodni a kialakulóban lévő versengő digitális világgazdasághoz, növeljék üzleti hatékonyságukat, és megfeleljenek a fogyasztói keresletnek. Az igénybevétel jellege és mértéke az elmúlt években folyamatosan alakult, csökkentve a pénzügyi közvetítés költségeit, lehetővé téve az üzleti tevékenység bővítését és skálázhatóságát a pénzügyi tevékenységek kiépítése során, ugyanakkor az összetett belső folyamatok kezeléséhez is hozzáférhetővé téve az IKT-eszközök széles körét. |
(28) |
Az IKT-szolgáltatások kiterjedt felhasználását bizonyítják azon összetett szerződéses megállapodások is, amelyeknél a pénzügyi szervezetek gyakran szembesülnek nehézségekkel a rájuk vonatkozó prudenciális előírásokhoz vagy egyéb szabályozási követelményekhez igazodó szerződési feltételek kitárgyalása terén, vagy egyébként, konkrét jogosultságok – így például hozzáférési vagy audit jogosultságok – érvényesítése terén, még akkor is, ha ez utóbbiakat a szerződéses megállapodásaik rögzítik. Emellett az említett szerződéses megállapodások közül sok nem nyújt elegendő biztosítékot az alvállalkozói folyamatok teljeskörű nyomon követésére, ezáltal megfosztva a pénzügyi szervezetet azon képességétől, hogy értékelje a kapcsolódó kockázatokat. Ezenkívül, mivel a harmadik fél IKT-szolgáltatók gyakran nyújtanak szabványosított szolgáltatásokat különböző típusú ügyfeleknek, az ilyen szerződéses megállapodások nem minden esetben felelnek meg a pénzügyi ágazati szereplők egyedi vagy sajátos igényeinek. |
(29) |
Bár a pénzügyi szolgáltatásokra vonatkozó uniós jogszabályok tartalmaznak bizonyos általános kiszervezési szabályokat, a szerződéses dimenzió nyomon követése nem épült be teljes mértékben az uniós jogba. A harmadik fél IKT-szolgáltatókkal kötött szerződéses megállapodásokra vonatkozó egyértelmű és célzott uniós előírások hiányában az IKT-kockázat külső forrásainak átfogó kezelése nem valósul meg. Következésképpen szükséges bizonyos, a pénzügyi szervezetek harmadik féltől eredő IKT-kockázatának kezelésére irányadó alapelveket rögzíteni, amelyek különös fontosságúak, amikor a pénzügyi szervezetek harmadik fél IKT-szolgáltatókat vesznek igénybe kritikus vagy lényeges funkcióik támogatása érdekében. Az említett elveket a szerződéses megállapodások teljesítésének és megszüntetésének számos elemével kapcsolatban egy sor alapvető szerződéses joggal kell kiegészíteni bizonyos minimális biztosítékok biztosítása céljából, annak érdekében, hogy erősítsék a pénzügyi szervezetek azon képességét, hogy eredményesen nyomon kövessék a harmadik fél IKT-szolgáltatók szintjén felmerülő valamennyi IKT-kockázatot. Az említett elvek kiegészítik a kiszervezésre alkalmazandó ágazati jogot. |
(30) |
Mára nyilvánvalóvá vált a harmadik féltől eredő IKT-kockázat és a harmadik féltől való IKT-függőség nyomon követése tekintetében a homogenitás és a konvergencia bizonyos fokú hiánya. A kiszervezés kezelésére irányuló erőfeszítések így például a felhőszolgáltatókhoz történő kiszervezésről szóló 2019-es EBH-iránymutatások és a felhőszolgáltatókhoz történő kiszervezésről szóló 2021-es ESMA-iránymutatások ellenére az uniós jog nem foglalkozik elégséges módon az olyan rendszerszintű kockázat elleni fellépés tágabb kérdésével, amelyet a pénzügyi ágazatnak egy korlátozott számú kritikus harmadik fél IKT-szolgáltatóval szembeni kitettsége idézhet elő. Az uniós szintű szabályok hiányát súlyosbítja az, hogy hiányoznak az olyan felhatalmazásra és eszközökre vonatkozó nemzeti szabályok, amelyek lehetővé tennék a pénzügyi felügyeletek számára, hogy behatóan megismerhessék a harmadik féltől való IKT-függőségeket, és megfelelően nyomon követhessék a harmadik féltől való IKT-függőségek koncentrációjából eredő kockázatokat. |
(31) |
Figyelembe véve a kiszervezés egyre elterjedtebb gyakorlatával és a harmadik fél IKT-szolgáltatók koncentrációjával járó potenciális rendszerszintű kockázatokat, továbbá szem előtt tartva az olyan nemzeti mechanizmusok elégtelenségét, amelyek megfelelő eszközöket bocsátanának a pénzügyi felügyeletek rendelkezésére a kritikus harmadik fél IKT-szolgáltatóknál felmerülő IKT-kockázat mennyiségi és minőségi értékeléséhez, valamint hatásaik elhárításához, megfelelő felvigyázási keretrendszert szükséges létrehozni, amely lehetővé teszi azon harmadik fél IKT-szolgáltatók tevékenységének folyamatos nyomon követését, amelyek pénzügyi szervezetek kritikus harmadik fél IKT-szolgáltatói, miközben biztosítja a pénzügyi szervezetektől eltérő ügyfelek bizalmas kezelésének és biztonságának megőrzését. Miközben az IKT-szolgáltatások csoporton belüli nyújtása sajátos kockázatokkal és előnyökkel jár, nem tekinthető automatikusan kevésbé kockázatosnak, mint az IKT-szolgáltatások pénzügyi csoporton kívüli szolgáltatók általi nyújtása, és ezért ugyanazon szabályozási keret hatálya alá kell tartoznia. Azonban amennyiben az IKT-szolgáltatásokat ugyanazon pénzügyi csoporton belül nyújtják, a pénzügyi szervezetek magasabb szintű kontrollt gyakorolhatnak a csoporton belüli szolgáltatók felett, amit az általános kockázatértékelés során figyelembe kell venni. |
(32) |
Amint az IKT-kockázat egyre összetettebbé és fejlettebbé válik, az IKT-kockázat észlelésére és megelőzésére irányuló megfelelő intézkedések nagymértékben függenek a fenyegetéssel és sérülékenységgel kapcsolatos hírszerzés pénzügyi szervezetek közötti rendszeres megosztásától. Az információk megosztása hozzájárul a kiberfenyegetésekkel kapcsolatos fokozott tudatosság megteremtéséhez. Ez viszont javítja a pénzügyi szervezetek képességét annak megelőzésére, hogy a kiberfenyegetésekből valóban IKT-vonatkozású események váljanak, emellett lehetővé teszi a pénzügyi szervezetek számára az IKT-vonatkozású események hatásainak eredményesebb elszigetelését, továbbá a gyorsabb helyreállítást. Uniós szintű iránymutatás hiányában az eddigiek során a jelek szerint több tényező is gátolta az ilyen hírszerzés-megosztást, különösen az adatvédelmi, trösztellenes és felelősségi szabályokkal való összeegyeztethetőséggel kapcsolatos bizonytalanság. |
(33) |
Emellett a hasznos információk visszatartásához vezetnek az olyan típusú információkkal kapcsolatos kétségek, amelyek megoszthatók más piaci szereplőkkel vagy nem felügyeleti hatóságokkal (így például elemzési input céljából az ENISA-val, vagy bűnüldözési célból az Europollal). Ezért az információmegosztás terjedelme és minősége továbbra is korlátozott és széttagolt, a releváns információk átadására többnyire helyi szinten (nemzeti kezdeményezések útján) kerül sor, és nincsenek az integrált pénzügyi rendszer igényeihez igazodó, egységes uniós szintű információmegosztási megállapodások. Ezért fontos megerősíteni az említett kommunikációs csatornákat. |
(34) |
A pénzügyi szervezeteket ösztönözni kell arra, hogy – információmegosztási megállapodásokban való részvétel révén – kiberfenyegetettségi információkat és hírszerzést osszanak meg egymással, és hogy stratégiai, taktikai és operatív szinten is együttesen használják ki az egyes szervezeteknél meglévő ismereteket és gyakorlati tapasztalatokat annak érdekében, hogy növeljék képességüket a kiberfenyegetések megfelelő értékelésére, nyomon követésére, kivédésére és az arra való reagálásra. Ezért lehetővé kell tenni az önkéntes információmegosztási megállapodások mechanizmusainak uniós szintű megjelenését, mivel a megbízható környezetben átadott információk segítségével a pénzügyi szolgáltatási ágazat közössége megelőzhetné a kiberfenyegetéseket és együttesen háríthatná el azokat az IKT-kockázat terjedésének gyors lehatárolásával, valamint a pénzügyi csatornákon keresztüli esetleges átterjedés megakadályozásával. Az említett mechanizmusoknak meg kell felelniük az „Iránymutatás az Európai Unió működéséről szóló szerződés 101. cikkének a horizontális együttműködési megállapodásokra való alkalmazhatóságáról” című, 2011. január 14-i bizottsági közleményben meghatározott uniós alkalmazandó versenyjogi szabályoknak, valamint az uniós adatvédelmi szabályoknak, különösen az (EU) 2016/679 európai parlamenti és tanácsi rendeletnek (13). Működésüknek az említett rendelet 6. cikkében foglalt egy vagy több jogalap használatán kell alapulnia, így például a személyes adatok olyan kezelésével összefüggésben, amely az említett rendelet 6. cikke (1) bekezdésének f) pontjában említettek szerint az adatkezelő vagy valamely harmadik fél jogos érdekének céljából szükséges, valamint a személyes adatok olyan kezelésével összefüggésben is, amely az említett rendelet 6. cikke (1) bekezdésének c), illetve e) pontjában említettek szerint szükséges az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez, illetve szükséges valamely közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtásához. |
(35) |
Annak érdekében, hogy a teljes pénzügyi ágazat magas szintű digitális működési rezilienciával rendelkezzen, ugyanakkor lépést tartson a technológiai fejlődéssel, e rendeletnek az IKT-szolgáltatások valamennyi típusából eredő kockázatokkal foglalkoznia kell. E célból az IKT-szolgáltatások fogalommeghatározását e rendelet összefüggésében tágan kell értelmezni, úgy, hogy az magában foglalja az IKT-rendszer útján egy vagy több belső vagy külső felhasználó részére folyamatosan nyújtott digitális és adatszolgáltatásokat. Az említett fogalommeghatározásnak például magában kell foglalnia az – elektronikus hírközlési szolgáltatások kategóriájába tartozó – úgynevezett „over-the-top” szolgáltatásokat is. A fogalommeghatározásból kizárólag a közcélú kapcsolt távbeszélő-hálózati szolgáltatásoknak, vezetékes szolgáltatásoknak, hagyományos telefonszolgáltatásoknak vagy vezetékes telefonszolgáltatásoknak minősülő, hagyományos analóg telefonszolgáltatások korlátozott kategóriáját kell kizárni. |
(36) |
Az e rendeletben tervezett kiterjedt hatály ellenére a digitális működési rezilienciára vonatkozó szabályok alkalmazásakor figyelembe kell venni a pénzügyi szervezetek között a méretük és az általános kockázati profiljuk tekintetében fennálló jelentős különbségeket. Általános elvként az IKT-kockázatkezelési keretrendszer végrehajtására szánt erőforrások és képességek felosztásakor a pénzügyi szervezeteknek megfelelő egyensúlyt kell teremteniük IKT-szükségleteik, valamint méretük és általános kockázati profiljuk, továbbá szolgáltatásaik, tevékenységeik és műveleteik jellege, nagyságrendje és összetettsége között, míg az illetékes hatóságoknak folytatniuk kell az ilyen felosztási megközelítés értékelését és felülvizsgálatát. |
(37) |
Az (EU) 2015/2366 irányelv 33. cikkének (1) bekezdésében említett, számlainformációkat összesítő szolgáltatók – figyelembe véve tevékenységeik sajátos jellegét és az azokból eredő kockázatokat – kifejezetten e rendelet hatálya alá tartoznak. Emellett a 2009/110/EK európai parlamenti és tanácsi irányelv (14) 9. cikkének (1) bekezdése és az (EU) 2015/2366 irányelv 32. cikkének (1) bekezdése alapján mentesített elektronikuspénz-kibocsátó intézmények és pénzforgalmi intézmények is e rendelet hatálya alá tartoznak, még akkor is, ha nem kaptak a 2009/110/EK irányelvnek megfelelően engedélyt elektronikus pénz kibocsátására, vagy ha nem kaptak az (EU) 2015/2366 irányelvnek megfelelően engedélyt pénzforgalmi szolgáltatások nyújtására és teljesítésére. Azonban a 2013/36/EU európai parlamenti és tanácsi (15) irányelv 2. cikke (5) bekezdésének 3. pontjában említett postai elszámolóközpontok ki vannak zárva e rendelet hatálya alól. Az (EU) 2015/2366 irányelv alapján mentesített pénzforgalmi intézmények, a 2009/110/EK irányelv alapján mentesített elektronikuspénz-kibocsátó intézmények és az (EU) 2015/2366 irányelv 33. cikkének (1) bekezdésében említett, számlainformációkat összesítő szolgáltatók illetékes hatósága az (EU) 2015/2366 irányelv 22. cikkével összhangban kijelölt illetékes hatóság. |
(38) |
mivel a nagyobb pénzügyi szervezeteknek az erőforrások szélesebb köre állhat a rendelkezésére, és gyorsabban mozgósíthatnak forrásokat irányítási struktúrák kialakítására és különféle vállalati stratégiák kidolgozására, csak az e rendelet értelmében vett mikrovállalkozásnak nem minősülő pénzügyi szervezetek számára kell kötelezővé tenni az összetettebb irányítási rendszerek kidolgozását. Az ilyen szervezetek jobban képesek különösen arra, hogy célzott vezetői funkciókat alakítsanak ki a harmadik fél IKT-szolgáltatókkal kötött megállapodások felügyelete vagy a válságkezelés céljából, hogy a három védelmi vonalra épülő modell szerint szervezzék meg IKT-kockázatkezelésüket, vagy hogy kialakítsanak egy belső kockázatkezelési és kontrollmodellt, és hogy az IKT-kockázatkezelési keretrendszerüket belső auditoknak vessék alá. |
(39) |
Egyes pénzügyi szervezetek mentességeket élveznek, vagy a releváns ágazatspecifikus uniós jogszabályok alapján nagyon enyhe szabályozási keret hatálya alá tartoznak. Az említett pénzügyi szervezetek közé tartoznak a 2011/61/EU európai parlamenti és tanácsi irányelv (16) 3. cikkének (2) bekezdésében említett alternatívbefektetésialap-kezelők, a 2009/138/EK európai parlamenti és tanácsi irányelv (17) 4. cikkében említett biztosítók és viszontbiztosítók, valamint azon foglalkoztatói nyugellátást szolgáltató intézmények, amelyek összesen legfeljebb 15 taggal rendelkező nyugdíjrendszereket működtetnek. E mentességek fényében nem lenne arányos az ilyen pénzügyi szervezeteket e rendelet hatálya alá vonni. Emellett ez a rendelet elismeri a biztosításközvetítési piac szerkezetének sajátosságait, így a mikrovállalkozásnak vagy kis- vagy középvállalkozásnak minősülő biztosításközvetítők, viszontbiztosítás-közvetítők és kiegészítő biztosításközvetítői tevékenységet végző személyek nem tartozhatnak e rendelet hatálya alá. |
(40) |
mivel a 2013/36/EU irányelv 2. cikke (5) bekezdésének 4–23. pontjában említett jogalanyok nem tartoznak az említett irányelv hatálya alá, a tagállamok számára következésképpen lehetővé kell tenni annak eldöntését, hogy mentesítik-e e rendelet alkalmazása alól a saját területükön működő ilyen jogalanyokat. |
(41) |
Hasonlóképpen, e rendeletnek a 2014/65/EU európai parlamenti és tanácsi irányelv (18) hatályához való hozzáigazítása érdekében helyénvaló kizárni e rendelet hatálya alól az említett irányelv 2. és 3. cikkében említett azon természetes és jogi személyeket is, akik vagy amelyek anélkül jogosultak befektetési szolgáltatások nyújtására, hogy a 2014/65/EU irányelv szerinti engedélyt meg kellene szerezniük. Azonban a 2014/65/EU irányelv 2. cikke azon szervezeteket – így a központi értéktárakat, a kollektív befektetési vállalkozásokat, vagy a biztosítókat és viszontbiztosítókat – is kizárja az irányelv hatálya alól, amelyek e rendelet alkalmazásában pénzügyi szervezetnek minősülnek. Az említett irányelv 2. és 3. cikkében említett személyek és szervezetek e rendelet hatálya alóli kizárása nem terjedhet ki az említett központi értéktárakra, kollektív befektetési vállalkozásokra, vagy biztosítókra és viszontbiztosítókra. |
(42) |
Az ágazatspecifikus uniós jogszabályok értelmében egyes pénzügyi szervezetekre – a méretükkel vagy az általuk nyújtott szolgáltatásokkal összefüggő okokból – enyhébb követelmények vagy mentességek vonatkoznak. A pénzügyi szervezetek említett kategóriája magában foglalja a kis méretű és össze nem kapcsolt befektetési vállalkozásokat, az olyan, kis méretű foglalkoztatói nyugellátást szolgáltató intézményeket, amelyeket az érintett tagállam az (EU) 2016/2341 irányelv 5. cikkében meghatározott feltételek mellett kizárhat az említett irányelv hatálya alól, és amelyek összesen legfeljebb 100 taggal rendelkező nyugdíjrendszereket működtetnek, továbbá a 2013/36/EU irányelv szerint mentesített intézményeket. Ezért az arányosság elvével összhangban és az ágazatspecifikus uniós jogszabályok szellemének megőrzése érdekében helyénvaló az említett pénzügyi szervezeteket is az e rendelet szerinti egyszerűsített IKT-kockázatkezelési keretrendszer hatálya alá vonni. Az EFH-k által kidolgozandó szabályozástechnikai standardok nem módosíthatják az említett pénzügyi szervezetekre vonatkozó IKT-kockázatkezelési keretrendszer arányos jellegét. Ezenkívül, az arányosság elvével összhangban helyénvaló az (EU) 2015/2366 irányelv 32. cikkének (1) bekezdésében említett azon pénzforgalmi intézményeket és a 2009/110/EK irányelv 9. cikkében említett azon elektronikuspénz-kibocsátó intézményeket, amelyeket az említett uniós jogi aktusokat átültető nemzeti joggal összhangban mentesítettek, ugyancsak az e rendelet szerinti egyszerűsített IKT-kockázatkezelési keretrendszer hatálya alá vonni, míg azon pénzforgalmi intézményeknek és elektronikuspénz-kibocsátó intézményeknek, amelyekre az ágazati uniós jogot átültető nemzeti joggal összhangban nem vonatkozik mentesség, az e rendeletben meghatározott általános keretnek kell megfelelniük. |
(43) |
Hasonlóképpen, a mikrovállalkozásnak minősülő, vagy az e rendelet szerinti egyszerűsített IKT-kockázatkezelési keretrendszer hatálya alá tartozó pénzügyi szervezetektől nem követelhető meg, hogy létrehozzanak egy feladatkört a harmadik fél IKT-szolgáltatókkal az IKT-szolgáltatások igénybevételéről kötött megállapodásaik nyomon követésére; vagy hogy kinevezzék a felső vezetés egy tagját a kapcsolódó kockázati kitettség és a releváns dokumentáció felvigyázásáért felelős személyként; hogy az IKT-kockázat kezelésére és felvigyázására vonatkozó felelősséget egy kontrollfunkcióra ruházzák, és az összeférhetetlenségek elkerülése érdekében biztosítsák az ilyen kontrollfunkció megfelelő függetlenségét; hogy dokumentálják és legalább évente egyszer felülvizsgálják az IKT-kockázatkezelési keretrendszert; hogy rendszeresen belső auditnak vessék alá az IKT-kockázatkezelési keretrendszert; hogy a hálózati és információsrendszer-infrastruktúrájában és folyamataiban bekövetkezett jelentős változásokat követően beható értékeléseket végezzenek; hogy rendszeresen elvégezzék az elavult IKT-rendszerek kockázatelemzését; hogy az IKT-reagálási és -helyreállítási tervek végrehajtását független belső audit felülvizsgálatoknak vessék alá; hogy válságkezelési funkcióval rendelkezzenek; hogy kiterjesszék az üzletmenet-folytonossági, reagálási és helyreállítási tervek tesztelését az elsődleges IKT-infrastruktúra és a tartalékeszközök közötti átállási forgatókönyvekre; hogy beszámoljanak az illetékes hatóságoknak – azok kérésére – a jelentős IKT-vonatkozású eseményekből eredő összesített becsült éves költségekről és veszteségekről; hogy fenntartsák az IKT-tartalékkapacitásokat; hogy tájékoztassák az illetékes nemzeti hatóságokat az IKT-vonatkozású események utólagos felülvizsgálatát követően végrehajtott változtatásokról; hogy folyamatosan nyomon kövessék a releváns technológiai fejlesztéseket; hogy átfogó programot alakítsanak ki a digitális működési reziliencia tesztelésére az e rendeletben előírt IKT-kockázatkezelési keretrendszer integráns részeként; vagy hogy fogadjanak el a harmadik féltől eredő IKT-kockázatra vonatkozó stratégiát, és azt rendszeresen vizsgálják felül.Ezenkívül a mikrovállalkozásoknak a kockázati profiljukat alapul véve csak azt kell mérlegelniük, hogy szükséges-e ilyen IKT-tartalékkapacitásokat fenntartaniuk. A mikrovállalkozások számára a digitális működési reziliencia tesztelését szolgáló programok tekintetében rugalmasabb rendszert kell biztosítani. Amikor mérlegelik az elvégzendő tesztelés típusát és gyakoriságát, a mikrovállalkozásoknak megfelelő egyensúlyra kell törekedniük a magas szintű digitális működési reziliencia fenntartására irányuló célkitűzés, a rendelkezésre álló erőforrások és az átalános kockázati profiljuk között. A mikrovállalkozásokat és az e rendelet szerinti egyszerűsített IKT-kockázatkezelési keretrendszer hatálya alá tartozó pénzügyi szervezeteket mentesíteni kell azon követelmény alól, hogy elvégezzék az IKT-eszközök, -rendszerek és -folyamatok olyan fejlett tesztelését, amely fenyegetés alapú behatolási tesztelésen (TLPT, threat-led penetration testing) alapul, mivel az ilyen tesztelés elvégzése csak az e rendeletben meghatározott kritériumoknak megfelelő pénzügyi szervezetek számára írható elő. Korlátozott képességeikre tekintettel, a mikrovállalkozások számára lehetővé kell tenni, hogy a harmadik fél IKT-szolgáltatóval megállapodjanak arról, hogy a pénzügyi szervezet hozzáférési, ellenőrzési és audit jogát átruházzák egy, a harmadik fél IKT-szolgáltató által kinevezendő független harmadik félre, feltéve, hogy a pénzügyi szervezet bármikor tájékoztatást és bizonyosságot kérhet a vonatkozó független harmadik féltől a harmadik fél IKT-szolgáltató teljesítményéről. |
(44) |
mivel a fenyegetés alapú behatolási tesztelést csak a digitális működési reziliencia fejlett tesztelése céljából azonosított pénzügyi szervezetek számára kell előírni, az ilyen tesztek lefolytatásával járó igazgatási folyamatok és pénzügyi költségek terhét a pénzügyi szervezetek kis hányada kell, hogy viselje. |
(45) |
A pénzügyi szervezeteknél egyfelől az üzleti stratégiák, és másfelől az IKT-kockázatkezelés teljeskörű összehangolása és általános összhangja érdekében a pénzügyi szervezetek vezető testületei számára elő kell írni, hogy vállaljanak lényeges és tevékeny szerepet az IKT-kockázatkezelési keretrendszer, valamint a digitális működési rezilienciára vonatkozó általános stratégia irányításában és alakításában. A vezető testületek által alkalmazandó megközelítésnek nem elegendő az IKT-rendszerek rezilienciáját biztosító eszközökre összpontosítania, hanem ki kell terjednie a személyekre és a folyamatokra is olyan szabályzatok útján, amelyek a vállalati struktúra minden rétegében, a személyzet valamennyi tagjára vonatkozóan hangsúlyozzák a kiberkockázatok erőteljes tudatosítását és a szigorú kiberhigiéniás normák betartása melletti elkötelezettséget. A pénzügyi szervezet IKT-kockázatának kezeléséért a vezető testületet terhelő végső felelősségnek egy olyan, az említett átfogó megközelítés részét képező általános elvnek kell lennie, amelynek az IKT-kockázatkezelés nyomon követésének kontrolljában való folyamatos vezető testületi részvétel formájában kell megnyilvánulnia. |
(46) |
Ezenfelül a pénzügyi szervezet IKT-kockázatának kezeléséért a vezető testület által vállalt teljeskörű és végső felelősség elve együtt jár azzal, hogy olyan szinten kell biztosítani az IKT-vonatkozású beruházások és az általános költségvetés szintjét, amely képessé tenné a pénzügyi szervezetet a magas szintű digitális működési reziliencia megvalósítására. |
(47) |
A releváns nemzetközi, nemzeti és ágazati legjobb gyakorlatokra, iránymutatásokra, ajánlásokra, valamint kiberkockázat-kezelési megközelítésekre építő rendelet olyan elveket mozdít elő, amelyek megkönnyítik az IKT-kockázatkezelés általános strukturálását. Következésképpen, mindaddig, amíg a pénzügyi szervezetek által bevezetett fő képességek kezelik az IKT-kockázatkezelés e rendeletben meghatározott különböző funkcióit (azonosítás, védelem és megelőzés, felderítés, reagálás és helyreállítás, tanulás és alkalmazkodás, valamint kommunikáció), a pénzügyi szervezeteknek szabadon kell tudniuk alkalmazni az eltérő keretek között vagy kategóriák mentén kidolgozott IKT-kockázatkezelési modelleket. |
(48) |
Ahhoz, hogy lépést tarthassanak a kiberfenyegetettségi helyzet alakulásával, a pénzügyi szervezeteknek naprakész IKT-rendszereket kell fenntartaniuk, amelyek megbízhatóak, és képesek nemcsak garantálni a szolgáltatásaikhoz szükséges adatfeldolgozást, hanem biztosítani elegendő technológiai rezilienciát is, hogy lehetővé váljon számukra a piaci stresszhelyzet vagy egyéb kedvezőtlen helyzetek miatti további adatfeldolgozási igények megfelelő kezelése. |
(49) |
Hatékony üzletmenet-folytonossági és helyreállítási tervekre van szükség ahhoz, hogy a pénzügyi szervezetek – összhangban biztonsági mentési szabályzatukkal – az IKT-vonatkozású eseményeket, különösen a kibertámadásokat haladéktalanul és gyorsan, a kár mérséklésével, a tevékenység újraindítását és a helyreállítási intézkedéseket előtérbe helyezve oldhassák meg. Azonban a tevékenység ilyen újraindítása semmilyen módon nem veszélyeztetheti a hálózati és információs rendszerek integritását és biztonságát, vagy az adatok rendelkezésre állását, hitelességét, integritását vagy bizalmas jellegét. |
(50) |
Míg e rendelet lehetővé teszi a pénzügyi szervezetek számára, hogy a helyreállítási időre és a helyreállítási pontra vonatkozó célkitűzéseiket rugalmasan határozzák meg, és így az ilyen célkitűzéseket a releváns funkciók jellegének és kritikusságának, valamint a vonatkozó üzleti igényeknek a maradéktalan figyelembevételével határozzák meg, mindazonáltal elő kell írni számukra, hogy az ilyen célkitűzések meghatározásakor végezzék el a piaci hatékonyságra gyakorolt potenciális általános hatás értékelését. |
(51) |
A kibertámadások terjesztői hajlamosak arra, hogy közvetlenül a forrásnál próbáljanak anyagi haszonra szert tenni, jelentős következményeknek téve így ki a pénzügyi szervezeteket. Annak megelőzése érdekében, hogy az IKT-rendszerek elveszítsék integritásukat, vagy elérhetetlenné váljanak, és így az adatvédelmi incidensek vagy a fizikai IKT-infrastruktúrában keletkező kár elkerülése érdekében számottevő mértékben javítani és észszerűsíteni kell a jelentős IKT-vonatkozású események pénzügyi szervezetek általi bejelentését. Az IKT-vonatkozású események bejelentését harmonizálni kell egy olyan kötelezettség bevezetése révén, amelynek értelmében minden pénzügyi szervezetnek közvetlenül a releváns illetékes hatósága felé kell bejelentést tennie. Amennyiben egy pénzügyi szervezet egynél több illetékes nemzeti hatóság felügyelete alá tartozik, a tagállamoknak egyetlen illetékes hatóságot kell megjelölniük az említett bejelentés címzettjeként. Az 1024/2013/EU tanácsi rendelet (19) 6. cikkének (4) bekezdése szerint jelentősnek minősített hitelintézeteknek az említett bejelentést az illetékes nemzeti hatóságok felé kell megtenniük, amelyeknek ezt követően továbbítaniuk kell a bejelentést az Európai Központi Banknak (EKB). |
(52) |
A közvetlen bejelentés várhatóan lehetővé teszi a pénzügyi felügyeletek számára, hogy azonnal hozzáférjenek a jelentős IKT-vonatkozású eseményekkel kapcsolatos információkhoz. A pénzügyi felügyeleteknek viszont továbbítaniuk kell a jelentős IKT-vonatkozású események részleteit a nem pénzügyi állami hatóságok (így például az (EU) 2022/2555 irányelv szerinti illetékes hatóságok és egyedüli kapcsolattartó pontok, a nemzeti adatvédelmi hatóságok, valamint a bűncselekmény jellegű jelentős IKT-vonatkozású események kapcsán a bűnüldöző hatóságok) részére annak érdekében, hogy fokozzák az ilyen hatóságoknak az ilyen biztonsági eseményekkel kapcsolatos ismereteit, és a CSIRT-ek esetében megkönnyítsék az azonnali segítségnyújtást, amely adott esetben a pénzügyi szervezetek számára adható. Ezenfelül a tagállamok számára lehetővé kell tenni, hogy úgy határozzanak, hogy a pénzügyi szervezeteknek maguknak kelljen ilyen információkat a pénzügyi szolgáltatások területén kívül működő hatóságok rendelkezésére bocsátani. Az említett információáramlásoknak lehetővé kell tenniük a pénzügyi szervezetek számára, hogy gyorsan profitáljanak bármely releváns technikai inputból, a korrekciós intézkedésekre vonatkozó tanácsadásból, és az ilyen hatóságok későbbi utókövetéséből. A jelentős IKT-vonatkozású eseményekkel kapcsolatos információk áramlásának kétirányúnak kell lennie: a pénzügyi felügyeleteknek meg kell adniuk a szükséges visszajelzést és iránymutatást a pénzügyi szervezet részére, ugyanakkor az EFH-knak – a szélesebb körű kollektív védelem érdekében – meg kell osztaniuk a valamely eseményhez kapcsolódó kiberfenyegetésekre és sérülékenységekre vonatkozó anonimizált adatokat. |
(53) |
Miközben az események bejelentését valamennyi pénzügyi szervezet számára elő kell írni, az említett követelmény várhatóan nem érinti valamennyit azonos módon. Valóban, a releváns lényegességi küszöbértékeket és a bejelentés ütemezését az EFH-k által kidolgozandó szabályozástechnikai standardokon alapuló, felhatalmazáson alapuló jogi aktusok keretében megfelelően ki kell igazítani annak érdekében, hogy azok csak a jelentős IKT-vonatkozású eseményekre vonatkozzanak. Emellett a bejelentési kötelezettségek ütemezésének meghatározásakor a pénzügyi szervezetek sajátosságait is figyelembe kell venni. |
(54) |
E rendeletnek elő kell írnia a hitelintézetek, a pénzforgalmi intézmények, a számlainformációkat összesítő szolgáltatók és az elektronikuspénz-kibocsátó intézmények számára, hogy valamennyi – korábban az (EU) 2015/2366 irányelv alapján bejelentett – pénzforgalmi vonatkozású működési vagy biztonsági eseményt bejelentsék, függetlenül a zavar vagy az esemény IKT-jellegétől. |
(55) |
Az EFH-kat meg kell bízni azzal, hogy értékeljék az IKT-vonatkozású események bejelentése uniós szintű lehetséges központosításának megvalósíthatóságát és feltételeit. Az ilyen központosítás jelentheti egy olyan, a jelentős IKT-vonatkozású események bejelentésére szolgáló egységes uniós adatbázis létrehozását, amely vagy közvetlenül fogadná a vonatkozó bejelentéseket és automatikusan értesítené az illetékes nemzeti hatóságokat, vagy mindössze az illetékes nemzeti hatóságok által továbbított releváns bejelentéseket fogná össze, és ezáltal koordinációs szerepet látna el. Az EFH-kat meg kell bízni azzal, hogy – az EKB-val és az ENISA-val egyeztetve – készítsenek közös jelentést, amelyben megvizsgálják egy egységes európai uniós adatbázis létrehozásának megvalósíthatóságát. |
(56) |
A magas szintű digitális működési reziliencia megvalósításához, valamint összhangban mind a releváns nemzetközi szabványokkal (pl. G7: A fenyegetés alapú behatolási tesztelés alapelemei), mind az Unióban alkalmazott olyan keretekkel, mint a TIBER-EU, a pénzügyi szervezeteknek rendszeresen tesztelniük kell az IKT-rendszereik és az IKT-vonatkozású feladatokat ellátó munkatársaik megelőzési, felderítési, reagálási és helyreállítási képességeinek hatékonyságát, hogy feltárhassák és kezelhessék a potenciális IKT-sérülékenységeket. Ahhoz, hogy figyelembe lehessen venni a különböző pénzügyi szolgáltatási alágazatok között és azokon belül az egyes pénzügyi szervezetek kiberbiztonsági felkészültsége tekintetében fennálló különbségeket, a tesztelésnek az eszközök és műveletek széles skáláját kell felölelnie, az alapvető követelmények felmérésétől kezdve (pl. sérülékenységi értékelések és vizsgálatok, nyílt forrású elemzések, hálózatbiztonsági értékelések, hiányelemzések, fizikai biztonsági felülvizsgálatok, kérdőívek és szoftveres megoldások vizsgálata, lehetőség szerint forráskódvizsgálatok, forgatókönyv-alapú tesztek, kompatibilitás-vizsgálat, teljesítmény-vizsgálat vagy végpontok közötti tesztek) egészen a TLPT útján végzett fejlettebb tesztelésig. Az ilyen fejlett tesztelést csak azon pénzügyi szervezetek esetében kell előírni, amelyek IKT-szempontból kellően érettek ahhoz, hogy képesek legyen megfelelően elvégezni azokat. A digitális működési reziliencia e rendelettel előírt tesztelésének tehát azon pénzügyi szervezetek esetében, amelyek teljesítik az e rendeletben meghatározott kritériumokat (például nagy rendszerszintű jelentőséggel bíró és IKT-érett hitelintézetek, értéktőzsdék, központi értéktárak és központi szerződő felek), más pénzügyi szervezetekhez képest szigorúbbnak kell lennie. Ugyanakkor, a digitális működési reziliencia TLPT útján történő tesztelésének az alapvető pénzügyi szolgáltatási alágazatokban (például pénzforgalom, banki tevékenység, elszámolás és kiegyenlítés) működő és rendszerszintű szerepet betöltő pénzügyi szervezetek esetében nagyobb, és más alágazatok (például eszközkezelők és hitelminősítő intézetek) esetében kisebb relevanciával kell bírnia. |
(57) |
A határokon átnyúló tevékenységet végző és az Unióban a letelepedés vagy a szolgáltatásnyújtás szabadságát gyakorló pénzügyi szervezeteknek a székhelyük szerinti tagállamban egy egységes, fejlett tesztelési követelményrendszernek (azaz TLPT) kell megfelelniük, amelynek magában kell foglalnia az IKT-infrastruktúrákat valamennyi olyan joghatóságban, ahol a határokon átnyúló tevékenységet végző pénzügyi csoport működik az Unión belül, ily módon lehetővé téve az ilyen pénzügyi csoportok számára, hogy csak egy joghatóságban keletkezzenek kapcsolódó IKT-tesztköltségeik. |
(58) |
Annak érdekében, hogy az egyes illetékes hatóságok korábban – mindenekelőtt a TIBER-EU keret végrehajtása tekintetében – megszerzett szakértelmét fel lehessen használni, e rendeletnek lehetővé kell tennie a tagállamok számára, hogy egyetlen hatóságot jelöljenek ki, amely nemzeti szinten a pénzügyi ágazatban valamennyi TLPT-vonatkozású ügyért felel, vagy – ilyen kijelölés hiányában – az illetékes hatóságok számára lehetővé kell tenni, hogy a TLPT-vonatkozású feladatok ellátását egy másik, pénzügyi területen működő illetékes nemzeti hatóságra ruházzák át. |
(59) |
mivel e rendelet nem írja elő a pénzügyi szervezetek számára, hogy egyetlen fenyegetés alapú behatolási tesztelés minden kritikus vagy fontos funkcióra kiterjedjen, a pénzügyi szervezetek szabadon határozhatják meg, hogy mely és mennyi kritikus vagy fontos funkcióra terjedjen ki az ilyen teszt hatálya. |
(60) |
Az e rendelet értelmében vett csoportos tesztelés – amely egy TLPT-ben több pénzügyi szervezet részvételét jelenti, és amelyre vonatkozóan egy harmadik fél IKT-szolgáltató közvetlenül szerződéses megállapodást köthet egy külső tesztelővel – csak akkor engedélyezhető, amennyiben a harmadik fél IKT-szolgáltató által az olyan ügyfelek, amelyek az e rendelet hatályán kívül eső szervezetek, részére nyújtott szolgáltatások minőségét vagy biztonságát, vagy az ilyen szolgáltatásokhoz kapcsolódó adatok bizalmas jellegét észszerűen várható módon káros hatás éri. A csoportos tesztelésre biztosítékoknak is kell vonatkozniuk (egyetlen kijelölt pénzügyi szervezet általi irányítás, a részt vevő pénzügyi szervezetek számának kalibrálása) annak érdekében, hogy – a TLPT e rendelet szerinti célkitűzéseinek megfelelő – szigorú tesztelési gyakorlatot biztosítsanak a részt vevő pénzügyi szervezetek számára. |
(61) |
A vállalati szinten rendelkezésre álló belső erőforrások kihasználása érdekében e rendeletnek lehetővé kell tennie belső tesztelők igénybevételét a TLPT lefolytatása céljából, feltéve, hogy van felügyeleti jóváhagyás, nincsenek összeférhetetlenségek, és fennáll a belső és külső tesztelők rendszeres időközönkénti váltakozása (minden harmadik tesztet követően), előírva ugyanakkor azt is, hogy a TLPT során a fenyegetettséggel kapcsolatos hírszerzés szolgáltatójának minden esetben a pénzügyi szervezeten kívüli vállalkozásnak kell lennie. A TLPT elvégzésével kapcsolatos felelősségnek teljes mértékben a pénzügyi szervezetnél kell maradnia. A hatóságok által kiállított tanúsítványoknak kizárólag a kölcsönös elismerés célját kell szolgálniuk, továbbá azok nem zárhatnak ki semmi olyan IKT-kockázat kezeléséhez szükséges utókövetési intézkedést, amelynek a pénzügyi szervezet ki van téve, és nem tekinthetők a pénzügyi szervezet IKT-kockázatkezelési és -mérséklési képességei felügyeleti jóváhagyásának sem. |
(62) |
Ahhoz, hogy biztosított legyen a pénzügyi ágazatban a harmadik féltől eredő IKT-kockázat megbízható nyomon követése, olyan elvalapú szabályok meghatározására van szükség, amelyek iránymutatásul szolgálnak a pénzügyi szervezetek számára azon kockázatok nyomon követése során, amelyek a harmadik fél IKT-szolgáltatókhoz kiszervezett funkciókkal, különösen a harmadik fél IKT-szolgáltatók által ellátott kritikus vagy fontos funkciókkal, valamint általánosabban a harmadik féltől való valamennyi IKT-függőséggel összefüggésben felmerülnek. |
(63) |
Figyelembe véve az IKT-kockázat különböző forrásainak összetettségét, ugyanakkor a pénzügyi szolgáltatások zökkenőmentes nyújtását lehetővé tevő technológiai megoldások szolgáltatóinak nagy számát és sokféleségét is, e rendeletnek a harmadik fél IKT-szolgáltatók széles körére – köztük a felhőalapú számítástechnikai szolgáltatásokat, szoftvereket, adatelemzési szolgáltatásokat kínáló szolgáltatókra és az adatközpont-szolgáltatásokat nyújtó szolgáltatókra – kell vonatkoznia. Hasonlóképpen, mivel a pénzügyi szervezeteknek hatékonyan és koherens módon kell azonosítaniuk és kezelniük valamennyi kockázattípust, többek között a pénzügyi csoporton belül beszerzett IKT-szolgáltatásokkal összefüggésben, egyértelművé kell tenni, hogy azon vállalkozások, amelyek egy pénzügyi csoport részét képezik, és elsősorban az anyavállalatuk vagy az anyavállalatuk leányvállalatai vagy fióktelepei számára nyújtanak IKT-szolgáltatásokat, valamint azon pénzügyi szervezetek, amelyek egyéb pénzügyi szervezetek számára nyújtanak IKT-szolgáltatásokat, e rendelet értelmében szintén harmadik fél IKT-szolgáltatóknak tekintendők. Végül, tekintettel arra, hogy a pénzforgalmi szolgáltatások fejlődő piaca egyre nagyobb mértékben függ az összetett technikai megoldásoktól, valamint tekintettel a pénzforgalmi szolgáltatások és a pénzforgalmi vonatkozású megoldások újonnan megjelenő típusaira, a pénzforgalmi szolgáltatások ökoszisztémájának azon résztvevőit, amelyek fizetésfeldolgozási tevékenységet végeznek vagy fizetési infrastruktúrákat üzemeltetnek, e rendelet értelmében ugyancsak harmadik fél IKT-szolgáltatóknak kell tekinteni, kivéve a fizetési vagy értékpapír-kiegyenlítési rendszereket működtető központi bankokat, valamint az állami feladatok ellátása keretében IKT-vonatkozású szolgáltatásokat nyújtó hatóságokat. |
(64) |
A pénzügyi szervezeteknek továbbra is mindenkor teljes felelősséggel kell tartozniuk az e rendeletben meghatározott kötelezettségeikért. A pénzügyi szervezeteknek arányos megközelítést kell alkalmazniuk a harmadik fél IKT-szolgáltatók szintjén felmerülő kockázatok arányos nyomon követésére, az IKT-vonatkozású függőségeik nagyságrendjének, összetettségének és fontosságának, továbbá a szerződéses megállapodás tárgyát képező szolgáltatások, folyamatok vagy funkciók kritikusságának vagy fontosságának kellő figyelembevételével, és végső soron a pénzügyi szolgáltatások folytonosságára és minőségére egyedi és csoportszinten gyakorolt bármely potenciális hatás körültekintő értékelése alapján. |
(65) |
Az ilyen nyomon követés elvégzéséhez a harmadik féltől eredő IKT-kockázatra vonatkozó stratégiai megközelítést kell alkalmazni, amelyet a pénzügyi szervezet vezető testülete a harmadik féltől eredő IKT-kockázatra vonatkozó célzott stratégia elfogadásával tesz hivatalossá, és amely a harmadik féltől való IKT-függőségek folyamatos és teljeskörű szűrésén alapul. Ahhoz, hogy a felügyeleti hatóságok fokozottabban tudatában legyenek a harmadik féltől való IKT-függőségeknek, valamint az e rendelettel létrehozott felvigyázási keretrendszerrel összefüggésben végzett munka további támogatása érdekében, valamennyi pénzügyi szervezet számára elő kell írni, hogy vezessen nyilvántartást a harmadik fél IKT-szolgáltatók által nyújtott IKT-szolgáltatások igénybevételére vonatkozó valamennyi szerződéses megállapodásról. A pénzügyi felügyeletek számára lehetővé kell tenni, hogy bekérjék a teljes nyilvántartást, vagy annak egyes részeit, és így alapvető információkat szerezzenek a pénzügyi szervezetek IKT-függőségeinek szélesebb körű megértéséhez. |
(66) |
A szerződéses megállapodások formális megkötését beható elemzésnek kell megelőznie és megalapoznia, különösen az olyan elemekre összpontosítva, mint a tervezett IKT-szerződés által támogatott szolgáltatások kritikussága vagy fontossága, a szükséges felügyeleti jóváhagyások és egyéb feltételek, az esetlegesen felmerülő koncentrációs kockázat, valamint a harmadik fél IKT-szolgáltatók kiválasztási és értékelési folyamata során a kellő gondosság alkalmazása, továbbá az esetleges összeférhetetlenségek értékelése. A kritikus vagy fontos funkciókra vonatkozó szerződéses megállapodások kapcsán a pénzügyi szervezeteknek figyelembe kell venniük, hogy a harmadik fél IKT-szolgáltatók a legfrissebb és legszigorúbb információbiztonsági szabványokat alkalmazzák-e. A szerződéses megállapodások felmondását legalább egy sor olyan körülmény előidézheti, amely hiányosságokra enged következtetni a harmadik fél IKT-szolgáltató szintjén, így különösen a jogszabályok vagy a szerződéses feltételek jelentős megsértése, a szerződéses megállapodásokban meghatározott funkciók teljesítésének a lehetséges megváltozására utaló körülmények, a harmadik fél IKT-szolgáltató általános IKT-kockázatkezelésében mutatkozó gyengeségek jelei, vagy olyan körülmények, amelyek arra utalnak, hogy a releváns illetékes hatóság nem képes hatékonyan felügyelni a pénzügyi szervezetet. |
(67) |
A harmadik fél IKT-szolgáltatók koncentrációs kockázata rendszerszintű hatásának kezelése érdekében e rendelet kiegyensúlyozott megoldást ösztönöz az ilyen koncentrációs kockázatra vonatkozó rugalmas és fokozatos megközelítés alkalmazásával, mivel bármely merev felső határ vagy szigorú korlátozás megállapítása akadályozhatja az üzletvitelt, és korlátozhatja a szerződési szabadságot. Azt, hogy mekkora valószínűséggel merülhet fel ilyen kockázat, a pénzügyi szervezeteknek a tervezett szerződéses megállapodásaik alapos vizsgálatával kell meg határozniuk, többek között az alvállalkozási megállapodások beható elemzésével, különösen akkor, ha azokat harmadik országban letelepedett, harmadik fél IKT-szolgáltatóval kötik. Ebben a szakaszban, a szerződési szabadság megőrzése és a pénzügyi stabilitás biztosítása közötti megfelelő egyensúly érdekében nem célszerű a harmadik féllel szembeni IKT-kockázati kitettségre vonatkozó szigorú felső határokkal és limitekkel kapcsolatos szabályokat meghatározni. A kritikus harmadik fél IKT-szolgáltatók tekintetében az e rendelet szerint kinevezett vezető felvigyázónak a felvigyázási keretrendszerrel összefüggésben különös figyelmet kell fordítania a kölcsönös függőségek mértékének megértésére, az olyan konkrét esetek feltárására, ahol a kritikus harmadik fél IKT-szolgáltatók Unión belüli magas koncentrációja valószínűleg megterheli az uniós pénzügyi rendszer stabilitását és integritását, valamint az említett konkrét kockázat azonosítása esetén párbeszédet kell folytatnia a kritikus harmadik fél IKT-szolgáltatókkal. |
(68) |
Annak érdekében, hogy rendszeresen értékeljék és nyomon kövessék egy harmadik fél IKT-szolgáltató képességét arra, hogy a pénzügyi szervezet részére annak digitális működési rezilienciáját érő káros hatások nélkül, biztonságosan nyújtson szolgáltatásokat, a harmadik fél IKT-szolgáltatókkal kötött szerződések több kulcselemét a teljesítés egészére kiterjedően harmonizálni szükséges. Az ilyen harmonizációnak ki kell terjednie legalább azon területekre, amelyek elengedhetetlenek ahhoz, hogy a pénzügyi szervezet teljeskörűen nyomon követhesse a harmadik fél IKT-szolgáltatótól esetlegesen eredő kockázatokat a pénzügyi szervezet azon szükségletének szempontjából, hogy biztosítsa digitális rezilienciáját, mivel nagymértékben függ az igénybe vett IKT-szolgáltatások stabilitásától, funkciójától, rendelkezésre állásától és biztonságától. |
(69) |
A szerződéses megállapodásoknak az e rendelet követelményeivel való összehangolást célzó újratárgyalása során a pénzügyi szervezeteknek és a harmadik fél IKT-szolgáltatóknak biztosítaniuk kell, hogy a megállapodások hatálya kiterjedjen az e rendeletben meghatározott főbb szerződéses rendelkezésekre. |
(70) |
A „kritikus vagy fontos funkció” e rendeletben szereplő fogalommeghatározása magában foglalja a 2014/59/EU európai parlamenti és tanácsi irányelv (20) 2. cikke (1) bekezdésének 35. pontjában meghatározott „kritikus funkciókat”. Ennek megfelelően a 2014/59/EU irányelv alapján kritikusnak tekintett funkciók beletartoznak az e rendelet értelmében vett kritikus funkciók fogalommeghatározásába. |
(71) |
A szerződéses megállapodásokban – függetlenül az IKT-szolgáltatások által támogatott funkció kritikusságától vagy fontosságától – pontosan meg kell határozni különösen a funkciók és szolgáltatások teljeskörű leírását, a funkciók teljesítésének és az adatkezelésnek a helyszíneit, valamint a szolgáltatási szintek teljeskörű leírását. Egyéb lényeges elemek annak lehetővé tételéhez, hogy a pénzügyi szervezet nyomon kövesse a harmadik féltől származó IKT-kockázatot, a következők: szerződéses rendelkezések, amelyek meghatározzák, hogy a harmadik fél IKT-szolgáltató hogyan biztosítja a személyes adatok hozzáférhetőségét, rendelkezésre állását, integritását, biztonságát és védelmét; rendelkezések, amelyek meghatározzák a harmadik fél IKT-szolgáltató fizetésképtelensége, szanálása vagy üzleti tevékenységének megszűnése esetén az adatokhoz való hozzáférést, azok behajtását és visszaszolgáltatását lehetővé tevő releváns garanciákat; rendelkezések, amelyek előírják a harmadik fél IKT-szolgáltató számára a nyújtott szolgáltatásokkal kapcsolatos IKT-biztonsági események esetén a többletköltség nélkül vagy előzetesen meghatározott költség mellett történő segítségnyújtást; a harmadik fél IKT-szolgáltató azon kötelezettségére vonatkozó rendelkezések, hogy maradéktalanul együttműködjön a pénzügyi szervezet illetékes hatóságaival és szanálási hatóságaival; valamint a szerződéses megállapodások megszüntetésére vonatkozó felmondási jogokra és a kapcsolódó minimális felmondási időre vonatkozó rendelkezések, összhangban az illetékes hatóságok és a szanálási hatóságok elvárásaival. |
(72) |
Az ilyen szerződéses rendelkezéseken túlmenően, és annak biztosítása érdekében, hogy a pénzügyi szervezetek megőrizzék a teljes kontrollt a harmadik felek szintjén bekövetkező, az IKT-biztonságukra nézve potenciálisan ártalmas valamennyi fejlemény felett, a kritikus vagy fontos funkciókat támogató IKT-szolgáltatások nyújtására vonatkozó szerződéseknek a következőkről is rendelkezniük kell: a szolgáltatási szint teljeskörű leírásának pontos meghatározása pontos mennyiségi és minőségi teljesítménycélokkal együtt, hogy indokolatlan késedelem nélkül meg lehessen hozni a megfelelő korrekciós intézkedéseket, amennyiben az elfogadott szolgáltatási szintek nem teljesülnek; a harmadik fél IKT-szolgáltatóra vonatkozó releváns felmondási idők és a pénzügyi szervezettel szembeni adatszolgáltatási kötelezettségeik az olyan fejlemények esetén, amelyek lényeges hatást gyakorolhatnak a harmadik fél IKT-szolgáltató azon képességére, hogy eredményesen nyújtsa a vonatkozó IKT-szolgáltatásait; a harmadik fél IKT-szolgáltatóra vonatkozó azon követelmény, hogy vészhelyzeti terveket vezessen be és teszteljen, továbbá rendelkezzen olyan IKT-biztonsági intézkedésekkel, eszközökkel és szabályzatokkal, amelyek lehetővé teszik a biztonságos szolgáltatásnyújtást, valamint hogy részt vegyen és teljes mértékben együttműködjön a pénzügyi szervezet által végzett TLPT során. |
(73) |
A kritikus vagy fontos funkciókat támogató IKT-szolgáltatások nyújtására vonatkozó szerződéseknek olyan rendelkezéseket is tartalmazniuk kell, amelyek biztosítják a pénzügyi szervezet vagy egy kinevezett harmadik fél általi hozzáférési, ellenőrzési és audit jogokat, valamint a másolatkészítés jogát, mint elengedhetetlen eszközeit annak, hogy a pénzügyi szervezet folyamatosan nyomon követhesse a harmadik fél IKT-szolgáltató teljesítését, ami egyúttal feltételezi a szolgáltató teljes mértékű együttműködését az ellenőrzések során. Hasonlóképpen, a pénzügyi szervezet illetékes hatóságának is jogosultsággal kell rendelkeznie arra, hogy értesítés alapján – a bizalmas jellegű adatok védelmére is figyelemmel – ellenőrzést és auditot végezzen a harmadik fél IKT-szolgáltatónál. |
(74) |
Az említett szerződéses megállapodásoknak célzott kilépési stratégiákat is meg kell határozniuk, ez utóbbiakkal lehetővé téve különösen a kötelező átállási időszakokat, amelyek során a harmadik fél IKT-szolgáltatóknak folyamatosan biztosítaniuk kell a releváns szolgáltatásokat annak érdekében, hogy a zavarok pénzügyi szervezet szintjén való fellépésének a kockázata mérséklődjön, vagy a szervezet eredményesen átválthasson más harmadik fél IKT-szolgáltatók igénybevételére, vagy ehelyett saját, házon belüli megoldásokhoz folyamodhasson, a nyújtott IKT-szolgáltatás összetettségének megfelelően. A 2014/59/EU irányelv hatálya alá tartozó pénzügyi szervezeteknek továbbá biztosítaniuk kell, hogy az IKT-szolgáltatásokra vonatkozó releváns szerződések robusztus kialakításúak és az említett pénzügyi szervezetek szanálása esetén maradéktalanul érvényesíthetőek legyenek. Ezért az említett pénzügyi szervezeteknek a szanálási hatóságok elvárásaival összhangban biztosítaniuk kell, hogy az IKT-szolgáltatásokra vonatkozó releváns szerződések szanálás esetén reziliensek. Az említett pénzügyi szervezeteknek mindaddig, amíg továbbra is teljesítik fizetési kötelezettségeiket, egyéb követelmények mellett biztosítaniuk kell, hogy az IKT-szolgáltatásokra vonatkozó szerződések rendelkezéseket tartalmazzanak arra vonatkozóan, hogy szerkezetátalakítás vagy szanálás indokával a szerződés nem szüntethető meg, nem függeszthető fel, és nem módosítható. |
(75) |
Ezenkívül, a felhőszolgáltatásokra vonatkozóan a hatóságok vagy az uniós intézmények által kidolgozott általános szerződéses rendelkezések – így különösen a Bizottság által kidolgozott szerződéses rendelkezések – önkéntes alkalmazása további garanciát nyújthat a pénzügyi szervezetek és a harmadik fél IKT-szolgáltatók számára azáltal, hogy – a pénzügyi szolgáltatásokra vonatkozó uniós jogban meghatározott követelményekkel és elvárásokkal teljes összhangban – fokozza a jogbiztonság-szintjüket a pénzügyi ágazatban igénybe vett felhőszolgáltatások tekintetében. Az általános szerződéses rendelkezések kidolgozásának alapját az azon 2018. évi pénzügyi technológiai cselekvési tervben már előirányzott intézkedések képezik, amelyben a Bizottság bejelentette a szándékát, hogy ösztönözze és elősegítse a pénzügyi szervezetek által igénybe vett kiszervezett felhőszolgáltatásokra vonatkozó általános szerződéses rendelkezések kidolgozását, támaszkodva a felhőszolgáltatásban érdekeltek azon ágazatközi erőfeszítéseire, amelyeket a pénzügyi ágazat segítségével a Bizottság elősegített. |
(76) |
Annak érdekében, hogy előmozdítsák a pénzügyi ágazatban a harmadik féltől eredő IKT-kockázat kezelésekor alkalmazott felügyeleti megközelítések konvergenciáját és hatékonyságát, valamint megerősítsék az olyan pénzügyi szervezetek digitális működési rezilienciáját, amelyek a pénzügyi szolgáltatások nyújtását támogató IKT-szolgáltatásokat kritikus harmadik fél IKT-szolgáltatóktól veszik igénybe, és ezáltal hozzájáruljanak az uniós pénzügyi rendszer stabilitásának, valamint a pénzügyi szolgáltatások belső piaca integritásának megőrzéséhez, a kritikus harmadik fél IKT-szolgáltatóknak uniós felvigyázási keretrendszer hatálya alá kell tartozniuk. Míg a felvigyázási keretrendszer létrehozását indokolttá teszik az uniós szintű fellépés hozzáadott értéke, továbbá az IKT-szolgáltatások pénzügyi szolgáltatásnyújtás terén történő igénybevételének velejáró szerepe és sajátosságai, emlékeztetni kell ugyanakkor arra, hogy ez a megoldás csak ezzel, a kifejezetten a pénzügyi ágazat digitális működési rezilienciájával foglalkozó rendelettel összefüggésben tűnik alkalmasnak. Egy ilyen felvigyázási keretrendszer azonban nem tekinthető új modellnek az uniós felügyelet számára a pénzügyi szolgáltatások és tevékenységek egyéb területein. |
(77) |
A felvigyázási keretrendszer hatályának kizárólag a kritikus harmadik fél IKT-szolgáltatókra célszerű kiterjednie. Ezért be kell vezetni egy kijelölési mechanizmust, amely figyelembe veszi azt, hogy a pénzügyi ágazat milyen mértékben és jelleggel támaszkodik ilyen harmadik fél IKT-szolgáltatókra. Az említett mechanizmusnak tartalmaznia kell egy sor mennyiségi és minőségi kritériumot azon kritikussá minősítési paraméterek meghatározása céljából, amelyeken a felvigyázási keretrendszerbe foglalás alapul. Annak biztosítása érdekében, hogy ez az értékelés pontos legyen, és függetlenül a harmadik fél IKT-szolgáltató szervezeti felépítésétől, e kritériumoknak az olyan harmadik fél IKT-szolgáltatók esetében, amelyek egy nagyobb csoporthoz tartoznak, a harmadik fél teljes IKT-szolgáltatói csoport felépítését figyelembe kell venniük. Egyrészről az említett kritériumok alkalmazásával automatikusan nem kijelölt, kritikus harmadik fél IKT-szolgáltatók számára lehetővé kell tenni a felvigyázási keretrendszerben történő önkéntes részvételt, másrészről mentesíteni kell azon harmadik fél IKT-szolgáltatókat, amelyek már olyan felvigyázási mechanizmust alkotó keretek hatálya alá tartoznak, amelyek támogatják a Központi Bankok Európai Rendszerének az EUMSZ 127. cikkének (2) bekezdésében említett feladatai ellátását. |
(78) |
Hasonlóképpen, az olyan pénzügyi szervezetek számára, amelyek más pénzügyi szervezeteknek nyújtanak IKT-szolgáltatásokat, miközben az e rendelet szerinti harmadik fél IKT-szolgáltatók kategóriájába tartoznak, szintén mentességet kell biztosítani a felvigyázási keretrendszer alól, mivel már a releváns uniós pénzügyi szolgáltatási jogszabályok által létrehozott felügyeleti mechanizmusok hatálya alá tartoznak. Az illetékes hatóságoknak a felügyeleti tevékenységeikkel összefüggésben adott esetben figyelembe kell venniük azon IKT-kockázatot, amelyet az IKT-szolgáltatásokat nyújtó pénzügyi szervezetek jelentenek a pénzügyi szervezetek számára. Hasonlóképpen, a kockázatfigyelési mechanizmusok csoportszintű meglétéből fakadóan ugyanilyen mentességet kell bevezetni az olyan harmadik fél IKT-szolgáltatók számára, amelyek túlnyomóan a saját csoportjukba tartozó szervezetek számára nyújtanak szolgáltatásokat. Az olyan harmadik fél IKT-szolgáltatókat, amelyek csak egy tagállamban nyújtanak IKT-szolgáltatásokat olyan pénzügyi szervezeteknek, amelyek tevékenységüket csak az említett tagállamban folytatják, tevékenységeik korlátozottsága és a határokon átnyúló hatás hiánya miatt szintén mentesíteni kell a kijelölési mechanizmus alól. |
(79) |
A pénzügyi szolgáltatások területén tapasztalható digitális átalakulás következtében soha nem látott mértékűvé vált az IKT-szolgáltatások igénybevétele és az azoktól való függés. Mivel mára elképzelhetetlenné vált a felhőszolgáltatások, szoftveres megoldások és adatokkal kapcsolatos szolgáltatások igénybevétele nélküli pénzügyi szolgáltatásnyújtás, az Unió pénzügyi ökoszisztémája és bizonyos, IKT-szolgáltatók által nyújtott IKT-szolgáltatások között mostanra mély kölcsönös függőségi viszony alakult ki. Az említett szolgáltatók közül néhányan az IKT-alapú technológiák kifejlesztése és alkalmazása terén folytatott innovátori tevékenységüknél fogva jelentős szerepet töltenek be a pénzügyi szolgáltatások nyújtásában, vagy szervesen beépültek a pénzügyi szolgáltatási értékláncba. Így kritikussá váltak az uniós pénzügyi rendszer stabilitása és integritása szempontjából. Ez a kritikus harmadik fél IKT-szolgáltatók által nyújtott szolgáltatásoktól való széles körű függés – a különböző piaci szereplők információs rendszerei közötti kölcsönös függőséggel kombinálva – közvetlen és potenciálisan súlyos kockázatot jelent az Unió pénzügyi szolgáltatási rendszerére és a pénzügyi szolgáltatások nyújtásának folytonosságára nézve, ha a kritikus harmadik fél IKT-szolgáltatókat működési zavarok vagy jelentős kiberbiztonsági események érintenék. A kiberbiztonsági események egyik feltűnő képessége az, hogy a pénzügyi ágazatban figyelemmel kísért egyéb típusú kockázatoknál lényegesen gyorsabb ütemben sokszorozódhatnak és terjedhetnek a pénzügyi rendszerben, valamint átnyúlhatnak más ágazatokba és a földrajzi határokon túl is. Az ilyen események potenciálisan rendszerszintű válsággá szélesedhetnek, amennyiben megkopik a pénzügyi rendszerbe vetett bizalom a reálgazdaságot támogató funkciók zavara vagy jelentős pénzügyi veszteségek miatt, és ez olyan szintet ér el, amelyet a pénzügyi rendszer már nem bír el, vagy amely erőteljes sokkhatás-elnyelő intézkedéseket tesz szükségessé. Annak érdekében, hogy ilyen helyzetek ne következhessenek be – veszélyeztetve az Unió pénzügyi stabilitását és integritását –, alapvető fontosságú biztosítani a pénzügyi területen fennálló, harmadik féltől eredő IKT-kockázattal kapcsolatos felügyeleti gyakorlatok közötti konvergenciát, így különösen olyan új szabályok révén, amelyek lehetővé teszik a kritikus harmadik fél IKT-szolgáltatók feletti uniós szintű felvigyázást. |
(80) |
A felvigyázási keretrendszer jelentős részben függ attól, hogy milyen mértékű az együttműködés a vezető felvigyázó és a pénzügyi szervezetek számára a pénzügyi szolgáltatások nyújtását befolyásoló szolgáltatásokat nyújtó, kritikus harmadik fél IKT-szolgáltató között. A felvigyázás sikere többek között a vezető felvigyázó azon képességén múlik, hogy hatékonyan el tudja-e végezni a kritikus harmadik fél IKT-szolgáltatók által alkalmazott szabályok, kontrollok és folyamatok értékelését célzó nyomonkövetési missziókat és ellenőrzéseket, továbbá fel tudja-e mérni az e szolgáltatók tevékenységei által a pénzügyi stabilitásra és a pénzügyi rendszer integritására gyakorolt potenciális kumulatív hatást. Kritikus jelentőségű ugyanakkor, hogy a kritikus harmadik fél IKT-szolgáltatók kövessék a vezető felvigyázó által megfogalmazott ajánlásokat, és megoldást találjanak az általa felvetett aggályokra. Mivel az együttműködés hiánya – így például a telephelyeire való belépés vagy az információszolgáltatás megtagadása – valamely, olyan szolgáltatásokat nyújtó, kritikus harmadik fél IKT-szolgáltató részéről, amelyek befolyásolják a pénzügyi szolgáltatások nyújtását, végső soron megfosztaná a vezető felvigyázót a harmadik féltől eredő IKT-kockázat felmérését lehetővé tevő alapvető eszközeitől, és káros hatásokkal járhatna a pénzügyi stabilitásra és a pénzügyi rendszer integritására nézve, szükséges rendelkezni egy arányos szankciórendszerről is. |
(81) |
Mindezt szem előtt tartva, azon igyényt, hogy a vezető felvigyázó a kritikus harmadik fél IKT-szolgáltatókat az e rendeletben meghatározott átláthatósági és hozzáféréssel kapcsolatos kötelezettségek teljesítésére kötelező büntető bírságokat szabhasson ki, nem veszélyeztethetik olyan nehézségek, amelyek az említett bírságoknak a harmadik országbeli székhellyel rendelkező, kritikus harmadik fél IKT-szolgáltatókkal szembeni végrehajtásából fakadnak. Az említett bírságok végrehajthatóságának biztosítása érdekében, valamint hogy gyorsan foganatosítani lehessen a kijelölési mechanizmussal és az ajánlások kibocsátásával összefüggésben a kritikus harmadik fél IKT-szolgáltatók védelemhez való jogának érvényesítését szolgáló eljárásokat, azon kritikus harmadik fél IKT-szolgáltatókat, amelyek pénzügyi szervezetek számára a pénzügyi szolgáltatások nyújtását befolyásoló szolgáltatásokat nyújtanak, kötelezni kell arra, hogy megfelelő üzleti jelenléttel rendelkezzenek az Unióban. A felvigyázás jellegéből és abból fakadóan, hogy más joghatóságokban nincs ezzel összehasonlítható szabályozás, nem állnak rendelkezésre olyan alternatív mechanizmusok, amelyek alkalmasak arra, hogy e célkitűzés elérését a harmadik országbeli pénzügyi felügyeletekkel történő hatékony együttműködés útján biztosítsák az olyan rendszerszintű jelentőséggel bíró harmadik fél IKT-szolgáltatók által képviselt digitális működési kockázatok hatásának figyelemmel kísérése vonatkozásában, amelyek harmadik országban letelepedett kritikus harmadik fél IKT-szolgáltatóknak minősülnek. Ezért egy olyan, harmadik országban letelepedett, harmadik fél IKT-szolgáltatónak, amelyet e rendelet értelmében kritikusnak jelöltek ki, ahhoz, hogy az Unióban továbbra is nyújthasson IKT-szolgáltatásokat pénzügyi szervezeteknek, az ekként való kijelölése időpontjától számított 12 hónapon belül minden szükséges lépést meg kell tennie – az uniós vívmányokban mindenütt alkalmazott, nevezetesen a 2013/34/EU európai parlamenti és tanácsi irányelvben (21) foglalt fogalommeghatározás szerinti leányvállalat létrehozása révén – az Unióban történő bejegyeztetése céljából. |
(82) |
A leányvállalat Unióban való létrehozásának követelménye nem jelenti azt, hogy a kritikus harmadik fél IKT-szolgáltató nem nyújthat IKT-szolgáltatásokat és azokhoz kapcsolódó technikai támogatást az Unión kívül található létesítményekből és infrastruktúra révén. E rendelet nem ír elő adatlokalizálási kötelezettséget, mivel nem teszi kötelezővé, hogy az adattárolást- vagy kezelést az Unióban kell végezni. |
(83) |
A kritikus harmadik fél IKT-szolgáltatók számára lehetővé kell tenni, hogy a világon bárhonnan tudjanak IKT-szolgáltatásokat nyújtani, vagyis nem szükségszerűen vagy nem csak az Unióban található telephelyekről. A felvigyázási tevékenységeket először az Unióban található telephelyeken, az Unióban található gazdasági szereplőkkel való kapcsolatfelvétel útján kell elvégezni – ideértve a kritikus harmadik fél IKT-szolgáltatók által az e rendelet szerint létrehozott leányvállalatokat is. Az ilyen, Unión belüli intézkedések azonban kevésnek bizonyulhatnak ahhoz, hogy a vezető felvigyázó maradéktalanul és hatékonyan el tudja látni az e rendelet szerinti feladatait. A vezető felvigyázónak ezért jogosultnak kell lennie a megfelelő felvigyázási hatáskörei harmadik országokban való gyakorlására is. Az említett hatáskörök harmadik országokban való gyakorlása keretében a vezető felvigyázónak meg kell tudnia vizsgálni azon létesítményeket, amelyekből a kritikus harmadik fél IKT-szolgáltató az IKT-szolgáltatásokat vagy a technikai támogató szolgáltatásokat ténylegesen nyújtja vagy irányítja, továbbá átfogó és operatív szintű átlátásra kell tudnia szert tenni a kritikus harmadik fél IKT-szolgáltató IKT-kockázatkezeléséről. A vezető felvigyázó uniós hivatalként történő, az Unió területén kívüli hatáskörgyakorlásának a lehetőségét megfelelően feltételekhez kell kötni – mindenekelőtt az érintett kritikus harmadik fél IKT-szolgáltató hozzájárulásához. Hasonlóképpen feltétel, hogy a harmadik ország releváns hatóságait tájékoztassák a vezető felvigyázó tevékenységeinek a területükön történő gyakorlásáról, és hogy azok ne emeljenek kifogást. A hatékony végrehajtás biztosítása érdekében azonban – valamint az uniós intézmények és a tagállamok vonatkozó hatásköreinek sérelme nélkül – az ilyen hatásköröket az érintett harmadik ország releváns hatóságaival igazgatási együttműködési megállapodások megkötése révén teljeskörűen rögzíteni is kell. E rendeletben ezért lehetővé kell tenni az EFH-k számára, hogy a megfelelő harmadik országbeli hatóságokkal igazgatási együttműködési megállapodásokat kössenek, amelyek egyébként nem keletkeztethetnek az Unió és tagállamai vonatkozásában jogi kötelezettségeket. |
(84) |
A vezető felvigyázóval való kommunikáció megkönnyítése és a megfelelő képviselet biztosítása érdekében azon kritikus harmadik fél IKT-szolgáltatóknak, amelyek valamely csoport tagjai, ki kell jelölniük egy jogi személyt a koordinációs pontjuk szerepének betöltésére. |
(85) |
A felvigyázási keretrendszer nem sértheti a tagállamok azon hatáskörét, hogy lefolytassák saját felvigyázási vagy nyomonkövetési misszióikat azon harmadik fél IKT-szolgáltatók tekintetében, amelyeket e rendelet alapján nem jelöltek ki kritikusként, de amelyeket nemzeti szinten jelentősnek tekintenek. |
(86) |
A pénzügyi szolgáltatások területét jellemző többrétegű intézményi struktúra kihasználása érdekében az EFH-k vegyes bizottságának – a kiberbiztonsággal kapcsolatos feladataival összhangban – továbbra is biztosítania kell az általános ágazatközi koordinációt az IKT-kockázatot érintő valamennyi kérdésben. Ennek során a vegyes bizottságot egy új albizottságnak kell támogatnia (a továbbiakban: a felvigyázási fórum), amely ellátja mind a kritikus harmadik fél IKT-szolgáltatókat érintő egyedi döntésekhez, mind a kollektív ajánlások kibocsátásához szükséges előkészítő munkát, különösen a kritikus harmadik fél IKT-szolgáltatókra vonatkozó felvigyázási programok összehasonlító teljesítményértékelése és az IKT-koncentrációs kockázattal kapcsolatos kérdéseket kezelő legjobb gyakorlatok azonosítása kapcsán. |
(87) |
Annak biztosítása céljából, hogy a kritikus harmadik fél IKT-szolgáltatókra vonatkozóan megfelelő és hatékony uniós szintű felvigyázás érvényesüljön, e rendelet úgy rendelkezik, hogy a három EFH bármelyike kijelölhető vezető felvigyázóként. Az egyes konkrét kritikus harmadik fél IKT-szolgáltatókat annak értékelése alapján kell hozzárendelni a három EFH valamelyikéhez, hogy túlnyomóan milyen pénzügyi szervezetek működnek az említett EFH felelősségi körébe tartozó pénzügyi ágazatokban. E megközelítésnek a feladatoknak és a felelősségi köröknek a három EFH közötti kiegyensúlyozott elosztását kell eredményeznie a felvigyázási funkciók ellátása tekintetében, valamint biztosítania kell a három hatóságnál rendelkezésre álló emberi erőforrások és technikai szakértelem lehető legjobb kihasználását. |
(88) |
A vezető felvigyázók számára biztosítani kell a vizsgálatok lefolytatásához, a kritikus harmadik fél IKT-szolgáltatók telephelyein és helyszínein a helyszíni és a helyszínen kívüli ellenőrzések elvégzéséhez, valamint a hiánytalan és naprakész információk beszerzéséhez szükséges hatásköröket. Az említett hatásköröknek képessé kell tenniük a vezető felvigyázót arra, hogy tényleges betekintést nyerjen a pénzügyi szervezeteket – és végső soron az Unió pénzügyi rendszerét – érintő, harmadik felektől eredő IKT-kockázat típusába, dimenziójába és hatásába. Az EFH-k vezető felvigyázási szereppel való felruházása szükséges előfeltétele az IKT-kockázat rendszerszintű dimenziója megértésének és kezelésének pénzügyi téren. A kritikus harmadik fél IKT-szolgáltatók által az uniós pénzügyi ágazatra gyakorolt hatás és az ezzel járó IKT-koncentrációs kockázat által okozott potenciális problémák miatt uniós szintű kollektív megközelítés alkalmazására van szükség. Ha számos illetékes hatóság párhuzamosan gyakorol többféle ellenőrzési és hozzáférési jogot egymástól elkülönülten, kismértékű egymás közötti koordináció mellett vagy annak teljes hiányában, az megakadályozná, hogy a pénzügyi felügyeletek teljes és átfogó áttekintésre tegyenek szert az Unióban meglévő, harmadik felektől eredő IKT-kockázatot illetően, ugyanakkor a kritikus harmadik fél IKT-szolgáltatók számára redundanciát, megterhelést és bonyolultságot is jelentene, ha számos nyomonkövetési és ellenőrzési kérés vonatkozna rájuk. |
(89) |
Tekintettel arra, hogy a kritikusként való kijelölés jelentős hatásokkal jár, e rendelettel biztosítani kell a kritikus harmadik fél IKT-szolgáltatók jogainak a felvigyázási keretrendszer végrehajtása során történő tiszteletben tartását. Az ilyen szolgáltatóknak a kritikusként való kijelölésüket megelőzően például joguk kell, hogy legyen ahhoz, hogy a vezető felvigyázóhoz indokolással ellátott nyilatkozatot nyújtsanak be, amely tartalmaz minden, a kijelölésükkel kapcsolatos értékelés céljából releváns információt. Mivel a vezető felvigyázónak felhatalmazással kell rendelkeznie az IKT-kockázatot érintő kérdésekről és azok megfelelő korrekciós intézkedéseiről szóló ajánlások benyújtására, ami magában foglalja azon jogkört is, hogy kifogást emeljen bizonyos olyan szerződéses megállapodásokkal szemben, amelyek végső soron hátrányosan érintik valamely pénzügyi szervezet vagy a pénzügyi rendszer stabilitását, a kritikus harmadik fél IKT-szolgáltatók számára is biztosítani kell a lehetőséget, hogy az említett ajánlások véglegesítését megelőzően magyarázatot adjanak az ajánlásokban előirányzott megoldások várható hatásait illetően az olyan ügyfelekre nézve, amelyek az e rendelet hatályán kívül eső szervezetek, és megoldásokat fogalmazzanak meg a kockázatok csökkentése érdekében. Az ajánlásokkal egyet nem értő, kritikus harmadik fél IKT-szolgáltatóknak indokolással ellátott magyarázatot kell benyújtaniuk az ajánlás jóvá nem hagyására irányuló szándékukról. Amennyiben nem nyújtanak be ilyen, indokolással ellátott magyarázatot, vagy az elégtelennek bizonyul, a vezető felvigyázónak nyilvános hirdetményt kell kiadnia, amelyben összefoglalva ismerteti a meg nem felelési ügyet. |
(90) |
Az illetékes hatóságoknak a vezető felvigyázó által kibocsátott ajánlásoknak való érdemi megfelelés ellenőrzési feladatát megfelelően bele kell foglalniuk a pénzügyi szervezetek prudenciális felügyeletével kapcsolatos feladatkörükbe. Az illetékes hatóságoknak hatáskörrel kell rendelkezniük arra, hogy a vezető felvigyázó ajánlásaiban megjelölt kockázatok kezelése céljából további intézkedések megtételére kötelezzék a pénzügyi szervezeteket, és az illetékes hatóságoknak kellő időben ki kell adniuk erre irányuló értesítéseiket. Amikor a vezető felvigyázó olyan, kritikus harmadik fél IKT-szolgáltatóknak címzett ajánlásokat ad ki, amelyek az (EU) 2022/2555 irányelv szerinti felügyelet alá tartoznak, az illetékes hatóságoknak hatáskörrel kell rendelkezniük arra, hogy a további intézkedések megtétele előtt önkéntes alapon konzultáljanak az említett irányelv szerinti illetékes hatóságokkal annak érdekében, hogy elősegítsék a szóban forgó, kritikus harmadik fél IKT-szolgáltatókkal kapcsolatban a koordinált megközelítés mentén való ügyintézést. |
(91) |
A felvigyázás gyakorlása során három operatív elvnek kell érvényesülnie, törekedve a következők biztosítására: a) szoros koordináció az EFH-k között vezető felvigyázási szerepük ellátásával összefüggésben, egy közös felvigyázási hálózaton (KFH) keresztül; b) összhang az (EU) 2022/2555 irányelv által létrehozott kerettel (az említett irányelv szerinti szervek közötti önkéntes konzultáció révén, a kritikus harmadik fél IKT-szolgáltatókra irányuló intézkedések közötti átfedések elkerülése érdekében); és c) gondosság alkalmazása a kritikus harmadik fél IKT-szolgáltatók által nyújtott szolgáltatások zavaraival kapcsolatos, olyan ügyfeleket érintő potenciális kockázatok minimalizálása érdekében, amelyek nem tartoznak e rendelet hatálya alá. |
(92) |
A felvigyázási keretrendszer nem válthatja ki, vagy semmilyen módon és semmilyen részben nem helyettesítheti a pénzügyi szervezetekkel szembeni azon követelményt, hogy a harmadik fél IKT-szolgáltatók igénybevételével járó kockázatok kezeléséről maguk gondoskodjanak, ideértve azon kötelezettségüket, hogy fenntartsák a kritikus harmadik fél IKT-szolgáltatókkal létrejött szerződéses megállapodásaik folyamatos monitorozását. Hasonlóképpen, a felvigyázási keretrendszer nem érintheti a pénzügyi szervezetek azon teljes felelősségét, hogy megfeleljenek az e rendeletben és a pénzügyi szolgáltatásokra vonatkozó releváns jogszabályokban megállapított valamennyi jogi kötelezettségnek, és teljesítsék azokat. |
(93) |
A párhuzamosságok és átfedések elkerülése érdekében az illetékes hatóságoknak tartózkodniuk kell olyan intézkedések egyenkénti meghozatalától, amelyek a kritikus harmadik fél IKT-szolgáltatók kockázatainak nyomon követésére irányulnak, és e tekintetben a vezető felvigyázó releváns értékelésére kell támaszkodniuk. A felvigyázási keretrendszerbe tartozó feladatok ellátásával összefüggésben minden intézkedést minden esetben egyeztetni kell a vezető felvigyázóval, és vele azokról előzetesen meg kell állapodni. |
(94) |
A harmadik fél IKT-szolgáltatók digitáliskockázat-kezelésének felülvizsgálatával és nyomon követésével kapcsolatos bevált módszerek alkalmazása terén a nemzetközi konvergencia előmozdítása érdekében az EFH-kat arra kell ösztönözni, hogy kössenek együttműködési megállapodásokat a releváns, felügyeletet és szabályozást ellátó harmadik országbeli hatóságokkal. |
(95) |
Az illetékes hatóságoknál, a három EFH-nál és – önkéntességi alapon – az (EU) 2022/2555 irányelv szerinti illetékes hatóságoknál működési és IKT-kockázatra szakosodott személyzet konkrét kompetenciáinak, technikai készségeinek és szakértelmének hasznosítása céljából a vezető felvigyázónak a nemzeti felügyeletek képességeire és tudására kell támaszkodnia, és célzott vizsgálócsoportokat kell létrehoznia minden egyes, kritikus harmadik fél IKT-szolgáltató tekintetében, multidiszciplináris csoportokat alkotva a felvigyázási tevékenységek előkészítésének és végrehajtásának a támogatására, ideértve az általános vizsgálatokat és a kritikus harmadik fél IKT-szolgáltatóknál végzett ellenőrzéseket is, valamint annak bármely szükséges utókövetése céljából. |
(96) |
Míg a felvigyázási feladatokhoz kapcsolódó költségeket teljes mértékben a kritikus harmadik fél IKT-szolgáltatóknak felszámított díjak fedeznék, valószínű azonban, hogy az EFH-knál még a felvigyázási keretrendszer beindítása előtt felmerülnek olyan költségek, amelyek a jövőbeli felvigyázási tevékenységet támogató célzott IKT-rendszerek bevezetésével kapcsolatosak, mivel először ki kell alakítani és telepíteni kell célzott IKT-rendszereket. E rendelet ezért hibrid finanszírozási modell alkalmazását írja elő, ahol a felvigyázási keretrendszert magát teljes egészében díjakból kellene finanszírozni, míg az EFH-k IKT-rendszereinek kialakítását az Unió és az illetékes nemzeti hatóságok hozzájárulásaiból finanszíroznák. |
(97) |
Az illetékes hatóságoknak rendelkezniük kell minden olyan felügyeleti, vizsgálati és szankcionálási hatáskörrel, amely az e rendelet szerinti feladataik ellátásához szükséges. Az általuk kiszabott közigazgatási szankciókról alapszabályként értesítést kell közzétenniük. Mivel a pénzügyi szervezetek és a harmadik fél IKT-szolgáltatók székhelye különböző tagállamokban is lehet, és azok különböző illetékes hatóságok felügyelete alá tartozhatnak, e rendelet alkalmazását meg kell könnyíteni egyfelől azáltal, hogy a releváns illetékes hatóságok szorosan együttműködnek egymással – ideértve az 1024/2013/EU tanácsi rendelettel ráruházott külön feladatok tekintetében az EKB-t is –, és másfelől azáltal, hogy konzultálnak az EFH-kkal a kölcsönös információcsere és a releváns felügyeleti tevékenységekkel összefüggésben történő segítségnyújtás révén. |
(98) |
A kritikus harmadik fél IKT-szolgáltatókként való kijelöléséhez alapul szolgáló kritériumok mennyiségi és minőségi szempontjainak részletesebb meghatározása, valamint a felvigyázási díjak harmonizálása céljából a Bizottságot az EUMSZ 290. cikkével összhangban fel kell hatalmazni jogi aktusok elfogadására abból a célból, hogy e rendeletet kiegészítse a következők részletes meghatározása érdekében: egy harmadik fél IKT-szolgáltató meghibásodása vagy működési kiesése milyen rendszerszintű hatással jár azon pénzügyi szervezetekre nézve, amelyeknek IKT-szolgáltatásait nyújtja; azon globális rendszerszinten jelentős intézmények és egyéb rendszerszinten jelentős intézmények száma, amelyek a szóban forgó harmadik fél IKT-szolgáltatóra támaszkodnak; az adott piacon aktív harmadik fél IKT-szolgáltatók száma; mekkora költségekkel jár az adatok és az IKT-feladatok egy harmadik fél másik IKT-szolgáltatóhoz való átvitele; valamint a felvigyázási díjak összege, és a megfizetésük előírt módja. Különösen fontos, hogy a Bizottság az előkészítő munkája során megfelelő konzultációkat folytasson, többek között szakértői szinten is, és hogy e konzultációkra a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásban (22) megállapított elvekkel összhangban kerüljön sor. Így különösen a felhatalmazáson alapuló jogi aktusok előkészítésében való egyenlő részvétel biztosítása érdekében az Európai Parlamentnek és a Tanácsnak a tagállamok szakértőivel egyidejűleg kell kézhez kapnia minden dokumentumot, és szakértőik számára lehetővé kell tenni a Bizottság felhatalmazáson alapuló jogi aktusok előkészítésével foglalkozó szakértői csoportjainak ülésein való rendszeres részvételt. |
(99) |
A szabályozástechnikai standardoknak biztosítaniuk kell az e rendeletben megállapított követelmények következetes harmonizálását. Jelentős szakértelemmel rendelkező szervként betöltött szerepkörük részeként az EFH-knak kell kidolgozniuk azon Bizottság részére benyújtandó szabályozástechnikai standardtervezeteket, amelyek nem járnak szakpolitikai döntéshozatallal. Szabályozástechnikai standardokat kell kidolgozni az IKT-kockázatkezelés, a jelentős IKT-vonatkozású események bejelentése, tesztelése terén, valamint a harmadik féltől eredő IKT-kockázat megbízható nyomon követésére vonatkozó alapkövetelményekkel kapcsolatban. A Bizottságnak és az EFH-knak biztosítaniuk kell, hogy az említett standardokat és követelményeket valamennyi pénzügyi szervezet olyan módon tudja alkalmazni, amely arányban áll a méretével és általános kockázati profiljával, valamint szolgáltatásai, tevékenységei és műveletei jellegével, nagyságrendjével és összetettségével. A Bizottságot fel kell hatalmazni arra, hogy az EUMSZ 290. cikke szerinti felhatalmazáson alapuló jogi aktusok útján, valamint az 1093/2010/EU, az 1094/2010/EU és az 1095/2010/EU rendelet 10–14. cikkével összhangban elfogadja az említett szabályozástechnikai standardokat. |
(100) |
A jelentős IKT-vonatkozású eseményekkel és a jelentős pénzforgalmi vonatkozású működési vagy biztonsági eseményekkel kapcsolatos bejelentések összehasonlíthatóságának megkönnyítése érdekében, valamint a harmadik fél IKT-szolgáltatók által nyújtott IKT-szolgáltatások igénybevételéről szóló szerződéses megállapodásokkal kapcsolatos átláthatóság biztosítása céljából az EFH-knak végrehajtás-technikai standardtervezeteket kell kidolgozniuk a jelentős IKT-vonatkozású eseményeknek és a jelentős pénzforgalmi vonatkozású működési vagy biztonsági eseményeknek a pénzügyi szervezetek általi bejelentésére szolgáló egységes mintadokumentumok, űrlapok és eljárások, továbbá az információk nyilvántartásához szükséges egységes mintadokumentumok létrehozása céljából. Az említett standardok kidolgozása során az EFH-knak figyelembe kell venniük a pénzügyi szervezet méretét és általános kockázati profilját, valamint a szolgáltatásai, tevékenységei és műveletei jellegét, nagyságrendjét és összetettségét. A Bizottságot fel kell hatalmazni arra, hogy az EUMSZ 291. cikke szerinti végrehajtási jogi aktusok útján, valamint az 1093/2010/EU, az 1094/2010/EU és az 1095/2010/EU rendelet 15. cikkével összhangban elfogadja az említett végrehajtás-technikai standardokat. |
(101) |
mivel korábban már sor került további követelmények felhatalmazáson alapuló és végrehajtási jogi aktusok útján történő meghatározására az 1060/2009/EK (23), a 648/2012/EU (24), a 600/2014/EU (25) és a 909/2014/EU (26) európai parlamenti és tanácsi rendeletben foglalt szabályozás-technikai és végrehajtás-technikai standardok alapján, helyénvaló felhatalmazni az EFH-kat, hogy akár önállóan, akár a vegyes bizottság keretében együttesen szabályozás-technikai és végrehajtás-technikai standardokat terjesszenek a Bizottság elé azon felhatalmazáson alapuló és végrehajtási jogi aktusok elfogadása céljából, amelyek továbbviszik és aktualizálják a meglévő IKT-kockázatkezelési szabályokat. |
(102) |
mivel ez a rendelet az (EU) 2022/2556 európai parlamenti és tanácsi irányelvvel (27) együtt maga után vonja a pénzügyi szolgáltatásokra vonatkozó uniós vívmányok számos rendeletében és irányelvében, többek között az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU és a 909/2014/EU rendeletben, valamint az (EU) 2016/1011 (28) európai parlamenti és tanácsi rendeletben foglalt, az IKT-kockázatkezelésre vonatkozó rendelkezések egységes szerkezetbe foglalását, a teljes következetesség biztosítása érdekében az említett rendeleteket módosítani kell annak egyértelművé tétele céljából, hogy az alkalmazandó, IKT-kockázatkezeléssel kapcsolatos rendelkezéseket e rendelet állapítja meg. |
(103) |
Következésképpen az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendeletben a működési kockázattal kapcsolatos azon releváns cikkek hatályát, amelyek a felhatalmazáson alapuló és a végrehajtási jogi aktusok elfogadására vonatkozó felhatalmazást tartalmazták, le kell szűkíteni annak érdekében, hogy e rendeletbe kerüljenek át mindazon rendelkezések, amelyek jelenleg az említett rendeletek részét képező, a digitális működési rezilienciával kapcsolatos aspektusokat szabályozzák. |
(104) |
A fizetési rendszerek működtetését és a fizetésfeldolgozási tevékenységek ellátását lehetővé tevő IKT-infrastruktúrák használatával kapcsolatos potenciális rendszerszintű kiberkockázatokat uniós szinten megfelelően kezelni kell a digitális működési rezilienciára vonatkozó harmonizált szabályok útján. E célból a Bizottságnak mielőbb fel kell mérnie, hogy szükség van-e e rendelet hatályának felülvizsgálatára – amely felülvizsgálat egyúttal összehangolandó az (EU) 2015/2366 irányelvben előirányzott átfogó felülvizsgálat eredményével. Az elmúlt évtizedben elkövetett számos nagyszabású támadás mutatja, hogyan váltak a fizetési rendszerek a kiberfenyegetéseknek kitetté. Mivel központi helyzetben vannak a pénzforgalmi szolgáltatási láncban, és erőteljesen összekapcsolódnak az általános pénzügyi rendszerrel, a fizetési rendszerek és a fizetésfeldolgozási tevékenységek kritikus jelentőségre tettek szert az uniós pénzügyi piacok működése szempontjából. Az ilyen rendszerek elleni kibertámadások súlyos működési zavarokat okozhatnak az üzletmenetben, amelyek közvetlenül kihathatnak a legfőbb gazdasági funkciókra – így például a fizetések megkönnyítésére –, és a kapcsolódó gazdasági folyamatokra közvetett hatást gyakorolhatnak. Amíg létre nem jön egy harmonizált rendszer, és meg nem valósul a fizetésirendszer-üzemeltetők és a fizetésfeldolgozó szervezetek feletti uniós szintű felügyelet, a tagállamok – hasonló piaci gyakorlatok alkalmazása céljából – a saját joghatóságuk alatt felügyelt fizetésirendszer-üzemeltetőkre és fizetésfeldolgozó szervezetekre vonatkozó szabályok alkalmazásakor inspirációt nyerhetnek az e rendelettel meghatározott, a digitális működési rezilienciára vonatkozó követelményekből. |
(105) |
mivel e rendelet célját – nevezetesen a szabályozott pénzügyi szervezetek számára magas szintű digitális működési reziliencia megvalósítását – a tagállamok nem tudják kielégítően megvalósítani, mert az számos különböző uniós és nemzeti jogszabály harmonizálását követeli meg, az Unió szintjén azonban e cél nagyságrendje és hatása miatt jobban megvalósítható, az Unió intézkedéseket hozhat a szubszidiaritásnak az Európai Unióról szóló szerződés 5. cikkében foglalt elvével összhangban. Az arányosságnak az említett cikkben foglalt elvével összhangban ez a rendelet nem lépi túl az e cél eléréséhez szükséges mértéket. |
(106) |
Az európai adatvédelmi biztossal az (EU) 2018/1725 európai parlamenti és tanácsi rendelet (29) 42. cikkének (1) bekezdésével összhangban konzultációra került sor, és a biztos 2021. május 10-én véleményt nyilvánított (30), |
ELFOGADTA EZT A RENDELETET:
I. FEJEZET
Általános rendelkezések
1. cikk
Tárgy
(1) Az egységesen magas szintű digitális működési reziliencia elérése érdekében e rendelet egységes követelményeket állapít meg a pénzügyi szervezetek üzleti folyamatait támogató hálózati és információs rendszerek biztonságára vonatkozóan, a következők szerint:
a) |
a pénzügyi szervezetekre a következőkkel kapcsolatban alkalmazandó követelmények:
|
b) |
a harmadik fél IKT-szolgáltatók és a pénzügyi szervezetek között létrejött szerződéses megállapodásokkal kapcsolatos követelmények; |
c) |
a pénzügyi szervezetek részére szolgáltatást nyújtó, kritikus harmadik fél IKT-szolgáltatók tekintetében a felvigyázási keretrendszer létrehozására és végzésére vonatkozó szabályok; |
d) |
az illetékes hatóságok közötti együttműködés szabályai, valamint az illetékes hatóságok felügyeleti és végrehajtási tevékenységére vonatkozó szabályok az e rendeletben szabályozott kérdésekben. |
(2) Az (EU) 2022/2555 irányelv 3. cikkét átültető nemzeti szabályok értelmében alapvető vagy fontos szervezetként azonosított pénzügyi szervezetek tekintetében ez a rendelet az említett irányelv 4. cikkének alkalmazásában ágazatspecifikus uniós jogi aktusnak minősül.
(3) E rendelet nem érinti a tagállamoknak a közbiztonságra, védelemre és nemzetbiztonságra vonatkozó alapvető állami funkciók tekintetében az uniós joggal összhangban fennálló felelősségét.
2. cikk
Hatály
(1) A (3) és a (4) bekezdés sérelme nélkül, e rendelet a következő jogalanyokra alkalmazandó:
a) |
hitelintézetek; |
b) |
pénzforgalmi intézmények, ideértve az (EU) 2015/2366 irányelv alapján mentességet élvező pénzforgalmi intézményeket is; |
c) |
számlainformációkat összesítő szolgáltatók; |
d) |
elektronikuspénz-kibocsátó intézmények, ideértve a 2009/110/EK irányelv alapján mentesített elektronikuspénz-kibocsátó intézményeket is; |
e) |
befektetési vállalkozások; |
f) |
a kriptoeszközök piacairól, valamint az 1093/2010/EU és az 1095/2010/EU rendelet, továbbá a 2013/36/EU és az (EU) 2019/1937 irányelv módosításáról szóló európai parlamenti és tanácsi rendelet (a továbbiakban: a kriptoeszközök piacairól szóló rendelet) alapján engedélyezett kriptoeszköz-szolgáltatók, valamint az eszközalapú tokenek kibocsátói; |
g) |
központi értéktárak; |
h) |
központi szerződő felek; |
i) |
kereskedési helyszínek; |
j) |
kereskedési adattárak; |
k) |
alternatívbefektetésialap-kezelők; |
l) |
alapkezelő társaságok; |
m) |
adatszolgáltatók; |
n) |
biztosítók és viszontbiztosítók; |
o) |
biztosításközvetítők, viszontbiztosítás-közvetítők és a kiegészítő biztosításközvetítői tevékenységet végző személyek; |
p) |
foglalkoztatói nyugellátást szolgáltató intézmények; |
q) |
hitelminősítő intézetek; |
r) |
kritikus referenciamutatók kezelői; |
s) |
közösségi finanszírozási szolgáltatók; |
t) |
értékpapírosítási adattárak; |
u) |
harmadik fél IKT-szolgáltatók. |
(2) E rendelet alkalmazásában az (1) bekezdés a)–t) pontjában említett szervezetek együttes megnevezése: „pénzügyi szervezetek”.
(3) Ez a rendelet nem alkalmazandó a következőkre:
a) |
a 2011/61/EU irányelv 3. cikkének (2) bekezdésében említett alternatívbefektetésialap-kezelők; |
b) |
a 2009/138/EK irányelv 4. cikkében említett biztosítók és viszontbiztosítók; |
c) |
olyan nyugdíjkonstrukciókat működtető foglalkoztatói nyugellátást szolgáltató intézmények, amely nyugdíjkonstrukciók összesen nem rendelkeznek tizenötnél több taggal; |
d) |
a 2014/65/EU irányelv 2. és 3. cikke alapján mentességet élvező természetes vagy jogi személyek; |
e) |
mikrovállalkozásnak vagy kis- vagy középvállalkozásnak minősülő biztosításközvetítők, viszontbiztosítás-közvetítők és kiegészítő biztosításközvetítői tevékenységet végző személyek; |
f) |
a 2013/36/EU irányelv 2. cikke (5) bekezdésének 3. pontjában említett postai elszámolóközpontok. |
(4) A tagállamok kizárhatják e rendelet hatálya alól a 2013/36/EU irányelv 2. cikke (5) bekezdésének 4–23. pontjában említett, saját területükön található jogalanyokat. Amennyiben valamely tagállam él az ilyen lehetőséggel, arról – valamint az ezzel kapcsolatos minden későbbi változásról is – tájékoztatja a Bizottságot. A Bizottság honlapján vagy egyéb könnyű hozzáférést biztosító úton nyilvánosságra hozza az említett információkat.
3. cikk
Fogalommeghatározások
E rendelet alkalmazásában:
1. |
„digitális működési reziliencia”: a pénzügyi szervezet képessége arra, hogy kiépítse, biztosítsa és felülvizsgálja működési integritását és megbízhatóságát azáltal, hogy harmadik fél IKT-szolgáltatók által nyújtott szolgáltatások igénybevételével közvetlenül vagy közvetetten biztosítja azon hálózati és információs rendszerek biztonságának kezeléséhez szükséges IKT-vonatkozású képességek teljes körét, amelyeket a pénzügyi szervezet használ, és amelyek a pénzügyi szolgáltatások folyamatos nyújtását és minőségét támogatják, többek között zavarok fennállásakor is; |
2. |
„hálózati és információs rendszer”: az (EU) 2022/2555 irányelv 6. cikkének 1. pontjában meghatározott hálózati és információs rendszer; |
3. |
„elavult IKT-rendszer”: olyan IKT-rendszer, amely elérte életciklusának végét (kifutási szakaszban van), amely technológiai vagy kereskedelmi okokból már nem alkalmas frissítésre vagy javításra, vagy amelyhez értékesítője vagy harmadik fél IKT-szolgáltató már nem nyújt támogatást, amely azonban még használatban van, és támogatja a pénzügyi szervezet funkcióit; |
4. |
„hálózati és információs rendszerek biztonsága”: az (EU) 2022/2555 irányelv 6. cikkének 2. pontjában meghatározott hálózati és információs rendszerek biztonsága; |
5. |
„IKT-kockázat”: minden olyan, a hálózati és információs rendszerek használata kapcsán észszerűen azonosítható körülmény, amely, ha bekövetkezik, veszélyeztetheti a hálózati és információs rendszerek, valamely technológiafüggő eszköz vagy folyamat, vagy egyéb műveletek és folyamatok vagy a szolgáltatásnyújtás biztonságát azáltal, hogy káros hatásokkal jár a digitális vagy a fizikai környezetre nézve; |
6. |
„információs vagyonelem”: információk olyan tárgyi vagy immateriális gyűjteménye, amely védelemre érdemes; |
7. |
„IKT-eszköz”: a pénzügyi szervezet által használt hálózati és információs rendszerek részét képező szoftver- vagy hardvereszköz; |
8. |
„IKT-vonatkozású esemény”: olyan, a pénzügyi szervezet által nem tervezett egyedi esemény vagy egymással összefüggő események sorozata, amely veszélyezteti a hálózati és információs rendszerek biztonságát, és káros hatása van az adatok rendelkezésre állására, hitelességére, integritására vagy bizalmas jellegére, vagy a pénzügyi szervezet által nyújtott szolgáltatásokra; |
9. |
„pénzforgalmi vonatkozású működési vagy biztonsági esemény”: olyan, a 2. cikk (1) bekezdésének a) d) pontjában említett pénzügyi szervezetek által nem tervezett, akár IKT-vonatkozású, akár egyéb egyedi esemény vagy egymással összefüggő események sorozata, amelynek káros hatása van a pénzforgalmi vonatkozású adatok rendelkezésre állására, hitelességére, integritására vagy bizalmas jellegére, vagy a pénzügyi szervezet által nyújtott pénzforgalmi vonatkozású szolgáltatásokra; |
10. |
„jelentős IKT-vonatkozású esemény”: olyan IKT-vonatkozású esemény, amelynek jelentős káros hatása van a pénzügyi szervezet kritikus vagy fontos funkcióit támogató hálózati és információs rendszerekre; |
11. |
„jelentős pénzforgalmi vonatkozású működési vagy biztonsági esemény”: olyan pénzforgalmi vonatkozású működési vagy biztonsági esemény, amelynek jelentős káros hatása van a pénzügyi szervezetek által nyújtott pénzforgalmi vonatkozású szolgáltatásokra; |
12. |
„kiberfenyegetés”: az (EU) 2019/881 rendelet 2. cikkének 8. pontjában meghatározott kiberfenyegetés; |
13. |
„jelentős kiberfenyegetés”: olyan kiberfenyegetés, amelynek technikai sajátosságai azt jelzik, hogy potenciálisan jelentős IKT-vonatkozású eseményt vagy jelentős pénzforgalmi vonatkozású működési vagy biztonsági eseményt eredményezhet; |
14. |
„kibertámadás”: rosszindulatú IKT-vonatkozású esemény, amelynek során valamely fenyegető szereplő valamely eszköz megsemmisítésére, felfedésére, módosítására, használhatatlanná tételére, eltulajdonítására, az eszközhöz való illetéktelen hozzáférésre, vagy annak illetéktelen felhasználására tesz kísérletet; |
15. |
„fenyegetettséggel kapcsolatos hírszerzés”: azzal a céllal összesített, átalakított, elemzett, értelmezett vagy tovább gazdagított információk, hogy biztosítsák a döntéshozatalhoz szükséges kontextust, és lehetővé tegyék a valamely IKT-vonatkozású esemény vagy kiberfenyegetés hatásainak enyhítéséhez szükséges releváns és elégséges szintű megértést, ideértve valamely kibertámadás technikai részleteit, a támadásért felelősök kilétét, valamint az elkövetés módját és indítékait; |
16. |
„sérülékenység”: valamely vagyonelem, rendszer, folyamat vagy kontroll kihasználható gyengesége, érzékenysége vagy hibája; |
17. |
„fenyegetés alapú behatolási tesztelés (threat led penetration testing, TLPT)”: olyan keret, amely utánozza egy tényleges kiberfenyegetés forrásának tekintett, valós fenyegetést jelentő szereplők taktikáját, módszereit és eljárásait, és amely elvégzi a pénzügyi szervezet kritikus éles rendszereinek kontrollált, testreszabott, hírszerzésen alapuló (red team) tesztelését; |
18. |
„harmadik féltől eredő IKT-kockázat”: a pénzügyi szervezetnél azzal összefüggésben felmerülő esetleges IKT-kockázat, hogy harmadik fél IKT-szolgáltatók vagy azok alvállalkozói által nyújtott szolgáltatásokat vesz igénybe, ideértve a kiszervezés útján igénybe vett IKT-szolgáltatásokat is; |
19. |
„harmadik fél IKT-szolgáltató”: IKT-szolgáltatásokat nyújtó vállalkozás; |
20. |
„csoporton belüli IKT-szolgáltató”: olyan vállalkozás, amely egy pénzügyi csoport részét képezi, és főként az ugyanazon csoportba vagy ugyanazon intézményvédelmi rendszerhez tartozó pénzügyi szervezeteknek – többek között az anyavállalatának, leányvállalatainak és fióktelepeinek, vagy más, közös tulajdonban vagy közös ellenőrzés alatt álló szervezeteknek – történő IKT-szolgáltatásnyújtással foglalkozik; |
21. |
„IKT-szolgáltatások”: IKT-rendszerek útján egy vagy több belső vagy külső felhasználó részére folyamatos jelleggel nyújtott digitális és adatszolgáltatások, ideértve a hardvert mint szolgáltatást és a hardverszolgáltatásokat, ami magában foglalja a hardverszolgáltató általi szoftver- vagy belsőrendszervezérlőprogram-(firmware-)frissítéseket is, ide nem értve a hagyományos analóg telefonszolgáltatásokat; |
22. |
„kritikus vagy fontos funkció”: olyan funkció, amelynek zavara lényegesen rontaná a pénzügyi szervezet pénzügyi teljesítményét, vagy szolgáltatásai és tevékenységei megbízhatóságát vagy folytonosságát, vagy az említett funkció kiesése, hibás vagy meghiúsult működése lényegesen rontaná a pénzügyi szervezet képességét az engedélyében foglalt feltételek és kötelezettségek, valamint a pénzügyi szolgáltatásokra vonatkozó jogszabályokban előírt egyéb kötelezettségei folyamatos teljesítésére; |
23. |
„kritikus harmadik fél IKT-szolgáltató”: a 31. cikkel összhangban kritikusként kijelölt, harmadik fél IKT-szolgáltató; |
24. |
„harmadik országban letelepedett, harmadik fél IKT-szolgáltató”: harmadik országban letelepedett, jogi személyiséggel rendelkező, harmadik fél IKT-szolgáltató, amely egy pénzügyi szervezettel IKT-szolgáltatások nyújtásáról szóló szerződéses megállapodást kötött; |
25. |
„leányvállalat”: a 2013/34/EU irányelv 2. cikke 10. pontjának és 22. cikkének értelmében vett leányvállalkozás; |
26. |
„csoport”: a 2013/34/EU irányelv 2. cikkének 11. pontjában meghatározott csoport; |
27. |
„anyavállalat”: a 2013/34/EU irányelv 2. cikkének 9. pontja és 22. cikke értelmében vett anyavállalat; |
28. |
„harmadik országban letelepedett IKT-alvállalkozó”: harmadik országban letelepedett, jogi személyiséggel rendelkező IKT-alvállalkozó, amely harmadik fél IKT-szolgáltatóval vagy harmadik országban letelepedett, harmadik fél IKT-szolgáltatóval szerződéses megállapodást kötött; |
29. |
„IKT-koncentrációs kockázat”: egyetlen vagy több kapcsolódó kritikus harmadik fél IKT-szolgáltatóval szembeni kitettség, amely az ilyen szolgáltatóktól való olyan mértékű függőséget teremt, hogy egy ilyen szolgáltató rendelkezésre nem állása, meghibásodása vagy egyéb típusú hiányossága potenciálisan veszélyeztetheti a pénzügyi szervezet kritikus vagy fontos funkciók ellátására való képességét, vagy számára más típusú káros hatásokat – többek között nagy veszteségeket – okozhat, vagy veszélyeztetheti az Unió egészének pénzügyi stabilitását; |
30. |
„vezető testület”: a 2014/65/EU irányelv 4. cikke (1) bekezdésének 36. pontjában, a 2013/36/EU irányelv 3. cikke (1) bekezdésének 7. pontjában, a 2009/65/EK európai parlamenti és tanácsi irányelv (31) 2. cikke (1) bekezdésének s. pontjában, a 909/2014/EU rendelet 2. cikke (1) bekezdésének 45. pontjában, az (EU) 2016/1011 rendelet 3. cikke (1) bekezdésének 20. pontjában és a kriptoeszközök piacairól szóló rendelet releváns rendelkezéseiben meghatározott vezető testület, vagy annak tagjaival egyenértékű személyek csoportja, akik ténylegesen működtetik a szervezetet, vagy a releváns uniós vagy nemzeti jogszabályokkal összhangban kulcsfontosságú funkciókat látnak el; |
31. |
„hitelintézet”: az 575/2013/EU európai parlamenti és tanácsi rendelet (32) 4. cikke (1) bekezdésének 1. pontjában meghatározott hitelintézet; |
32. |
„a 2013/36/EU irányelv alapján mentesített intézmény”: valamely, a 2013/36/EU irányelv 2. cikke (5) bekezdésének 4–23. pontjában említett jogalany; |
33. |
„befektetési vállalkozás”: a 2014/65/EU irányelv 4. cikke (1) bekezdésének 1. pontjában meghatározott befektetési vállalkozás; |
34. |
„kis méretű és össze nem kapcsolt befektetési vállalkozás”: olyan befektetési vállalkozás, amely megfelel az (EU) 2019/2033 európai parlamenti és tanácsi rendelet (33) 12. cikkének (1) bekezdésében megállapított feltételeknek; |
35. |
„pénzforgalmi intézmény”: az (EU) 2015/2366 irányelv 4. cikkének 4. pontjában meghatározott pénzforgalmi intézmény; |
36. |
„az (EU) 2015/2366 irányelv alapján mentesített pénzforgalmi intézmény”: az (EU) 2015/2366 irányelv 32. cikkének (1) bekezdése értelmében mentességet élvező pénzforgalmi intézmény; |
37. |
„számlainformációkat összesítő szolgáltató”: az (EU) 2015/2366 irányelv 33. cikkének (1) bekezdésében említett számlainformációkat összesítő szolgáltató; |
38. |
„elektronikuspénz-kibocsátó intézmény”: a 2009/110/EK európai parlamenti és tanácsi irányelv 2. cikkének 1. pontjában meghatározott elektronikuspénz-kibocsátó intézmény; |
39. |
„a 2009/110/EK irányelv alapján mentesített elektronikuspénz-kibocsátó intézmény”: a 2009/110/EK irányelv 9. cikkének (1) bekezdésében foglaltak szerinti, mentességet élvező elektronikuspénz-kibocsátó intézmény; |
40. |
„központi szerződő fél”: a 648/2012/EU rendelet 2. cikkének 1. pontjában meghatározott központi szerződő fél; |
41. |
„kereskedési adattár”: a 648/2012/EU rendelet 2. cikkének 2. pontjában meghatározott kereskedési adattár; |
42. |
„központi értéktár”: a 909/2014/EU rendelet 2. cikke (1) bekezdésének 1. pontjában meghatározott központi értéktár; |
43. |
„kereskedési helyszín”: a 2014/65/EU irányelv 4. cikke (1) bekezdésének 24. pontjában meghatározott kereskedési helyszín; |
44. |
„alternatívbefektetésialap-kezelő”: a 2011/61/EU irányelv 4. cikke (1) bekezdésének b) pontjában meghatározott alternatívbefektetésialap-kezelő; |
45. |
„alapkezelő társaság”: a 2009/65/EK irányelv 2. cikke (1) bekezdésének b) pontjában meghatározott alapkezelő társaság; |
46. |
„adatszolgáltató”: a 600/2014/EU rendelet értelmében vett, annak 2. cikk (1) bekezdésének 34–36. pontjában említett adatszolgáltató; |
47. |
„biztosító”: a 2009/138/EK irányelv 13. cikkének 1. pontjában meghatározott biztosító; |
48. |
„viszontbiztosító”: a 2009/138/EK irányelv 13. cikkének 4. pontjában meghatározott viszontbiztosító; |
49. |
„biztosításközvetítő”: az (EU) 2016/97 európai parlamenti és tanácsi irányelv (34) 2. cikke (1) bekezdésének 3. pontjában meghatározott biztosításközvetítő; |
50. |
„kiegészítő biztosításközvetítői tevékenységet végző személy”: az (EU) 2016/97 irányelv 2. cikke (1) bekezdésének 4. pontjában meghatározott kiegészítő biztosításközvetítői tevékenységet végző személy; |
51. |
„viszontbiztosítás-közvetítő”: az (EU) 2016/97 irányelv 2. cikke (1) bekezdésének 5. pontjában meghatározott viszontbiztosítás-közvetítő; |
52. |
„foglalkoztatói nyugellátást szolgáltató intézmény”: az (EU) 2016/2341 irányelv 6. cikkének 1. pontjában meghatározott foglalkoztatói nyugellátást szolgáltató intézmény; |
53. |
„kis méretű foglalkoztatói nyugellátást szolgáltató intézmény”: olyan nyugdíjkonstrukciókat működtető foglalkoztatói nyugellátást szolgáltató intézmény, amely nyugdíjkonstrukciók összesen nem rendelkeznek száznál több taggal; |
54. |
„hitelminősítő intézet”: az 1060/2009/EK rendelet 3. cikke (1) bekezdésének b) pontjában meghatározott hitelminősítő intézet; |
55. |
„kriptoeszköz-szolgáltató”: a kriptoeszközök piacairól szóló rendelet releváns rendelkezéseiben meghatározott kriptoeszköz-szolgáltató; |
56. |
„eszközalapú tokenek kibocsátója”: a kriptoeszközök piacairól szóló rendelet releváns rendelkezéseiben meghatározott eszközalapú tokenek kibocsátója; |
57. |
„kritikus referenciamutatók kezelője”: az (EU) 2016/1011 rendelet 3. cikke (1) bekezdésének 25. pontjában meghatározott »kritikus referenciamutatók« kezelője; |
58. |
„közösségi finanszírozási szolgáltató”: az (EU) 2020/1503 európai parlamenti és tanácsi rendelet (35) 2. cikke (1) bekezdésének e) pontjában meghatározott közösségi finanszírozási szolgáltató; |
59. |
„értékpapírosítási adattár”: az (EU) 2017/2402 európai parlamenti és tanácsi rendelet (36) 2. cikkének 23. pontjában meghatározott értékpapírosítási adattár; |
60. |
„mikrovállalkozás”: a kereskedési helyszínektől, a központi szerződő felektől, a kereskedési adattáraktól és a központi értéktáraktól eltérő olyan pénzügyi szervezet, amely kevesebb mint 10 főt foglalkoztat, és éves árbevétele és/vagy éves mérlegfőösszege nem haladja meg a 2 millió EUR-t; |
61. |
„vezető felvigyázó”: az e rendelet 31. cikke (1) bekezdésének b) pontjával összhangban kinevezett európai felügyeleti hatóság; |
62. |
„vegyes bizottság”: az 1093/2010/EU, az 1094/2010/EU és az 1095/2010/EU rendelet 54. cikkében említett bizottság; |
63. |
„kisvállalkozás”: olyan pénzügyi szervezet, amely 10 vagy több főt, de kevesebb mint 50 főt foglalkoztat, és 2 millió EUR-t meghaladó, de 10 millió EUR-t meg nem haladó éves árbevétellel és/vagy éves mérlegfőösszeggel rendelkezik; |
64. |
„középvállalkozás”: olyan pénzügyi szervezet, amely nem kisvállalkozás, kevesebb mint 250 főt foglalkoztat, és 50 millió EUR-t meg nem haladó éves árbevétellel és/vagy 43 millió EUR-t meg nem haladó éves mérlegfőösszeggel rendelkezik; |
65. |
„hatóság”: bármely kormányzati vagy egyéb közigazgatási szerv, ideértve a nemzeti központi bankokat is. |
4. cikk
Arányossági elv
(1) A pénzügyi szervezetek a II. fejezetben megállapított szabályokat az arányosság elvével összhangban hajtják végre, figyelembe véve méretüket és általános kockázati profiljukat, valamint szolgáltatásaik, tevékenységeik és működésük jellegét, nagyságrendjét és összetettségét.
(2) Ezenkívül, a III. és a IV. fejezet, valamint az V. fejezeten belüli I. szakasz pénzügyi szervezetek általi alkalmazásának arányban kell állnia méretükkel és általános kockázati profiljukkal, valamint szolgáltatásaik, tevékenységeik és működésük jellegével, nagyságrendjével és összetettségével, amint azt az említett fejezetek releváns szabályai konkrétan előírják.
(3) Az illetékes hatóságoknak figyelembe kell venniük az arányossági elv pénzügyi szervezetek általi alkalmazását, amikor felülvizsgálják az IKT-kockázatkezelési keretrendszer következetességét az illetékes hatóságok kérésére a 6. cikk (5) bekezdésének és a 16. cikk (2) bekezdésének alapján benyújtott jelentések alapján.
II. FEJEZET
IKT-kockázatkezelés
5. cikk
Irányítás és szervezés
(1) A pénzügyi szervezeteknek rendelkezniük kell egy olyan belső irányítási és kontrollkerettel, amely biztosítja az IKT-kockázat eredményes és prudens kezelését a 6. cikk (4) bekezdésével összhangban, a digitális működési reziliencia magas szintjének elérése érdekében.
(2) A pénzügyi szervezet vezető testületének kell meghatároznia, jóváhagynia és felvigyáznia a 6. cikk (1) bekezdésében említett IKT-kockázatkezelési keretrendszerrel összefüggő valamennyi intézkedést, és viselnie a felelősséget azok végrehajtásáért.
Az első albekezdés alkalmazásában a vezető testület:
a) |
viseli a végső felelősséget a pénzügyi szervezet IKT-kockázatainak kezeléséért; |
b) |
bevezet az adatok rendelkezésre állására, hitelességére, integritására és bizalmas kezelésére vonatkozó magas szintű normák fenntartását biztosítani célzó politikákat; |
c) |
egyértelmű feladat- és felelősségi köröket jelöl ki valamennyi IKT-vonatkozású funkcióval összefüggésben, és létrehozza az említett funkciók közötti hatékony és jól időzített kommunikációt, együttműködést és koordinációt biztosító, megfelelő irányítási rendszert; |
d) |
viseli a 6. cikk (8) bekezdésében említett, digitális működési rezilienciára vonatkozó stratégia létrehozásával és jóváhagyásával kapcsolatos általános felelősséget, ideértve a pénzügyi szervezet megfelelő IKT-kockázati toleranciaszintjének a 6. cikk (8) bekezdésének b) pontjában említett megállapítását is; |
e) |
jóváhagyja, felvigyázza és időszakonként felülvizsgálja a pénzügyi szervezetnek a 11. cikk (1), illetve (3) bekezdésében említett IKT-üzletmenetfolytonossági politikáját, illetve IKT-reagálási és -helyreállítási tervét, amelyeknek elfogadására sor kerülhet a pénzügyi szervezet átfogó üzletmenet-folytonossági politikájának, valamint reagálási és helyreállítási tervének integráns részét képező célzott egyedi szabályzat formájában is; |
f) |
jóváhagyja és időszakonként felülvizsgálja a pénzügyi szervezet IKT-vonatkozású belső ellenőrzési terveit, IKT-ellenőrzéseit és azok lényeges módosításait; |
g) |
megállapítja és időszakonként felülvizsgálja a pénzügyi szervezet digitális működési rezilienciával kapcsolatos szükségleteinek kielégítését biztosító költségvetést minden erőforrástípus tekintetében, ideértve a személyzet valamennyi tagja számára biztosítandó, a 13. cikk (6) bekezdésében említett releváns, IKT-biztonsági tudatosságot elősegítő programokat és digitális működési rezilienciával kapcsolatos képzéseket, valamint IKT-készségeket; |
h) |
jóváhagyja és időszakonként felülvizsgálja a pénzügyi szervezetnek a harmadik fél IKT-szolgáltatók által nyújtott IKT-szolgáltatások igénybevételéről szóló megállapodásokkal kapcsolatos szabályait; |
i) |
vállalati szinten létrehozza a következőkkel kapcsolatos megfelelő tájékozódást lehetővé tevő bejelentési csatornákat:
|
(3) A mikrovállalkozásnak nem minősülő pénzügyi szervezeteknek létre kell hozniuk egy feladatkört a harmadik fél IKT-szolgáltatókkal az IKT-szolgáltatások alkalmazásáról kötött megállapodások nyomon követése érdekében, vagy ki kell jelölniük a felső vezetés egy tagját a kapcsolódó kockázati kitettség és a releváns dokumentáció feletti felvigyázásért felelős személyként.
(4) A pénzügyi szervezet vezető testülete tagjainak aktívan tájékozódniuk kell az aktuális információkról annak érdekében, hogy rendelkezésükre álljanak az ahhoz szükséges megfelelő ismeretek és készségek, hogy át tudják látni és értékelni tudják az IKT-kockázatot és annak a pénzügyi szervezet működésére gyakorolt hatását, többek között a kezelés alatt álló IKT-kockázattal arányos, célirányos képzés rendszeres végzése révén.
6. cikk
IKT-kockázatkezelési keretrendszer
(1) A pénzügyi szervezeteknek általános kockázatkezelési rendszerük részeként megbízható, átfogó és jól dokumentált IKT-kockázatkezelési keretrendszerrel kell rendelkezniük, amely lehetővé teszi számukra az IKT-kockázat gyors, hatékony és átfogó kezelését, továbbá a digitális működési reziliencia magas szintjének biztosítását.
(2) Az IKT-kockázatkezelési keretrendszer magában foglalja legalább azon stratégiákat, szabályzatokat, eljárásokat, IKT-protokollokat és -eszközöket, amelyek szükségesek valamennyi információs vagyonelem és IKT-eszköz – többek között a számítógépes szoftverek, hardvereszközök és szerverek – kellő és adekvát védelméhez, valamint valamennyi releváns fizikai rendszerelem és infrastruktúra – így például a telephelyek, az adatközpontok és kijelölt érzékeny területek – védelméhez annak biztosítására, hogy valamennyi információs vagyonelem és IKT-eszköz megfelelő védelmet kapjon a kockázatokkal – köztük a káreseménnyel, valamint az illetéktelen hozzáféréssel és használattal – szemben.
(3) A pénzügyi szervezeteknek az IKT-kockázatkezelési keretrendszerükkel összhangban, megfelelő stratégiák, szabályzatok, eljárások, protokollok és eszközök bevezetésével minimalizálniuk kell az IKT-kockázat hatását. Az IKT-kockázatról és az IKT-kockázatkezelési keretrendszerükről teljeskörű és naprakész tájékoztatást kell nyújtaniuk az illetékes hatóságok számára, azok kérésére.
(4) A mikrovállalkozásnak nem minősülő pénzügyi szervezetek az IKT-kockázat kezelésére és felvigyázására vonatkozó felelősséget egy kontrollfunkcióhoz rendelik hozzá, és az összeférhetetlenségek elkerülése érdekében biztosítják az ilyen kontrollfunkció megfelelő szintű függetlenségét. A pénzügyi szervezetek biztosítják az IKT-kockázatkezelési funkciók, kontrollfunkciók és belső ellenőrzési funkciók megfelelő elkülönítését és függetlenségét a három védelmi vonalra épülő modellnek vagy egy belső kockázatkezelési és kontrollmodellnek megfelelően.
(5) Az IKT-kockázatkezelési keretrendszert dokumentálni kell, és legalább évente egyszer – vagy mikrovállalkozások esetében időszakonként – felül kell vizsgálni, továbbá jelentős IKT-vonatkozású események bekövetkezésekor, valamint a digitális működési reziliencia tesztelésére vagy ellenőrzésére irányuló releváns folyamatokból származó felügyeleti utasításokat és következtetéseket követően. A keretet folyamatosan fejleszteni kell a végrehajtás és a nyomon követés során szerzett tapasztalatok alapján. Az illetékes hatóság kérésére jelentést kell benyújtani számára az IKT-kockázatkezelési keretrendszer felülvizsgálatáról.
(6) A mikrovállalkozásnak nem minősülő pénzügyi szervezetek IKT-kockázatkezelési keretrendszerére ellenőrök általi, rendszeres, a pénzügyi szervezetek ellenőrzési tervével összhangban végzendő belső ellenőrzési kötelezettség vonatkozik. Az említett ellenőröknek elegendő ismerettel, készségekkel és szakértelemmel kell rendelkezniük az IKT-kockázat terén, valamint megfelelő függetlenséggel. Az IKT-ellenőrzések gyakoriságának és fókuszpontjának arányban kell állnia a pénzügyi szervezet IKT-kockázatával.
(7) A pénzügyi szervezetnek a belső ellenőrzési felülvizsgálat következtetései alapján formális utókövetési folyamatot kell kialakítania, beleértve a kritikus IKT-audit megállapítások kellő időben történő igazolására és a hiányosságok korrekciójára vonatkozó szabályokat.
(8) Az IKT-kockázatkezelési keretrendszernek magában kell foglalnia egy digitális működési rezilienciára vonatkozó stratégiát is, amely meghatározza, hogy hogyan hajtandó végre a keret. E célból a digitális működési rezilienciára vonatkozó stratégiának magában kell foglalnia az IKT-kockázat kezelésére és a konkrét IKT-célkitűzések megvalósítására irányuló módszereket, a következők révén:
a) |
ki kell fejteni, hogy az IKT-kockázatkezelési keretrendszer hogyan támogatja a pénzügyi szervezet üzleti stratégiáját és célkitűzéseit; |
b) |
meg kell határozni az IKT-kockázati toleranciaszintet a pénzügyi szervezet kockázatvállalási hajlandóságával összhangban, továbbá elemezni kell az IKT-zavarok hatásaival kapcsolatos toleranciát; |
c) |
egyértelmű információbiztonsági célokat kell kitűzni, megállapítva a fő teljesítménymutatókat és kockázati mérőszámokat is; |
d) |
ismertetni kell az IKT-referenciaarchitektúrát az egyes konkrét üzleti célkitűzések eléréséhez szükséges változtatásokkal együtt; |
e) |
fel kell vázolni azon különböző mechanizmusokat, amelyeket az IKT-vonatkozású események észlelése, hatásaik megelőzése és az azzal szembeni védelem céljából vezettek be; |
f) |
a bejelentett jelentős IKT-vonatkozású események számát és a megelőző intézkedések eredményességét alapul véve, bizonyítékokkal alá kell támasztani a digitális működési reziliencia aktuális helyzetét; |
g) |
e rendelet IV. fejezetével összhangban el kell végezni a digitális működési reziliencia tesztelését; |
h) |
fel kell vázolni az IKT-vonatkozású események esetén alkalmazandó kommunikációs stratégiát, amelynek közzététele a 14. cikkel összhangban kötelező. |
(9) A pénzügyi szervezetek a (8) bekezdésben említett, digitális működési rezilienciára vonatkozó stratégia keretében meghatározhatnak egy több szolgáltatóra épülő, holisztikus IKT-stratégiát is – akár csoport-, akár szervezeti szinten –, amely bemutatja a harmadik fél IKT-szolgáltatóktól való főbb függőségeket, és kifejti a harmadik fél IKT-szolgáltatóknál alkalmazott beszerzési mix indokait.
(10) A pénzügyi szervezetek az uniós és a nemzeti ágazati jogszabályokkal összhangban kiszervezhetik az IKT-kockázatkezelési követelményeknek való megfelelés ellenőrzésének feladatait csoporton belüli vagy külső vállalkozásokhoz. Kiszervezés esetén a pénzügyi szervezet továbbra is teljes felelősséggel tartozik az IKT-kockázatkezelési követelményeknek való megfelelés ellenőrzéséért.
7. cikk
IKT-rendszerek, -protokollok és -eszközök
A pénzügyi szervezetek az IKT-kockázat kezelése érdekében olyan naprakész IKT-rendszereket, -protokollokat és -eszközöket alkalmaznak és tartanak fenn, amelyek:
a) |
az arányosságnak a 4. cikkben említett elvével összhangban megfelelnek a tevékenységeik folytatását támogató műveletek nagyságrendjének; |
b) |
megbízhatóak; |
c) |
elegendő kapacitással rendelkeznek a tevékenységek elvégzéséhez és a szolgáltatások időben történő nyújtásához szükséges adatok pontos feldolgozására, továbbá szükség szerint a kiugróan magas megbízások, üzenetküldési vagy ügyleti volumenek kezelésére, többek között amennyiben új technológia bevezetésére kerül sor; |
d) |
technológiai szempontból reziliensek annak érdekében, hogy szükség szerint, piaci stresszhelyzetben vagy egyéb kedvezőtlen helyzetekben megfelelően kezeljék a további információs feldolgozási igényeket. |
8. cikk
Azonosítás
(1) A 6. cikk (1) bekezdésében említett IKT-kockázatkezelési keretrendszer részeként a pénzügyi szervezeteknek azonosítaniuk, osztályozniuk és megfelelően dokumentálniuk kell valamennyi, az IKT-ra támaszkodó üzleti funkciót, feladat- és felelősségi kört, az említett funkciókat támogató információs vagyonelemeket és IKT-eszközöket, valamint azok IKT-kockázattal kapcsolatos feladatkörét és függőségeit. A pénzügyi szervezeteknek szükség szerint, de legalább évente felül kell vizsgálniuk ezen osztályozás és minden releváns dokumentáció megfelelőségét.
(2) A pénzügyi szervezeteknek folyamatosan azonosítaniuk kell az IKT-kockázat valamennyi forrását, különösen a más pénzügyi szervezetekkel szembeni és azoktól eredő kockázati kitettséget, továbbá értékelniük kell az IKT-ra támaszkodó üzleti funkcióik, információs vagyonelemeik és IKT-eszközeik szempontjából releváns kiberfenyegetéseket és IKT-sérülékenységeket. A pénzügyi szervezeteknek rendszeresen, de legalább évente felül kell vizsgálniuk az őket érintő kockázati forgatókönyveket.
(3) A mikrovállalkozásnak nem minősülő pénzügyi szervezeteknek a hálózati és információsrendszer-infrastruktúrában, az IKT-ra támaszkodó üzleti funkcióikat, információs vagyonelemeiket és IKT-eszközeiket érintő folyamatokban és eljárásokban bekövetkezett minden jelentős változást követően kockázatértékelést kell végezniük.
(4) A pénzügyi szervezeteknek azonosítaniuk kell valamennyi információs vagyonelemet és IKT-eszközt, ideértve a távoli helyeken találhatókat is, továbbá a hálózati erőforrásokat és a hardvereszközöket, és fel kell térképezniük, hogy melyek tekinthetők kritikusnak. Fel kell térképezniük az információs vagyonelemek és IKT-eszközök konfigurációját, valamint a különböző információs vagyonelemek és IKT-eszközök közötti kapcsolatokat és kölcsönös függőségeket.
(5) A pénzügyi szervezeteknek azonosítaniuk és dokumentálniuk kell a harmadik fél IKT-szolgáltatóktól függő valamennyi folyamatot, valamint azonosítaniuk kell a kritikus vagy fontos funkciókat támogató szolgáltatást nyújtó, harmadik fél IKT-szolgáltatókkal meglévő összeköttetéseket.
(6) Az (1), (4) és (5) bekezdés alkalmazásában a pénzügyi szervezeteknek releváns nyilvántartásokat kell vezetniük, valamint azokat időszakonként és minden alkalommal, amikor a (3) bekezdésben említett jelentős változás következik be, frissíteniük kell.
(7) A mikrovállalkozásnak nem minősülő pénzügyi szervezeteknek rendszeresen, de legalább évente, továbbá a technológiák, alkalmazások vagy rendszerek összekapcsolása előtt és után minden esetben célzottan értékelniük kell valamennyi elavult IKT-rendszer IKT-kockázatait.
9. cikk
Védelem és megelőzés
(1) Az IKT-rendszerek megfelelő védelme céljából és a válaszintézkedések megszervezése érdekében a pénzügyi szervezetek folyamatosan nyomon követik és ellenőrzik az IKT-rendszerek és -eszközök biztonságát és működését, és minimalizálják az IKT-rendszereket érintő IKT-kockázat hatását megfelelő IKT-biztonsági eszközök, szabályzatok és eljárások bevezetésével.
(2) A pénzügyi szervezetek megtervezik, beszerzik és bevezetik azon IKT-biztonsági stratégiákat, szabályzatokat, eljárásokat, protokollokat és eszközöket, amelyek célja biztosítani az IKT-rendszerek rezilienciáját, folytonosságát és rendelkezésre állását – különös tekintettel azokra, amelyek kritikus vagy fontos funkciókat támogatnak –, továbbá fenntartani az adatok rendelkezésre állására, hitelességére, integritására és bizalmas kezelésére vonatkozó magas szintű normákat, legyen szó használaton kívüli, használatban lévő vagy továbbítás alatt álló adatokról.
(3) A (2) bekezdésben említett célkitűzések elérése érdekében a pénzügyi szervezetek olyan IKT-megoldásokat és -folyamatokat alkalmaznak, amelyek a 4. cikkel összhangban megfelelőek. Az említett IKT-megoldásoknak és -folyamatoknak:
a) |
garantálniuk kell az adattovábbítási eszközök biztonságát; |
b) |
minimalizálniuk kell az adatsérülés és -vesztés, a jogosulatlan hozzáférés, valamint az üzleti tevékenységet akadályozható technikai hibák kockázatát; |
c) |
meg kell akadályozniuk az adatok rendelkezésre állásának hiányát, hitelességének és integritásának sérülését, bizalmas kezelésének megsértését és az adatvesztést; |
d) |
biztosítaniuk kell az adatoknak az adatgazdálkodás során felmerülő kockázatokkal szembeni védelmét, ideértve a nem megfelelő kezelést, a feldolgozással kapcsolatos kockázatokat és az emberi hibát is. |
(4) A 6. cikk (1) bekezdésében említett IKT-kockázatkezelési keretrendszer részeként a pénzügyi szervezetek:
a) |
információs biztonsági szabályzatot dolgoznak ki és dokumentálnak, amely meghatározza az adatok, az információs vagyonelemek és az IKT-eszközök – ideértve adott esetben az ügyfeleikét is – rendelkezésre állását, hitelességét, integritását és bizalmas kezelését védeni célzó szabályokat; |
b) |
kockázatalapú megközelítést követve, létrehoznak egy megbízható hálózati és infrastruktúra-menedzsment struktúrát, megfelelő technikákat, módszereket és protokollokat alkalmazva, amelyek magukban foglalhatják automatizált mechanizmusok végrehajtását is, az érintett információs vagyonelemek kibertámadás esetén történő elszigetelése érdekében; |
c) |
olyan szabályzatokat hajtanak végre, amelyek az információs vagyonelemekhez és az IKT-eszközökhöz való fizikai vagy logikai hozzáférést kizárólag a jogszerű és jóváhagyott funkciókhoz és tevékenységekhez szükséges mértékűre korlátozzák, és e célból olyan szabályzatokat, eljárásokat és kontrollokat határoznak meg, amelyek szabályozzák a hozzáférés-kezelési jogosultságokat, és biztosítják azok megbízható adminisztrációját; |
d) |
erős hitelesítési mechanizmusokat szolgáló szabályzatokat és protokollokat vezetnek be releváns normák és célzott kontrollrendszerek alapján, valamint a kriptográfiai kulcsokhoz kapcsolódó védelmi intézkedéseket hajtanak végre, ahol az adatok jóváhagyott adatminősítési és IKT-kockázatértékelési folyamatok eredményei alapján kerülnek titkosításra; |
e) |
az IKT-változás többek között a szoftver-, hardver- és belsővezérlőprogram-összetevőket, -rendszert vagy -biztonságot érintő változások kezelését szolgáló, olyan dokumentált szabályzatokat, eljárásokat és kontrollokat vezetnek be, amelyek kockázatértékelési megközelítésen alapulnak, és integráns részét képezik a pénzügyi szervezet általános változásmenedzsment-folyamatának, annak biztosítása érdekében, hogy az IKT-rendszerekben bekövetkező valamennyi változást kontrollált módon rögzítsék, teszteljék, értékeljék, hagyják jóvá, hajtsák végre és ellenőrizzék; |
f) |
megfelelő és átfogó, dokumentált szabályzatokkal rendelkeznek a hibajavító csomagokra és frissítésekre vonatkozóan. |
A b) pont első albekezdésének alkalmazásában a pénzügyi szervezetek a hálózati kapcsolati infrastruktúrát azonnali megszakításra vagy szakaszokra bontásra alkalmas módon alakítják ki annak érdekében, hogy minimalizálják és megelőzzék az átterjedést, különösen az összekapcsolt pénzügyi folyamatok esetében.
Az e) pont első albekezdésének alkalmazásában az IKT-vonatkozású változásmenedzsment-folyamatot a megfelelő vezetői szintnek kell jóváhagynia, és annak konkrét protokollokkal kell rendelkeznie.
10. cikk
Észlelés
(1) A pénzügyi szervezeteknek rendelkezniük kell azt lehetővé tevő mechanizmusokkal, hogy a 17. cikknek megfelelően azonnal észleljék a rendellenes tevékenységeket – beleértve az IKT-hálózatok teljesítményproblémáit és az IKT-vonatkozású eseményeket is –, továbbá hogy azonosítsák a potenciális lényeges egyedi meghibásodási pontokat.
Az első albekezdésben említett valamennyi észlelési mechanizmust a 25. cikkel összhangban rendszeresen tesztelnie kell.
(2) Az (1) bekezdésben említett észlelési mechanizmusoknak lehetővé kell tenniük a többszintű kontrollt, valamint meg kell határozniuk az IKT-vonatkozású események válaszfolyamatait kiváltó és elindító riasztási értékhatárokat és kritériumokat, ideértve az automatikus riasztási mechanizmusokat az IKT-vonatkozású eseményekre való reagálásért felelős, releváns személyzet számára.
(3) A pénzügyi szervezeteknek elegendő erőforrásokat és képességeket kell biztosítaniuk a felhasználói tevékenységek, valamint az IKT-vonatkozású rendellenességek és biztonsági események, különösen a kibertámadások előfordulásának nyomon követéséhez.
(4) Az adatszolgáltatóknak ezenkívül rendelkezniük kell olyan rendszerekkel, amelyek eredményesen ellenőrizhetik a kereskedési jelentéseket azok teljeskörűsége szempontjából, azonosíthatják a kihagyásokat és a nyilvánvaló hibákat, és kérhetik az említett jelentések újraküldését.
11. cikk
Reagálás és helyreállítás
(1) A 6. cikk (1) bekezdésében említett IKT-kockázatkezelési keretrendszer részeként, a 8. cikkben említett azonosítási követelmények alapján a pénzügyi szervezeteknek átfogó IKT-üzletmenetfolytonossági politikát kell bevezetniük, amelyet a pénzügyi szervezet átfogó üzletmenet-folytonossági politikájának integráns részét képező célzott egyedi szabályzatként is elfogadhatnak.
(2) A pénzügyi szervezeteknek az IKT-üzletmenetfolytonossági politikát célzott, megfelelő és dokumentált intézkedések, tervek, eljárások és mechanizmusok útján kell végrehajtaniuk, a következők céljából:
a) |
a folytonosság biztosítása a pénzügyi szervezet kritikus vagy fontos funkcióinak ellátásában; |
b) |
valamennyi IKT-vonatkozású eseményre gyors, megfelelő és eredményes reagálás és annak megoldása a kár mérséklésével, a tevékenység újraindítását és a helyreállítási intézkedéseket előtérbe helyezve; |
c) |
célzott tervek haladéktalan aktiválása, amelyek lehetővé teszik az IKT-vonatkozású események egyes típusainak megfelelő, elszigetelésre irányuló intézkedések, folyamatok és technológiák alkalmazását, a további károk megelőzését, valamint a 12. cikkel összhangban kialakított célzott reagálási és helyreállítási intézkedéseket; |
d) |
előzetes hatások, károk és veszteségek felmérése; |
e) |
olyan kommunikációs és válságkezelési intézkedések meghatározása, amelyek biztosítják a naprakész információk eljuttatását a releváns belső személyzet valamennyi tagja és valamennyi külső érdekelt fél részére a 14. cikk, valamint az illetékes hatóságok részére a 19. cikk szerint. |
(3) A 6. cikk (1) bekezdésében említett IKT-kockázatkezelési keretrendszer részeként a pénzügyi szervezeteknek kapcsolódó IKT-vonatkozású reagálási és helyreállítási terveket kell bevezetniük, amelyeket a mikrovállalkozásnak nem minősülő pénzügyi szervezetek esetében független belső felülvizsgálatnak kell alávetni.
(4) A pénzügyi szervezeteknek – különösen a harmadik fél IKT-szolgáltatókkal kötött megállapodások keretében kiszervezett vagy megbízásba adott kritikus vagy lényeges funkciókra vonatkozóan – megfelelő IKT-üzletmenetfolytonossági terveket kell bevezetniük és fenntartaniuk, amelyeket időszakonként tesztelniük kell.
(5) Az átfogó üzletmenet-folytonossági politika részeként a pénzügyi szervezeteknek üzleti hatáselemzést (BIA) kell végezniük az üzletmenetben okozott súlyos zavaroknak való kitettségükről. Az üzleti hatáselemzés keretében a pénzügyi szervezeteknek mennyiségi és minőségi kritériumok alapján értékelniük kell az üzletmenetben okozott súlyos zavarok lehetséges hatását, adott esetben belső és külső adatok és forgatókönyv-elemzés felhasználásával. Az üzleti hatáselemzésnek tekintetbe kell vennie az azonosított és felvázolt üzleti funkcióknak, támogatási folyamatoknak, harmadik felektől való függőségeknek és információs vagyonelemeknek, valamint azok kölcsönös függőségeinek a kritikusságát. A pénzügyi szervezeteknek biztosítaniuk kell, hogy az IKT-eszközöket és IKT-szolgáltatásokat az üzleti hatáselemzéssel teljes összhangban alakítsák ki és használják, különösen valamennyi kritikus összetevő redundanciájának megfelelő biztosítása tekintetében.
(6) Átfogó IKT-kockázatkezelésük keretében a pénzügyi szervezeteknek:
a) |
tesztelniük kell az IKT-üzletmenetfolytonossági terveket és az IKT-reagálási és -helyreállítási terveket a valamennyi funkciót támogató IKT-rendszerekhez kapcsolódóan legalább évente, valamint a kritikus vagy fontos funkciókat támogató IKT-rendszereket érintő bármely jelentős változás bekövetkezése esetén; |
b) |
tesztelniük kell a 14. cikknek megfelelően kialakított válsághelyzeti kommunikációs terveket. |
Az első albekezdés a) pontjának alkalmazásában a mikrovállalkozásnak nem minősülő pénzügyi szervezeteknek a tesztelési terveikben szerepeltetniük kell a kibertámadásokra, továbbá az elsődleges IKT-infrastruktúrájuk és a 12. cikkben meghatározott kötelezettségek teljesítéséhez szükséges tartalékkapacitás, biztonsági mentések és tartalékeszközök közötti átállásokra vonatkozó forgatókönyveket.
A pénzügyi szervezeteknek rendszeresen felül kell vizsgálniuk az IKT-üzletmenetfolytonossági politikájukat, valamint az IKT-reagálási és -helyreállítási terveiket, figyelembe véve az első albekezdés szerint elvégzett tesztek eredményeit, valamint az ellenőrzések és felügyeleti felülvizsgálatok alapján megfogalmazott ajánlásokat.
(7) A mikrovállalkozásnak nem minősülő pénzügyi szervezeteknek olyan válságkezelési funkcióval kell rendelkezniük, amely az IKT-üzletmenet-folytonossági terveik vagy az IKT-reagálási és helyreállítási terveik aktiválása esetén a 14. cikkel összhangban többek között egyértelmű eljárásokat határoz meg a belső és külső válsághelyzeti kommunikáció kezelésére vonatkozóan.
(8) A pénzügyi szervezeteknek az olyan, zavart okozó eseményeket megelőzően és azok időtartama alatt végzett tevékenységekről, amikor az IKT-üzletmenetfolytonossági terveik és az IKT-reagálási és -helyreállítási terveik aktiválására kerül sor, könnyen hozzáférhető nyilvántartást kell vezetniük.
(9) A központi értéktáraknak az illetékes hatóságok rendelkezésére kell bocsátaniuk az IKT-vonatkozású üzletmenet-folytonossági tesztek vagy hasonló műveletek eredményeinek másolatát.
(10) A mikrovállalkozásnak nem minősülő pénzügyi szervezeteknek az illetékes hatóságok kérésére jelentést kell tenniük a jelentős IKT-vonatkozású események által okozott költségek és veszteségek összesített éves becsléséről.
(11) Az 1093/2010/EU rendelet, az 1094/2010/EU rendelet és az 1095/2010/EU rendelet 16. cikkével összhangban az EFH-knak a vegyes bizottság keretében 2024. július 17-ig közös iránymutatásokat kell kidolgozniuk a (10) bekezdésben említett költségek és veszteségek összesített éves becslésére vonatkozóan.
12. cikk
Biztonsági mentési szabályzatok és eljárások, visszaállítási és helyreállítási eljárások és módszerek
(1) Annak biztosítása céljából, hogy IKT-rendszereiket és adataikat minimális leállási időt, valamint korlátozott mértékű zavart és veszteséget követően állíthassák helyre, a pénzügyi szervezeteknek – IKT-kockázatkezelési keretrendszerük részeként – ki kell dolgozniuk és dokumentálniuk kell a következőket:
a) |
olyan biztonsági mentési szabályzatok és eljárások, amelyek az információk kritikussága vagy az adatok bizalmassági szintje alapján meghatározzák a biztonsági mentéssel érintett adatok körét és a biztonsági mentés minimális gyakoriságát; |
b) |
visszaállítási és helyreállítási eljárások és módszerek. |
(2) A pénzügyi szervezeteknek létre kell hozniuk biztonsági mentési rendszereket, amelyek aktiválhatók a biztonsági mentési szabályzatoknak és eljárásoknak megfelelően, valamint a visszaállítási és helyreállítási eljárásokat és módszereket. A biztonsági mentési rendszerek aktiválása nem veszélyeztetheti a hálózati és információs rendszerek biztonságát, vagy az adatok rendelkezésre állását, hitelességét, integritását vagy bizalmas kezelését. A biztonsági mentési eljárásokat, valamint a visszaállítási és helyreállítási eljárásokat és módszereket időszakonként tesztelni kell.
(3) Az adatok biztonsági mentés alapján, saját rendszerekkel végzett helyreállításához a pénzügyi szervezeteknek olyan IKT-rendszereket kell használniuk, amelyek fizikailag és logikailag elkülönülnek a forrásoldali IKT-rendszertől. Az IKT-rendszereket védeni kell minden illetéktelen hozzáféréssel vagy IKT-sérüléssel szemben, és lehetővé kell tenni a szolgáltatások időben történő visszaállítását az adatok és a rendszer biztonsági mentéseinek szükség szerinti felhasználásával.
A központi szerződő felek esetében a helyreállítási terveknek lehetővé kell tenniük a zavar bekövetkezésekor folyamatban lévő valamennyi tranzakció helyreállítását, hogy a központi szerződő fél biztonsággal folytatni tudja működését, és a tervezett időben le tudja zárni az ügyleteket.
Az adatszolgáltatóknak emellett megfelelő erőforrásokat kell fenntartaniuk, valamint biztonsági mentési és helyreállítási eszközökkel kell rendelkezniük annak érdekében, hogy mindenkor kínálhassák és fenntarthassák szolgáltatásaikat.
(4) A mikrovállalkozásnak nem minősülő pénzügyi szervezeteknek olyan IKT-tartalékkapacitásokat kell fenntartaniuk, amelyek biztosítják az üzleti igények ellátásához elégséges és megfelelő erőforrásokat, képességeket és funkciókat. A mikrovállalkozásoknak kockázati profiljukat alapul véve, mérlegelniük kell, hogy szükséges-e ilyen IKT-tartalékkapacitásokat fenntartaniuk.
(5) A központi értéktáraknak fenn kell tartaniuk legalább egy másodlagos adatfeldolgozó helyszínt, amely rendelkezik az üzleti igényeik ellátásához szükséges megfelelő erőforrásokkal, képességekkel, funkciókkal és személyi feltételekkel.
A másodlagos adatfeldolgozási helyszínnek:
a) |
olyan földrajzi távolságra kell elhelyezkednie az elsődleges adatfeldolgozási helyszíntől, amely biztosítja, hogy attól elkülönülő kockázati profillal rendelkezzen, és ne érintsék az elsődleges helyszínt érintő esemény hatásai; |
b) |
képesnek kell lennie arra, hogy biztosítsa a kritikus vagy fontos funkcióknak az elsődleges helyszínnel azonos folytonosságát, vagy az ahhoz szükséges szolgáltatási szintet, hogy a pénzügyi szervezet működési folyamatai teljesítsék a helyreállítási célkitűzéseket; |
c) |
azonnal elérhetőnek kell lennie a pénzügyi szervezet személyzete számára, biztosítandó a kritikus vagy fontos funkciók folytonosságát abban az esetben, ha az elsődleges adatfeldolgozási helyszín elérhetetlenné vált. |
(6) Az egyes funkciókhoz kapcsolódó helyreállítási időre és helyreállítási pontra vonatkozó célkitűzések megállapításakor a pénzügyi szervezeteknek figyelembe kell venniük, hogy kritikus vagy fontos funkcióról van-e szó, valamint a piaci hatékonyságra potenciálisan gyakorolt általános hatást. Az ilyen, időre vonatkozó célkitűzéseknek biztosítaniuk kell a megállapodás szerinti szolgáltatási szintek teljesítését rendkívüli helyzetekben.
(7) IKT-vonatkozású eseményt követő helyreállítás során a pénzügyi szervezeteknek el kell végezniük a szükséges ellenőrzéseket – ideértve az esetleges többszörös ellenőrzést és adategyeztetést –, hogy fenntartsák az adatok legmagasabb szintű integritását. A szervezeteknek az adatok külső érdekelti forrásból való rekonstruálása esetén is el kell végezniük ezen ellenőrzéseket, hogy biztosítsák valamennyi adat rendszerek közötti következetességét.
13. cikk
Tanulás és alkalmazkodás
(1) A pénzügyi szervezeteknek rendelkezniük kell képességekkel és személyzettel ahhoz, hogy információkat gyűjtsenek a sérülékenységekről és kiberfenyegetésekről, valamint az IKT-vonatkozású eseményekről – különösen a kibertámadásokról –, és elemezzék azok valószínű hatását a szervezet digitális működési rezilienciájára.
(2) A pénzügyi szervezetek az alaptevékenységeiket megzavaró, jelentős IKT-vonatkozású eseményeket követően elvégzik az IKT-vonatkozású események utólagos felülvizsgálatát, elemezve a zavar okait, és azonosítva az IKT-műveletekben vagy a 11. cikkben említett IKT-üzletmenetfolytonossági politikában teendő szükséges javításokat.
A mikrovállalkozásnak nem minősülő pénzügyi szervezeteknek kérésre tájékoztatniuk kell az illetékes hatóságokat az IKT-vonatkozású események első albekezdésben említett utólagos felülvizsgálatát követően végrehajtott változásokról.
Az IKT-vonatkozású események első albekezdésben említett utólagos felülvizsgálata keretében meg kell állapítani, hogy a kialakított eljárásokat követték-e, és a megtett intézkedések eredményesek voltak-e többek között a következők vonatkozásában:
a) |
a biztonsági riasztásokra való reagálásnak, valamint az IKT-vonatkozású események hatása és súlyossága megállapításának a gyorsasága; |
b) |
adott esetben az igazságügyi szakértői elemzés elvégzésének minősége és sebessége; |
c) |
a biztonsági események pénzügyi szervezeten belüli eszkalációjának eredményessége; |
d) |
a belső és külső kommunikáció eredményessége. |
(3) A digitális működési reziliencia 26. és 27. cikkel összhangban végzett teszteléséből, a valós IKT-vonatkozású eseményekből, ezen belül különösen a kibertámadásokból, továbbá az IKT-üzletmenetfolytonossági tervek és az IKT-reagálási és -helyreállítási tervek aktiválása során felmerült kihívásokból, valamint a partnerekkel kicserélt és a felügyeleti felülvizsgálatok során értékelt információkból származó tapasztalatokat a szervezetnek megfelelően és folyamatosan be kell építenie az IKT-kockázatértékelés folyamatába. Az említett megállapítások képezik a 6. cikk (1) bekezdésében említett IKT-kockázatkezelési keretrendszer releváns összetevői megfelelő felülvizsgálatának alapját.
(4) A pénzügyi szervezetek nyomon követik a 6. cikk (8) bekezdésében meghatározott, a digitális működési rezilienciára vonatkozó stratégiájuk végrehajtásának eredményességét. Felvázolják az IKT-kockázat időbeli alakulását, elemzik az IKT-vonatkozású események – így különösen a kibertámadások és mintázataik – gyakoriságát, típusait, nagyságát és alakulását, abból a célból, hogy megértsék az IKT-kockázati kitettség szintjét – különösen a kritikus vagy fontos funkciókkal kapcsolatban –, és javítsák a pénzügyi szervezet kiberbiztonsági érettségét és felkészültségét.
(5) A vezető IKT-munkatársaknak legalább évente be kell számolniuk a vezető testületnek a (3) bekezdésben említett megállapításokról, és javaslatokat kell előterjeszteniük.
(6) A pénzügyi szervezeteknek a személyzetük képzési rendszerének részét képező kötelező modulokként IKT-biztonsági tudatosságot elősegítő programokat és a digitális működési rezilienciával kapcsolatos képzéseket kell kidolgozniuk. Az említett programok és képzések valamennyi munkavállalóra és a felső vezetés valamennyi tagjára alkalmazandók, és azok összetettségi szintjét a munkavállalók feladatköreihez kell igazítani. Adott esetben a pénzügyi szervezeteknek harmadik fél IKT-szolgáltatókat is be kell vonniuk a releváns képzési programjaikba a 30. cikk (2) bekezdésének i) pontjával összhangban.
(7) A mikrovállalkozásnak nem minősülő pénzügyi szervezeteknek folyamatosan nyomon kell követniük a releváns technológiai fejleményeket többek között annak megértése céljából, hogy az új technológiák bevezetésének milyen hatása lehet az IKT-biztonsági követelményekre és a digitális működési rezilienciára. Lépést kell tartaniuk a legkorszerűbb IKT-kockázatkezelési folyamatokkal, hogy eredményesen léphessenek fel a kibertámadások meglévő és új formáival szemben.
14. cikk
Kommunikáció
(1) A 6. cikk (1) bekezdésében említett IKT-kockázatkezelési keretrendszer részeként a pénzügyi szervezeteknek válsághelyzeti kommunikációs tervvel kell rendelkezniük, amely legalább a jelentős IKT-vonatkozású eseményekről és sérülékenységekről lehetővé teszi az ügyfelek, partnerek, valamint adott esetben a nyilvánosság felelős tájékoztatását.
(2) Az IKT-kockázatkezelési keretrendszer részeként a pénzügyi szervezeteknek a saját személyzetükre és a külső érdekeltekre vonatkozó kommunikációs szabályzatot kell bevezetniük. A személyzetre vonatkozó kommunikációs szabályzatban figyelembe kell venni annak szükségességét, hogy különbséget tegyenek az IKT-kockázatkezelésért, különösen a reagálásért és helyreállításért felelős munkatársak, valamint a tájékoztatást igénylő munkatársak között.
(3) A pénzügyi szervezeten belül legalább egy személyt meg kell bízni az IKT-vonatkozású eseményekre vonatkozó kommunikációs stratégia végrehajtásával, akinek e célból a nyilvánossággal és a médiával kapcsolatos feladatot is el kell látnia.
15. cikk
Az IKT-kockázatkezelési eszközök, módszerek, folyamatok és szabályzatok további harmonizációja
Az EFH-knak a vegyes bizottság keretében, az Európai Uniós Kiberbiztonsági Ügynökséggel (ENISA) egyeztetve. közös szabályozástechnikai standardtervezeteket kell kidolgozniuk annak érdekében, hogy:
a) |
meghatározzák azon további elemeket, amelyeket a 9. cikk (2) bekezdésében említett IKT-biztonsági szabályzatoknak, eljárásoknak, protokolloknak és eszközöknek tartalmazniuk kell a hálózatok biztonságának garantálása, a behatolások és az adatokkal való visszaélés elleni megfelelő biztosítékok lehetővé tétele, az adatok rendelkezésre állásának, hitelességének, integritásának és bizalmas jellegének többek között kriptográfiai technikákkal történő megőrzése, továbbá a garantáltan pontos és gyors, jelentős zavaroktól és indokolatlan késedelemtől mentes adattovábbítás érdekében; |
b) |
kidolgozzák a hozzáférés-kezelési jogosultságokra vonatkozó, a 9. cikk (4) bekezdésének c) pontjában említett kontrollok további összetevőit és a kapcsolódó humánerőforrás-politikát, amely meghatározza a hozzáférési jogosultságokat, a jogosultságok kiosztására és visszavonására, az IKT-kockázattal kapcsolatos rendellenes magatartásformák megfelelő többek között hálózathasználati mintákra, időbeosztásra, IT-tevékenységre és ismeretlen eszközökre vonatkozó mutatókon keresztül történő nyomon követésére vonatkozó eljárásokat; |
c) |
részletesen kidolgozzák a 10. cikk (1) bekezdésében meghatározott, a rendellenes tevékenységek azonnali észlelésére szolgáló mechanizmusokat, valamint a 10. cikk (2) bekezdésében megállapított azon kritériumokat, amelyek alapján az IKT-vonatkozású események észlelési és válaszfolyamatainak beindítására sor kerül; |
d) |
részletesen meghatározzák a 11. cikk (1) bekezdésében említett IKT-üzletmenetfolytonossági politika összetevőit; |
e) |
részletesen meghatározzák az IKT-üzletmenetfolytonossági tervek 11. cikk (6) bekezdésében említett tesztelését annak biztosítására, hogy az ilyen tesztelés kellőképpen figyelembe vegyen olyan forgatókönyveket, amelyek szerint egy kritikus vagy lényeges funkció ellátása elfogadhatatlan színvonalúra csökken vagy meghiúsul, és kellőképpen tekintetbe vegye bármely releváns harmadik fél IKT-szolgáltató fizetésképtelenségének vagy egyéb hiányosságainak potenciális hatásait, valamint adott esetben a vonatkozó szolgáltatók joghatósági területén fennálló politikai kockázatokat; |
f) |
részletesen meghatározzák a 11. cikk (3) bekezdésében említett IKT-reagálási és -helyreállítási tervek összetevőit; |
g) |
részletesen meghatározzák a 6. cikk (5) bekezdésében említett, az IKT-kockázatkezelési keretrendszer felülvizsgálatáról szóló jelentés tartalmát és formátumát. |
Az említett szabályozástechnikai standardtervezetek kidolgozása során az európai felügyeleti hatóságoknak figyelembe kell venniük a pénzügyi szervezet méretét és általános kockázati profilját, valamint szolgáltatásainak, tevékenységeinek és műveleteinek jellegét, nagyságrendjét és összetettségét, ugyanakkor kellően tekintetbe kell venniük a különböző pénzügyi szolgáltatási ágazatokban végzett tevékenységek eltérő jellegéből eredő sajátos jellemzőket.
Az EFH-knak az említett szabályozástechnikai standardtervezeteket 2024. január 17-ig be kell nyújtaniuk a Bizottságnak.
A Bizottság felhatalmazást kap arra, hogy az 1093/2010/EU, az 1094/2010/EU és az 1095/2010/EU rendelet 10–14. cikkével összhangban az első bekezdésben említett szabályozástechnikai standardok elfogadása útján kiegészítse ezt a rendeletet.
16. cikk
Egyszerűsített IKT-kockázatkezelési keretrendszer
(1) E rendelet 5–15. cikke nem alkalmazandó a következőkre: az (EU) 2015/2366 irányelv alapján mentesített kis méretű és össze nem kapcsolt befektetési vállalkozások, pénzforgalmi intézmények; a 2013/36/EU irányelv alapján mentesített azon intézmények, amelyek tekintetében a tagállamok úgy döntöttek, hogy nem alkalmazzák az e rendelet 2. cikkének (4) bekezdésében említett opciót; a 2009/110/EK irányelv alapján mentesített elektronikuspénz-kibocsátó intézmények; és a kis méretű foglalkoztatói nyugellátást szolgáltató intézmények.
Az első albekezdés sérelme nélkül az első albekezdésben felsorolt szervezeteknek:
a) |
megbízható és dokumentált IKT-kockázatkezelési keretrendszert kell létrehozniuk és fenntartaniuk, amely részletezi az IKT-kockázat gyors, hatékony és átfogó kezelését célzó mechanizmusokat és intézkedéseket, többek között a releváns fizikai összetevők és infrastruktúrák védelme érdekében; |
b) |
folyamatosan nyomon kell követniük valamennyi IKT-rendszer biztonságát és működését; |
c) |
minimalizálniuk kell az IKT-kockázat hatását olyan megbízható, reziliens és naprakész IKT-rendszerek, -protokollok és -eszközök alkalmazásával, amelyek alkalmasak tevékenységeik végzésének és a szolgáltatások nyújtásának támogatására, valamint a hálózati és információs rendszerekben tárolt adatok rendelkezésre állásának, hitelességének, integritásának és bizalmas jellegének megfelelő fenntartására; |
d) |
lehetővé kell tenniük a hálózati és információs rendszerekben jelentkező IKT-kockázat és -rendellenességek forrásainak azonnali azonosítását és felderítését, valamint az IKT-vonatkozású események gyors kezelését; |
e) |
azonosítaniuk kell a harmadik fél IKT-szolgáltatóktól való főbb függőségeket; |
f) |
biztosítaniuk kell a kritikus vagy lényeges funkciók folytonosságát olyan üzletmenet-folytonossági tervek, valamint reagálási és helyreállítási intézkedések révén, amelyek magukban foglalják legalább a biztonsági mentést és helyreállítást biztosító intézkedéseket; |
g) |
rendszeresen tesztelniük kell az f) pontban említett terveket és intézkedéseket, valamint az a) és c) pontnak megfelelően végrehajtott kontrollok hatékonyságát; |
h) |
adott esetben be kell építeniük az IKT-kockázatértékelési folyamatba a g) pontban említett tesztekből és a biztonsági események utólagos elemzéséből származó releváns operatív következtetéseket, és az igényeknek és az IKT-kockázati profilnak megfelelően IKT-biztonsági tudatosságnövelő programokat és digitális működési reziliencia-képzéseket kell kidolgozniuk a személyzet és a vezetés számára. |
(2) Az (1) bekezdés második albekezdésének a) pontjában említett IKT-kockázatkezelési keretrendszert dokumentálni kell, és a felügyeleti utasításoknak megfelelően időszakonként és minden jelentős IKT-vonatkozású esemény bekövetkezésekor felül kell vizsgálni. A keretet folyamatosan fejleszteni kell a végrehajtás és a nyomon követés során szerzett tapasztalatok alapján. Az illetékes hatóság számára – a kérésére – jelentést kell benyújtani az IKT-kockázatkezelési keretrendszer felülvizsgálatáról.
(3) Az EFH-knak a vegyes bizottság keretében, az ENISA-val egyeztetve, közös szabályozástechnikai standardtervezeteket kell kidolgozniuk annak érdekében, hogy:
a) |
részletesen meghatározzák az (1) bekezdés második albekezdésének a) pontjában említett IKT-kockázatkezelési keretrendszerbe foglalandó elemeket; |
b) |
részletesen meghatározzák az (1) bekezdés második albekezdésének c) pontjában említett, az IKT-kockázat hatásának minimalizálását szolgáló rendszerekkel, protokollokkal és eszközökkel kapcsolatos elemeket a hálózatok biztonságának garantálása érdekében, lehetővé téve a behatolások és az adatokkal való visszaélés elleni megfelelő biztosítékokat, valamint megőrizve az adatok rendelkezésre állását, hitelességét, integritását és bizalmas jellegét; |
c) |
részletesen meghatározzák az (1) bekezdés második albekezdésének f) pontjában említett IKT-üzletmenetfolytonossági tervek összetevőit; |
d) |
részletesen meghatározzák az üzletmenet-folytonossági tervek tesztelésére vonatkozó szabályokat, és biztosítsák az (1) bekezdés második albekezdésének g) pontjában említett kontrollok hatékonyságát, és biztosítsák, hogy az ilyen tesztelés során kellő figyelmet kapjanak az olyan helyzetek, amikor egy kritikus vagy fontos funkció ellátása elfogadhatatlan színvonalúra csökken vagy meghiúsul; |
e) |
részletesen meghatározzák a (2) bekezdésben említett, az IKT-kockázatkezelési keretrendszer felülvizsgálatáról szóló jelentés tartalmát és formátumát. |
Az említett szabályozástechnikai standardtervezetek kidolgozása során az EFH-knak figyelembe kell venniük a pénzügyi szervezet méretét és általános kockázati profilját, valamint szolgáltatásai, tevékenységei és műveletei jellegét, nagyságrendjét és összetettségét.
Az EFH-knak az említett szabályozástechnikai standardtervezeteket 2024. január 17-ig be kell nyújtaniuk a Bizottságnak.
A Bizottság felhatalmazást kap arra, hogy az 1093/2010/EU, az 1094/2010/EU és az 1095/2010/EU rendelet 10–14. cikkével összhangban az első albekezdésben említett szabályozástechnikai standardok elfogadása útján kiegészítse ezt a rendeletet.
III. FEJEZET
Az IKT-vonatkozású események kezelése, osztályozása és bejelentése
17. cikk
Az IKT-vonatkozású események kezelési folyamata
(1) A pénzügyi szervezeteknek meg kell határozniuk, ki kell alakítaniuk és végre kell hajtaniuk az IKT-vonatkozású események észlelésére, kezelésére és bejelentésére szolgáló folyamatot.
(2) A pénzügyi szervezetek nyilvántartanak valamennyi IKT-vonatkozású eseményt és jelentős kiberfenyegetést. A pénzügyi szervezetek megfelelő eljárásokat és folyamatokat alakítanak ki, hogy biztosítsák az IKT-vonatkozású események következetes és integrált monitorozását, kezelését és utókövetését, biztosítsák a kiváltó okok azonosítását, dokumentálását és kezelését az ilyen események előfordulásának megelőzése érdekében.
(3) Az IKT-vonatkozású események (1) bekezdésben említett kezelési folyamata keretében:
a) |
korai előrejelző mutatókat kell bevezetni; |
b) |
a 18. cikk (1) bekezdésében meghatározott kritériumok alapján meg kell határozni az IKT-vonatkozású események azonosítását, nyomon követését, naplózását, kategorizálását és osztályozását biztosító, az események prioritásának és súlyosságának és az érintett szolgáltatások kritikusságának megfelelő eljárásokat; |
c) |
ki kell jelölni azon szerep- és felelősségi köröket, amelyeket az IKT-vonatkozású események egyes típusai és forgatókönyvei tekintetében aktiválni kell; |
d) |
meg kell határozni a személyzettel, a külső érdekelt felekkel és a médiával a 14. cikkel összhangban folytatott kommunikációra, az ügyfelek értesítésére, a belső eszkalációs eljárásokra – ideértve az IKT-vonatkozású ügyfélpanaszok kezelését is –, továbbá adott esetben a partner pénzügyi szervezetek tájékoztatására vonatkozó terveket; |
e) |
biztosítani kell, hogy legalább a jelentős IKT-vonatkozású eseményeket bejelentik a releváns felső vezetésnek, és tájékoztatni kell a vezető testületet legalább a jelentős IKT-vonatkozású eseményekről, ismertetve az ilyen IKT-vonatkozású események eredményeként megállapítandó hatást, reagálást és további kontrollokat; |
f) |
meg kell határozni az IKT-vonatkozású eseményekre való reagálást célzó eljárásokat a hatások enyhítése, valamint annak biztosítása érdekében, hogy a szolgáltatások mielőbb működőképessé és biztonságossá váljanak. |
18. cikk
Az IKT-vonatkozású események és a kiberfenyegetések osztályozása
(1) A pénzügyi szervezeteknek a következő kritériumok alapján kell osztályozniuk az IKT-vonatkozású eseményeket, és megállapítaniuk azok hatását:
a) |
az IKT-vonatkozású esemény által érintett ügyfelek vagy pénzügyi partnerek száma és/vagy relevanciája, és – adott esetben – az érintett tranzakciók mennyisége vagy száma, valamint az, hogy az IKT-vonatkozású eseménynek van-e a hírnevet érintő hatása; |
b) |
az IKT-vonatkozású esemény időtartama, beleértve a leállási időt is; |
c) |
az IKT-vonatkozású esemény földrajzi kiterjedése az érintett területek vonatkozásában, különösen, ha az esemény kettőnél több tagállamot érint; |
d) |
az IKT-vonatkozású eseménnyel járó adatvesztések az adatok rendelkezésre állásához, hitelességéhez, integritásához vagy bizalmas jellegéhez kapcsolódóan; |
e) |
az érintett szolgáltatások kritikussága, beleértve a pénzügyi szervezet ügyleteit és működését is; |
f) |
az IKT-vonatkozású esemény gazdasági hatása – ideértve különösen a közvetlen és közvetett költségeket és veszteségeket – abszolút és relatív értelemben egyaránt. |
(2) A pénzügyi szervezetek a kiberfenyegetéseket jelentősnek minősítik a kockázatnak kitett szolgáltatások kritikussága alapján, ideértve a pénzügyi szervezet ügyleteit és műveleteit, a megcélzott ügyfelek vagy pénzügyi partnerek számát és/vagy relevanciáját, valamint a kockázatnak kitett területek földrajzi eloszlását.
(3) Az EFH-knak a vegyes bizottság keretében, az EKB-val és az ENISA-val egyeztetve, közös szabályozástechnikai standardtervezeteket kell kidolgozniuk, amelyekben részletesen meghatározzák a következőket:
a) |
az (1) bekezdésben meghatározott kritériumok, ideértve azon lényegességi küszöbértékeket, amelyek alapján megállapíthatók azon jelentős IKT-vonatkozású események, vagy adott esetben jelentős pénzforgalmi vonatkozású működési vagy biztonsági események, amelyek a 19. cikk (1) bekezdésében előírt bejelentési kötelezettség alá tartoznak; |
b) |
azon kritériumok, amelyek alapján az illetékes hatóságok értékelik a jelentős IKT-vonatkozású események vagy adott esetben a jelentős pénzforgalmi vonatkozású működési vagy biztonsági események relevanciáját más tagállamokban a releváns illetékes hatóságok szempontjából, továbbá a jelentős IKT-vonatkozású eseményekkel vagy adott esetben a jelentős pénzforgalmi vonatkozású működési vagy biztonsági eseményekkel kapcsolatos bejelentések azon részletei, amelyeket a 19. cikk (6) és (7) bekezdésének megfelelően meg kell osztaniuk más illetékes hatóságokkal; |
c) |
az e cikk (2) bekezdésében meghatározott kritériumok, beleértve a jelentős kiberfenyegetések meghatározására vonatkozó, magasnak minősülő lényegességi küszöbértékeket. |
(4) Az e cikk (3) bekezdésében említett közös szabályozástechnikai standardtervezetek kidolgozása során az EFH-knak figyelembe kell venniük a 4. cikk (2) bekezdésében meghatározott kritériumokat, valamint a nemzetközi szabványokat, az ENISA által kidolgozott és közzétett iránymutatásokat és specifikációkat, ideértve adott esetben a más gazdasági ágazatokra vonatkozó specifikációkat is. A 4. cikk (2) bekezdésében meghatározott kritériumok alkalmazása céljából az EFH-knak megfelelően figyelembe kell venniük a mikrovállalkozások és a kis- és középvállalkozások azon igényét, hogy elegendő erőforrást és kapacitást mozgósítsanak az IKT-vonatkozású események gyors kezelésének biztosítása érdekében.
Az EFH-knak az említett közös szabályozástechnikai standardtervezeteket 2024. január 17-ig be kell nyújtaniuk a Bizottságnak.
A Bizottság felhatalmazást kap arra, hogy az 1093/2010/EU, az 1094/2010/EU és az 1095/2010/EU rendelet 10–14. cikkével összhangban a (3) bekezdésben említett szabályozástechnikai standardok elfogadása útján kiegészítse ezt a rendeletet.
19. cikk
A jelentős IKT-vonatkozású események bejelentése és a jelentős kiberfenyegetésekről szóló önkéntes értesítés
(1) A pénzügyi szervezeteknek a jelentős IKT-vonatkozású eseményeket az e cikk (4) bekezdésével összhangban be kell jelenteniük a 46. cikkben említett releváns illetékes hatóságnak.
Amennyiben egy pénzügyi szervezet a 46. cikkben említett illetékes nemzeti hatóságok közül egynél több felügyelete alá tartozik, a tagállamok egyetlen illetékes hatóságot jelölnek ki az e cikkben előírt funkciók és kötelezettségek végrehajtásáért felelős releváns illetékes hatóságként.
Az 1024/2013/EU rendelet 6. cikkének (4) bekezdésével összhangban jelentősnek minősített hitelintézetek bejelentik a jelentős IKT-vonatkozású eseményeket a 2013/36/EU irányelv 4. cikkével összhangban kijelölt releváns illetékes nemzeti hatóságnak, amely haladéktalanul továbbítja az említett jelentést az EKB-nak.
Az első albekezdés alkalmazásában a pénzügyi szervezeteknek a releváns információk összegyűjtését és elemzését követően a 20. cikkben említett sablonok felhasználásával el kell készíteniük az e cikk (4) bekezdésében említett kezdeti értesítést és jelentéseket, és be kell nyújtaniuk azokat az illetékes hatóságnak. Abban az esetben, ha technikai okokból lehetetlen a kezdeti értesítés mintadokumentum használatával történő benyújtása, a pénzügyi szervezeteknek alternatív módon kell értesíteniük arról az illetékes hatóságot.
A (4) bekezdésben említett kezdeti értesítésnek és jelentéseknek tartalmazniuk kell minden olyan információt, amelyre az illetékes hatóságnak szüksége van a jelentős IKT-vonatkozású esemény jelentőségének megállapításához és esteleges határokon átnyúló hatásainak értékeléséhez.
A pénzügyi szervezet által a releváns illetékes hatóság felé történő, az első albekezdés alapján történő bejelentés sérelme nélkül a tagállamok megállapíthatják továbbá, hogy a pénzügyi szervezetek egy részének vagy mindegyikének az e cikk (4) bekezdésében említett kezdeti értesítést és minden egyes jelentést be kell nyújtaniuk a 20. cikkben említett sablonok felhasználásával az (EU) 2022/2555 irányelvvel összhangban kijelölt vagy létrehozott illetékes hatóságoknak vagy számítógép-biztonsági eseményekre reagáló csoportoknak (CSIRT-ek) is.
(2) A pénzügyi szervezetek önkéntes alapon értesíthetik a releváns illetékes hatóságot a jelentős kiberfenyegetésekről, amennyiben úgy ítélik meg, hogy a fenyegetés relevanciával bír a pénzügyi rendszer, a szolgáltatás igénybevevői vagy az ügyfelek számára. A releváns illetékes hatóság átadhatja az ilyen információkat a (6) bekezdésben említett egyéb releváns hatóságoknak.
Az 1024/2013/EU rendelet 6. cikkének (4) bekezdésével összhangban jelentősnek minősített hitelintézetek önkéntes alapon értesíthetik a jelentős kiberfenyegetésekről a 2013/36/EU irányelv 4. cikkével összhangban kijelölt, releváns illetékes nemzeti hatóságot, amelynek haladéktalanul továbbítania kell az értesítést az EKB-nak.
A tagállamok dönthetnek úgy, hogy azon pénzügyi szervezetek, amelyek az első albekezdéssel összhangban önkéntes alapon értesítést küldenek, az említett értesítést az (EU) 2022/2555 irányelvvel összhangban kijelölt vagy létrehozott CSIRT-eknek is továbbíthatják.
(3) Amennyiben jelentős IKT-vonatkozású esemény következik be, és hatással van az ügyfelek pénzügyi érdekeire, a pénzügyi szervezeteknek – amint az eseményt észlelik – indokolatlan késedelem nélkül tájékoztatniuk kell az ügyfeleiket a jelentős IKT-vonatkozású eseményről és az ilyen esemény káros hatásainak enyhítésére tett intézkedésekről.
Jelentős kiberfenyegetés esetén a pénzügyi szervezeteknek adott esetben tájékoztatniuk kell a potenciálisan érintett ügyfeleiket minden olyan megfelelő védelmi intézkedésről, amelyek meghozatalát az utóbbiak mérlegelhetik.
(4) A pénzügyi szervezeteknek a 20. cikk első bekezdése a) pontjának ii. alpontjával összhangban megállapítandó határidőkön belül be kell nyújtaniuk a releváns illetékes hatóságnak a következőket:
a) |
kezdeti értesítés; |
b) |
időközi jelentés az a) pontban említett kezdeti értesítést követően, amint az eredeti biztonsági esemény állapota jelentősen megváltozik, vagy a jelentős IKT-vonatkozású esemény kezelése a rendelkezésre álló új információk alapján módosul, amelyet adott esetben aktualizált bejelentéseknek kell követniük minden olyan alkalommal, amikor releváns állapotfrissítés áll rendelkezésre, valamint az illetékes hatóság külön kérésére; |
c) |
zárójelentés, amikor lezárult a kiváltó okok elemzése, függetlenül attól, hogy enyhítő intézkedések végrehajtására sor került-e már, és amikor rendelkezésre állnak a hatással kapcsolatban a becslések helyettesítésére alkalmas tényadatok. |
(5) A pénzügyi szervezetek az uniós és nemzeti ágazati jogszabályokkal összhangban kiszervezhetik az e cikk szerinti bejelentési kötelezettségeket harmadik fél szolgáltatónak. Az ilyen kiszervezés esetén a pénzügyi szervezet továbbra is teljes felelősséggel tartozik a biztonsági eseményre vonatkozó bejelentési követelmények teljesítéséért.
(6) A (4) bekezdésben említett kezdeti értesítés és minden egyes jelentés átvételét követően az illetékes hatóságnak kellő időben részletes tájékoztatást kell nyújtania a jelentős IKT-vonatkozású eseményről a következő címzetteknek – adott esetben – a vonatkozó hatáskörük alapján:
a) |
az EBH, az ESMA vagy az EIOPA; |
b) |
a 2. cikk (1) bekezdésének a), b) és d) pontjában említett pénzügyi szervezetek esetében az EKB; |
c) |
az (EU) 2022/2555 irányelvvel összhangban kijelölt vagy létrehozott illetékes hatóságok, egyedüli kapcsolattartó pontok vagy CSIRT-ek; |
d) |
a 2014/59/EU irányelv 3. cikkében említett szanálási hatóságok és az Egységes Szanálási Testület (ESZT) a 806/2014/EU európai parlamenti és tanácsi rendelet (37) 7. cikkének (2) bekezdésében említett szervezetek, valamint a 806/2014/EU rendelet 7. cikke (4) bekezdésének b) pontjában és (5) bekezdésében említett szervezetek és csoportok tekintetében, ha az ilyen adatok olyan eseményekre vonatkoznak, amelyek kockázatot jelentenek a 2014/59/EU irányelv 2. cikkének 35. pontja értelmében vett kritikus funkciók biztosítására nézve; és |
e) |
a nemzeti jog szerinti egyéb releváns hatóságok. |
(7) Az információk (6) bekezdés szerinti kézhezvételét követően az EBH, az ESMA vagy az EIOPA, valamint az EKB – az ENISA-val egyeztetve és a releváns illetékes hatósággal együttműködve – értékeli, hogy a jelentős IKT-vonatkozású esemény releváns-e más tagállamok illetékes hatóságai számára. Az említett értékelést követően az EBH, az ESMA vagy az EIOPA ennek megfelelően a lehető leghamarabb értesíti más tagállamokban a releváns illetékes hatóságokat. Az EKB értesítést küld a Központi Bankok Európai Rendszere tagjainak a fizetési rendszer szempontjából releváns kérdésekről. Az értesítés alapján az illetékes hatóságoknak adott esetben meg kell hozniuk minden szükséges intézkedést a pénzügyi rendszer közvetlen stabilitásának megóvása érdekében.
(8) Az ESMA által e cikk (7) bekezdése alapján küldendő értesítés nem érinti az illetékes hatóság azon felelősségét, hogy sürgősen továbbítsa a jelentős IKT-vonatkozású esemény részleteit a fogadó tagállambeli releváns hatóságnak, amennyiben valamely központi értéktár jelentős határokon átnyúló tevékenységet folytat a fogadó tagállamban, a jelentős IKT-vonatkozású esemény valószínűleg súlyos következményekkel jár a fogadó tagállam pénzügyi piacaira nézve, és amennyiben az illetékes hatóságok között együttműködési megállapodások vannak érvényben a pénzügyi szervezetek felügyeletéhez kapcsolódóan.
20. cikk
A bejelentések tartalmának és a sablonjainak harmonizációja
Az EFH-k a vegyes bizottság keretében, valamint az ENISA-val és az EKB-val konzultálva, kidolgozzák a következőket:
a) |
közös szabályozástechnikai standardtervezetek, amelyek:
Az említett szabályozástechnikai standardtervezetek kidolgozása során az EFH-knak figyelembe kell venniük a pénzügyi szervezet méretét és általános kockázati profilját, valamint a szolgáltatásai, tevékenységei és műveletei jellegét, nagyságrendjét és összetettségét és különösen annak biztosítása céljából, hogy e bekezdés a) pontja ii. alpontjának alkalmazásában a különböző határidők adott esetben tükrözhessék a pénzügyi ágazatok sajátosságait az IKT-vonatkozású események e rendelet és az (EU) 2022/2555 irányelv alapján történő bejelentésére vonatkozó következetes megközelítés fenntartásának sérelme nélkül. Az EFH-knak adott esetben meg kell indokolniuk, amennyiben eltérnek az említett irányelvvel összefüggésben alkalmazott megközelítésektől. |
b) |
közös végrehajtás-technikai standardtervezetek, amelyek a pénzügyi szervezetek számára rögzítik a jelentős IKT-vonatkozású esemény bejelentésére és a jelentős kiberfenyegetésről szóló értesítésre szolgáló szabványos űrlapokat, sablonokat és eljárásokat. |
Az EFH-knak az első bekezdés a) pontjában említett közös szabályozástechnikai standardtervezeteket és az első bekezdés b) pontjában említett közös végrehajtás-technikai standardtervezeteket 2024. július 17-ig be kell nyújtaniuk a Bizottságnak.
A Bizottság felhatalmazást kap arra, hogy az 1093/2010/EU, az 1094/2010/EU és az 1095/2010/EU rendelet 10–14. cikkével összhangban az első bekezdés a) pontjában említett közös szabályozástechnikai standardok elfogadása útján kiegészítse ezt a rendeletet.
A Bizottság felhatalmazást kap arra, hogy az 1093/2010/EU, az 1094/2010/EU és az 1095/2010/EU rendelet 15. cikkével összhangban elfogadja az első bekezdés b) pontjában említett közös végrehajtás-technikai standardokat.
21. cikk
A jelentős IKT-vonatkozású események központosított bejelentése
(1) Az EFH-knak a vegyes bizottság keretében, valamint az EKB-val és az ENISA-val konzultálva, közös jelentésben értékelniük kell annak lehetőségét, hogy az eseménybejelentést még nagyobb mértékben központosítsák azáltal, hogy egységes uniós központi adatbázist hoznak létre a jelentős IKT-vonatkozású események pénzügyi szervezetek általi bejelentése céljára. A közös jelentésben meg kell vizsgálni, hogy a felügyeleti konvergencia növelése érdekében milyen lehetőségek vannak az IKT-vonatkozású események bejelentésével kapcsolatos információáramlás megkönnyítésére, a járulékos költségek csökkentésére, valamint a tematikus elemzések megalapozására.
(2) Az (1) bekezdésben említett közös jelentésnek legalább a következő elemeket kell magában foglalnia:
a) |
az egységes európai uniós adatbázis létrehozásának előfeltételei; |
b) |
az előnyök, a korlátok és a kockázatok, ideértve az érzékeny információk magas koncentrációjához kapcsolódó kockázatokat is; |
c) |
az egyéb releváns bejelentési rendszerekkel kapcsolatos átjárhatóság biztosításához szükséges képesség; |
d) |
az üzemeltetés elemei; |
e) |
a tagság feltételei; |
f) |
az egységes uniós adatbázishoz a pénzügyi szervezetek és az illetékes nemzeti hatóságok által való hozzáférés technikai feltételei; |
g) |
az egységes uniós adatbázist támogató működési platform kialakításával felmerülő pénzügyi költségek előzetes értékelése, ideértve a szükséges szakértelmet is. |
(3) Az EFH-knak az (1) bekezdésben említett jelentést 2025. január 17-ig be kell nyújtaniuk az Európai Parlamentnek, a Tanácsnak és a Bizottságnak.
22. cikk
Felügyeleti visszajelzés
(1) Az (EU) 2022/2555 irányelv szerinti CSIRT-ek által – adott esetben – a nemzeti joggal összhangban biztosítható technikai input, tanácsadás vagy korrekciós intézkedések, valamint későbbi utókövetés sérelme nélkül az illetékes hatóságnak a 19. cikk (4) bekezdésében említett kezdeti értesítés és minden egyes jelentés átvételekor vissza kell igazolnia azok kézhezvételét, és – amennyiben megvalósítható – kellő időben releváns és arányos visszajelzést vagy magas szintű iránymutatást nyújthat a pénzügyi szervezetnek, különösen a hasonló fenyegetésekkel kapcsolatos releváns anonimizált adatok és hírszerzés rendelkezésre bocsátásával, továbbá megvitathatja a pénzügyi szervezet szintjén alkalmazott korrekciós intézkedéseket, valamint a pénzügyi ágazat egészét érintő káros hatások minimalizálását és csökkentését célzó módokat. A pénzügyi szervezetek továbbra is teljes felelősséggel tartoznak a 19. cikk (1) bekezdése szerint bejelentett IKT-vonatkozású események kezeléséért és következményeiért, a kapott felügyeleti visszajelzések sérelme nélkül.
(2) Az EFH-knak a vegyes bizottság keretében anonimizált és összesített formában évente be kell számolniuk a jelentős IKT-vonatkozású eseményekről, amelyekről az illetékes hatóságoknak a 19. cikk (6) bekezdésével összhangban részletes tájékoztatást kell nyújtaniuk, meghatározva legalább a jelentős IKT-vonatkozású események számát, jellegét és a pénzügyi szervezetek vagy ügyfelek működésére gyakorolt hatását, a meghozott korrekciós intézkedéseket és a keletkezett költségeket.
Az EFH-knak figyelmeztetéseket kell kibocsátaniuk és magas szintű statisztikákat készíteniük, hogy támogassák az IKT-fenyegetési és -sérülékenységi értékeléseket.
23. cikk
Hitelintézeteket, pénzforgalmi intézményeket, számlainformációkat összesítő szolgáltatókat és elektronikuspénz-kibocsátó intézményeket érintő, pénzforgalmi vonatkozású működési vagy biztonsági események
Az e fejezetben megállapított követelmények alkalmazandók a pénzforgalmi vonatkozású működési vagy biztonsági eseményekre, valamint a jelentős pénzforgalmi vonatkozású működési vagy biztonsági eseményekre is, amennyiben azok hitelintézeteket, pénzforgalmi intézményeket, számlainformációkat összesítő szolgáltatókat és elektronikuspénz-kibocsátó intézményeket érintenek.
IV. FEJEZET
A digitális működési reziliencia tesztelése
24. cikk
A digitális működési reziliencia tesztelésének végrehajtására vonatkozó általános követelmények
(1) Az IKT-vonatkozású események kezelésére való felkészültség értékelése, a digitális működési reziliencia gyengeségeinek, hiányosságainak és lefedetlenségeinek azonosítása, valamint a korrekciós intézkedések gyors végrehajtása érdekében a mikrovállalkozásnak nem minősülő pénzügyi szervezeteknek a 4. cikk (2) bekezdésében meghatározott kritériumok figyelembevételével a digitális működési reziliencia tesztelésére megbízható és átfogó programot kell kialakítaniuk, fenntartaniuk és felülvizsgálniuk, a 6. cikkben említett IKT-kockázatkezelési keretrendszer integráns részeként.
(2) A digitális működési reziliencia tesztelését szolgáló programnak magában kell foglalnia a 25. és 26. cikkel összhangban alkalmazandó értékeléseket, teszteket, módszertanokat, gyakorlatokat és eszközöket.
(3) A mikrovállalkozásnak nem minősülő pénzügyi szervezeteknek az e cikk (1) bekezdésében említett, a digitális működési reziliencia tesztelését szolgáló program lefolytatása során – a 4. cikk (2) bekezdésében meghatározott kritériumokat figyelembe véve – kockázatalapú megközelítést kell követniük, kellően tekintetbe véve az IKT-kockázat változó környezetét, minden olyan konkrét kockázatot, amelynek az érintett pénzügyi szervezet ki van vagy ki lehet téve, az információs vagyonelemek és a nyújtott szolgáltatások kritikusságát, valamint a pénzügyi szervezet által megfelelőnek tartott bármely egyéb tényezőt.
(4) A mikrovállalkozásnak nem minősülő pénzügyi szervezeteknek biztosítaniuk kell, hogy a teszteket független belső vagy külső fél hajtsa végre. Amennyiben a teszteket belső tesztelő végzi, a pénzügyi szervezeteknek elegendő erőforrást kell elkülöníteniük, és biztosítaniuk kell, hogy a teszt tervezési és végrehajtási szakaszában ne legyenek összeférhetetlenségek.
(5) A mikrovállalkozásnak nem minősülő pénzügyi szervezeteknek eljárásokat és szabályzatokat kell kialakítaniuk a tesztek lefolytatása során feltárt valamennyi probléma rangsorolása, osztályozása és orvoslása céljából, továbbá ki kell alakítaniuk azon belső validálási módszertanokat, amelyekkel megerősíthető, hogy a szervezet maradéktalanul kezelte az azonosított gyengeségeket és hiányosságokat.
(6) A mikrovállalkozásnak nem minősülő pénzügyi szervezeteknek legalább évente biztosítaniuk kell, hogy megfelelő teszteket végezzenek a kritikus vagy fontos funkciókat támogató valamennyi IKT-rendszeren és -alkalmazáson.
25. cikk
Az IKT-eszközök és -rendszerek tesztelése
(1) A 24. cikkben említett, a digitális működési reziliencia tesztelését szolgáló programnak – a 4. cikk (2) bekezdésében meghatározott kritériumokkal összhangban – biztosítania kell olyan megfelelő tesztek elvégzését, mint például sérülékenységi értékelések és ellenőrzések, nyílt forrású elemzések, hálózatbiztonsági értékelések, eltéréselemzések, fizikai biztonsági felülvizsgálatok, kérdőívek és szoftveres átvilágítási megoldások, lehetőség szerint forráskódvizsgálatok, forgatókönyv-alapú tesztek, kompatibilitás-tesztelés, teljesítmény-tesztelés, végpontok közötti tesztelés és behatolási tesztelés.
(2) A központi értéktáraknak és a központi szerződő feleknek sérülékenységi vizsgálatokat kell végezniük a pénzügyi szervezet kritikus vagy fontos funkcióit támogató új vagy meglévő alkalmazások és infrastrukturális összetevők, valamint IKT-szolgáltatások bevezetése vagy újbóli bevezetése előtt.
(3) A mikrovállalkozásoknak az (1) bekezdésben említett teszteket a kockázatalapú megközelítést az IKT-tesztelés stratégiai tervezésével kombinálva kell végrehajtaniuk, kellően figyelembe véve, hogy kiegyensúlyozott megközelítést kell fenntartani egyrészt az e cikkben előírt IKT-tesztelésre fordítandó erőforrás-nagyságrend és idő, másrészt a sürgősség, a kockázat típusa, az információs vagyonelemek és nyújtott szolgáltatások kritikussága, valamint bármely egyéb releváns tényező között, beleértve a pénzügyi szervezet számításba vett kockázatok vállalására való képességét is.
26. cikk
Az IKT-eszközök, -rendszerek és -folyamatok TLPT-n alapuló fejlett tesztelése
(1) A 16. cikk (1) bekezdésének első albekezdésében említett szervezetektől eltérő és mikrovállalkozásnak nem minősülő, az e cikk (8) bekezdésének harmadik albekezdésével összhangban azonosított pénzügyi szervezeteknek legalább 3 évente fejlett tesztelést kell végezniük a TLPT útján. Az illetékes hatóság a pénzügyi szervezet kockázati profilja alapján és a működési körülményeket figyelembe véve, szükség esetén felkérheti a pénzügyi szervezetet, hogy csökkentse vagy növelje a tesztelés gyakoriságát.
(2) Minden egyes fenyegetés alapú behatolási tesztelésnek ki kell terjednie a pénzügyi szervezet számos vagy valamennyi kritikus vagy fontos funkciójára, és azt az ilyen funkciókat támogató éles rendszereken kell lefolytatni.
A pénzügyi szervezeteknek azonosítaniuk kell a kritikus vagy fontos funkciókat támogató valamennyi releváns, alapul szolgáló IKT-rendszert, -folyamatot és -technológiát, továbbá valamennyi releváns IKT-szolgáltatást, beleértve azokat, amelyek a harmadik fél IKT-szolgáltatókhoz kiszervezett vagy azoknak megbízásba adott kritikus vagy fontos funkciókat támogatják.
A pénzügyi szervezeteknek értékelniük kell, hogy mely kritikus vagy fontos funkciókra szükséges kiterjednie a TLPT-nek. Ezen értékelés eredménye határozza meg a TLPT pontos terjedelmét, és azt az illetékes hatóságoknak validálniuk kell.
(3) Amennyiben a TLPT harmadik fél IKT-szolgáltatókra is kiterjed, a pénzügyi szervezetnek meg kell hoznia a szükséges intézkedéseket és biztosítékokat az ilyen harmadik fél IKT-szolgáltatók TLPT-ben való részvételének biztosítása érdekében, és mindenkor teljes felelősséget kell viselnie az e rendeletnek való megfelelés biztosításáért.
(4) A (2) bekezdés első és második albekezdésének sérelme nélkül, amennyiben egy harmadik fél IKT-szolgáltatónak a (3) bekezdésben említett, TLPT-ben való közreműködéséről észszerűen feltételezhető, hogy az káros hatást gyakorol a harmadik fél IKT-szolgáltató által az e rendelet hatályán kívül eső ügyfeleknek nyújtott szolgáltatások minőségére vagy biztonságára, vagy az ilyen szolgáltatásokhoz kapcsolódó adatok bizalmasságára, a pénzügyi szervezet és a harmadik fél IKT-szolgáltató írásban megállapodhat arról, hogy a harmadik fél IKT-szolgáltató közvetlenül szerződéses megállapodást köt egy külső tesztelővel abból a célból, hogy egyetlen kijelölt pénzügyi szervezet irányítása alatt csoportos TLPT-t végezzen el több olyan pénzügyi szervezet részvételével, amelyek részére a harmadik fél IKT-szolgáltató IKT-szolgáltatásokat nyújt.
Az említett csoportos tesztelés kiterjed a pénzügyi szervezetek által a vonatkozó harmadik fél IKT-szolgáltatónak megbízásba adott kritikus vagy fontos funkciókat támogató IKT-szolgáltatások releváns körére. A csoportos tesztelést a csoportos tesztelésben részt vevő pénzügyi szervezetek által végzett TLPT-nek kell tekinteni.
A csoportos tesztelésben részt vevő pénzügyi szervezetek számát megfelelően, az érintett szolgáltatások összetettségét és típusát figyelembe véve kell kalibrálni.
(5) A pénzügyi szervezeteknek harmadik fél IKT-szolgáltatók és más érintett felek – ideértve a tesztelőket, de kizárva az illetékes hatóságokat – közreműködésével eredményes kockázatkezelési kontrollok útján mérsékelniük kell az adatokat érő bármilyen hatás, az eszközökben keletkező kár és a kritikus vagy fontos funkciók, szolgáltatások vagy műveletek zavarának kockázatát magánál a pénzügyi szervezetnél, annak partnereinél, valamint a pénzügyi ágazat egészében.
(6) A teszt befejezésekor, a jelentések és korrekciós tervek jóváhagyását követően a pénzügyi szervezet és adott esetben a külső tesztelők a (9) vagy (10) bekezdéssel összhangban kijelölt hatóság rendelkezésére bocsátják a releváns megállapítások összefoglalását, a korrekciós terveket és azon dokumentációt, amely bemutatja, hogy a TLPT-t a követelményeknek megfelelően végezték el.
(7) A hatóságoknak igazolást kell kiadniuk a pénzügyi szervezetek részére, amely megerősíti, hogy a tesztet a dokumentációban igazoltak szerint a követelményeknek megfelelően hajtották végre, annak érdekében, hogy az illetékes hatóságok között lehetővé váljon a fenyegetés alapú behatolási tesztelés kölcsönös elismerése. A pénzügyi szervezet értesíti a releváns illetékes hatóságot az igazolásról, a releváns megállapítások összefoglalásáról és a korrekciós tervekről.
Az ilyen igazolást nem érintve, a pénzügyi szervezetek mindenkor teljes felelősséggel tartoznak a (4) bekezdésben említett tesztek hatásáért.
(8) A pénzügyi szervezeteknek a 27. cikkel összhangban szerződést kell kötniük a tesztelőkkel a TLPT elvégzése céljából. Amennyiben a pénzügyi szervezetek belső tesztelőket vesznek igénybe a TLPT elvégzésének céljából, három tesztenként külső tesztelőt kell megbízniuk.
Az 1024/2013/EU rendelet 6. cikke (4) bekezdésének megfelelően jelentősnek minősített hitelintézetek a 27. cikk (1) bekezdése a)–e) pontjának megfelelően csak külső tesztelőket alkalmazhatnak.
Az illetékes hatóságoknak a 4. cikk (2) bekezdésében meghatározott kritériumok figyelembevételével, a következők értékelése alapján kell kiválasztaniuk a TLPT elvégzésére kötelezett pénzügyi szervezeteket:
a) |
hatás-vonatkozású tényezők, így különösen az a mérték, amennyire a pénzügyi szervezet által nyújtott szolgáltatások és elvégzett tevékenységek hatnak a pénzügyi ágazatra; |
b) |
esetleges pénzügyi stabilitási megfontolások, ideértve a pénzügyi szervezet uniós vagy nemzeti léptékű rendszerszintű jellegét, az esettől függően; |
c) |
a pénzügyi szervezet vagy az érintett technológiai elemek egyedi IKT-kockázati profilja és IKT-érettségi szintje. |
(9) A tagállamok kijelölhetnek egyetlen hatóságot a pénzügyi szektorban, hogy feleljen a pénzügyi szektorban nemzeti szinten a TLPT-vonatkozású ügyekért, és az e célból szükséges valamennyi hatáskörrel és feladattal megbízzák azt.
(10) Az e cikk (9) bekezdésének megfelelő kijelölés hiányában és a TLPT elvégzésére kötelezett pénzügyi szervezetek kiválasztására vonatkozó hatáskör sérelme nélkül, az illetékes hatóság az e cikkben és a 27. cikkben említett feladatok egy részének vagy mindegyikének ellátását átruházhatja egy másik nemzeti hatóságra a pénzügyi szektorban.
(11) Az EFH-knak az EKB-val egyetértésben közös szabályozástechnikai standardtervezeteket kell kidolgozniuk a TIBER–EU keretnek megfelelően, a következők részletes meghatározása érdekében:
a) |
a (8) bekezdés második albekezdésének alkalmazása céljából használt kritériumok; |
b) |
a belső tesztelők igénybevételére vonatkozó követelmények és standardok; |
c) |
a következőkre vonatkozó követelmények:
|
d) |
az egynél több tagállamban működő pénzügyi szervezetek körében elvégzendő TLPT végrehajtásához és e tesztelés kölcsönös elismerésének az elősegítéséhez szükséges felügyeleti és egyéb releváns együttműködés típusa a megfelelő szintű felügyeleti részvétel, valamint a pénzügyi alágazatok vagy a helyi pénzügyi piacok sajátos igényeihez igazodó, rugalmas végrehajtás biztosítása érdekében. |
Az említett szabályozástechnikai standardtervezetek kidolgozása során az EFH-knak kellő figyelmet kell fordítaniuk a különböző pénzügyi szolgáltatási ágazatok tevékenységeinek eltérő jellegéből eredő sajátosságokra.
Az EFH-knak az említett szabályozástechnikai standardtervezeteket 2024. július 17-ig be kell nyújtaniuk a Bizottságnak.
A Bizottság felhatalmazást kap arra, hogy az 1093/2010/EU, az 1094/2010/EU és az 1095/2010/EU rendelet 10–14. cikkével összhangban az első albekezdésben említett szabályozástechnikai standardok elfogadása útján kiegészítse ezt a rendeletet.
27. cikk
A TLPT lefolytatására vonatkozó, a tesztelőknek előírt követelmények
(1) A pénzügyi szervezetek a TLPT lefolytatására csak olyan tesztelőket vehetnek igénybe:
a) |
amelyek a legnagyobb fokú alkalmassággal és szakmai hírnévvel rendelkeznek; |
b) |
amelyek rendelkeznek technikai és szervezeti képességekkel, valamint speciális szakértelmet mutatnak fel a fenyegetettséggel kapcsolatos hírszerzés, a behatolási tesztelés és a saját támadóerős (red team) tesztelés terén; |
c) |
amelyeket egy tagállambeli akkreditációs testület tanúsított, vagy amelyek formális magatartási kódexek vagy etikai keretek szerint járnak el; |
d) |
amelyek független bizonyosságot vagy audit jelentést biztosítanak a TLPT lefolytatásával összefüggő kockázatok megbízható kezelésével kapcsolatban, ideértve a pénzügyi szervezet bizalmas adatainak kellő védelmét és a pénzügyi szervezet üzleti kockázataival kapcsolatos jogorvoslatot is; |
e) |
amelyek releváns szakmai felelősségbiztosítások révén megfelelően és teljeskörűen biztosítva vannak, többek között a szakmai kötelezettségmulasztás és a gondatlanság kockázataival szemben. |
(2) A belső tesztelők igénybevétele során a pénzügyi szervezeteknek biztosítaniuk kell, hogy az (1) bekezdésben foglalt követelmények mellett, a következő feltételek is teljesüljenek:
a) |
az ilyen igénybevételt a releváns illetékes hatóság vagy a 26. cikk (9) és (10) bekezdésével összhangban kijelölt egyetlen hatóság jóváhagyta; |
b) |
a releváns illetékes hatóság meggyőződött arról, hogy a pénzügyi szervezet elegendő célzott forrást különített el, és biztosította az összeférhetetlenség elkerülését a teszt tervezési és végrehajtási szakaszában; és |
c) |
a fenyegetettséggel kapcsolatos hírszerzés nyújtója a pénzügyi szervezeten kívül működik. |
(3) A pénzügyi szervezeteknek biztosítaniuk kell, hogy a külső tesztelőkkel kötött szerződések előírják a TLPT eredményeinek megbízható kezelését, továbbá azt, hogy az adatkezelés, ezen belül az adatok előállítása, tárolása, összesítése, előkészítése, bejelentése, közlése vagy megsemmisítése ne járjon kockázattal a pénzügyi szervezet számára.
V. FEJEZET
A harmadik féltől eredő IKT-kockázat kezelése
28. cikk
Általános elvek
(1) A pénzügyi szervezeteknek a harmadik féltől eredő IKT-kockázatot az IKT-kockázat integráns összetevőjeként kell kezelniük a 6. cikk (1) bekezdésében említett IKT-kockázatkezelési keretrendszerükön belül és a következő elvekkel összhangban:
a) |
azon pénzügyi szervezeteknek, amelyek üzleti tevékenységük folytatásához IKT-szolgáltatások igénybevételéről szóló szerződéses megállapodást kötöttek, mindenkor teljes felelősséggel kell tartozniuk az e rendeletben és az alkalmazandó, pénzügyi szolgáltatásokra vonatkozó jogszabályokban előírt kötelezettségeknek való megfelelésért; |
b) |
a pénzügyi szervezeteknek a harmadik féltől eredő IKT-kockázat kezelését az arányosság elvének megfelelően, a következők figyelembevételével kell megvalósítaniuk:
|
(2) Az IKT-kockázatkezelési keretrendszerük részeként a 16. cikk (1) bekezdésének első albekezdésében említett szervezetektől eltérő és mikrovállalkozásnak nem minősülő pénzügyi szervezeteknek – adott esetben a 6. cikk (9) bekezdésében említett, több beszállítóra épülő stratégia figyelembevételével – a harmadik féltől eredő IKT-kockázatra vonatkozó stratégiát kell elfogadniuk és rendszeresen felülvizsgálniuk. A harmadik féltől eredő IKT-kockázatra vonatkozó azon stratégiának, amelyet az egyedi szervezet szintjén, valamint adott esetben szubkonszolidált és konszolidált alapon is alkalmazni kell, magában kell foglalnia a harmadik fél IKT-szolgáltatók által nyújtott, kritikus vagy fontos funkciókat támogató IKT-szolgáltatások igénybevételére vonatkozó szabályzatot. A vezető testületnek a pénzügyi szervezet általános kockázati profiljának, valamint az üzleti szolgáltatások nagyságrendjének és összetettségének értékelése alapján rendszeresen felül kell vizsgálnia a kritikus vagy fontos funkciókat támogató IKT-szolgáltatások igénybevételéről szóló szerződéses megállapodásokkal kapcsolatban azonosított kockázatokat.
(3) IKT-kockázatkezelési keretrendszerük részeként a pénzügyi szervezeteknek az egyedi szervezet szintjén, valamint szubkonszolidált és konszolidált szinten információ-nyilvántartást kell vezetniük és naprakészen tartaniuk a harmadik fél IKT-szolgáltatók által nyújtott IKT-szolgáltatások igénybevételéről szóló valamennyi szerződéses megállapodásról.
Az első albekezdésben említett szerződéses megállapodásokat megfelelően dokumentálni kell, megkülönböztetve azokat, amelyek kiterjednek a kritikus vagy fontos funkciókat támogató IKT-szolgáltatásokra, és azokat, amelyek nem.
A pénzügyi szervezeteknek legalább évente jelentést kell tenniük az illetékes hatóságoknak az IKT-szolgáltatások igénybevételéről szóló új megállapodások számáról, a harmadik fél IKT-szolgáltatók kategóriáiról, a szerződéses megállapodások típusairól, valamint a nyújtott IKT-szolgáltatásokról és -funkciókról.
A pénzügyi szervezeteknek az illetékes hatóság kérésére annak rendelkezésére kell bocsátaniuk a teljes információ-nyilvántartást, vagy a kérésnek megfelelően annak meghatározott részeit, a pénzügyi szervezet eredményes felügyeletéhez szükségesnek ítélt bármely információval együtt.
A pénzügyi szervezeteknek időben tájékoztatniuk kell az illetékes hatóságot bármely, kritikus vagy fontos funkciókat támogató IKT-szolgáltatások igénybevételéről szóló, tervezett szerződéses megállapodásról, valamint arról, ha egy funkció kritikussá vagy fontossá válik.
(4) Az IKT-szolgáltatások igénybevételéről szóló szerződéses megállapodások megkötése előtt a pénzügyi szervezetek:
a) |
értékelik, hogy a szerződéses megállapodás érinti-e kritikus vagy fontos funkciót támogató IKT-szolgáltatások igénybevételét; |
b) |
értékelik, hogy teljesülnek-e a szerződéskötés felügyeleti feltételei; |
c) |
azonosítják és értékelik a szerződéses megállapodással összefüggő valamennyi releváns kockázatot, beleértve annak lehetőségét is, hogy a szerződéses megállapodás hozzájárulhat a 29. cikkben említett IKT-koncentrációs kockázat erősödéséhez; |
d) |
elvégzik a leendő harmadik fél IKT-szolgáltató teljeskörű átvilágítását, továbbá a kiválasztási és értékelési folyamatok során meggyőződnek a harmadik fél IKT-szolgáltató alkalmasságáról; |
e) |
azonosítják és értékelik a szerződéses megállapodással esetlegesen okozott összeférhetetlenséget. |
(5) A pénzügyi szervezetek csak azon harmadik fél IKT-szolgáltatókkal köthetnek szerződéses megállapodást, amelyek megfelelnek a rájuk vonatkozó információbiztonsági szabványoknak. Amennyiben az említett szerződéses megállapodások kritikus vagy fontos funkciókat érintenek, a pénzügyi szervezeteknek a megállapodások megkötése előtt kellően figyelembe kell venniük a legfrissebb és legjobb minőségű információbiztonsági szabványok harmadik fél IKT-szolgáltatók általi alkalmazását.
(6) A harmadik fél IKT-szolgáltató kapcsán a hozzáférési, ellenőrzési és audit jogok gyakorlásakor a pénzügyi szervezetek kockázatalapú megközelítés alapján előzetesen megállapítják az auditok és ellenőrzések gyakoriságát, valamint azon területeket, amelyeket az általánosan elfogadott audit standardoknak és az ilyen audit standardok alkalmazására és beépítésére vonatkozó felügyeleti utasításnak megfelelően auditálni szükséges.
Amennyiben a harmadik fél IKT-szolgáltatókkal az IKT-szolgáltatások igénybevételéről kötött szerződéses megállapodások nagy fokú technikai összetettséggel járnak, a pénzügyi szervezetnek meg kell győződnie arról, hogy az ellenőrök – attól függetlenül, hogy belső vagy külső ellenőrről, vagy ellenőrök csoportjáról van szó – rendelkeznek-e a releváns auditok és értékelések eredményes elvégzéséhez szükséges készségekkel és ismeretekkel.
(7) A pénzügyi szervezetek biztosítják, hogy az IKT-szolgáltatások igénybevételéről szóló szerződéses megállapodásokat meg lehessen szüntetni a következő körülmények bármelyikének fennállása esetén:
a) |
a harmadik fél IKT-szolgáltató jelentősen megsérti az alkalmazandó jogszabályi, hatósági és szerződéses rendelkezéseket; |
b) |
a harmadik féltől eredő IKT-kockázat monitorozása olyan körülményeket tár fel, amelyek alkalmasnak tekinthetők arra, hogy befolyásolják a szerződéses megállapodás keretében ellátott funkciók teljesítményét, ideértve a megállapodást vagy a harmadik fél IKT-szolgáltató helyzetét érintő lényeges módosításokat is; |
c) |
a harmadik fél IKT-szolgáltatónál az általános IKT-kockázatkezelését érintő, bizonyítható gyengeségek tapasztalhatók és különösen azon mód, ahogyan biztosítja az adatok akár személyes, akár egyébként érzékeny adatok, vagy nem személyes adatok rendelkezésre állását, hitelességét, integritását és bizalmas jellegét; |
d) |
amennyiben a vonatkozó szerződéses megállapodással kapcsolatos feltételek vagy körülmények eredményeként az illetékes hatóság már nem tudja eredményesen felügyelni a pénzügyi szervezetet. |
(8) A kritikus vagy fontos funkciókat támogató IKT-szolgáltatások esetében a pénzügyi szervezeteknek kilépési stratégiákat kell bevezetniük. A kilépési stratégiáknak figyelembe kell venniük a harmadik fél IKT-szolgáltatók szintjén esetlegesen felmerülő kockázatokat, így különösen a részükről bekövetkező lehetséges mulasztást, a nyújtott IKT-szolgáltatások minőségének romlását, a szolgáltatások nem megfelelő nyújtása vagy meghiúsulása miatt az üzletmenetben okozott súlyos zavart, vagy a vonatkozó IKT-szolgáltatás megfelelő és folyamatos ellátásával kapcsolatban felmerülő bármely lényeges kockázatot, vagy a harmadik fél IKT-szolgáltatókkal kötött szerződéses megállapodások felmondását a (7) bekezdésben felsorolt körülmények bármelyikének esetében.
A pénzügyi szervezetek biztosítják, hogy képesek kilépni a szerződéses megállapodásokból anélkül, hogy:
a) |
zavar keletkezne üzleti tevékenységükben; |
b) |
korlátozottá válna a szabályozási követelményeknek való megfelelésük; |
c) |
sérülne az ügyfeleknek nyújtott szolgáltatások folytonossága és minősége. |
A kilépési terveknek átfogóaknak kell lenniük, azokat dokumentálni kell, valamint – a 4. cikk (2) bekezdésében foglalt kritériumokkal összhangban – megfelelően tesztelni és időszakonként felülvizsgálni.
A pénzügyi szervezeteknek alternatív megoldásokat kell azonosítaniuk és átállási terveket kidolgozniuk, amelyek lehetővé teszik számukra, hogy a szerződéses megbízásba adott IKT-szolgáltatásokat és a releváns adatokat leválasszák a harmadik fél IKT-szolgáltatóról, és azokat biztonságosan és teljeskörűen alternatív szolgáltatókhoz telepítsék, vagy visszaszervezzék a saját működésükbe.
A pénzügyi szervezeteknek az üzletmenet folytonosságát biztosító, megfelelő rendkívüli intézkedésekkel kell rendelkezniük az első albekezdésben említett körülmények esetén.
(9) Az EFH-knak a vegyes bizottság keretében olyan végrehajtás-technikai standardtervezeteket kell kidolgozniuk, amelyek meghatározzák a (3) bekezdésben említett információ-nyilvántartás céljából a mintadokumentumokat, ideértve az IKT-szolgáltatások igénybevételéről szóló valamennyi szerződéses megállapodás esetében közös információkat. Az EFH-knak az említett szabályozástechnikai standardtervezeteket 2024. január 17-ig be kell nyújtaniuk a Bizottságnak.
A Bizottság felhatalmazást kap arra, hogy az 1093/2010/EU, az 1094/2010/EU és az 1095/2010/EU rendelet 15. cikkével összhangban elfogadja az első albekezdésben említett végrehajtás-technikai standardokat.
(10) Az EFH-knak a vegyes bizottság keretében szabályozástechnikai standardtervezeteket kell kidolgozniuk, amelyek részletesen meghatározzák a (2) bekezdésben említett szabályzat tartalmi elemeit a harmadik fél IKT-szolgáltatók által nyújtott, kritikus vagy fontos funkciókat támogató IKT-szolgáltatások igénybevételéről szóló szerződéses megállapodások tekintetében.
Az említett szabályozástechnikai standardtervezetek kidolgozása során az EFH-knak figyelembe kell venniük a pénzügyi szervezet méretét és általános kockázati profilját, valamint szolgáltatásai, tevékenységei és műveletei jellegét, nagyságrendjét és összetettségét. Az EFH-knak az említett szabályozástechnikai standardtervezeteket 2024. január 17-ig be kell nyújtaniuk a Bizottságnak.
A Bizottság felhatalmazást kap arra, hogy az 1093/2010/EU, az 1094/2010/EU és az 1095/2010/EU rendelet 10–14. cikkével összhangban az első albekezdésben említett szabályozástechnikai standardok elfogadása útján kiegészítse ezt a rendeletet.
29. cikk
Az IKT-koncentrációs kockázat szervezetszintű előzetes értékelése
(1) A kockázatoknak a 28. cikk (4) bekezdésének c) pontjában említett azonosítása és értékelése során a pénzügyi szervezeteknek figyelembe kell venniük azt is, hogy a kritikus vagy fontos funkciókat támogató IKT-szolgáltatásokkal kapcsolatos szerződéses megállapodás tervezett megkötése a következők valamelyikét eredményezné-e:
a) |
olyan harmadik fél IKT-szolgáltatóval történő szerződéskötés, amely nem helyettesíthető könnyen; vagy |
b) |
kritikus vagy fontos funkciókat támogató IKT-szolgáltatások nyújtásával kapcsolatban többszörös szerződéses megállapodás megléte ugyanazzal a harmadik fél IKT-szolgáltatóval, vagy egymással szoros kapcsolatban álló harmadik fél IKT-szolgáltatókkal. |
A pénzügyi szervezeteknek mérlegelniük kell az alternatív megoldások így például a különböző harmadik fél IKT-szolgáltatók igénybevételének előnyeit és költségeit, figyelembe véve, hogy az előirányzott megoldások illeszkednek-e és hogyan a szervezetek digitális rezilienciára vonatkozó stratégiájában meghatározott üzleti igényekhez és célkitűzésekhez.
(2) Amennyiben a kritikus vagy fontos funkciókat támogató IKT-szolgáltatások igénybevételéről szóló szerződéses megállapodásokban szerepel az a lehetőség, hogy egy harmadik fél IKT-szolgáltató egy kritikus vagy fontos funkciót támogató IKT-szolgáltatást más harmadik fél IKT-szolgáltatóknak ad alvállalkozásba, a pénzügyi szervezeteknek mérlegelniük kell az alvállalkozó ezen igénybevételéből esetlegesen származó előnyöket és kockázatokat, különösen egy harmadik országban letelepedett IKT-alvállalkozó esetén.
Amennyiben a szerződéses megállapodások kritikus vagy fontos funkciókat támogató IKT-szolgáltatások igénybevételére vonatkoznak, a pénzügyi szervezeteknek kellő figyelmet kell fordítaniuk a harmadik fél IKT-szolgáltató csődje esetén alkalmazandó fizetésképtelenségi jogi rendelkezésekre, valamint a pénzügyi szervezet adatainak haladéktalan visszaszerzése kapcsán esetlegesen felmerülő akadályokra.
Amennyiben egy harmadik országban letelepedett, harmadik fél IKT-szolgáltatóval jön létre kritikus vagy fontos funkciókat támogató IKT-szolgáltatások igénybevételéről szóló szerződéses megállapodás, a pénzügyi szervezeteknek – a második albekezdésben említett megfontolásokon túlmenően – figyelembe kell venniük az uniós adatvédelmi szabályoknak való megfelelést és a jog hatékony érvényesítését az említett harmadik országban.
Amennyiben a kritikus vagy fontos funkciókat támogató IKT-szolgáltatások igénybevételéről szóló szerződéses megállapodások alvállalkozó igénybevételéről rendelkeznek, a pénzügyi szervezeteknek értékelniük kell, hogy a potenciálisan hosszú vagy összetett alvállalkozói láncok érinthetik-e – és ha igen, hogyan – a szervezet képességét a szerződéses megbízásba adott funkciók teljeskörű nyomon követésére, valamint az illetékes hatóság képességét arra, hogy e tekintetben eredményesen ellássa a pénzügyi szervezet felügyeletét.
30. cikk
Főbb szerződéses rendelkezések
(1) A pénzügyi szervezet és a harmadik fél IKT-szolgáltató jogait és kötelezettségeit egyértelműen meg kell határozni, és írásban kell rögzíteni. A teljes szerződésnek magában kell foglalnia a szolgáltatási szintekre vonatkozó megállapodást is, és azt egyetlen, írásba foglalt dokumentumban kell rögzíteni, amelynek nyomtatott vagy egyéb, letölthető, tartós és hozzáférhető formátumú dokumentumban kell a felek rendelkezésére állnia.
(2) Az IKT-szolgáltatások igénybevételéről szóló szerződéses megállapodásoknak legalább a következő elemeket kell magukban foglalniuk:
a) |
a harmadik fél IKT-szolgáltató által biztosítandó funkciók és IKT-szolgáltatások egyértelmű és teljeskörű leírása annak feltüntetésével, hogy valamely kritikus vagy fontos funkciót támogató IKT-szolgáltatásnak vagy annak érdemi részeinek alvállalkozásba adása megengedett-e, és ha igen, milyen feltételek alkalmazandók az ilyen alvállalkozásba adásra; |
b) |
azon helyszínek – nevezetesen azon régiók és országok –, ahol a szerződéses megbízásba vagy alvállalkozásba adott funkciók vagy IKT-szolgáltatások nyújtása és az adatkezelés történik, ideértve a tárolás helyét is, továbbá annak előírása, hogy a harmadik fél IKT-szolgáltatónak előzetesen értesítenie kell a pénzügyi szervezetet, ha tervezi az ilyen helyszínek megváltoztatását; |
c) |
az adatok – köztük a személyes adatok – védelmével kapcsolatban a rendelkezésre állásra, hitelességre, integritásra és bizalmas jellegre vonatkozó rendelkezések; |
d) |
az olyan személyes és nem személyes adatok – könnyen hozzáférhető formátumban történő – hozzáférésének, helyreállításának és visszaszolgáltatásának biztosítására vonatkozó rendelkezések, amelyeket a pénzügyi szervezet a harmadik fél IKT-szolgáltató fizetésképtelensége, szanálása vagy üzleti tevékenységének megszüntetése, vagy a szerződéses megállapodások megszűnése esetén kezel; |
e) |
a szolgáltatási szintek leírása, ideértve annak frissítéseit és módosításait is; |
f) |
a harmadik fél IKT-szolgáltató azon kötelezettsége, hogy valamely, a pénzügyi szervezetnek nyújtott IKT-szolgáltatással kapcsolatos, IKT-biztonsági esemény bekövetkezésekor többletköltség nélkül vagy előzetesen megállapított költség mellett támogatást nyújtson a pénzügyi szervezetnek; |
g) |
a harmadik fél IKT-szolgáltató azon kötelezettsége, hogy teljes mértékben együttműködjön az illetékes hatóságokkal és a pénzügyi szervezet szanálási hatóságaival, beleértve az általuk kinevezett személyeket is; |
h) |
a szerződéses megállapodások megszüntetésére vonatkozó felmondási jogok és az azokhoz kapcsolódó minimális felmondási idő az illetékes hatóságok és a szanálási hatóságok elvárásainak megfelelően; |
i) |
a harmadik fél IKT-szolgáltatóknak a pénzügyi szervezetek 13. cikk (6) bekezdése szerinti IKT-biztonsági tudatosságot elősegítő programjain és a digitális működési rezilienciával kapcsolatos képzésein való részvételére vonatkozó feltételek. |
(3) A kritikus vagy fontos funkciókat támogató IKT-szolgáltatások igénybevételéről szóló szerződéses megállapodásoknak a (2) bekezdésben említett elemeken felül tartalmazniuk kell legalább a következőket:
a) |
a szolgáltatási szintek teljeskörű leírása, beleértve annak frissítéseit és felülvizsgálatait is, a megállapodás szerinti szolgáltatási szinteken belüli pontos mennyiségi és minőségi teljesítménycélokkal együtt, hogy lehetővé váljon az IKT-szolgáltatásoknak a pénzügyi szervezet általi eredményes nyomon követése, és lehetővé váljon megfelelő korrekciós intézkedések indokolatlan késedelem nélküli meghozatala, amikor a megállapodás szerinti szolgáltatási szintek nem teljesülnek; |
b) |
a harmadik fél IKT-szolgáltatóra vonatkozó felmondási idők és a pénzügyi szervezettel szembeni bejelentési kötelezettségei, ideértve bármely olyan fejlemény bejelentését, amely lényeges hatást gyakorolhat a harmadik fél IKT-szolgáltató azon képességére, hogy a megállapodás szerinti szolgáltatási szinteknek megfelelően eredményesen biztosítsa a kritikus vagy fontos funkciókat támogató IKT-szolgáltatásokat; |
c) |
arra vonatkozó követelmények, hogy a harmadik fél IKT-szolgáltató vezessen be és teszteljen vészhelyzeti terveket, továbbá rendelkezzen olyan IKT-biztonsági intézkedésekkel, eszközökkel és szabályzatokkal, amelyek biztosítják a megfelelő biztonsági szintet ahhoz, hogy a pénzügyi szervezet a szabályozási keretével összhangban nyújtson szolgáltatásokat; |
d) |
a harmadik fél IKT-szolgáltató azon kötelezettsége, hogy – a 26. és a 27. cikkben említettek szerint – részt vegyen és teljes mértékben együttműködjön a pénzügyi szervezet által végzett TLPT-ben; |
e) |
a pénzügyi szervezet azon joga, hogy folyamatosan monitorozza a harmadik fél IKT-szolgáltató teljesítményét, ami a következőkkel jár:
|
f) |
kilépési stratégiák, különösen egy kötelező megfelelő átmeneti időszak meghatározása:
|
Az e) ponttól eltérve, a harmadik fél IKT-szolgáltató és a mikrovállalkozásként működő pénzügyi szervezet megállapodhat arról, hogy a pénzügyi szervezet hozzáférési, ellenőrzési és audit jogai átruházhatók a harmadik fél IKT-szolgáltató által kinevezett független harmadik félre, valamint hogy a pénzügyi szervezet bármikor tájékoztatást és biztosítékot kérhet a független harmadik féltől a harmadik fél IKT-szolgáltató teljesítése tekintetében.
(4) A szerződéses megállapodásokat előkészítő tárgyalások során a pénzügyi szervezeteknek és a harmadik fél IKT-szolgáltatóknak mérlegelniük kell az egyes szolgáltatásokra a hatóságok által kidolgozott általános szerződéses rendelkezések alkalmazását.
(5) Az EFH-knak a vegyes bizottságon keresztül szabályozástechnikai standardtervezeteket kell kidolgozniuk a (2) bekezdés a) pontjában említett azon elemek további pontosítása céljából, amelyeket a pénzügyi szervezetnek meg kell határoznia és értékelnie kell a kritikus vagy fontos funkciókat támogató IKT-szolgáltatások alvállalkozásba adásakor.
A szabályozástechnikai standardtervezetek kidolgozása során az EFH-knak figyelembe kell venniük a pénzügyi szervezet méretét és általános kockázati profilját, valamint szolgáltatásai, tevékenységei és műveletei jellegét, nagyságrendjét és összetettségét.
Az EFH-knak az említett szabályozástechnikai standardtervezeteket 2024. július 17-ig be kell nyújtaniuk a Bizottságnak.
A Bizottság felhatalmazást kap arra, hogy az 1093/2010/EU, az 1094/2010/EU és az 1095/2010/EU rendelet 10–14. cikkével összhangban az első albekezdésben említett szabályozástechnikai standardok elfogadása útján kiegészítse ezt a rendeletet.
31. cikk
A kritikus harmadik fél IKT-szolgáltatók kijelölése
(1) Az EFH-k a vegyes bizottság keretében, a 32. cikk (1) bekezdése alapján létrehozott felvigyázási fórum ajánlása alapján:
a) |
kijelölik azon harmadik fél IKT-szolgáltatókat, amelyek – a (2) bekezdésben meghatározott kritériumok figyelembevételével végzett értékelés nyomán – a pénzügyi szervezetek számára kritikusak; |
b) |
a kritikus harmadik fél IKT-szolgáltatók mindegyikére vonatkozóan azon EFH-t nevezik ki vezető felvigyázóként, amely – az 1093/2010/EU, az 1094/2010/EU vagy az 1095/2010/EU rendeletnek megfelelően – azon pénzügyi szervezetekért felelős, amelyek teljes eszközértéke együttesen – amint azt az említett pénzügyi szervezetek egyedi mérlegeinek összesítése tanúsítja – a legnagyobb részt teszi ki a releváns kritikus harmadik fél IKT-szolgáltató szolgáltatásait igénybe vevő valamennyi pénzügyi szervezet teljes eszközértékén belül. |
(2) Az (1) bekezdés a) pontjában említett kijelölésnek a harmadik fél IKT-szolgáltató által nyújtott IKT-szolgáltatásokkal kapcsolatban a következő kritériumokon kell alapulnia:
a) |
azon rendszerszintű hatás, amely a pénzügyi szolgáltatások nyújtásának stabilitását, folytonosságát vagy minőségét érné akkor, ha a releváns harmadik fél IKT-szolgáltató kiterjedt működési hiányosság miatt nem képes a szolgáltatásait nyújtani, figyelembe véve azon pénzügyi szervezetek számát, valamint azon pénzügyi szervezetek eszközeinek összértékét, amelyek részére a harmadik fél IKT-szolgáltató szolgáltatásokat nyújt; |
b) |
a releváns harmadik fél IKT-szolgáltató szolgáltatásait igénybe vevő pénzügyi szervezetek rendszerszintű jellege vagy fontossága, a következő paraméterekkel összhangban értékelve:
|
c) |
a releváns harmadik fél IKT-szolgáltató által nyújtott szolgáltatások igénybevétele a pénzügyi szervezetek olyan kritikus vagy fontos funkciói kapcsán, amelyek ellátására végső soron ugyanezen harmadik fél IKT-szolgáltató közreműködésével kerül sor függetlenül attól, hogy a pénzügyi szervezetek az említett szolgáltatásokat közvetlenül vagy közvetetten, alvállalkozási megállapodások útján veszik-e igénybe; |
d) |
a harmadik fél IKT-szolgáltató helyettesíthetőségének mértéke, a következő paraméterek figyelembevételével:
|
(3) Amennyiben a harmadik fél IKT-szolgáltató egy csoporthoz tartozik, a (2) bekezdésben említett kritériumokat a csoport egésze által nyújtott IKT-szolgáltatások tekintetében kell figyelembe venni.
(4) A csoport részét képező harmadik fél IKT-szolgáltatóknak koordinációs pontként ki kell jelölniük egy jogi személyt a megfelelő képviselet és a vezető felvigyázóval való kommunikáció biztosítása érdekében.
(5) A vezető felvigyázónak értesítenie kell a harmadik fél IKT-szolgáltatót az (1) bekezdés a) pontjában említett kijelöléshez vezető értékelés eredményéről. Az értesítés időpontjától számított 6 héten belül a harmadik fél IKT-szolgáltató indokolással ellátott nyilatkozatot nyújthat be a vezető felvigyázónak, amely tartalmazza az értékelés céljából releváns információkat. A vezető felvigyázónak meg kell vizsgálnia az indokolással ellátott nyilatkozatot, és az ilyen nyilatkozat kézhezvételétől számított 30 naptári napon belül további információk benyújtását kérheti.
Miután egy harmadik fél IKT-szolgáltatót kritikusnak jelöltek ki, az EFH-knak a vegyes bizottságon keresztül értesíteniük kell a harmadik fél IKT-szolgáltatót az ilyen kijelölésről és azon kezdőidőpontról, amelytől ténylegesen felvigyázási tevékenységek alá fog esni. Az említett kezdő időpontot az értesítéstől számított egy hónapon belül kell meghatározni. A harmadik fél IKT-szolgáltatónak értesítenie kell azon pénzügyi szervezeteket, amelyeknek szolgáltatásokat nyújt, a kritikusnak való kijelöléséről.
(6) A Bizottság felhatalmazást kap arra, hogy – az 57. cikkel összhangban – 2024. július 17-ig felhatalmazáson alapuló jogi aktust fogadjon el, amely az e cikk (2) bekezdésében említett kritériumok részletesebb meghatározásával egészíti ki ezt a rendeletet.
(7) Az (1) bekezdés a) pontjában említett kijelölés csak azt követően alkalmazható, hogy a Bizottság a (6) bekezdésnek megfelelően felhatalmazáson alapuló jogi aktust fogadott el.
(8) Az (1) bekezdés a) pontjában említett kijelölés nem alkalmazható a következők tekintetében:
i. |
azon pénzügyi intézmények, amelyek más pénzügyi intézményeknek nyújtanak IKT-szolgáltatásokat; |
ii. |
azon harmadik fél IKT-szolgáltatók, amelyek az Európai Unió működéséről szóló szerződés 127. cikkének (2) bekezdésében említett feladatok támogatásának céljából létrehozott felvigyázási keretrendszerek hatálya alá tartoznak; |
iii. |
a vállalatcsoporton belüli IKT-szolgáltatók; |
iv. |
olyan harmadik fél IKT-szolgáltatók, amelyek kizárólag egy tagállamban nyújtanak IKT-szolgáltatásokat olyan pénzügyi szervezetek számára, amelyek csak az említett tagállamban tevékenykednek. |
(9) Az EFH-knak a vegyes bizottság keretében össze kell állítaniuk, közzé kell tenniük és évente frissíteniük kell a kritikus harmadik fél IKT-szolgáltatók uniós szintű jegyzékét.
(10) Az (1) bekezdés a) pontjának alkalmazásában az illetékes hatóságok összesített formában évente átadják a 32. cikk alapján létrehozott felvigyázási fórumnak a 28. cikk (3) bekezdésének harmadik albekezdésében említett jelentéseket. A felvigyázási fórum az illetékes hatóságoktól kapott információk alapján értékeli a pénzügyi szervezetek harmadik féltől való IKT-függőségét.
(11) Azon harmadik fél IKT-szolgáltatók, amelyek nem szerepelnek a (9) bekezdésben említett jegyzékben, kérhetik, hogy az (1) bekezdés a) pontjának megfelelően kritikusnak legyenek kijelölve.
Az első albekezdés alkalmazásában a harmadik fél IKT-szolgáltatónak indokolással ellátott kérelmet kell benyújtania az EBH, az ESMA vagy az EIOPA részére, amely a vegyes bizottságon keresztül határoz arról, hogy az említett harmadik fél IKT-szolgáltatót az (1) bekezdés a) pontjának megfelelően kritikusnak jelöljék-e ki.
A kérelem beérkezésétől számított 6 hónapon belül kell elfogadni a második albekezdésben említett határozatot, és arról értesíteni a harmadik fél IKT-szolgáltatót.
(12) A pénzügyi szervezetek csak akkor vehetik igénybe egy harmadik országban letelepedett és az (1) bekezdés a) pontjával összhangban kritikusnak kijelölt harmadik fél IKT-szolgáltató szolgáltatásait, ha az utóbbi a kijelölést követő 12 hónapon belül leányvállalatot létesített az Unióban.
(13) A (12) bekezdésben említett kritikus harmadik fél IKT-szolgáltatónak értesítenie kell a vezető felvigyázót az Unióban letelepedett leányvállalat irányítási struktúráját érintő bármely változásról.
32. cikk
A felvigyázási keretrendszer felépítése
(1) Az 1093/2010/EU rendelet, az 1094/2010/EU rendelet és az 1095/2010/EU rendelet 57. cikkének (1) bekezdésével összhangban a vegyes bizottság albizottságként hozza létre a felvigyázási fórumot abból a célból, hogy támogassa a vegyes bizottság és a 31. cikk (1) bekezdésének b) pontjában említett vezető felvigyázó munkáját a pénzügyi ágazatokban fennálló, harmadik féltől eredő IKT-kockázat terén. A felvigyázási fórum előkészíti a vegyes bizottságnak az említett területet érintő közös állásponttervezeteit és közös fellépéstervezeteit.
A felvigyázási fórum rendszeresen megvitatja az IKT-kockázattal és -sérülékenységgel kapcsolatos releváns fejleményeket, és következetes megközelítést szorgalmaz a harmadik féltől eredő IKT-kockázat uniós szintű nyomon követése terén.
(2) A felvigyázási fórum évente együttes értékelést végez a kritikus harmadik fél IKT-szolgáltatókra vonatkozó felvigyázási tevékenységek eredményeiről és megállapításairól, és koordinációs intézkedéseket mozdít elő, amelyek célja a pénzügyi szervezetek digitális működési rezilienciájának növelése, az IKT-koncentrációs kockázat kezelése terén elérhető legjobb gyakorlatok támogatása, továbbá a kockázat ágazatok közötti átterjedését mérséklő eszközök vizsgálata.
(3) A felvigyázási fórum a kritikus harmadik fél IKT-szolgáltatókra vonatkozó átfogó referenciamutatókat terjeszt elő, amelyeket a vegyes bizottság az 1093/2010/EU, az 1094/2010/EU és az 1095/2010/EU rendelet 56. cikkének (1) bekezdésével összhangban az EFH-k közös álláspontjaként fogad el.
(4) A felvigyázási fórum a következőkből áll:
a) |
az EFH-k elnökei; |
b) |
az egyes tagállamoknak a 46. cikkben említett releváns illetékes hatósága mindenkori személyzetének egy-egy magas rangú képviselője; |
c) |
megfigyelőként az egyes EFH-k ügyvezető igazgatója, valamint a Bizottság, az ERKT, az EKB és az ENISA egy-egy képviselője; |
d) |
adott esetben megfigyelőként az egyes tagállamok valamely, a 46. cikkben említett illetékes hatóságának egy-egy további képviselője; |
e) |
megfigyelőként adott esetben az (EU) 2022/2555 irányelvvel összhangban kijelölt vagy létrehozott – valamely kritikus harmadik fél IKT-szolgáltatónak kijelölt, az említett irányelv hatálya alá tartozó alapvető vagy fontos szervezet felügyeletéért felelős – illetékes hatóságok képviselője. |
A felvigyázási fórum adott esetben kikérheti a (6) bekezdéssel összhangban kinevezett független szakértők tanácsát.
(5) Minden egyes tagállam kijelöli azon releváns illetékes hatóságot, amely személyzetének egyik tagja a (4) bekezdés első albekezdésének b) pontjában említett magas rangú képviselő, és erről tájékoztatja a vezető felvigyázót.
Az EFH-k a honlapjukon közzéteszik a releváns illetékes hatóság jelenlegi személyzetéből a tagállamok által kijelölt magas rangú képviselők jegyzékét.
(6) A (4) bekezdés második albekezdésében említett független szakértőket a felvigyázási fórum nevezi ki egy nyilvános és átlátható pályázati eljárást követően kiválasztott szakértői állományból.
A független szakértőket a pénzügyi stabilitással, a digitális működési rezilienciával és az IKT-biztonsággal kapcsolatos szakértelmük alapján kell kinevezni. Függetlenül és objektíven járnak el, kizárólag az Unió egészének érdekében, nem kérhetnek és nem fogadhatnak el utasítást sem uniós intézménytől vagy szervtől, sem tagállami kormánytól, sem más közjogi vagy magánjogi szervtől.
(7) Az 1093/2010/EU rendelet, az 1094/2010/EU rendelet és az 1095/2010/EU rendelet 16. cikkével összhangban az EFH-k 2024. július 17-ig – e szakasz alkalmazásában – iránymutatásokat adnak ki az EFH-k és az illetékes hatóságok között folytatandó együttműködésről, amely iránymutatások kiterjednek az illetékes hatóságok és az EFH-k közötti feladatok elosztására és végrehajtására vonatkozó részletes eljárásokra és feltételekre, valamint az ahhoz szükséges információcserék részleteire, hogy az illetékes hatóságok biztosítsák a 35. cikk (1) bekezdésének d) pontja alapján a kritikus harmadik fél IKT-szolgáltatóknak címzett ajánlások utókövetését.
(8) Az e szakaszban meghatározott követelmények nem érintik az (EU) 2022/2555 irányelv és a felhőszolgáltatókra alkalmazandó, felvigyázásra vonatkozó egyéb uniós szabályok alkalmazását.
(9) Az EFH-k a vegyes bizottságon keresztül és a felvigyázási fórum által végzett előkészítő munka alapján évente jelentést nyújtanak be e szakasz alkalmazásáról az Európai Parlamentnek, a Tanácsnak és a Bizottságnak.
33. cikk
A vezető felvigyázó feladatai
(1) A 31. cikk (1) bekezdésének b) pontjával összhangban kijelölt vezető felvigyázó elvégzi a kijelölt, kritikus harmadik fél IKT-szolgáltatók felvigyázását, és a felvigyázással kapcsolatos valamennyi kérdés céljából elsődleges kapcsolattartóként áll az említett kritikus harmadik fél IKT-szolgáltatók rendelkezésére.
(2) Az (1) bekezdés alkalmazásában a vezető felvigyázónak értékelnie kell, hogy a kritikus harmadik fél IKT-szolgáltatók mindegyike rendelkezik-e átfogó, megbízható és hatékony szabályokkal, eljárásokkal, mechanizmusokkal és intézkedésekkel azon tőle eredő IKT-kockázat kezeléséhez, amellyel a pénzügyi szervezetek szembesülhetnek.
Az első albekezdésben említett értékelésnek a kritikus harmadik fél IKT-szolgáltató által nyújtott IKT-szolgáltatások közül elsősorban a pénzügyi szervezetek kritikus vagy fontos funkcióit támogató szolgáltatásokra kell összpontosítania. Amennyiben az valamennyi releváns kockázat kezeléséhez szükséges, az említett értékelésnek ki kell terjednie a kritikus vagy fontos funkcióktól eltérő funkciókat támogató IKT-szolgáltatásokra is.
(3) A (2) bekezdésben említett értékelésnek ki kell terjednie a következőkre:
a) |
IKT-vonatkozású követelmények, hogy biztosítsák különösen azon szolgáltatások biztonságát, rendelkezésre állását, folytonosságát, skálázhatóságát és minőségét, amelyeket a kritikus harmadik fél IKT-szolgáltató nyújt pénzügyi szervezeteknek, valamint az adatok rendelkezésre állására, hitelességére, integritására vagy bizalmas jellegére vonatkozó magas szintű normák mindenkori fenntartásának képességét; |
b) |
az IKT-biztonság biztosítását elősegítő fizikai biztonság, ezen belül a telephelyek, létesítmények, adatközpontok biztonsága; |
c) |
a kockázatkezelési folyamatok, ezen belül az IKT-kockázatkezelési szabályzatok, az IKT-üzletmenetfolytonossági politika, valamint az IKT-reagálási és -helyreállítási tervek; |
d) |
az irányítási rendszer, ezen belül az olyan szervezeti felépítés, amelyben az egyértelmű, átlátható és következetes felelősségi körök és elszámoltathatósági szabályok lehetővé teszik az eredményes IKT-kockázatkezelést; |
e) |
a pénzügyi szervezeteket érő lényeges IKT-vonatkozású események azonosítása, nyomon követése és haladéktalan bejelentése, valamint az ilyen események, különösen a kiberbiztonsági események kezelése és elhárítása; |
f) |
az adathordozhatóságot, valamint az alkalmazások hordozhatóságát és kölcsönös átjárhatóságát biztosító mechanizmusok, amelyek biztosítják a pénzügyi szervezetek számára a felmondási jogok tényleges gyakorlását; |
g) |
az IKT-rendszerek, -infrastruktúrák és -kontrollok tesztelése; |
h) |
az IKT-auditok; |
i) |
a pénzügyi szervezetek részére nyújtott IKT-szolgáltatásokra alkalmazandó releváns nemzeti és nemzetközi szabványok használata. |
(4) A (2) bekezdésben említett értékelés alapján és a 34. cikk (1) bekezdésében említett közös felvigyázási hálózattal (KFH) koordinálva, a vezető felvigyázónak egyértelmű, részletes és indokolással ellátott egyéni felvigyázási tervet kell elfogadnia, amelyben az egyes kritikus harmadik fél IKT-szolgáltatók számára kitűzött éves felvigyázási célok és tervezett főbb felvigyázási intézkedések szerepelnek. A tervről évente értesíteni kell a kritikus harmadik fél IKT-szolgáltatót.
A felvigyázási terv elfogadása előtt a vezető felvigyázónak ismertetnie kell a felvigyázásiterv-javaslatot a kritikus harmadik fél IKT-szolgáltatóval.
A felvigyázásiterv-javaslat kézhezvételét követően a kritikus harmadik fél IKT-szolgáltató 15 naptári napon belül indokolással ellátott nyilatkozatot nyújthat be, amelyben igazolja az e rendelet hatályán kívül eső ügyfelekre gyakorolt várható hatást, és adott esetben kockázatcsökkentő megoldásokat mutat be.
(5) A (4) bekezdésben említett éves felvigyázási tervek elfogadását és arról a kritikus harmadik fél IKT-szolgáltatók értesítését követően az illetékes hatóságok csak a vezető felvigyázó egyetértésével hozhatnak az ilyen kritikus harmadik fél IKT-szolgáltatókra vonatkozó intézkedéseket.
34. cikk
A vezető felvigyázók közötti operatív koordináció
(1) A felvigyázási tevékenységek következetes megközelítésének biztosítása céljából, valamint a koordinált általános felvigyázási stratégiák és a koherens operatív megközelítések és módszertanok lehetővé tétele érdekében a 31. cikk (1) bekezdésének b) pontjával összhangban kinevezett három vezető felvigyázónak KFH-t kell létrehozniuk, hogy egymás között koordináljanak az előkészítő szakaszokban, és koordinálják az általuk felvigyázott, kritikus harmadik fél IKT-szolgáltatók feletti felvigyázási tevékenységek végzését, valamint koordináljanak a 42. cikk alapján esetlegesen szükségessé váló bármely intézkedés során.
(2) Az (1) bekezdés alkalmazásában a vezető felvigyázóknak közös felvigyázási protokollt kell kidolgozniuk, amely meghatározza a napi koordinációs feladatok végzése, valamint a gyors információcsere és reagálás biztosítása érdekében követendő részletes eljárásokat. A protokollt időszakonként felül kell vizsgálni, hogy tükrözze az operatív igényeket, különösen a gyakorlati felvigyázási intézkedések alakulását.
(3) A vezető felvigyázók eseti alapon felkérhetik az EKB-t és az ENISA-t szakvélemény kiadására, gyakorlati tapasztalataik megosztására vagy a KFH bizonyos koordinációs ülésein való részvételre.
35. cikk
A vezető felvigyázó hatáskörei
(1) Az e szakaszban meghatározott feladatok elvégzése céljából a vezető felvigyázó a következő hatáskörökkel rendelkezik a kritikus harmadik fél IKT-szolgáltatók tekintetében:
a) |
a 37. cikknek megfelelően bekérhet minden releváns információt és dokumentumot; |
b) |
a 38., illetve a 39. cikknek megfelelően általános vizsgálatokat, illetve ellenőrzéseket tarthat; |
c) |
a felvigyázási tevékenységek elvégzését követően jelentést kérhet arról, hogy a kritikus harmadik fél IKT-szolgáltatók milyen intézkedéseket tettek vagy korrekciókat hajtottak végre az e bekezdés d) pontjában említett ajánlásokkal kapcsolatban; |
d) |
ajánlásokat adhat ki a 33. cikk (3) bekezdésében említett területekre, különösen a következőkre vonatkozóan:
E pont iv. alpontjának alkalmazásában a harmadik fél IKT-szolgáltatóknak a 41. cikk (1) bekezdésének b) pontjában említett sablon használatával továbbítaniuk kell az alvállalkozásba adásra vonatkozó információkat a vezető felvigyázónak. |
(2) Az e cikkben említett hatáskörök gyakorlása során a vezető felvigyázó:
a) |
biztosítja a KFH-n belüli rendszeres koordinációt, és adott esetben következetes megközelítésekre törekszik a kritikus harmadik fél IKT-szolgáltatók felvigyázása tekintetében; |
b) |
megfelelően figyelembe veszi az (EU) 2022/2555 irányelv által létrehozott keretet, és szükség esetén konzultál az említett irányelvvel összhangban kijelölt vagy létrehozott releváns illetékes hatóságokkal, hogy elkerüljék az egymást átfedő technikai és szervezeti intézkedéseket, amelyek az említett irányelv értelmében a kritikus harmadik fél IKT-szolgáltatókra vonatkozhatnak; |
c) |
minimalizálni törekszik a kritikus harmadik fél IKT-szolgáltatók által az e rendelet hatályán kívül eső ügyfeleknek nyújtott szolgáltatások megszakadásának kockázatát. |
(3) A vezető felvigyázónak az (1) bekezdésben említett hatáskörök gyakorlását megelőzően egyeztetnie kell a felvigyázási fórummal.
Mielőtt az (1) bekezdés d) pontjával összhangban ajánlásokat adna ki, a vezető felvigyázónak lehetőséget kell biztosítania a harmadik fél IKT-szolgáltató számára, hogy 30 naptári napon belül releváns információkat nyújtson be, amelyek igazolják az e rendelet hatályán kívül eső ügyfelekre gyakorolt várható hatást, és adott esetben kockázatcsökkentő megoldásokat körvonalaznak.
(4) A vezető felvigyázónak tájékoztatnia kell a KFH-t az (1) bekezdés a) és b) pontjában említett hatáskörök gyakorlásának eredményéről. A vezető felvigyázónak az (1) bekezdés c) pontjában említett jelentéseket indokolatlan késedelem nélkül továbbítania kell a KFH-nak és a kritikus harmadik fél IKT-szolgáltató IKT-szolgáltatásait igénybe vevő pénzügyi szervezetek illetékes hatóságainak.
(5) A kritikus harmadik fél IKT-szolgáltatóknak jóhiszeműen együtt kell működniük a vezető felvigyázóval, és segíteniük kell a feladatai ellátásában.
(6) Az (1) bekezdés a), b) és c) pontja szerinti hatáskörök gyakorlása alapján meghozandó intézkedéseknek való teljes vagy részleges meg nem felelés esetén és azon naptól számított legalább 30 naptári nap elteltével, amelyen a kritikus harmadik fél IKT-szolgáltató megkapta a vonatkozó intézkedésekről szóló értesítést, a vezető felvigyázónak határozatot kell elfogadnia, amelyben időszaki büntető bírság kiszabásával kényszeríti a kritikus harmadik fél IKT-szolgáltatót az említett intézkedéseknek való megfelelésre.
(7) A (6) bekezdésben említett időszaki büntető bírságot naponta ki kell szabni a megfelelés eléréséig, a kritikus harmadik fél IKT-szolgáltatónak az időszaki büntető bírság kiszabásáról szóló határozatról való értesítését követő legfeljebb hathónapos időszakban.
(8) Az időszaki büntető bírság összege az időszaki büntető bírság kiszabásáról szóló határozatban megjelölt naptól számítandó, mértéke a kritikus harmadik fél IKT-szolgáltató előző üzleti évben elért átlagos napi világpiaci forgalmának legfeljebb 1 %-a. A büntető bírság összegének meghatározásakor a vezető felvigyázónak a (6) bekezdésben említett intézkedések be nem tartása tekintetében a következő kritériumokat kell figyelembe vennie:
a) |
a meg nem felelés súlyossága és időtartama; |
b) |
a meg nem felelés szándékos cselekmény vagy gondatlanság eredménye-e; |
c) |
a harmadik fél IKT-szolgáltató és a vezető felvigyázó közötti együttműködés szintje. |
Az első albekezdés alkalmazásában – a következetes megközelítés biztosítása érdekében – a vezető felvigyázónak konzultációt kell folytatnia a KFH-n belül.
(9) A büntető bírság közigazgatási jellegű és behajtható. A behajtásra azon tagállam hatályos polgári eljárásjogi szabályai vonatkoznak, amelynek területén az ellenőrzésre és a hozzáférésre sor kerül. A behajtás szabálytalanságára vonatkozó panaszok tekintetében az érintett tagállam bíróságai rendelkeznek joghatósággal. A büntető bírság összege az Európai Unió általános költségvetését illeti.
(10) A vezető felvigyázónak nyilvánosságra kell hoznia minden kiszabott időszaki büntető bírságot, kivéve, ha az ilyen nyilvánosságra hozatal súlyosan veszélyeztetné a pénzügyi piacokat, vagy aránytalan károkat okozna az érintett feleknek.
(11) Az időszaki büntető bírságnak a (6) bekezdés alapján történő kiszabása előtt a vezető felvigyázónak a megállapítások kapcsán meghallgatási lehetőséget kell biztosítania az eljárás alá vont kritikus harmadik fél IKT-szolgáltató képviselői számára, és a határozathozatal során kizárólag azon megállapításokat veheti figyelembe, amelyek kapcsán a kritikus harmadik fél IKT-szolgáltató lehetőséget kapott észrevételei megtételére.
Az eljárás alá vont személyek védelemhez való jogát az eljárás során teljes mértékben tiszteletben kell tartani. Az eljárás alá vont, kritikus harmadik fél IKT-szolgáltatónak jogában áll betekinteni az ügyiratba, amennyiben ez nem sérti más személyeknek az üzleti titkok védelméhez fűződő jogos érdekét. Az ügyiratba való betekintés joga nem terjed ki a bizalmas információkra és a vezető felvigyázó belső előkészítő dokumentumaira.
36. cikk
A vezető felvigyázó hatásköreinek gyakorlása az Unión kívül
(1) Amennyiben a felvigyázási célok nem érhetők el a 31. cikk (12) bekezdésének alkalmazásában létrehozott leányvállalattal való interakcióval vagy a felvigyázási tevékenységeknek az Unióban található telephelyeken történő gyakorlásával, a vezető felvigyázó a következő rendelkezésekben említett hatásköröket bármely olyan, harmadik országban található telephelyen gyakorolhatja, amely egy kritikus harmadik fél IKT-szolgáltató tulajdonában van, vagy amelyet egy kritikus harmadik fél IKT-szolgáltató uniós pénzügyi szervezetek részére történő szolgáltatásnyújtás céljából bármely módon használ az üzleti műveleteivel, funkcióival vagy szolgáltatásaival kapcsolatban – ideértve az adminisztratív, üzleti és üzemeltetési irodákat, telephelyeket, földterületeket, épületeket vagy egyéb ingatlanokat is:
a) |
a 35. cikk (1) bekezdésének a) pontja; és |
b) |
a 35. cikk (1) bekezdésének b) pontja, összhangban a 38. cikk (2) bekezdésének a), b) és d) pontjával, valamint a 39. cikk (1) bekezdésével és (2) bekezdésének a) pontjával. |
Az első albekezdésben említett hatáskörök valamennyi következő feltétel fennállása esetén gyakorolhatók:
i. |
a vezető felvigyázó szükségesnek tartja egy harmadik országbeli ellenőrzés lefolytatását ahhoz, hogy teljes mértékben és eredményesen el tudja látni az e rendelet szerinti feladatait; |
ii. |
a harmadik országbeli ellenőrzés közvetlenül kapcsolódik az Unióban működő pénzügyi szervezetek számára nyújtott IKT-szolgáltatásokhoz; |
iii. |
az érintett kritikus harmadik fél IKT-szolgáltató hozzájárul egy harmadik országbeli ellenőrzés lefolytatásához; és |
iv. |
a vezető felvigyázó hivatalosan értesítette az érintett harmadik ország releváns hatóságát, és az nem emelt kifogást. |
(2) Az uniós intézmények és a tagállamok vonatkozó hatásköreinek sérelme nélkül, az (1) bekezdés alkalmazásában az EBH, az ESMA vagy az EIOPA igazgatási együttműködési megállapodásokat köt a harmadik ország releváns hatóságával annak érdekében, hogy a vezető felvigyázó és az említett harmadik országbeli kiküldetésre kijelölt csoportja az érintett harmadik országban zökkenőmentesen lefolytathassa az ellenőrzéseket. Az említett együttműködési megállapodások nem keletkeztethetnek jogi kötelezettségeket az Unióval és tagállamaival szemben, és nem akadályozhatják meg a tagállamokat és illetékes hatóságaikat abban, hogy két- vagy többoldalú megállapodásokat kössenek az említett harmadik országokkal és azok releváns hatóságaival.
Az említett együttműködési megállapodásoknak tartalmazniuk kell legalább a következő elemeket:
a) |
az e rendelet alapján végzett felvigyázási tevékenységek és bármely hasonló, az érintett harmadik ország releváns hatósága által folytatott, a harmadik féltől eredő IKT-kockázatnak a pénzügyi ágazatban való nyomon követését célzó tevékenység koordinálására vonatkozó eljárások, beleértve a harmadik ország releváns hatósága által ahhoz adott hozzájárulás továbbításának részletes szabályait, hogy a joghatósága alá tartozó területen a vezető felvigyázó és az általa kijelölt csoport lefolytathassa az (1) bekezdés első albekezdésében említett általános vizsgálatokat és helyszíni ellenőrzéseket; |
b) |
a releváns információknak az EBH, az ESMA vagy az EIOPA, valamint az érintett harmadik ország releváns hatósága közötti továbbításának mechanizmusa, különösen a vezető felvigyázó által a 37. cikk alapján kérhető információkkal kapcsolatban; |
c) |
azon mechanizmusok, amelyek révén az érintett harmadik ország releváns hatósága haladéktalanul értesíti az EBH-t, az ESMA-t vagy az EIOPA-t azon esetekről, amikor úgy tekinthető, hogy egy harmadik országban letelepedett és a 31. cikk (1) bekezdésének a) pontjával összhangban kritikusnak kijelölt IKT-szolgáltató megsértette azon követelményeket, amelyeket az érintett harmadik ország alkalmazandó joga értelmében köteles betartani, amikor az említett harmadik országban pénzügyi intézményeknek nyújt szolgáltatásokat, továbbá az alkalmazott jogorvoslatok és szankciók; |
d) |
az érintett harmadik országban lévő pénzügyi intézmények harmadik féltől eredő IKT-kockázatának nyomon követésével kapcsolatos szabályozási vagy felügyeleti fejleményekkel kapcsolatos naprakész információk rendszeres továbbítása; |
e) |
az annak engedélyezésével kapcsolatos részletek, hogy szükség esetén a harmadik országbeli illetékes hatóság egy képviselője részt vegyen a vezető felvigyázó és a kijelölt csoport által végzett ellenőrzéseken. |
(3) Amennyiben a vezető felvigyázó nem képes az (1) és (2) bekezdésben említett, Unión kívüli felvigyázási tevékenységeket végezni, a vezető felvigyázónak:
a) |
a 35. cikk szerinti hatáskörét a rendelkezésére álló valamennyi tény és dokumentum alapján kell gyakorolnia; |
b) |
dokumentálnia kell és ki kell fejtenie az e cikkben említett tervezett felvigyázási tevékenységek végzésére való képtelenségének lehetséges következményeit. |
Az e bekezdés b) pontjában említett lehetséges következményeket figyelembe kell venni a vezető felvigyázónak a 35. cikk (1) bekezdésének d) pontja alapján kiadott ajánlásaiban.
37. cikk
Információkérés
(1) A vezető felvigyázó egyszerű kérés vagy határozat útján előírhatja a kritikus harmadik fél IKT-szolgáltatók számára, hogy adják át a részére az e rendelet szerinti feladatainak elvégzéséhez szükséges információkat, ideértve a releváns üzleti vagy működési dokumentumokat, szerződéseket, szabályzatokat, dokumentációkat, az IKT-biztonsági auditjelentéseket, az IKT-vonatkozású eseményekről készült jelentéseket, valamint az olyan felekkel kapcsolatos információkat, akikhez a kritikus harmadik fél IKT-szolgáltató operatív funkciókat vagy tevékenységeket szervezett ki.
(2) Az (1) bekezdés szerinti egyszerű információkérés megküldésekor a vezető felvigyázónak:
a) |
a kérés jogalapjaként e cikkre kell hivatkoznia; |
b) |
meg kell jelölnie a kérés célját; |
c) |
pontosan meg kell határoznia a kért információt; |
d) |
meg kell határoznia az információnyújtás határidejét; |
e) |
tájékoztatnia kell a kritikus harmadik fél IKT-szolgáltató azon képviselőjét, akitől az információt kérik, hogy nem köteles megadni az információt, de amennyiben önkéntesen válaszol a kérésre, a nyújtott információ nem lehet helytelen vagy félrevezető. |
(3) Az (1) bekezdés szerinti, határozat útján történő információkérés esetén a vezető felvigyázónak:
a) |
a kérés jogalapjaként e cikkre kell hivatkoznia; |
b) |
meg kell jelölnie a kérés célját; |
c) |
pontosan meg kell határoznia a kért információt; |
d) |
meg kell határoznia az információnyújtás határidejét; |
e) |
meg kell jelölnie a 35. cikk (6) bekezdésében azon esetre előírt időszaki büntető bírságot, amennyiben a kért információk nyújtása hiányos, vagy amikor az ilyen információkat az e bekezdés d) pontjában említett határidőn belül nem biztosítják; |
f) |
meg kell jelölnie azon jogot, hogy – az 1093/2010/EU, az 1094/2010/EU és az 1095/2010/EU rendelet 60. és 61. cikkével összhangban – a határozat ellen fellebbezni lehet az EFH fellebbezési tanácsa előtt, és a határozat felülvizsgáltatható az Európai Unió Bíróságával (Bíróság). |
(4) A kritikus harmadik fél IKT-szolgáltatók képviselői benyújtják a kért információkat. Megfelelően meghatalmazott ügyvédek az ügyfelük nevében nyújthatják be az információkat. A harmadik fél IKT-szolgáltatók teljes felelősséggel tartoznak, ha a szolgáltatott információ hiányos, helytelen vagy félrevezető.
(5) A vezető felvigyázó a határozat példányának haladéktalan továbbításával tájékoztatja a releváns kritikus harmadik fél IKT-szolgáltatók szolgáltatásait igénybe vevő pénzügyi szervezetek illetékes hatóságait és a KFH-t.
38. cikk
Általános vizsgálatok
(1) Az e rendelet szerinti feladatainak elvégzése érdekében a vezető felvigyázó a 40. cikk 1) bekezdésében említett közös vizsgálócsoport támogatásával – szükség esetén – lefolytathatja a kritikus harmadik fél IKT-szolgáltatók vizsgálatait.
(2) A vezető felvigyázó a következő hatáskörökkel rendelkezik:
a) |
a feladatainak végrehajtása szempontjából releváns nyilvántartások, adatok, eljárások és egyéb anyagok megvizsgálása, az adathordozótól függetlenül; |
b) |
az ilyen nyilvántartásokból, adatokból, dokumentált eljárásokból és bármely egyéb anyagból hiteles másolatok vagy kivonatok készítése vagy bekérése; |
c) |
a kritikus harmadik fél IKT-szolgáltató képviselőinek felszólítása a személyes megjelenésre, és szóbeli vagy írásbeli magyarázat kérése a vizsgálat tárgyával és céljával összefüggő tényekkel és dokumentumokkal kapcsolatban, valamint a válaszok rögzítése; |
d) |
bármely egyéb olyan természetes vagy jogi személy meghallgatása, aki vagy amely hozzájárul ahhoz, hogy a vizsgálat tárgyával kapcsolatos információgyűjtés céljából meghallgassák; |
e) |
a telefon- és adatforgalmi nyilvántartások kikérése. |
(3) Az (1) bekezdésben említett vizsgálat céljából a vezető felvigyázó által felhatalmazott tisztviselőknek és más személyeknek hatáskörük gyakorlásához fel kell mutatniuk a vizsgálat tárgyát és célját feltüntető írásbeli felhatalmazást.
Az említett felhatalmazásban szintén fel kell tüntetni a 35. cikk (6) bekezdésében azon esetre előírt időszaki büntető bírságokat, amennyiben a kért nyilvántartásokat, adatokat, dokumentált eljárásokat vagy egyéb anyagokat nem vagy hiányosan nyújtják be, vagy ha a harmadik fél IKT-szolgáltató képviselői a feltett kérdésekre nem vagy hiányosan válaszolnak.
(4) A kritikus harmadik fél IKT-szolgáltatók képviselői kötelesek alávetni magukat a vezető felvigyázó határozata alapján elrendelt vizsgálatoknak. A határozatban fel kell tüntetni a vizsgálat tárgyát és célját, a 35. cikk (6) bekezdésében előírt időszaki büntető bírságokat, az 1093/2010/EU rendelet, az 1094/2010/EU rendelet és az 1095/2010/EU rendelet alapján igénybe vehető jogorvoslatokat, valamint azon jogot, hogy a határozat az Európai Unió Bíróságával felülvizsgáltatható.
(5) A vezető felvigyázónak a vizsgálat kezdete előtt kellő időben tájékoztatnia kell a tervezett vizsgálatról és a felhatalmazott személyek személyazonosságáról az említett kritikus harmadik fél IKT-szolgáltató IKT-szolgáltatásait igénybe vevő pénzügyi szervezetek illetékes hatóságait.
A vezető felvigyázónak az első albekezdés alapján átadott valamennyi információt közölnie kell a KFH-val.
39. cikk
Ellenőrzések
(1) Az e rendelet szerinti feladatainak elvégzése érdekében a vezető felvigyázó a 40. cikk (1) bekezdésében említett közös vizsgálócsoportok támogatásával beléphet a harmadik fél IKT-szolgáltatók bármely telephelyére, területére vagy ingatlanára, beleértve a szolgáltató székhelyét, üzemeltetési központjait, egyéb telephelyeit is, és elvégezhet minden szükséges helyszíni ellenőrzést, valamint helyszínen kívüli ellenőrzést végezhet.
Az első albekezdésben említett hatáskörök gyakorlása céljából a vezető felvigyázónak konzultálnia kell a KFH-val.
(2) A vezető felvigyázó által a helyszíni ellenőrzés lefolytatására felhatalmazott tisztviselők és egyéb személyek jogosultak arra, hogy:
a) |
belépjenek bármely ilyen telephelyre, területre vagy ingatlanra; és |
b) |
az ellenőrzéshez szükséges időre és mértékben zár alá vegyenek bármely ilyen telephelyet, könyvet vagy feljegyzést. |
A vezető felvigyázó által felhatalmazott tisztviselőknek és egyéb személyeknek hatáskörük gyakorlásához fel kell mutatniuk az ellenőrzés tárgyát és célját feltüntető írásbeli felhatalmazást, amely megjelöli a 35. cikk (6) bekezdésében azon esetre előírt időszaki büntető bírságokat, amennyiben az érintett kritikus harmadik fél IKT-szolgáltatók képviselői nem vetik alá magukat az ellenőrzésnek.
(3) A vezető felvigyázónak az ellenőrzés kezdete előtt kellő időben értesítést kell küldenie az említett harmadik fél IKT-szolgáltatót igénybe vevő pénzügyi szervezetek illetékes hatóságainak.
(4) Az ellenőrzéseknek ki kell terjedniük a pénzügyi szervezeteknek nyújtott IKT-szolgáltatások teljesítéséhez felhasznált vagy ahhoz hozzájáruló releváns IKT-rendszerek, -hálózatok, -eszközök, -információk és -adatok teljes körére.
(5) A tervezett helyszíni ellenőrzést megelőzően a vezető felvigyázónak észszerű értesítést kell adnia a kritikus harmadik fél IKT-szolgáltatóknak, kivéve, ha az ilyen értesítés veszélyhelyzet vagy válsághelyzet miatt nem lehetséges, vagy ha az meghiúsítaná az eredményes ellenőrzést vagy auditot.
(6) A kritikus harmadik fél IKT-szolgáltatónak alá kell vetnie magát a vezető felvigyázó határozata alapján elrendelt helyszíni ellenőrzéseknek. A határozatban fel kell tüntetni az ellenőrzés tárgyát és célját, rögzíteni kell az ellenőrzés megkezdésének időpontját, valamint meg kell jelölni a 35. cikk (6) bekezdésében előírt időszaki büntető bírságokat, az 1093/2010/EU rendelet, az 1094/2010/EU rendelet és az 1095/2010/EU rendelet alapján igénybe vehető jogorvoslatokat, valamint azon jogot, hogy a határozat az Európai Unió Bíróságával felülvizsgáltatható.
(7) Amennyiben a vezető felvigyázó által felhatalmazott tisztviselők és más személyek azt állapítják meg, hogy a kritikus harmadik fél IKT-szolgáltató ellenzi az e cikk alapján elrendelt ellenőrzést, a vezető felvigyázónak tájékoztatnia kell a kritikus harmadik fél IKT-szolgáltatót az ilyen ellenkezés következményeiről, beleértve annak lehetőségét, hogy a releváns pénzügyi szervezetek illetékes hatóságai előírják a pénzügyi szervezetek számára, hogy szüntessék meg az említett kritikus harmadik fél IKT-szolgáltatóval kötött szerződéses megállapodásokat.
40. cikk
Folyamatos felvigyázás
(1) A vezető felvigyázót a felvigyázási tevékenységek folytatása során, különösen általános vizsgálatok vagy ellenőrzések lefolytatásakor az egyes kritikus harmadik fél IKT-szolgáltatók tekintetében létrehozott közös vizsgálócsoport támogatja.
(2) Az (1) bekezdésben említett közös vizsgálócsoport a következő intézmények személyzetének tagjaiból áll:
a) |
az EFH-k; |
b) |
azon releváns illetékes hatóságok, amelyek a kritikus harmadik fél IKT-szolgáltató IKT-szolgáltatásait igénybe vevő pénzügyi szervezeteket felügyelik; |
c) |
a 32. cikk (4) bekezdésének e) pontjában említett illetékes nemzeti hatóság, önkéntes alapon; |
d) |
a kritikus harmadik fél IKT-szolgáltató letelepedésének helye szerinti tagállam egy illetékes nemzeti hatósága, önkéntes alapon. |
A közös vizsgálócsoport tagjainak tapasztalattal kell rendelkezniük az IKT-vel kapcsolatos kérdések és a működési kockázatok terén. A közös vizsgálócsoport munkáját a vezető felvigyázó személyzete egy kijelölt tagjának (a továbbiakban: a vezető felvigyázó koordinátora) kell koordinálnia.
(3) A vizsgálat vagy ellenőrzés befejezését követő 3 hónapon belül a vezető felvigyázónak a felvigyázási fórummal történt egyeztetés után a 35. cikkben említett hatáskörében ajánlásokat kell megfogalmaznia a harmadik fél IKT-szolgáltató számára.
(4) A vezető felvigyázónak haladéktalanul közölnie kell a (3) bekezdésben említett ajánlásokat a kritikus harmadik fél IKT-szolgáltatóval és az annak IKT-szolgáltatásait igénybe vevő pénzügyi szervezetek illetékes hatóságaival.
A felvigyázási tevékenységek céljából a vezető felvigyázó figyelembe veheti a kritikus harmadik fél IKT-szolgáltató által rendelkezésére bocsátott, harmadik fél által kiállított tanúsítványokat, valamint harmadik fél által készített belső és külső IKT-audit jelentéseket.
41. cikk
A felvigyázási tevékenységek végzését lehetővé tevő előfeltételek harmonizálása
(1) Az EFH-knak a vegyes bizottság keretében szabályozástechnikai standardtervezeteket kell kidolgozniuk, amelyekben részletesen meghatározzák:
a) |
a 31. cikk (11) bekezdése szerinti kritikusként való kijelölés iránti saját kezdeményezésű kérelemben a harmadik fél IKT-szolgáltató által benyújtandó információkat; |
b) |
a 35. cikk (1) bekezdése alapján a harmadik fél IKT-szolgáltató által benyújtandó, közzéteendő vagy jelentendő információk tartalmát, struktúráját és formátumát, beleértve az alvállalkozási megállapodásokról szóló információk benyújtására szolgáló sablont is; |
c) |
a közös vizsgálócsoport összetételének meghatározására vonatkozó kritériumokat, amelyek biztosítják az EFH-k és a releváns illetékes hatóságok személyzete tagjainak kiegyensúlyozott részvételét, valamint kijelölésüket, feladataikat és munkafeltételeiket; |
d) |
a kritikus harmadik fél IKT-szolgáltató által a vezető felvigyázó ajánlásai alapján végrehajtott intézkedések alapján a 42. cikk (3) bekezdése szerint végzendő illetékes hatósági értékelés részleteit. |
(2) Az EFH-knak az említett szabályozástechnikai standardtervezeteket 2024. július 17-ig be kell nyújtaniuk a Bizottságnak.
A Bizottság felhatalmazást kap arra, hogy az 1093/2010/EU, az 1094/2010/EU és az 1095/2010/EU rendelet 10–14. cikkében megállapított eljárással összhangban az (1) bekezdésben említett szabályozástechnikai standardok elfogadása útján kiegészítse ezt a rendeletet.
42. cikk
Az illetékes hatóságok által végzett utókövetés
(1) A vezető felvigyázó által a 35. cikk (1) bekezdésének d) pontja alapján kiadott ajánlások kézhezvételét követő 60 naptári napon belül a kritikus harmadik fél IKT-szolgáltatónak vagy értesítenie kell a vezető felvigyázót arról, hogy végre kívánja hajtani az ajánlásokat, vagy indokolással ellátott magyarázatot kell adnia a vezető felvigyázónak arról, hogy miért nem kívánja végrehajtani az ajánlásokat. A vezető felvigyázónak a kapott tájékoztatást haladéktalanul továbbítania kell az érintett pénzügyi szervezetek illetékes hatóságainak.
(2) A vezető felvigyázónak nyilvánosságra kell hoznia, ha a kritikus harmadik fél IKT-szolgáltató nem értesíti a vezető felvigyázót az (1) bekezdésnek megfelelően, vagy ha a kritikus harmadik fél IKT-szolgáltató által nyújtott magyarázat nem tekinthető elégségesnek. A közzétett információknak tartalmazniuk kell a kritikus harmadik fél IKT-szolgáltató kilétét, valamint a meg nem felelés típusára és jellegére vonatkozó információkat. Az ilyen információknak a nyilvánosság tájékoztatásának biztosítása céljából releváns és arányos mértékre kell korlátozódniuk, kivéve, ha az ilyen közzététel aránytalan kárt okozna az érintett feleknek, vagy súlyosan veszélyeztethetné a pénzügyi piacok szabályos működését és integritását vagy az Unió pénzügyi rendszere egészének vagy egy részének stabilitását.
A vezető felvigyázónak értesítenie kell a harmadik fél IKT-szolgáltatót a nyilvánosságra hozatalról.
(3) Az illetékes hatóságoknak tájékoztatniuk kell a releváns pénzügyi szervezeteket a 35. cikk (1) bekezdésének d) pontjával összhangban megfogalmazott, a kritikus harmadik fél IKT-szolgáltatók számára tett ajánlásokban azonosított kockázatokról.
A harmadik féltől eredő IKT-kockázat kezelése során a pénzügyi szervezeteknek figyelembe kell venniük az első albekezdésben említett kockázatokat.
(4) Amennyiben az illetékes hatóság úgy ítéli meg, hogy a pénzügyi szervezet nem veszi figyelembe vagy nem kezeli megfelelően a harmadik féltől eredő IKT-kockázat saját kezelésén belül az ajánlásokban azonosított konkrét kockázatokat, értesítenie kell a pénzügyi szervezetet annak lehetőségéről, hogy az ilyen kockázatok kezelését célzó megfelelő szerződéses megállapodások hiányában a (6) bekezdés alapján az ilyen értesítés kézhezvételétől számított 60 naptári napon belül határozatot hozzon.
(5) A 35. cikk (1) bekezdésének c) pontjában említett jelentések kézhezvételét követően és az e cikk (6) bekezdésében említett határozat meghozatala előtt az illetékes hatóságok önkéntes alapon konzultálhatnak az (EU) 2022/2555 irányelvvel összhangban kijelölt vagy létrehozott illetékes hatóságokkal, amelyek felelősek valamely, kritikus harmadik fél IKT-szolgáltatóként kijelölt, az említett irányelv hatálya alá tartozó alapvető vagy fontos szervezet felügyeletéért.
(6) Az illetékes hatóságok végső eszközként – az értesítést és adott esetben az e cikk (4) és (5) bekezdésében meghatározottak szerinti konzultációt követően – az 50. cikkel összhangban határozhatnak úgy, hogy előírják a pénzügyi szervezetek számára a kritikus harmadik fél IKT-szolgáltató által nyújtott szolgáltatás igénybevételének vagy bevezetésének átmeneti – részleges vagy teljes – felfüggesztését a kritikus harmadik fél IKT-szolgáltató részére megfogalmazott ajánlásokban azonosított kockázatok kezeléséig. Az illetékes hatóságok szükség esetén előírhatják a kritikus harmadik fél IKT-szolgáltatóval kötött, releváns szerződéses megállapodások részleges vagy teljes megszüntetését.
(7) Amennyiben egy kritikus harmadik fél IKT-szolgáltató a vezető felvigyázó által javasolttól eltérő megközelítés alapján elutasítja az ajánlások jóváhagyását, és az ilyen eltérő megközelítés hátrányosan érintheti a pénzügyi szervezetek nagy számát, vagy a pénzügyi ágazat jelentős részét, és az illetékes hatóságok által kiadott egyedi figyelmeztetések nem vezettek a pénzügyi stabilitást fenyegető potenciális kockázatot csökkentő következetes megközelítésekhez, a vezető felvigyázó a felvigyázási fórummal folytatott konzultációt követően adott esetben nem kötelező erejű és nem nyilvános véleményeket fogalmazhat meg az illetékes hatóságok számára a következetes és konvergens felügyeleti utókövetési intézkedések előmozdítása érdekében.
(8) A 35. cikk (1) bekezdésének c) pontjában említett jelentések kézhezvételét követően az illetékes hatóságoknak az e cikk (6) bekezdésében említett határozat meghozatala során figyelembe kell venniük a kritikus harmadik fél IKT-szolgáltató által nem kezelt kockázat jellegét és nagyságát, továbbá a meg nem felelés jelentőségét, szem előtt tartva a következő kritériumokat:
a) |
a meg nem felelés súlyossága és időtartama; |
b) |
a meg nem felelés súlyos gyengeségeket tárt-e fel a kritikus harmadik fél IKT-szolgáltató eljárásaiban, irányítási rendszereiben, kockázatkezelésében és belső kontrolljaiban; |
c) |
a meg nem felelés megkönnyítette-e pénzügyi bűncselekmény elkövetését, előidézte-e azt, vagy egyébként annak tulajdonítható-e; |
d) |
a meg nem felelés szándékos volt-e, vagy gondatlanság eredménye; |
e) |
a szerződéses megállapodások felfüggesztése vagy megszüntetése kockázatot jelent-e a pénzügyi szervezet üzleti tevékenységeinek folytonosságára nézve, a pénzügyi szervezet arra irányuló erőfeszítéseinek ellenére, hogy elkerülje a szolgáltatásnyújtás zavarát; |
f) |
adott esetben az (EU) 2022/2555 irányelvvel összhangban kijelölt vagy létrehozott azon illetékes hatóságok – önkéntes alapon, az e cikk (5) bekezdésével összhangban kikért – véleménye, amelyek felelősek valamely, kritikus harmadik fél IKT-szolgáltatóként kijelölt, az említett irányelv hatálya alá tartozó alapvető vagy fontos szervezet felügyeletéért. |
Az illetékes hatóságoknak biztosítaniuk kell a pénzügyi szervezetek számára a szükséges időt ahhoz, hogy módosíthassák a kritikus harmadik fél IKT-szolgáltatókkal kötött szerződéses megállapodásaikat a digitális működési rezilienciájukra gyakorolt káros hatások elkerülése érdekében, valamint hogy lehetővé tegyék számukra a kilépési stratégiák és átállási tervek bevezetését, a 28. cikkben említetteknek megfelelően.
(9) Az e cikk (6) bekezdésében említett határozatról értesíteni kell a 32. cikk (4) bekezdésének a), b) és c) pontjában említett felvigyázási fórum tagjait és a KFH-t.
A (6) bekezdésben előírt határozatok által érintett, kritikus harmadik fél IKT-szolgáltatóknak teljes mértékben együtt kell működniük az érintett pénzügyi szervezetekkel, különösen szerződéses megállapodásaik felfüggesztésének vagy felmondásának folyamatával összefüggésben.
(10) Az illetékes hatóságoknak rendszeresen tájékoztatniuk kell a vezető felvigyázót a pénzügyi szervezetekkel kapcsolatos felügyeleti feladataik ellátása során alkalmazott megközelítésekről és intézkedésekről, valamint a pénzügyi szervezetek által azon esetekben alkalmazott szerződéses intézkedésekről, amikor a kritikus harmadik fél IKT-szolgáltatók részben vagy teljes egészében nem hagyták jóvá a vezető felvigyázó nekik szóló ajánlásait.
(11) A vezető felvigyázó kérésre további pontosításokat adhat a kiadott ajánlásokkal kapcsolatban, hogy iránymutatást nyújtson az illetékes hatóságoknak az utókövetési intézkedésekkel kapcsolatban.
43. cikk
Felvigyázási díjak
(1) A vezető felvigyázónak – az e cikk (2) bekezdésében említett, felhatalmazáson alapuló jogi aktussal összhangban – díjakat kell felszámítania a kritikus harmadik fél IKT-szolgáltatókkal szemben, amelyek teljes mértékben fedezik a vezető felvigyázónál az e rendelet alapján végzett felvigyázási feladatokkal kapcsolatban felmerült szükséges kiadásokat, beleértve azon költségek megtérítését, amelyek a 40. cikkben említett közös vizsgálócsoport által végzett munka eredményeként merülhetnek fel, valamint a 32. cikk (4) bekezdésének második albekezdésében említett független szakértők által a közvetlen felvigyázási tevékenységek hatóköre alá tartozó kérdésekkel kapcsolatos tanácsadás költségeinek megtérítését is.
A kritikus harmadik fél IKT-szolgáltatónak felszámított díj összegének fedeznie kell az e szakaszban előírt feladatok ellátásából eredő valamennyi költséget, és arányosnak kell lennie annak forgalmával.
(2) A Bizottság felhatalmazást kap arra, hogy az 57. cikkel összhangban felhatalmazáson alapuló jogi aktust fogadjon el, amely a díj összegének és a díjfizetés 2024. július 17-ig történő megfizetése módjának meghatározásával kiegészíti ezt a rendeletet.
44. cikk
Nemzetközi együttműködés
(1) A 36. cikk sérelme nélkül az EBH, az ESMA és az EIOPA az 1093/2010/EU, az 1095/2010/EU és az 1094/2010/EU rendelet 33. cikkével összhangban igazgatási megállapodásokat köthet harmadik országbeli szabályozó és felügyeleti hatóságokkal annak érdekében, hogy előmozdítsa a különböző pénzügyi ágazatokra kiterjedő, harmadik féltől eredő IKT-kockázattal kapcsolatos nemzetközi együttműködést, különösen legjobb gyakorlatok kidolgozásával az IKT-kockázatkezelési gyakorlatok és kontroll, a kockázatcsökkentő intézkedések és az IKT-biztonsági eseményekre való reagálásra irányuló intézkedések területén.
(2) Az EFH-knak a vegyes bizottság keretében ötévenként közös, bizalmas jelentést kell benyújtaniuk be az Európai Parlamentnek, a Tanácsnak és a Bizottságnak, amelyben összefoglalják az (1) bekezdésben említett harmadik országbeli hatóságokkal folytatott releváns egyeztetések megállapításait, kiemelt figyelmet fordítva a harmadik féltől eredő IKT-kockázat alakulására, valamint a pénzügyi stabilitással, a piaci integritással, a befektetővédelemmel és a belső piac működésével kapcsolatos vonatkozásokra.
VI. FEJEZET
Információmegosztásra vonatkozó megállapodások
45. cikk
A kiberfenyegetéssel kapcsolatos információk és hírszerzés megosztására vonatkozó megállapodások
(1) A pénzügyi szervezetek kiberfenyegetésekkel kapcsolatban többek között az illetéktelen hozzáférésre utaló körülményekre, taktikákra, módszerekre, eljárásokra, kiberbiztonsági riasztásokra és konfigurációs eszközökre is kiterjedő információkat és hírszerzést oszthatnak meg egymással, amennyiben az ilyen információ- és hírszerzés-megosztás:
a) |
arra irányul, hogy a pénzügyi szervezetek javíthassák digitális működési rezilienciájukat, különösen a kiberfenyegetésekkel kapcsolatos tudatosság növelésével, a kiberfenyegetések terjedési képességének korlátozásával vagy megakadályozásával, a védelmi képességek, a fenyegetésészlelési módszerek, a mérséklési stratégiák vagy a reagálási és helyreállítási megoldások támogatásával; |
b) |
pénzügyi szervezetek megbízható közösségein belül történik; |
c) |
olyan információmegosztási megállapodások keretében történik, amelyek védik a megosztott információk esetlegesen érzékeny jellegét, és amelyek irányadó magatartási szabályai biztosítják az üzleti titoktartás, a személyes adatoknak az (EU) 2016/679 rendelettel összhangban történő védelme, valamint a versenypolitikára vonatkozó iránymutatások maradéktalan betartását. |
(2) Az (1) bekezdés c) pontjának alkalmazásában az információmegosztási megállapodásoknak meg kell határozniuk a részvétel feltételeit, valamint adott esetben rögzíteniük kell a hatóságok bevonásának részleteit és azt, hogy azok milyen minőségben kapcsolódhatnak az információmegosztási megállapodásokhoz, a harmadik fél IKT-szolgáltatók bevonásának részleteit és a működési elemeket, ideértve a célzott informatikai platformok alkalmazását.
(3) A pénzügyi szervezeteknek értesíteniük kell az illetékes hatóságokat az (1) bekezdésben említett információmegosztási megállapodásban való részvételükről a tagságuk érvényesítésekor, vagy adott esetben a tagságuk megszűnéséről annak hatálybalépésekor.
VII. FEJEZET
Illetékes hatóságok
46. cikk
Illetékes hatóságok
A harmadik fél IKT-szolgáltatókra vonatkozó, e rendelet V. fejezetének II. szakaszában említett felvigyázási keretrendszer rendelkezéseinek sérelme nélkül az e rendeletnek való megfelelést a vonatkozó jogi aktusokban rájuk ruházott hatásköröknek megfelelően a következő illetékes hatóságok biztosítják:
a) |
hitelintézetek és a 2013/36/EU irányelv alapján mentesített intézmények esetében az említett irányelv 4. cikkével összhangban kijelölt illetékes hatóság, valamint az 1024/2013/EU rendelet 6. cikke (4) bekezdésével összhangban jelentősnek minősített hitelintézetek esetében az EKB, az említett rendeletben rá ruházott hatáskörökkel és feladatokkal összhangban; |
b) |
pénzforgalmi intézmények, többek között az (EU) 2015/2366 irányelv alapján mentesített pénzforgalmi intézmények, elektronikuspénz-kibocsátó intézmények, többek között a 2009/110/EK irányelv alapján mentesített elektronikuspénz-kibocsátó intézmények és az (EU) 2015/2366 irányelv 33. cikkének (1) bekezdésében említett, számlainformációkat összesítő szolgáltatók esetében az (EU) 2015/2366 irányelv 22. cikkével összhangban kijelölt illetékes hatóság; |
c) |
befektetési vállalkozások esetében az (EU) 2019/2034 európai parlamenti és tanácsi irányelv (38) 4. cikkével összhangban kijelölt illetékes hatóság; |
d) |
a kriptoeszközök piacairól szóló rendelet alapján engedélyezett kriptoeszköz-szolgáltatók és az eszközalapú tokenek kibocsátói esetében az említett rendelet releváns rendelkezésével összhangban kijelölt illetékes hatóság; |
e) |
központi értéktárak esetében a 909/2014/EU rendelet 11. cikkével összhangban kijelölt illetékes hatóság; |
f) |
központi szerződő felek esetében a 648/2012/EU rendelet 22. cikkével összhangban kijelölt illetékes hatóság; |
g) |
kereskedési helyszínek és adatszolgáltatók esetében a 2014/65/EU irányelv 67. cikkével összhangban kijelölt illetékes hatóság és a 600/2014/EU rendelet 2. cikke (1) bekezdésének 18. pontjában meghatározott illetékes hatóság; |
h) |
kereskedési adattárak esetében a 648/2012/EU rendelet 22. cikkével összhangban kijelölt illetékes hatóság; |
i) |
alternatívbefektetésialap-kezelők esetében a 2011/61/EU irányelv 44. cikkével összhangban kijelölt illetékes hatóság; |
j) |
alapkezelő társaságok esetében a 2009/65/EK irányelv 97. cikkével összhangban kijelölt illetékes hatóság; |
k) |
biztosítók és viszontbiztosítók esetében a 2009/138/EK irányelv 30. cikkével összhangban kijelölt illetékes hatóság; |
l) |
biztosításközvetítők, viszontbiztosítás-közvetítők és kiegészítő biztosításközvetítői tevékenységet végző személyek esetében az (EU) 2016/97 irányelv 12. cikkével összhangban kijelölt illetékes hatóság; |
m) |
foglalkoztatói nyugellátást szolgáltató intézmények esetében az (EU) 2016/2341 irányelv 47. cikkével összhangban kijelölt illetékes hatóság; |
n) |
hitelminősítő intézetek esetében az 1060/2009/EK rendelet 21. cikkével összhangban kijelölt illetékes hatóság; |
o) |
kritikus referenciamutatók kezelői esetében az (EU) 2016/1011 rendelet 40. és 41. cikkével összhangban kijelölt illetékes hatóság; |
p) |
közösségi finanszírozási szolgáltatók esetében az (EU) 2020/1503 rendelet 29. cikkével összhangban kijelölt illetékes hatóság; |
q) |
értékpapírosítási adattárak esetében az (EU) 2017/2402 rendelet 10. cikkével és 14. cikkének (1) bekezdésével összhangban kijelölt illetékes hatóság. |
47. cikk
Együttműködés az (EU) 2022/2555 irányelvvel létrehozott struktúrákkal és hatóságokkal
(1) Az együttműködés elősegítése, valamint az e rendelet alapján kijelölt illetékes hatóságok és az (EU) 2022/2555 irányelv 14. cikkével létrehozott együttműködési csoport közötti felügyeleti kapcsolattartás lehetővé tétele érdekében az EFH-k és az illetékes hatóságok részt vehetnek az együttműködési csoport tevékenységeiben a pénzügyi szervezetekhez kapcsolódó felügyeleti tevékenységeiket illető kérdésekben. Az EFH-k és az illetékes hatóságok kérhetik, hogy felkérjék őket az együttműködési csoport tevékenységeiben való részvételre az (EU) 2022/2555 irányelv hatálya alá tartozó, azon alapvető vagy fontos szervezetekhez kapcsolódó kérdések tekintetében, amelyeket harmadik fél IKT-szolgáltatóként is kijelöltek e rendelet 31. cikkének értelmében.
(2) Adott esetben az illetékes hatóságok konzultálhatnak, és megoszthatnak információkat az (EU) 2022/2555 irányelvvel összhangban kijelölt vagy létrehozott egyedüli kapcsolattartó pontokkal és a CSIRT-ekkel.
(3) Az illetékes hatóságok adott esetben releváns szakvéleményt és technikai segítségnyújtást kérhetnek az (EU) 2022/2555 irányelvvel összhangban kijelölt vagy létrehozott illetékes hatóságoktól, és együttműködési megállapodásokat köthetnek a hatékony és gyors reagálásra képes koordinációs mechanizmusok létrehozása érdekében.
(4) Az e cikk (3) bekezdésében említett megállapodások meghatározhatják többek között az (EU) 2022/2555 irányelv hatálya alá tartozó, azon alapvető vagy fontos szervezetekkel kapcsolatos felügyeleti és felvigyázási tevékenységek koordinációjára vonatkozó eljárásokat, amelyeket e rendelet 31. cikke alapján harmadik fél IKT-szolgáltatókként jelöltek ki, beleértve a vizsgálatok és helyszíni ellenőrzések nemzeti joggal összhangban történő lefolytatása, továbbá az e rendelet szerinti illetékes hatóságok és az említett irányelvvel összhangban kijelölt vagy létrehozott illetékes hatóságok közötti, olyan információcserére vonatkozó mechanizmusok tekintetében, amely magában foglalja az utóbbi hatóságok által kért információkhoz való hozzáférést is.
48. cikk
A hatóságok közötti együttműködés
(1) Az illetékes hatóságoknak szorosan együtt kell működniük egymással és adott esetben a vezető felvigyázóval.
(2) Az illetékes hatóságoknak és a vezető felvigyázónak megfelelő időben kölcsönösen ki kell cserélniük egymással a harmadik fél IKT-szolgáltatókra vonatkozó minden olyan releváns információt, amely az e rendelet szerinti feladataik ellátásához szükséges, különösen a vezető felvigyázó felvigyázási feladatainak részeként azonosított kockázatokkal, megközelítésekkel és intézkedésekkel kapcsolatban.
49. cikk
Több pénzügyi ágazatra kiterjedő műveletek, kommunikáció és együttműködés
(1) Az EFH-k a vegyes bizottságon keresztül és együttműködve adott esetben az illetékes hatóságokkal, a 2014/59/EU irányelv 3. cikkében említett szanálási hatóságokkal, az EKB-val, a 806/2014/EU rendelet hatálya alá tartozó szervezetekre vonatkozó információk tekintetében az Egységes Szanálási Testülettel, az ERKT-val, valamint az ENISA-val mechanizmusokat alakíthatnak ki, amelyek lehetővé teszik az eredményes módszerek pénzügyi ágazatok közötti megosztását a helyzetismeret javítása, valamint az egyes ágazatok tekintetében közös kiber-sérülékenységek és -kockázatok azonosítása céljából.
Válságkezelési és vészhelyzeti műveleteket dolgozhatnak ki kibertámadási forgatókönyvek felhasználásával kommunikációs csatornák kialakítása, valamint az eredményes, koordinált uniós szintű reagálás fokozatos lehetővé tétele érdekében, hogy kezelhessék a jelentős, határokon átnyúló IKT-vonatkozású eseményeket vagy az azokhoz kapcsolódó fenyegetéseket, amelyek rendszerszintű hatással lehetnek az uniós pénzügyi ágazat egészére.
Az említett műveletek adott esetben tesztelhetik a pénzügyi ágazat más gazdasági ágazatoktól való függőségeit is.
(2) Az illetékes hatóságoknak, az EFH-knak és az EKB-nek szorosan együtt kell működniük és információcserét kell folytatniuk a 47–54. cikk szerinti feladataik ellátása céljából. Felügyeleti tevékenységüket szorosan összehangolva kell végezniük annak érdekében, hogy azonosítsák és orvosolják e rendelet megsértésének eseteit, kidolgozzák és terjesszék a bevált módszereket, megkönnyítsék az együttműködést, előmozdítsák az egységes értelmezést, továbbá vitás esetekben joghatóságokon átívelő értékelést készítsenek.
50. cikk
Közigazgatási szankciók és korrekciós intézkedések
(1) Az illetékes hatóságoknak rendelkezniük kell minden olyan felügyeleti, vizsgálati és szankcionálási hatáskörrel, amely az e rendelet szerinti feladataik ellátásához szükséges.
(2) Az (1) bekezdésben említett hatásköröknek legalább a következő hatásköröket kell magukban foglalniuk:
a) |
bármilyen formájú betekintés bármilyen iratba vagy adatba, amelyet az illetékes hatóság feladatainak teljesítése szempontjából relevánsnak ítél, valamint másolat beszerzése vagy készítése azokról; |
b) |
helyszíni ellenőrzések vagy vizsgálatok elvégzése, amelyek magukban foglalják többek között a következőket, ugyanakkor nem korlátozódnak azokra:
|
c) |
az e rendeletben meghatározott követelmények megsértésével kapcsolatos korrekciós intézkedések előírása. |
(3) A tagállamok azon jogának sérelme nélkül, hogy az 52. cikkel összhangban büntetőjogi szankciókat szabjanak ki, a tagállamok meghatározzák az e rendelet megsértése esetén alkalmazandó megfelelő közigazgatási szankciók és korrekciós intézkedések megállapításának szabályait, és biztosítják azok eredményes végrehajtását.
A szankcióknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük.
(4) A tagállamok hatáskörrel ruházzák fel az illetékes hatóságokat arra, hogy e rendelet megsértése esetén legalább a következő közigazgatási szankciókat vagy korrekciós intézkedéseket alkalmazzák:
a) |
végzés kibocsátása, amely előírja a természetes vagy jogi személy számára, hogy hagyjon fel az ezen rendeletet sértő magatartással, és tartózkodjon a magatartás megismétlésétől; |
b) |
az illetékes hatóság által e rendelet rendelkezéseivel ellentétesnek ítélt gyakorlat vagy magatartás ideiglenes vagy tartós beszüntetésének az előírása, és az ilyen gyakorlat vagy magatartás ismételt előfordulásának a megakadályozása; |
c) |
bármilyen típusú, akár pénzügyi jellegű intézkedés meghozatala, amely biztosítja, hogy a pénzügyi szervezetek folyamatosan betartsák a jogszabályi követelményeket; |
d) |
amilyen mértékig ezt a nemzeti jog megengedi, a meglévő, valamely távközlési üzemeltető birtokában lévő adatforgalmi nyilvántartások bekérése, amennyiben észszerűen feltételezhető e rendelet megsértése, és amennyiben ezen nyilvántartások relevánsak lehetnek e rendelet megsértésének kivizsgálása szempontjából; és |
e) |
nyilvános közlemény kiadása, ideértve a rendeletet megsértő természetes vagy jogi személy személyazonosságának és a jogsértés jellegének nyilvános közzétételét is. |
(5) Amennyiben a (2) bekezdés c) pontjában és a (4) bekezdésben említett rendelkezések jogi személyekre alkalmazandók, a tagállamok arra vonatkozó hatáskört ruháznak az illetékes hatóságokra, hogy a közigazgatási szankciókat és korrekciós intézkedéseket – a nemzeti jogban megállapított feltételek mellett – a vezető testület azon tagjaira és más olyan egyénekre is alkalmazzák, akik a nemzeti jog szerint felelősséggel tartoznak a rendelet megsértéséért.
(6) A tagállamok biztosítják, hogy a (2) bekezdés c) pontjában meghatározott közigazgatási szankciókat vagy korrekciós intézkedéseket kiszabó bármely határozatot kellően megindokolják, és azzal szemben jogorvoslattal lehessen élni.
51. cikk
A közigazgatási szankciók és korrekciós intézkedések kiszabására vonatkozó hatáskörök gyakorlása
(1) Az illetékes hatóságoknak az 50. cikkben említett közigazgatási szankciók és korrekciós intézkedések kiszabására vonatkozó hatáskörüket adott esetben a nemzeti jogi kereteikkel összhangban kell gyakorolniuk a következők szerint:
a) |
közvetlenül; |
b) |
más hatóságokkal együttműködve; |
c) |
saját felelősségi körükön belül, más hatóságokra történő hatáskör-átruházás útján; vagy |
d) |
az illetékes igazságügyi hatóságok megkeresése útján. |
(2) Az illetékes hatóságoknak az e rendelet 50. cikke alapján kiszabandó közigazgatási szankció vagy korrekciós intézkedés típusának és szintjének meghatározása során figyelembe kell venniük, hogy a jogsértés mennyiben szándékos, vagy mennyiben származik gondatlanságból, valamint minden egyéb releváns körülményt, többek között – adott esetben – a következőket:
a) |
a jogsértés lényegessége, súlyossága és időtartama; |
b) |
a jogsértésért felelős természetes vagy jogi személy felelősségének mértéke; |
c) |
a felelős természetes vagy jogi személy pénzügyi stabilitása; |
d) |
a felelős természetes vagy jogi személy által elért nyereség vagy elkerült veszteség fontossága, amennyiben azok meghatározhatók; |
e) |
a jogsértés által harmadik feleknek okozott veszteség, amennyiben az meghatározható; |
f) |
a felelős természetes vagy jogi személynek az illetékes hatósággal való együttműködésének szintje, nem érintve annak szükségességét, hogy biztosítani kell az említett természetes vagy jogi személy által – nyereség elérésével vagy veszteség elkerülésével – szerzett haszon visszaszolgáltatását; |
g) |
a felelős természetes vagy jogi személy által elkövetett korábbi jogsértések. |
52. cikk
Büntetőjogi szankciók
(1) A tagállamok dönthetnek úgy, hogy a nemzeti joguk alapján büntetőjogi szankciók hatálya alá tartozó jogsértésekre vonatkozóan nem állapítanak meg közigazgatási szankciókat vagy korrekciós intézkedéseket előíró szabályokat.
(2) Amennyiben a tagállamok úgy döntöttek, hogy büntetőjogi szankciókat írnak elő e rendelet megsértésére vonatkozóan, megfelelő intézkedésekkel biztosítják, hogy az illetékes hatóságok rendelkezzenek az ahhoz szükséges hatáskörökkel, hogy a joghatóságukon belül kapcsolatba lépjenek az igazságügyi, bűnüldöző vagy egyéb bűnügyi igazságszolgáltatási hatóságokkal annak érdekében, hogy az e rendelet megsértése miatt indított bűnügyi nyomozásokhoz vagy eljárásokhoz kapcsolódó konkrét információkat szerezzenek be, és azokat továbbítsák más illetékes hatóságoknak és az EBH-nak, az ESMA-nak vagy az EIOPA-nak, hogy e rendelet céljából teljesítsék együttműködési kötelezettségeiket.
53. cikk
Értesítési kötelezettség
A tagállamok 2025. január 17-ig értesítik a Bizottságot, az ESMA-t, az EBH-t és az EIOPA-t az e fejezetet végrehajtó törvényi, rendeleti és közigazgatási rendelkezésekről, ideértve bármely releváns büntetőjogi rendelkezést is. A tagállamok indokolatlan késedelem nélkül értesítik a Bizottságot, az ESMA-t, az EBH-t és az EIOPA-t az e rendelkezéseket érintő későbbi módosításokról is.
54. cikk
A közigazgatási szankciók nyilvánosságra hozatala
(1) Az illetékes hatóságoknak a hivatalos honlapjukon haladéktalanul közzé kell tenniük bármely, közigazgatási szankciót kiszabó határozatot, amellyel szemben nincs helye fellebbezésnek azt követően, hogy a szankció címzettjét értesítették az említett határozatról.
(2) Az (1) bekezdésben említett közzétételnek ki kell kiterjednie a jogsértés típusára és jellegére vonatkozó információkra, valamint a felelős személyek személyazonosságára és a kiszabott szankciókra.
(3) Amennyiben az illetékes hatóság eseti értékelés alapján úgy ítéli meg, hogy a jogi személyek kilétének vagy a természetes személyek személyazonosságának és személyes adatainak a közzététele aránytalan lenne, többek között a személyes adatok védelméhez kapcsolódó kockázatok miatt, vagy a közzététel veszélyeztetné a pénzügyi piacok stabilitását vagy egy folyamatban lévő nyomozást, vagy – amennyiben annak mértéke megállapítható – az érintett személynek aránytalan kárt okozna, az illetékes hatóságnak a közigazgatási szankciót kiszabó határozat tekintetében a következő megoldások egyikét kell alkalmaznia:
a) |
elhalasztja a közzétételt addig, amíg a közzététel ellen szóló indokok meg nem szűnnek; |
b) |
a határozatot a nemzeti jogszabályokkal összhangban anonim jelleggel teszi közzé; vagy |
c) |
mellőzi a közzétételt akkor, ha úgy ítéli meg, hogy az a) és b) pont szerinti megoldások elégtelenek, vagy nem garantálják, hogy a pénzügyi piacok stabilitása nem kerül veszélybe, vagy ha az ilyen közzététel nem állna arányban a kiszabott szankció engedékenységével. |
(4) A közigazgatási szankció anonim közzétételéről szóló, a (3) bekezdés b) pontja szerinti határozat meghozatala esetén a releváns adatok közzététele elhalasztható.
(5) Amennyiben az illetékes hatóság olyan közigazgatási szankciót elrendelő határozatot tesz közzé, amely ellen az illetékes igazságügyi hatóságnál fellebbezés van folyamatban, az illetékes hatóságnak a hivatalos honlapján haladéktalanul közzé kell tennie az említett információt és bármely későbbi, az ilyen fellebbezés eredményével kapcsolatos információkat is. A közigazgatási szankciót elrendelő határozatot megsemmisítő bírósági határozatokat szintén közzé kell tenni.
(6) Az illetékes hatóságoknak biztosítaniuk kell, hogy az (1)–(4) bekezdésben említett bármely közzététel csak azon időszakra maradjon hivatalos honlapjukon, amely szükséges e cikk érvényesítéséhez. Ezen időszak nem haladhatja meg a közzétételtől számított öt évet.
55. cikk
Szakmai titoktartás
(1) A szakmai titoktartásnak a (2) bekezdésben meghatározott feltételeit az e rendelet alapján megkapott, kicserélt vagy továbbított minden bizalmas információra alkalmazni kell.
(2) Szakmai titoktartási kötelezettség alkalmazandó minden olyan személyre, aki az e rendelet szerint kijelölt illetékes hatóságnak vagy olyan hatóságnak vagy piaci vállalkozásnak vagy természetes vagy jogi személynek dolgozik vagy dolgozott, akire vagy amelyre az illetékes hatóság hatásköröket ruházott át, beleértve az illetékes hatóság által megbízott ellenőröket és szakértőket is.
(3) A szakmai titoktartás hatálya alá tartozó információk – többek között az e rendelet szerinti illetékes hatóságok és az (EU) 2022/2555 irányelvvel összhangban kijelölt vagy létrehozott illetékes hatóságok közötti információcsere – semmilyen más személlyel vagy hatósággal nem közölhetők, kivéve, ha ezt uniós vagy nemzeti joggal megállapított rendelkezések írják elő.
(4) Az e rendelet alapján az illetékes hatóságok között folytatott bármilyen, üzleti vagy működési feltételekkel, valamint más gazdasági vagy személyes jellegű ügyekkel kapcsolatos információcsere bizalmas adatközlésnek minősül, és a szakmai titoktartás követelményeinek hatálya alá tartozik, kivéve, ha az illetékes hatóság az információközléssel egyidejűleg megállapítja, hogy az ilyen információ nyilvánosságra hozható, vagy ha az ilyen nyilvánosságra hozatalt bírósági eljárás teszi szükségessé.
56. cikk
Adatvédelem
(1) Az EFH-k és az illetékes hatóságok csak akkor kezelhetnek személyes adatokat, ha az az e rendelet szerinti kötelezettségeik és feladataik teljesítéséhez szükséges, különösen vizsgálat, ellenőrzés, információkérés, kommunikáció, közzététel, értékelés, ellenőrzés, felmérés és felvigyázási tervek kidolgozása céljából. A személyes adatokat az (EU) 2016/679 vagy az (EU) 2018/1725 rendelettel összhangban kell kezelni, attól függően, hogy a két rendelet közül melyik alkalmazandó.
(2) Amennyiben más ágazati jogi aktusok másként nem rendelkeznek, az (1) bekezdésben említett személyes adatok az alkalmazandó felügyeleti feladatok teljesítéséig, de legfeljebb 15 évig őrizhetők meg, kivéve, ha az ilyen adatok további megőrzését igénylő bírósági eljárás van folyamatban.
VIII. FEJEZET
Felhatalmazáson alapuló jogi aktusok
57. cikk
A felhatalmazás gyakorlása
(1) A felhatalmazáson alapuló jogi aktusok elfogadására vonatkozóan a Bizottság részére adott felhatalmazás gyakorlásának feltételeit ez a cikk határozza meg.
(2) A Bizottságnak a 31. cikk (6) bekezdésében és a 43. cikk (2) bekezdésében említett, felhatalmazáson alapuló jogi aktus elfogadására vonatkozó felhatalmazása ötéves időtartamra szól 2024. január 17-én kezdődő hatállyal. A Bizottság legkésőbb kilenc hónappal az ötéves időtartam letelte előtt jelentést készít a felhatalmazásról. Amennyiben az Európai Parlament vagy a Tanács nem ellenzi a meghosszabbítást legkésőbb három hónappal az egyes időtartamok letelte előtt, a felhatalmazás hallgatólagosan meghosszabbodik a korábbival megegyező időtartamra.
(3) Az Európai Parlament vagy a Tanács bármikor visszavonhatja a 31. cikk (6) bekezdésében és a 43. cikk (2) bekezdésében említett felhatalmazást. A visszavonásról szóló határozat megszünteti az abban meghatározott felhatalmazást. A határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő napon, vagy a benne megjelölt későbbi időpontban lép hatályba. A határozat nem érinti a már hatályban lévő, felhatalmazáson alapuló jogi aktusok érvényességét.
(4) A felhatalmazáson alapuló jogi aktus elfogadása előtt a Bizottság a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásban megállapított elvekkel összhangban konzultál az egyes tagállamok által kijelölt szakértőkkel.
(5) A Bizottság a felhatalmazáson alapuló jogi aktus elfogadását követően haladéktalanul és egyidejűleg értesíti arról az Európai Parlamentet és a Tanácsot.
(6) A 31. cikk (6) bekezdése és a 43. cikk (2) bekezdése értelmében elfogadott, felhatalmazáson alapuló jogi aktus csak akkor lép hatályba, ha az Európai Parlamentnek és a Tanácsnak a jogi aktusról való értesítését követő három hónapon belül sem az Európai Parlament, sem a Tanács nem emelt ellene kifogást, illetve ha az említett időtartam lejártát megelőzően mind az Európai Parlament, mind a Tanács arról tájékoztatta a Bizottságot, hogy nem fog kifogást emelni. Az Európai Parlament vagy a Tanács kezdeményezésére ez az időtartam három hónappal meghosszabbodik.
IX. FEJEZET
Átmeneti és záró rendelkezések
58. cikk
Felülvizsgálati záradék
(1) A Bizottság 2028. január 17-ig – adott esetben az EFH-kkal és az ERKT-val folytatott konzultációt követően – felülvizsgálatot végez, és – adott esetben jogalkotási javaslattal együtt – jelentést nyújt be az Európai Parlamentnek és a Tanácsnak. A felülvizsgálatnak ki kell terjednie legalább a következőkre:
a) |
a harmadik fél IKT-szolgáltatóknak a 31. cikk (2) bekezdése szerinti kijelölésére vonatkozó kritériumok; |
b) |
a 19. cikkben említett, jelentős kiberfenyegetésekről szóló értesítés önkéntes jellege; |
c) |
a 31. cikk (12) bekezdésében említett rendszer és a vezető felvigyázónak a 35. cikk (1) bekezdése d) pontja iv. alpontjának első francia bekezdésében meghatározott hatásköre, annak értékelése céljából, hogy az említett rendelkezések mennyire hatékonyak a harmadik országban letelepedett, harmadik fél IKT-szolgáltatók hatékony felvigyázásának biztosítása tekintetében, valamint hogy szükség van-e leányvállalat létrehozására az Unióban. E pont első albekezdésének alkalmazásában a felülvizsgálatnak ki kell terjednie a 31. cikk (12) bekezdésében említett rendszer elemzésére, többek között az uniós pénzügyi szervezetek harmadik országokból származó szolgáltatásokhoz való hozzáférését és az ilyen szolgáltatásoknak az uniós piacon való rendelkezésre állását illetően, és figyelembe kell vennie az e rendelet hatálya alá tartozó szolgáltatások piacán bekövetkező további fejleményeket, a pénzügyi szervezeteknek, illetve a pénzügyi felügyeleteknek az említett rendszer alkalmazása, illetve felügyelete tekintetében szerzett gyakorlati tapasztalatait, valamint a nemzetközi szinten bekövetkező releváns szabályozási és felügyeleti fejleményeket; |
d) |
arra, hogy helyénvaló-e e rendelet hatálya alá vonni a 2. cikk (3) bekezdésének e) pontjában említett, automatizált értékesítési rendszereket alkalmazó pénzügyi szervezeteket az ilyen rendszerek használatával kapcsolatos jövőbeli piaci fejlemények fényében; |
e) |
a KFH működése és hatékonysága a felvigyázás következetességének és a felvigyázási keretrendszeren belüli információcsere hatékonyságának támogatása terén. |
(2) Az (EU) 2015/2366 irányelv felülvizsgálatával összefüggésben a Bizottság értékeli, hogy szükség van-e a fizetési rendszerek és a fizetésfeldolgozási tevékenységek kiber-rezilienciájának növelésére, valamint azt, hogy helyénvaló-e e rendelet hatályát kiterjeszteni a fizetési rendszerek üzemeltetőire és a fizetésfeldolgozási tevékenységekben részt vevő szervezetekre. Ezen értékelés fényében a Bizottság az (EU) 2015/2366 irányelv felülvizsgálatának részeként legkésőbb 2023. július 17-ig jelentést nyújt be az Európai Parlamentnek és a Tanácsnak.
Az említett felülvizsgálati jelentés alapján, valamint az EFH-kal, az EKB-val és az ERKT-val folytatott konzultációt követően a Bizottság – adott esetben és azon jogalkotási javaslat részeként, amelyet az (EU) 2015/2366 irányelv 108. cikkének második bekezdése alapján fogadhat el – javaslatot nyújthat be annak biztosítására, hogy valamennyi fizetésirendszer-üzemeltető és valamennyi fizetésfeldolgozási tevékenységekben részt vevő szervezet megfelelő felvigyázás alatt álljon, figyelembe véve ugyanakkor a központi bank általi meglévő felügyeletet.
(3) A Bizottság 2026. január 17-ig – az EFH-kkal és a Európai Könyvvizsgálat-felügyeleti Szervek Bizottságával való konzultációt követően – felülvizsgálatot végez és indokolt esetben jogalkotási javaslattal együtt jelentést nyújt be az Európai Parlamentnek és a Tanácsnak a jogszabály szerint engedélyezett könyvvizsgálókra és könyvvizsgáló cégekre vonatkozó megerősített követelményeknek a digitális működési reziliencia tekintetében való megfelelőségéről a jogszabály szerint engedélyezett könyvvizsgálóknak és könyvvizsgáló cégeknek e rendelet hatálya alá vonása vagy a 2006/43/EK európai parlamenti és tanácsi irányelv (39) módosítása révén.
59. cikk
Az 1060/2009/EK rendelet módosításai
Az 1060/2009/EK rendelet a következőképpen módosul:
1. |
Az I. melléklet A. szakasza 4. pontja első albekezdésének helyébe a következő szöveg lép: „A hitelminősítő intézetnek megbízható adminisztratív és számviteli eljárásokkal, belső ellenőrzési mechanizmusokkal, hatékony kockázatértékelési eljárásokkal, valamint az IKT-rendszerek kezelésére vonatkozó hatékony ellenőrzési és biztonsági szabályozással kell rendelkeznie az (EU) 2022/2554 európai parlamenti és tanácsi rendelettel (*1) összhangban. (*1) Az Európai Parlament és a Tanács (EU) 2022/2554 rendelete (2022. december 14.) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról (HL L 333.., 2022.12.27., 1. o.).”" |
2. |
A III. melléklet 12. pontjának helyébe a következő szöveg lép:
|
60. cikk
A 648/2012/EU rendelet módosításai
A 648/2012/EU rendelet a következőképpen módosul:
1. |
A 26. cikk a következőképpen módosul:
|
2. |
A 34. cikk a következőképpen módosul:
|
3. |
Az 56. cikk (3) bekezdése első albekezdésének helyébe a következő szöveg lép: „(3) E cikk következetes alkalmazása érdekében az ESMA kidolgozza – az IKT-kockázatkezelésre vonatkozó követelmények kivételével – az (1) bekezdésben említett, nyilvántartásba vétel iránti kérelem részleteit meghatározó szabályozástechnikai standardok tervezetét.” |
4. |
A 79. cikk (1) és (2) bekezdésének helyébe a következő szöveg lép: „(1) A kereskedési adattár azonosítja a működési kockázat forrásait, és minimalizálja azokat többek között a megfelelő rendszerek, ellenőrzések és eljárások kidolgozása révén, beleértve az (EU) 2022/2554 rendelettel összhangban kezelt IKT-rendszereket is. (2) A kereskedési adattár megfelelő üzletmenet-folytonossági politikát és vészhelyzeti helyreállítási tervet – beleértve az (EU) 2022/2554 rendelettel összhangban létrehozott IKT-vonatkozású üzletmenet-folytonossági politikát, valamint IKT-reagálási és helyreállítási tervet – hoz létre, hajt végre és tart fenn annak céljából, hogy biztosítsa a kereskedési adattár funkcióinak fenntartását, a műveletek időben történő helyreállítását és a kötelezettségeinek teljesítését.” |
5. |
A 80. cikk (1) bekezdését el kell hagyni. |
6. |
Az I. melléklet II. szakasza a következőképpen módosul:
|
7. |
A III. melléklet a következőképpen módosul:
|
61. cikk
A 909/2014/EU rendelet módosításai
A 909/2014/EU rendelet 45. cikke a következőképpen módosul:
1. |
Az (1) bekezdés helyébe a következő szöveg lép: „(1) A központi értéktárnak meg kell határoznia a működési kockázatok külső és belső forrásait, és mérsékelnie kell azok hatását az (EU) 2022/2554 európai parlamenti és tanácsi rendelettel (*3) összhangban létrehozott és kezelt megfelelő IKT-eszközök, -eljárások és -politikák bevezetése révén, valamint a működési kockázat más típusai – többek között az általa üzemeltetett valamennyi értékpapír-kiegyenlítési rendszer – esetében bármely egyéb releváns megfelelő eszközök, ellenőrzések és eljárások révén. (*3) Az Európai Parlament és a Tanács (EU) 2022/2554 rendelete (2022. december 14.) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról (HL L 333.., 2022.12.27., 1. o.).”" |
2. |
A (2) bekezdést el kell hagyni. |
3. |
A (3) és a (4) bekezdés helyébe a következő szöveg lép: „(3) A központi értéktárnak valamennyi nyújtott szolgáltatás és minden egyes üzemeltetett értékpapír-kiegyenlítési rendszer tekintetében megfelelő üzletmenet-folytonossági politikát és vészhelyzeti helyreállítási tervet – beleértve az (EU) 2022/2554 rendelettel összhangban kidolgozott IKT-vonatkozású üzletmenet-folytonossági politikát, valamint IKT-reagálási és helyreállítási tervet – kell kidolgoznia, bevezetnie és fenntartania, hogy biztosítsa a szolgáltatásnyújtása megőrzését, a működése mielőbbi helyreállítását és a kötelezettségei teljesítését olyan események bekövetkeztekor, amelyek komoly kockázatot jelentenek a működés megszakítására nézve. (4) A (3) bekezdésben említett tervnek – többek közt annak biztosításával, hogy az (EU) 2022/2554 rendelet 12. cikkének (5) és (7) bekezdésében foglaltak szerint a kritikus informatikai rendszerek a leállás időpontjától kezdődően folytassák a működésüket – lehetővé kell tennie az üzemzavar bekövetkeztekor folyamatban lévő valamennyi tranzakciónak és a résztvevők pozícióinak a helyreállítását, hogy a központi értéktár résztvevői biztonsággal folytatni tudják működésüket, és az ütemezésnek megfelelően el tudják végezni a kiegyenlítést.” |
4. |
A (6) bekezdés helyébe a következő szöveg lép: „(6) A központi értéktárnak azonosítania, nyomon követnie és kezelnie kell azon kockázatokat, amelyeket az általa üzemeltetett értékpapír-kiegyenlítési rendszerek fő résztvevői, valamint a szolgáltatók és közműszolgáltatók vagy más központi értéktárak és piaci infrastruktúrák jelenthetnek a működésére. Kérésre az illetékes és releváns hatóságok rendelkezésére kell bocsátania a feltárt kockázatokkal kapcsolatos információkat. Haladéktalanul tájékoztatnia kell az illetékes hatóságot és a releváns hatóságokat az ilyen kockázatokból eredő működési zavarokról is, kivéve azokat, amelyek IKT-kockázattal összefüggésben következnek be.” |
5. |
A (7) bekezdés első albekezdésének helyébe a következő szöveg lép: „(7) Az ESMA – a KBER tagjaival szorosan együttműködve – szabályozástechnikai standardtervezeteket dolgoz ki, hogy meghatározza az (1) és a (6) bekezdésben említett, IKT-kockázattól eltérő működési kockázatokat és az e kockázatok tesztelésének, kezelésének vagy minimalizálásának módszereit, ideértve a (3) és a (4) bekezdésben említett üzletmenet-folytonossági politikát és vészhelyzeti helyreállítási tervet, valamint azok értékelési módszereit.” |
62. cikk
A 600/2014/EU rendelet módosításai
A 600/2014/EU rendelet a következőképpen módosul:
1. |
A 27 g. cikk a következőképpen módosul:
|
2. |
A 27h. cikk a következőképpen módosul:
|
3. |
A 27i. cikk a következőképpen módosul:
|
63. cikk
Az (EU) 2016/1011 rendelet módosításai
Az (EU) 2016/1011 rendelet 6. cikke a következő bekezdéssel egészül ki:
„(6) |
A kritikus referenciamutatók tekintetében a referenciamutató-kezelőnek megbízható adminisztratív és számviteli eljárásokkal, belső kontrollmechanizmusokkal, hatékony kockázatértékelési eljárásokkal, valamint az IKT-rendszerek kezelésére vonatkozó hatékony kontroll- és biztonsági szabályozással kell rendelkeznie az (EU) 2022/2554 európai parlamenti és tanácsi rendelettel (*5) összhangban. |
64. cikk
Hatálybalépés és alkalmazás
Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.
Ezt a rendeletet 2025. január 17-től kell alkalmazni.
Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.
Kelt Strasbourgban, 2022. december 14-én.
az Európai Parlament részéről
az elnök
R. METSOLA
a Tanács részéről
az elnök
M. BEK
(1) HL C 343., 2021.8.26., 1. o.
(2) HL C 155., 2021.4.30., 38. o.
(3) Az Európai Parlament 2022. november 10-i álláspontja (a Hivatalos Lapban még nem tették közzé) és a Tanács 2022. november 28-i határozata.
(4) Az Európai Parlament és a Tanács 1093/2010/EU rendelete (2010. november 24.) az európai felügyeleti hatóság (Európai Bankhatóság) létrehozásáról, a 716/2009/EK határozat módosításáról és a 2009/78/EK bizottsági határozat hatályon kívül helyezéséről (HL L 331., 2010.12.15., 12. o.).
(5) Az Európai Parlament és a Tanács 1094/2010/EU rendelete (2010. november 24.) az európai felügyeleti hatóság (az Európai Biztosítás- és Foglalkoztatóinyugdíj-hatóság) létrehozásáról, valamint a 716/2009/EK határozat módosításáról és a 2009/79/EK bizottsági határozat hatályon kívül helyezéséről (HL L 331., 2010.12.15., 48. o.).
(6) Az Európai Parlament és a Tanács 1095/2010/EU rendelete (2010. november 24.) az európai felügyeleti hatóság (Európai Értékpapírpiaci Hatóság) létrehozásáról, a 716/2009/EK határozat módosításáról és a 2009/77/EK bizottsági határozat hatályon kívül helyezéséről (HL L 331., 2010.12.15., 84. o.).
(7) Az Európai Parlament és a Tanács (EU) 2016/1148 irányelve (2016. július 6.) a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről (HL L 194., 2016.7.19., 1. o.).
(8) Az Európai Parlament és a Tanács (EU) 2022/2555 irányelve (2022. december 14.) az Unió egész területén magas szintű kiberbiztonságot biztosító intézkedésekről, a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról, valamint az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) (lásd e Hivatalos Lap 80. oldalát).
(9) Az Európai Parlament és a Tanács (EU) 2022/2557 irányelve (2022. december 14.) a kritikus fontosságú szervezetek rezilienciájáról és a 2008/114/EC tanácsi irányelv hatályon kívül helyezéséről (lásd e Hivatalos Lap 164. oldalát).
(10) Az Európai Parlament és a Tanács (EU) 2016/2341 irányelve (2016. december 14.) a foglalkoztatói nyugellátást szolgáltató intézmények tevékenységéről és felügyeletéről (HL L 354., 2016.12.23., 37. o.).
(11) Az Európai Parlament és a Tanács (EU) 2019/881 rendelete (2019. április 17.) az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről (kiberbiztonsági jogszabály) (HL L 151., 2019.6.7., 15. o.).
(12) Az Európai Parlament és a Tanács (EU) 2015/2366 irányelve (2015. november 25.) a belső piaci pénzforgalmi szolgáltatásokról és a 2002/65/EK, a 2009/110/EK és a 2013/36/EU irányelv és az 1093/2010/EU rendelet módosításáról, valamint a 2007/64/EK irányelv hatályon kívül helyezéséről (HL L 337., 2015.12.23., 35. o.).
(13) Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1. o.).
(14) Az Európai Parlament és a Tanács 2009/110/EK irányelve (2009. szeptember 16.) az elektronikuspénz-kibocsátó intézmények tevékenységének megkezdéséről, folytatásáról és prudenciális felügyeletéről, a 2005/60/EK és a 2006/48/EK irányelv módosításáról, valamint a 2000/46/EK irányelv hatályon kívül helyezéséről (HL L 267., 2009.10.10., 7. o.).
(15) Az Európai Parlament és a Tanács 2013/36/EU irányelve (2013. június 26.) a hitelintézetek tevékenységéhez való hozzáférésről és a hitelintézetek prudenciális felügyeletéről, a 2002/87/EK irányelv módosításáról, a 2006/48/EK és a 2006/49/EK irányelv hatályon kívül helyezéséről (HL L 176., 2013.6.27., 338. o.).
(16) Az Európai Parlament és a Tanács 2011/61/EU irányelve (2011. június 8.) az alternatívbefektetésialap-kezelőkről, valamint a 2003/41/EK és a 2009/65/EK irányelv, továbbá az 1060/2009/EK és az 1095/2010/EU rendelet módosításáról (HL L 174., 2011.7.1., 1. o.).
(17) Az Európai Parlament és a Tanács 2009/138/EK irányelve (2009. november 25.) a biztosítási és viszontbiztosítási üzleti tevékenység megkezdéséről és gyakorlásáról (Szolvencia II) (HL L 335., 2009.12.17., 1. o.).
(18) Az Európai Parlament és a Tanács 2014/65/EU irányelve (2014. május 15.) a pénzügyi eszközök piacairól, valamint a 2002/92/EK irányelv és a 2011/61/EU irányelv módosításáról (HL L 173., 2014.6.12., 349. o.).
(19) A Tanács 1024/2013/EU rendelete (2013. október 15.) az Európai Központi Banknak a hitelintézetek prudenciális felügyeletére vonatkozó politikákkal kapcsolatos külön feladatokkal történő megbízásáról (HL L 287., 2013.10.29., 63. o.).
(20) Az Európai Parlament és a Tanács 2014/59/EU irányelve (2014. május 15.) a hitelintézetek és befektetési vállalkozások helyreállítását és szanálását célzó keretrendszer létrehozásáról és a 82/891/EGK tanácsi irányelv, a 2001/24/EK, 2002/47/EK, 2004/25/EK, 2005/56/EK, 2007/36/EK, 2011/35/EU, 2012/30/EU és 2013/36/EU irányelv, valamint az 1093/2010/EU és a 648/2012/EU európai parlamenti és tanácsi rendelet módosításáról (HL L 173., 2014.6.12., 190. o.).
(21) Az Európai Parlament és a Tanács 2013/34/EU irányelve (2013. június 26.) a meghatározott típusú vállalkozások éves pénzügyi kimutatásairól, összevont (konszolidált) éves pénzügyi kimutatásairól és a kapcsolódó beszámolókról, a 2006/43/EK európai parlamenti és tanácsi irányelv módosításáról, valamint a 78/660/EGK és a 83/349/EGK tanácsi irányelv hatályon kívül helyezéséről (HL L 182., 2013.6.29., 19. o.).
(22) HL L 123., 2016.5.12., 1. o.
(23) Az Európai Parlament és a Tanács 1060/2009/EK rendelete (2009. szeptember 16.) a hitelminősítő intézetekről (HL L 302., 2009.11.17., 1. o.).
(24) Az Európai Parlament és a Tanács 648/2012/EU rendelete (2012. július 4.) a tőzsdén kívüli származtatott ügyletekről, a központi szerződő felekről és a kereskedési adattárakról (HL L 201., 2012.7.27., 1. o.).
(25) Az Európai Parlament és a Tanács 600/2014/EU rendelete (2014. május 15.) a pénzügyi eszközök piacairól és a 648/2012/EU rendelet módosításáról (HL L 173., 2014.6.12., 84. o.).
(26) Az Európai Parlament és a Tanács 909/2014/EU rendelete (2014. július 23.) az Európai Unión belüli értékpapír-kiegyenlítés javításáról és a központi értéktárakról, valamint a 98/26/EK és a 2014/65/EU irányelv, valamint a 236/2012/EU rendelet módosításáról (HL L 257., 2014.8.28., 1. o.).
(27) Az Európai Parlament és a Tanács (EU) 2022/2556 irányelve (2022. december 14.) a 2009/65/EK, 2009/138/EK, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 és (EU) 2016/2341 irányelvnek a pénzügyi ágazat digitális működési rezilienciája tekintetében történő módosításáról (lásd e Hivatalos Lap 153. oldalát).
(28) Az Európai Parlament és a Tanács (EU) 2016/1011 rendelete (2016. június 8.) a pénzügyi eszközökben és pénzügyi ügyletekben referenciamutatóként vagy a befektetési alapok teljesítményének méréséhez felhasznált indexekről, valamint a 2008/48/EK és a 2014/17/EU irányelv, továbbá az 596/2014/EU rendelet módosításáról (HL L 171., 2016.6.29., 1. o.).
(29) Az Európai Parlament és a Tanács (EU) 2018/1725 rendelete (2018. október 23.) a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről (HL L 295., 2018.11.21., 39. o.).
(30) HL C 229., 2021.6.15., 16. o.
(31) Az Európai Parlament és a Tanács 2009/65/EK irányelve (2009. július 13.) az átruházható értékpapírokkal foglalkozó kollektív befektetési vállalkozásokra (ÁÉKBV) vonatkozó törvényi, rendeleti és közigazgatási rendelkezések összehangolásáról (HL L 302., 2009.11.17., 32. o.).
(32) Az Európai Parlament és a Tanács 575/2013/EU rendelete (2013. június 26.) a hitelintézetekre vonatkozó prudenciális követelményekről és a 648/2012/EU rendelet módosításáról (HL L 176., 2013.6.27., 1. o.).
(33) Az Európai Parlament és a Tanács (EU) 2019/2033 rendelete (2019. november 27.) a befektetési vállalkozásokra vonatkozó prudenciális követelményekről, valamint az 1093/2010/EU, az 575/2013/EU, a 600/2014/EU és a 806/2014/EU rendelet módosításáról (HL L 314., 2019.12.5., 1. o.).
(34) Az Európai Parlament és a Tanács (EU) 2016/97 irányelve (2016. január 20.) a biztosítási értékesítésről (HL L 26., 2016.2.2., 19. o.).
(35) Az Európai Parlament és a Tanács (EU) 2020/1503 rendelete (2020. október 7.) az európai közösségi finanszírozási üzleti szolgáltatókról, valamint az (EU) 2017/1129 rendelet és az (EU) 2019/1937 irányelv módosításáról (HL L 347., 2020.10.20., 1. o.).
(36) Az Európai Parlament és a Tanács (EU) 2017/2402 rendelete (2017. december 12.) az értékpapírosítás általános keretrendszerének meghatározásáról, az egyszerű, átlátható és egységesített értékpapírosítás egyedi keretrendszerének létrehozásáról, valamint a 2009/65/EK, a 2009/138/EK és a 2011/61/EU irányelv és az 1060/2009/EK és a 648/2012/EU rendelet módosításáról (HL L 347., 2017.12.28., 35. o.).
(37) Az Európai Parlament és a Tanács 806/2014/EU rendelete (2014. július 15.) a hitelintézeteknek és bizonyos befektetési vállalkozásoknak az Egységes Szanálási Mechanizmus keretében történő szanálására vonatkozó egységes szabályok és egységes eljárás kialakításáról, valamint az Egységes Szanálási Alap létrehozásáról és az 1093/2010/EU rendelet módosításáról (HL L 225., 2014.7.30., 1. o.).
(38) Az Európai Parlament és a Tanács (EU) 2019/2034 irányelve (2019. november 27.) a befektetési vállalkozások prudenciális felügyeletéről, valamint a 2002/87/EK, a 2009/65/EK, a 2011/61/EU, a 2013/36/EU, a 2014/59/EU és a 2014/65/EU irányelv módosításáról (HL L 314., 2019.12.5., 64. o.).
(39) Az Európai Parlament és a Tanács 2006/43/EK irányelve (2006. május 17.) az éves és összevont (konszolidált) éves beszámolók jog szerinti könyvvizsgálatáról, a 78/660/EGK és a 83/349/EGK tanácsi irányelv módosításáról, valamint a 84/253/EGK tanácsi irányelv hatályon kívül helyezéséről (HL L 157., 2006.6.9., 87. o.).
IRÁNYELVEK
2022.12.27. |
HU |
Az Európai Unió Hivatalos Lapja |
L 333/80 |
AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2022/2555 IRÁNYELVE
(2022. december 14.)
az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv)
(EGT-vonatkozású szöveg)
AZ EURÓPAI PARLAMENT ÉS AZ EURÓPAI UNIÓ TANÁCSA,
tekintettel az Európai Unió működéséről szóló szerződésre és különösen annak 114. cikkére,
tekintettel az Európai Bizottság javaslatára,
a jogalkotási aktus tervezete nemzeti parlamenteknek való megküldését követően,
tekintettel az Európai Központi Bank véleményére (1),
tekintettel az Európai Gazdasági és Szociális Bizottság véleményére (2),
a Régiók Bizottságával folytatott konzultációt követően,
rendes jogalkotási eljárás keretében (3),
mivel:
(1) |
Az (EU) 2016/1148 európai parlamenti és tanácsi irányelv (4) célja a kiberbiztonsági képességek egész Unióban történő kiépítése, a kulcsfontosságú ágazatokban az alapvető szolgáltatások nyújtására használt hálózati és információs rendszerek fenyegetéseinek mérséklése és az említett szolgáltatások folyamatosságának biztosítása az események során, hozzájárulva ezzel az Unió biztonságához, valamint gazdaságának és társadalmának hatékony működéséhez. |
(2) |
Az (EU) 2016/1148 irányelv hatálybalépése óta jelentős előrelépés történt az Unió kiberrezilienciájának növelése terén. Az említett irányelv felülvizsgálata megmutatta, hogy az katalizátorként szolgált az uniós kiberbiztonság intézményi és szabályozási megközelítésében, utat nyitva a gondolkodásmód jelentős változásának. Az említett irányelv a hálózati és információs rendszerek biztonságára vonatkozó nemzeti stratégiák létrehozásával, a nemzeti képességek kialakításával és az egyes tagállamok által azonosított alapvető infrastruktúrákra és szervezetekre vonatkozó szabályozási intézkedések végrehajtásával biztosította a hálózati és információs rendszerek biztonságára vonatkozó nemzeti keretek teljessé tételét. Az (EU) 2016/1148 irányelv az együttműködési csoport, valamint a nemzeti számítógép-biztonsági eseményekre reagáló csoportok hálózata létrehozásával hozzájárult az uniós szintű együttműködéshez is. Ezen eredmények ellenére az (EU) 2016/1148 irányelv felülvizsgálata olyan benne rejlő hiányosságokat tárt fel, amelyek megakadályozzák, hogy eredményesen kezelje a jelenlegi és a jövőben felmerülő kiberbiztonsági kihívásokat. |
(3) |
A hálózati és információs rendszerek a mindennapi élet központi jellemzőjévé fejlődtek a társadalom gyors digitális átalakulásával és összekapcsolódásával, beleértve a határokon átnyúló információmegosztást is. Ez a fejlődés a kiberfenyegetettség bővüléséhez vezetett, új kihívások támasztásával, amelyek minden tagállamban kiigazított, összehangolt és innovatív reagálást igényelnek. Az események száma, nagysága, kifinomultsága, gyakorisága és hatása növekszik, és komoly veszélyt jelentenek a hálózati és információs rendszerek működésére. Ennek következtében az események akadályozhatják gazdasági tevékenységek folytatását a belső piacon, pénzügyi veszteséget okozhatnak, alááshatják a felhasználók bizalmát, és jelentős károkat okozhatnak az Unió gazdaságában és a társadalmában. A kiberbiztonsági felkészültség és hatásosság ezért minden eddiginél elengedhetetlenebb a belső piac megfelelő működéséhez. Emellett a kiberbiztonság számos kritikus ágazat szempontjából kulcsfontosságú tényező a digitális átalakulás sikeres megvalósításában és a digitalizáció gazdasági, társadalmi és fenntartható előnyeinek teljes körű kiaknázásában. |
(4) |
Az (EU) 2016/1148 irányelv jogalapja az Európai Unió működéséről szóló szerződés (EUMSZ) 114. cikke volt, amelynek célja a belső piac megteremtése és működése a nemzeti szabályok közelítésére irányuló intézkedések fokozásával. A szolgáltatásokat nyújtó vagy gazdaságilag jelentős tevékenységeket végző szervezetekre előírt kiberbiztonsági követelmények jelentősen eltérnek az egyes tagállamokban a követelmények típusa, részletességi szintje és a felügyelet módja tekintetében. Ezek az eltérések többletköltségekkel járnak és nehézségeket okoznak a határokon átnyúló viszonylatban árukat vagy szolgáltatásokat kínáló szervezetek számára. Az egyik tagállam által előírt, a másik tagállam által előírtaktól eltérő vagy akár azoknak ellentmondó követelmények jelentősen befolyásolhatják az ilyen határokon átnyúló tevékenységeket. Ezenkívül egy tagállamban a kiberbiztonsági követelmények nem megfelelő kialakításának vagy végrehajtásának lehetősége valószínűleg károsan hat más tagállamok kiberbiztonsági szintjére, tekintve különösen a határokon átnyúló információmegosztás intenzitását. Az (EU) 2016/1148 irányelv felülvizsgálata jelentős eltéréseket mutatott az irányelv tagállamok általi végrehajtása terén, beleértve a hatály tekintetében, amelynek lehatárolása nagyrészt a tagállamok mérlegelési jogkörében maradt. Az (EU) 2016/1148 irányelv szintén nagyon tág mérlegelési jogkört biztosított a tagállamoknak az abban megállapított biztonsági és eseményjelentési kötelezettségek végrehajtása tekintetében. Ezeket a kötelezettségeket tehát nemzeti szinten jelentősen eltérő módon hajtották végre. Hasonló eltérések vannak az (EU) 2016/1148 irányelv felügyeletre és végrehajtásra vonatkozó rendelkezéseinek végrehajtásában is. |
(5) |
Mindezek az eltérések a belső piac széttöredezettségével járnak, és káros hatással lehetnek annak működésére, különösen a határokon átnyúló szolgáltatások nyújtására és a kiberbiztonsági ellenállóképesség szintjére, az eltérő intézkedések alkalmazása miatt. Ezek az eltérések végső soron azt eredményezhetik, hogy egyes tagállamok jobban ki vannak téve a kiberfenyegetéseknek, aminek az egész Unióra kiterjedő, tovagyűrűző hatásai lehetnek. Ennek az irányelvnek az a célja, hogy kiküszöbölje a tagállamok közötti ilyen nagy eltéréseket, különösen egy összehangolt szabályozási keret működésével kapcsolatos minimumszabályok megállapításával, az egyes tagállamok felelős hatóságai közötti hatékony együttműködés mechanizmusainak meghatározásával, a kiberbiztonsági kötelezettségek hatálya alá tartozó ágazatok és tevékenységek listájának frissítésével, valamint olyan hatékony jogorvoslatok és végrehajtási intézkedések biztosításával, amelyek kulcsfontosságúak az említett kötelezettségek tényleges érvényesítéséhez. Ezért az (EU) 2016/1148 irányelvet hatályon kívül kell helyezni, és azt ezen irányelvvel kell felváltani. |
(6) |
Az (EU) 2016/1148 irányelv hatályon kívül helyezésével az ágazatokon alapuló alkalmazási kört ki kell terjeszteni a gazdaság nagyobb részére, hogy átfogóan lefedjék azokat az ágazatokat és szolgáltatásokat, amelyek létfontosságúak a belső piacon kulcsfontosságú társadalmi és gazdasági tevékenységek szempontjából. Ezen irányelv célja különösen az alapvető szolgáltatásokat nyújtó szereplők és a digitális szolgáltatók közötti különbségtétel hiányosságainak kiküszöbölése, amely különbségtétel elavultnak bizonyult, mivel nem tükrözi az ágazatok vagy szolgáltatások jelentőségét a belső piaci társadalmi és gazdasági tevékenységek szempontjából. |
(7) |
Az (EU) 2016/1148 irányelv értelmében a tagállamok voltak felelősek azon szervezetek meghatározásáért, amelyek megfelelnek az ahhoz szükséges kritériumoknak, hogy alapvető szolgáltatásokat nyújtó szereplőknek minősüljenek. A tagállamok között e tekintetben mutatkozó nagy eltérések kiküszöbölése, valamint az összes érintett szervezet vonatkozásában a kiberbiztonsági kockázatkezelési intézkedések és a jelentéstételi kötelezettségek tekintetében a jogbiztonság biztosítása érdekében egy olyan egységes kritériumot kell megállapítani, amely meghatározza az ezen irányelv hatálya alá tartozó szervezeteket. Ennek a kritériumnak tartalmaznia kell a méretküszöb-szabály alkalmazását, amely szerint ezen irányelv hatálya alá tartozik minden olyan szervezet, amely a 2003/361/EK bizottsági ajánlás (5) mellékletének 2. cikke szerint középvállalkozásnak minősül, vagy meghaladja az említett cikk (1) bekezdésében a középvállalkozásokra vonatkozóan előírt küszöbértékeket, és amely az ezen irányelv hatálya alá tartozó ágazatokban működik, és az irányelv hatálya alá tartozó típusú szolgáltatásokat nyújt vagy tevékenységeket végez. A tagállamoknak rendelkezniük kell arról is, hogy ezen irányelv hatálya alá tartozzanak bizonyos olyan, az említett melléklet 2. cikkének (2) és (3) bekezdésében meghatározott kisvállalkozások és mikrovállalkozások, amelyek megfelelnek az arra utaló bizonyos kritériumoknak, hogy kulcsfontosságú szerepet töltenek be a társadalom, a gazdaság, vagy bizonyos ágazatok vagy szolgáltatástípusok szempontjából. |
(8) |
A közigazgatási szervek ezen irányelv hatálya alóli kizárását azokra a szervezetekre kell alkalmazni, amelyek tevékenységeiket elsősorban a nemzetbiztonság, a közbiztonság, a védelem vagy a bűnüldözés – többek között a bűncselekmények megelőzése, kivizsgálása, felderítése és büntetőeljárás alá vonása – területén végzik. Azon közigazgatási szervek azonban, amelyek tevékenységei csak csekély mértékben kapcsolódnak az említett területekhez, nem zárhatók ki ezen irányelv hatálya alól. Ezen irányelv alkalmazásában a szabályozási hatáskörrel rendelkező szervezetek nem tekintendők a bűnüldözés területén tevékenységet folytató szervezetnek, ezért ezen az alapon nincsenek kizárva ezen irányelv hatálya alól. Nem tartoznak ezen irányelv hatálya alá azon közigazgatási szervek, amelyeket valamely nemzetközi megállapodással összhangban harmadik országgal közösen hoztak létre. Ez az irányelv nem alkalmazandó a tagállamok harmadik országokban működő diplomáciai és konzuli képviseleteire, illetve azok hálózati és információs rendszereire, amennyiben ezek a rendszerek a képviselet helyiségeiben találhatók, vagy harmadik országbeli felhasználók számára üzemelnek. |
(9) |
A tagállamok számára lehetővé kell tenni, hogy megtegyék az alapvető nemzetbiztonsági érdekeik védelmének biztosításához, a közrend és a közbiztonság megóvásához, valamint a bűncselekmények megelőzésének, kivizsgálásának, felderítésének és büntetőeljárás alá vonásának lehetővé tételéhez szükséges intézkedéseket. E célból a tagállamok számára lehetővé kell tenni, hogy a nemzetbiztonság, a közbiztonság, a védelem vagy a bűnüldözés – többek között a bűncselekmények megelőzése, kivizsgálása, felderítése és büntetőeljárás alá vonása – területén tevékenységet végző meghatározott szervezeteket mentesítsenek e tevékenységek tekintetében az ezen irányelvben megállapított egyes kötelezettségek alól. Amennyiben egy szervezet kizárólag olyan közigazgatási szerv részére nyújt szolgáltatásokat, amely nem tartozik ezen irányelv hatálya alá, a tagállamok számára lehetővé kell tenni, hogy az adott szervezetet az említett szolgáltatások tekintetében mentesítsék az ezen irányelvben megállapított egyes kötelezettségek alól. Ezenkívül egyetlen tagállamtól sem követelhető meg olyan információk szolgáltatása, amelyek nyilvánosságra hozatala ellentétes lenne nemzetbiztonságának, közbiztonságának vagy védelmének alapvető érdekeivel. Ebben az összefüggésben figyelembe kell venni a minősített információk védelmére vonatkozó uniós és nemzeti szabályokat, a titoktartási megállapodásokat és az informális titoktartási megállapodásokat, például a jelzőlámpa-protokollt (TLP). A jelzőlámpa-protokollt olyan eszközként kell értelmezni, amely arra szolgál, hogy tájékoztatást nyújtson az információk további terjesztésének korlátairól. Használják szinte valamennyi számítógép-biztonsági eseményekre reagáló csoportban (CSIRT-ek), valamint egyes információelemző és -megosztó központokban. |
(10) |
Jóllehet ez az irányelv az atomerőművekből származó villamos energia előállításával kapcsolatos tevékenységeket végző szervezetekre is alkalmazandó, e tevékenységek némelyike nemzetbiztonsági vonatkozású lehet. Ha ez az eset áll fenn, a tagállamok számára lehetővé kell tenni, hogy a Szerződésekkel összhangban gyakorolhassák a nemzetbiztonság védelmével kapcsolatos felelősségüket e tevékenységek tekintetében, ideértve a nukleáris értékláncon belüli tevékenységeket is. |
(11) |
Egyes szervezetek a nemzetbiztonság, a közbiztonság, a védelem vagy a bűnüldözés – többek között a bűncselekmények megelőzése, kivizsgálása, felderítése és büntetőeljárás alá vonása – területén végzik tevékenységeiket, miközben bizalmi szolgáltatásokat is nyújtanak. A 910/2014/EU európai parlamenti és tanácsi rendelet (6) hatálya alá tartozó bizalmi szolgáltatóknak ezen irányelv hatálya alá kell tartozniuk az említett rendelet által a bizalmi szolgáltatók tekintetében korábban megállapított biztonsági követelményekével és felügyeletével azonos szint megőrzése érdekében. Egyes meghatározott szolgáltatásoknak a 910/2014/EU rendelet hatálya alóli kizárásával összhangban ez az irányelv nem alkalmazandó a nemzeti jogon vagy meghatározott résztvevők közötti megállapodásokon alapuló, kizárólag zárt rendszerekben használt bizalmi szolgáltatások nyújtására. |
(12) |
A 97/67/EK európai parlamenti és tanácsi irányelvben (7) meghatározott postai szolgáltatóknak – beleértve a futárszolgáltatókat is – ezen irányelv hatálya alá kell tartozniuk, ha a postai kézbesítési lánc legalább egyik lépését biztosítják, különös tekintettel a postai küldemények felvételére, válogatására, szállítására vagy terjesztésére, ideértve az átvételi szolgáltatásokat is, figyelembe véve a hálózati és információs rendszerektől való függőségük mértékét. Azokat a szállítási szolgáltatásokat, amelyeket nem az említett lépések egyikével kapcsolatban végeznek, ki kell zárni a postai szolgáltatások köréből. |
(13) |
Tekintettel az egyre intenzívebb és kifinomultabb kiberfenyegetésekre, a tagállamoknak törekedniük kell annak biztosítására, hogy az ezen irányelv hatálya alól kizárt szervezetek magas szintű kiberbiztonságot érjenek el, és támogatniuk kell olyan egyenértékű kiberbiztonsági kockázatkezelési intézkedések végrehajtását, amelyek tükrözik az említett szervezetek érzékeny jellegét. |
(14) |
A személyes adatok ezen irányelv szerinti bármely kezelésére alkalmazni kell az adatvédelemre és a magánélet védelmére vonatkozó uniós jogot. Ez az irányelv nem érinti különösen az (EU) 2016/679 európai parlamenti és tanácsi rendeletet (8), valamint a 2002/58/EK európai parlamenti és tanácsi irányelvet (9). Ez az irányelv ezért nem érintheti többek között az adatvédelemre és a magánélet védelmére vonatkozó, alkalmazandó uniós jognak való megfelelés nyomon követésére hatáskörrel rendelkező hatóságok feladatait és hatásköreit. |
(15) |
A kiberbiztonsági kockázatkezelési intézkedéseknek és jelentéstételi kötelezettségeknek való megfelelés céljából az ezen irányelv hatálya alá tartozó szervezeteket két kategóriába, az alapvető szervezetek és a fontos szervezetek közé kell sorolni, ami tükrözi annak mértékét, hogy az ágazatuk vagy az általuk nyújtott szolgáltatások típusa szempontjából mennyire kritikusak, valamint a méretüket. E tekintetben kellően figyelembe kell venni a vonatkozó ágazati kockázatértékeléseket vagy adott esetben az illetékes hatóságok által adott iránymutatást. A szervezetek e két kategóriája között a felügyeleti és a végrehajtási rendszer tekintetében különbséget kell tenni, hogy biztosítani lehessen a méltányos egyensúlyt a kockázatalapú követelmények és kötelezettségek, valamint a megfelelés felügyeletéből adódó adminisztratív terhek között. |
(16) |
Annak elkerülése érdekében, hogy a partnervállalkozásokkal rendelkező vagy kapcsolt vállalkozásként működő szervezeteket alapvető vagy fontos szervezetnek tekintsék olyan esetben, amikor ez aránytalan lenne, a tagállamok a 2003/361/EK ajánlás melléklete 6. cikke (2) bekezdésének alkalmazásakor figyelembe vehetik a szervezetek partnereikkel vagy kapcsolt vállalkozásaikkal szembeni függetlenségének mértékét. A tagállamok különösen figyelembe vehetik azt, hogy egy szervezet partnerétől vagy kapcsolt vállalkozásaitól független a szervezet által a szolgáltatásai nyújtása során használt hálózati és információs rendszerek, valamint az általa nyújtott szolgáltatások tekintetében. Ennek alapján a tagállamok adott esetben úgy tekinthetik, hogy egy ilyen szervezet a 2003/361/EK ajánlás melléklete 2. cikke szerint nem minősül középvállalkozásnak vagy nem haladja meg az említett cikk (1) bekezdésében a középvállalkozásokra vonatkozóan előírt küszöbértékeket, ha a szervezet függetlenségének mértékét figyelembe véve a szervezetet – ha csak a saját adatait vették volna figyelembe – nem tekintették volna úgy, hogy középvállalkozásnak minősül vagy meghaladja az említett küszöbértékeket. Ez nem érinti az ezen irányelv hatálya alá tartozó partner- és kapcsolt vállalkozások ezen irányelvben megállapított kötelezettségeit. |
(17) |
A tagállamok számára lehetőséget kell biztosítani annak eldöntésére, hogy az ezen irányelv hatálybalépése előtt az (EU) 2016/1148 irányelvvel összhangban alapvető szolgáltatásokat nyújtó szereplőként azonosított szervezetek alapvető szervezetnek tekintendők-e. |
(18) |
Az ezen irányelv hatálya alá tartozó szervezetek áttekinthetőségének biztosítása érdekében a tagállamoknak össze kell állítaniuk az alapvető és fontos szervezetek, valamint a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezetek jegyzékét. E célból a tagállamoknak elő kell írniuk a szervezetek számára, hogy legalább a következő információkat nyújtsák be az illetékes hatóságoknak, nevezetesen a szervezet nevét, címét és naprakész elérhetőségét, beleértve a szervezet e-mail-címeit, IP-tartományait és telefonszámait, és adott esetben a mellékletekben említett érintett ágazatot és alágazatot, valamint adott esetben azon tagállamok jegyzékét, amelyekben a szervezet az ezen irányelv hatálya alá tartozó szolgáltatásokat nyújt. E célból a Bizottságnak az Európai Uniós Kiberbiztonsági Ügynökség (a továbbiakban: ENISA) segítségével indokolatlan késedelem nélkül iránymutatásokat kell nyújtania és sablonokat kell rendelkezésre bocsátania az információszolgáltatási kötelezettségre vonatkozóan. Az alapvető és fontos szervezetek, valamint a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezetek jegyzéke összeállításának és frissítésének megkönnyítése érdekében a tagállamok számára lehetővé kell tenni, hogy nemzeti mechanizmusokat hozzanak létre abból a célból, hogy a szervezetek bejegyeztessék magukat. Amennyiben nemzeti szinten léteznek nyilvántartások, a tagállamok dönthetnek az ezen irányelv hatálya alá tartozó szervezetek azonosítását lehetővé tevő megfelelő mechanizmusokról. |
(19) |
A tagállamok feladata, hogy a mellékletekben említett minden egyes ágazat és alágazat tekintetében legalább az alapvető és fontos szervezetek számát, valamint az azonosított szervezetek számáról és az ezen irányelvben megállapítottak közül az azonosítás alapjául szolgáló rendelkezésről, valamint az általuk nyújtott szolgáltatás típusáról szóló releváns információkat megküldjék a Bizottságnak. A tagállamok ösztönzést kapnak arra, hogy a Bizottsággal cseréljék ki az alapvető és fontos szervezetekről szóló információkat, valamint nagyszabású kiberbiztonsági események esetén a releváns információkat, így például az érintett szervezet nevét. |
(20) |
A Bizottságnak az együttműködési csoporttal együttműködve és az érintett érdekelt felekkel folytatott konzultációt követően iránymutatásokat kell nyújtania a mikro- és kisvállalkozásokra alkalmazandó azon kritériumok végrehajtásáról, amelyek célja annak értékelése, hogy a mikro- és kisvállalkozások ezen irányelv hatálya alá tartoznak-e. A Bizottságnak biztosítania kell továbbá, hogy az ezen irányelv hatálya alá tartozó valamennyi mikro- és kisvállalkozás megfelelő iránymutatást kapjon. A Bizottság a tagállamok segítségével e tekintetben információkat bocsát a mikro- és kisvállalkozások rendelkezésére. |
(21) |
A Bizottság iránymutatást nyújthat annak érdekében, hogy segítse a tagállamokat ezen irányelv hatályra vonatkozó rendelkezéseinek végrehajtásában és az ezen irányelv alapján meghozandó intézkedések arányosságának értékelésében, különös tekintettel az olyan összetett üzleti modellel vagy működési környezettel rendelkező szervezetekre, amelyek révén egy szervezet egyszerre is megfelelhet mind az alapvető, mind a fontos szervezetekre vonatkozó kritériumoknak, vagy egyidejűleg végezhet olyan tevékenységeket, amelyek közül egyesek ezen irányelv hatálya alá tartoznak, mások pedig ki vannak zárva annak hatálya alól. |
(22) |
Ez az irányelv a kiberbiztonsági kockázatkezelési intézkedések és jelentéstételi kötelezettségek alapjául szolgál a hatálya alá tartozó ágazatokban. Az uniós jogi aktusok kiberbiztonsági rendelkezései széttagoltságának elkerülése érdekében azokban az esetekben, amikor a kiberbiztonsági kockázatkezelési intézkedésekkel és jelentéstételi kötelezettségekkel kapcsolatos további ágazatspecifikus uniós jogi aktusokra van szükség a magas szintű kiberbiztonság Unió-szerte történő biztosításához, a Bizottságnak meg kell vizsgálnia, hogy egy ezen irányelv szerinti végrehajtási jogi aktusban elő lehetne-e írni ilyen további rendelkezéseket. Amennyiben az ilyen végrehajtási jogi aktus nem alkalmas erre a célra, az ágazatspecifikus uniós jogi aktusok járulhatnak hozzá a magas szintű kiberbiztonság biztosításához Unió-szerte, teljeskörűen figyelembe véve az érintett ágazatok sajátosságait és összetettségét. Ennek érdekében ez az irányelv nem zárja ki a kiberbiztonsági kockázatkezelési intézkedésekkel és a jelentéstételi kötelezettségekkel foglalkozó további olyan ágazatspecifikus uniós jogi aktusok elfogadását, amelyek kellően figyelembe veszik az átfogó és következetes kiberbiztonsági keret szükségességét. Ez az irányelv nem érinti a Bizottságra számos ágazatban – ideértve a közlekedést és az energiaágazatot is – átruházott, meglévő végrehajtási hatásköröket. |
(23) |
Ha egy ágazatspecifikus uniós jogi aktus olyan rendelkezéseket tartalmaz, amelyek előírják az alapvető vagy fontos szervezetek számára, hogy kiberbiztonsági kockázatkezelési intézkedéseket fogadjanak el vagy bejelentsék a jelentős eseményeket, és ha ezek a követelmények hatásukban legalább egyenértékűek az ezen irányelvben meghatározott kötelezettségekkel, akkor az ilyen szervezetekre az említett rendelkezéseket – többek között a felügyeletre és a végrehajtásra vonatkozó rendelkezéseket is – kell alkalmazni. Amennyiben az ágazatspecifikus uniós jogi aktus nem terjed ki az ezen irányelv hatálya alá tartozó adott ágazatban működő valamennyi szervezetre, ezen irányelv vonatkozó rendelkezései továbbra is alkalmazandók azokra a szervezetekre, amelyek nem tartoznak az említett jogi aktus hatálya alá. |
(24) |
Amennyiben az ágazatspecifikus uniós jogi aktus rendelkezései előírják az alapvető vagy fontos szervezetek számára, hogy az ezen irányelvben megállapított jelentéstételi kötelezettségekkel legalább egyenértékű hatású jelentéstételi kötelezettségeknek feleljenek meg, biztosítani kell az események bejelentésének következetességét és kezelésének hatékonyságát. E célból az ágazatspecifikus uniós jogi aktus események bejelentésére vonatkozó rendelkezéseinek azonnali hozzáférést kell biztosítaniuk a CSIRT-ek, az illetékes hatóságok vagy az ezen irányelv szerinti, kiberbiztonsággal foglalkozó egyedüli kapcsolattartó pontok (a továbbiakban: egyedüli kapcsolattartó pontok) számára az ágazatspecifikus uniós jogi aktusnak megfelelően benyújtott eseménybejelentésekhez. Ilyen azonnali hozzáférés különösen akkor biztosítható, ha indokolatlan késedelem nélkül továbbítják az eseménybejelentéseket a CSIRT-nek, az illetékes hatóságnak vagy az ezen irányelv szerinti egyedüli kapcsolattartó pontnak. Adott esetben a tagállamoknak olyan automatikus és közvetlen jelentéstételi mechanizmust kell bevezetniük, amely biztosítja az információk szisztematikus és azonnali megosztását a CSIRT-ekkel, az illetékes hatóságokkal vagy az egyedüli kapcsolattartó pontokkal az eseménybejelentések kezelésével kapcsolatban. A jelentéstétel egyszerűsítése és az automatikus és közvetlen jelentéstételi mechanizmus végrehajtása céljából a tagállamok az ágazatspecifikus uniós jogi aktussal összhangban használhatnak egy egyedüli kapcsolattartó pontot. |
(25) |
Az ezen irányelvben megállapítottakkal legalább egyenértékű hatású kiberbiztonsági kockázatkezelési intézkedéseket vagy jelentéstételi kötelezettségeket előíró ágazatspecifikus uniós jogi aktusok előírhatják, hogy az ilyen jogi aktusok szerinti illetékes hatóságok az ilyen intézkedésekkel vagy kötelezettségekkel kapcsolatos felügyeleti és végrehajtási hatásköreiket az ezen irányelv szerinti illetékes hatóságok támogatásával gyakorolják. Az érintett illetékes hatóságok e célból együttműködési megállapodásokat hozhatnak létre. Az ilyen együttműködési megállapodásokban meg lehet határozni többek között a felügyeleti tevékenységek koordinálásával kapcsolatos eljárásokat, ideértve a nemzeti joggal összhangban végzett vizsgálatokra és helyszíni ellenőrzésekre vonatkozó eljárásokat, valamint a felügyelettel és a végrehajtással kapcsolatos releváns információk illetékes hatóságok közötti cseréjére szolgáló mechanizmusokat, ideértve az ezen irányelv szerinti illetékes hatóságok által kért, kiberjellegű információkhoz való hozzáférést. |
(26) |
Amennyiben az ágazatspecifikus uniós jogi aktusok előírják a szervezeteknek a jelentős kiberfenyegetések bejelentését, vagy ösztönzik azt, a tagállamoknak is ösztönözniük kell a jelentős kiberfenyegetéseknek a CSIRT-ekkel, az illetékes hatóságokkal vagy az ezen irányelv szerinti egyedüli kapcsolattartó pontokkal való megosztását is annak biztosítása érdekében, hogy e szervek jobban tisztában legyenek a kiberfenyegetettségi helyzettel, és hogy lehetővé tegyék számukra, hogy hatékonyan és kellő időben reagáljanak, amennyiben a jelentős kiberfenyegetések megvalósulnak. |
(27) |
A jövőbeli ágazatspecifikus uniós jogi aktusoknak megfelelően figyelembe kell venniük az ezen irányelvben meghatározott fogalommeghatározásokat, valamint felügyeleti és végrehajtási keretet. |
(28) |
Az (EU) 2022/2554 európai parlamenti és tanácsi rendeletet (10) ezen irányelv vonatkozásában ágazatspecifikus uniós jogi aktusnak kell tekinteni a pénzügyi szervezetek tekintetében. Az ezen irányelvben előírt rendelkezések helyett az (EU) 2022/2554 rendeletnek az információs és kommunikációs technológiai (IKT) kockázatkezelésre, az IKT-vel kapcsolatos események kezelésére és különösen a jelentős IKT-vonatkozású események bejelentésére, valamint a digitális működési rezilienciára vonatkozó tesztekre, az információmegosztási megállapodásokra és a harmadik féllel kapcsolatos IKT-kockázatokra vonatkozó rendelkezéseit kell alkalmazni. A tagállamok ezért nem alkalmazhatják ezen irányelv kiberbiztonsági kockázatkezelésre és jelentéstételi kötelezettségekre, valamint felügyeletre és végrehajtásra vonatkozó rendelkezéseit az (EU) 2022/2554 rendelet hatálya alá tartozó pénzügyi szervezetekre. Ugyanakkor fontos, hogy ezen irányelv alapján fennmaradjon a szoros kapcsolat és információmegosztás a pénzügyi ágazattal. Ennek érdekében az (EU) 2022/2554 rendelet lehetővé teszi, hogy az európai felügyeleti hatóságok (a továbbiakban: EFH-k) és az említett rendelet szerinti illetékes hatóságok részt vegyenek az együttműködési csoport tevékenységeiben, továbbá hogy információt cseréljenek és együttműködjenek az egyedüli kapcsolattartó pontokkal, valamint a CSIRT-ekkel és az ezen irányelv szerinti illetékes hatóságokkal. Az (EU) 2022/2554 rendelet szerint illetékes hatóságoknak továbbítaniuk kell az IKT-vel kapcsolatos jelentős események és adott esetben a jelentős kiberfenyegetések részleteit a CSIRT-eknek, az illetékes hatóságoknak vagy az ezen irányelv szerinti egyedüli kapcsolattartó pontoknak is. Ez az eseménybejelentésekhez való azonnali hozzáférés és azok közvetlenül vagy egy egyedüli kapcsolattartó pont révén történő továbbítása biztosításával érhető el. Ezenkívül a tagállamoknak továbbra is be kell vonniuk a pénzügyi ágazatot kiberbiztonsági stratégiájukba, és a CSIRT-ek tevékenységei kiterjedhetnek a pénzügyi ágazatra. |
(29) |
A légiközlekedési ágazatban működő szervezetekre vonatkozó kiberbiztonsági kötelezettségek közötti hiányosságok vagy átfedések elkerülése érdekében a 300/2008/EK (11), valamint az (EU) 2018/1139 (12) európai parlamenti és tanácsi rendelet szerinti nemzeti hatóságoknak és az ezen irányelv szerinti illetékes hatóságoknak együtt kell működniük egymással a kiberbiztonsági kockázatkezelési intézkedések végrehajtása és az ezen intézkedéseknek való megfelelés nemzeti szintű felügyelete terén. Valamely szervezetnek a 300/2008/EK és az (EU) 2018/1139 rendeletben, valamint az e rendeletek alapján elfogadott vonatkozó felhatalmazáson alapuló jogi aktusokban és végrehajtási jogi aktusokban meghatározott biztonsági követelményeknek való megfelelését az ezen irányelv szerinti illetékes hatóságok az ezen irányelvben meghatározott megfelelő követelményeknek való megfelelésnek tekinthetik. |
(30) |
A kiberbiztonság és a szervezetek fizikai biztonsága közötti összefüggésekre tekintettel koherens megközelítést kell biztosítani az (EU) 2022/2557 európai parlamenti és tanácsi irányelv (13) és ezen irányelv között. Ennek elérése érdekében az (EU) 2022/2557 irányelv szerinti kritikus szervezetként azonosított szervezeteket ezen irányelv értelmében alapvető szervezeteknek kell tekinteni. Ezenkívül minden tagállamnak arról is gondoskodnia kell, hogy nemzeti kiberbiztonsági stratégiája biztosítson egy szakpolitikai keretet az adott tagállamon belül az ezen irányelv és az (EU) 2022/2557 irányelv szerinti illetékes hatóságai közötti fokozott koordinációhoz, a kockázatokra, a kiberfenyegetésekre és eseményekre, valamint a nem kiberjellegű kockázatokra, fenyegetésekre és eseményekre vonatkozó információk megosztásával és a felügyeleti feladatok ellátásával összefüggésben. Az ezen irányelv és az (EU) 2022/2557 irányelv szerinti illetékes hatóságoknak indokolatlan késedelem nélkül együtt kell működniük és információt kell cserélniük egymással, különösen a következőkkel kapcsolatban: a kritikus szervezetek azonosítása, a kritikus szervezeteket érintő kockázatok, kiberfenyegetések és események, valamint nem kiberjellegű kockázatok, fenyegetések és események, ideértve a kritikus szervezetek által végrehajtott kiberbiztonsági és fizikai intézkedéseket, valamint az ilyen szervezetek tekintetében végzett felügyeleti tevékenységek eredményei. Ezenkívül az ezen irányelv és az (EU) 2022/2557 irányelv szerinti illetékes hatóságok közötti felügyeleti tevékenységek észszerűsítése, valamint az érintett szervezetek adminisztratív terheinek minimálisra csökkentése érdekében az említett illetékes hatóságoknak törekedniük kell az eseménybejelentésre szolgáló sablonok és a felügyeleti eljárások harmonizálására. Adott esetben az (EU) 2022/2557 irányelv szerinti illetékes hatóságok számára lehetővé kell tenni, hogy felkérjék az ezen irányelv szerinti illetékes hatóságokat, hogy gyakorolják felügyeleti és végrehajtási hatásköreiket az (EU) 2022/2557 irányelv értelmében kritikus szervezetként azonosított szervezetek tekintetében. E célból az ezen irányelv és az (EU) 2022/2557 irányelv szerinti illetékes hatóságoknak – lehetőség szerint valós időben – együtt kell működniük és információt kell cserélniük egymással. |
(31) |
A digitálisinfrastruktúra-ágazathoz tartozó szervezetek lényegében a hálózati és információs rendszereken alapulnak, ezért az ezen irányelv alapján az ilyen szervezetekre vonatkozóan meghatározott kötelezettségeknek átfogó módon kell kezelniük az ilyen rendszerek fizikai biztonságát kiberbiztonsági kockázatkezelési intézkedéseik és jelentéstételi kötelezettségeik részeként. Mivel az említett területek ezen irányelv hatálya alá tartoznak, az (EU) 2022/2557 irányelv III., IV. és VI. fejezetében meghatározott kötelezettségek nem vonatkoznak az ilyen szervezetekre. |
(32) |
A megbízható, rugalmas és biztonságos doménnévrendszer (DNS) fenntartása és megőrzése kulcsfontosságú tényező az internet integritásának fenntartásában, és elengedhetetlen annak folyamatos és stabil működéséhez, amelytől a digitális gazdaság és a társadalom függ. Ezért ezen irányelvnek alkalmazandónak kell lennie a legfelső szintű doménnév-nyilvántartókra és a DNS-szolgáltatókra, amelyeket az internet végfelhasználói számára nyilvánosan hozzáférhető rekurzív doménnév-feloldási szolgáltatásokat vagy harmadik fél általi használatra szánt hiteles doménnév-feloldási szolgáltatásokat nyújtó szervezeteknek kell tekinteni. Ez az irányelv nem alkalmazandó a gyökérnévszerverekre. |
(33) |
A felhőszolgáltatásoknak ki kell terjedniük azokra a digitális szolgáltatásokra, amelyek igény szerinti adminisztrációt és széles távoli hozzáférést tesznek lehetővé a megosztható számítástechnikai erőforrások méretezhető és rugalmas készletéhez, beleértve azt az esetet is, amikor az ilyen erőforrásokat több helyszínen osztják el. A számítástechnikai erőforrások részét képezik olyan erőforrások, mint a hálózatok, a szerverek vagy más infrastruktúra, az operációs rendszerek, a szoftverek, a tárhelyek, az alkalmazások és a szolgáltatások. A felhőalapú számítástechnika szolgáltatási modelljei magukban foglalják többek között az infrastruktúra-szolgáltatást (IaaS), a platformszolgáltatást (PaaS), a szoftverszolgáltatást (SaaS), valamint a hálózatszolgáltatást (NaaS). A felhőalapú számítástechnika telepítési modelljeinek ki kell terjedniük a magán-, a közösségi, a nyilvános és a hibrid felhőre. A felhőalapú számítástechnikai szolgáltatási és telepítési modelleknek ugyanaz a jelentése, mint az ISO/IEC 17788: 2014 szabványban meghatározott szolgáltatási és telepítési modelleknek. A felhőszolgáltatás felhasználójának azon képessége, hogy egyoldalúan számítástechnikai kapacitásokról, például kiszolgálói időről vagy hálózati tárhelyről gondoskodjon, a felhőszolgáltató emberi beavatkozása nélkül, igény szerinti adminisztrációként jellemezhető. A „széles távoli hozzáférés” kifejezést annak leírására használják, hogy a felhőképességeket a hálózaton keresztül biztosítják, és heterogén vékony vagy vastag kliensplatformok – beleértve a mobiltelefonokat, táblagépeket, laptopokat és munkaállomásokat – használatát elősegítő mechanizmusok révén férnek hozzájuk. A „méretezhető” kifejezés olyan számítástechnikai erőforrásokra utal, amelyeket a felhőszolgáltató rugalmasan allokál, függetlenül az erőforrások földrajzi elhelyezkedésétől, a kereslet ingadozásainak kezelése érdekében. A „rugalmas készlet” kifejezés leírja azokat a számítástechnikai erőforrásokat, amelyeket az igényeknek megfelelően hoznak létre és bocsátanak ki a rendelkezésre álló erőforrások gyors növelése és csökkentése érdekében, a munkaterheléstől függően. A „megosztható” kifejezés azoknak a számítástechnikai erőforrásoknak a leírására szolgál, amelyeket több olyan felhasználónak biztosítanak, akiknek közös hozzáférése van a szolgáltatáshoz, de ahol a feldolgozást minden felhasználó számára külön végzik, bár a szolgáltatást ugyanazon elektronikus berendezések nyújtják. Az „elosztott” kifejezés azon számítástechnikai erőforrások leírására szolgál, amelyek különböző hálózatba kötött számítógépeken vagy eszközökön találhatók, és amelyek üzenetközvetítéssel kommunikálnak és koordinálnak egymás között. |
(34) |
Tekintettel az innovatív technológiák és az új üzleti modellek megjelenésére, várhatóan új felhőalapú számítástechnikai szolgáltatási és telepítési modellek jelennek meg a belső piacon, a fejlődő vásárlói igényeknek megfelelően. Ebben az összefüggésben a felhőszolgáltatásokat rendkívül elosztott formában lehet nyújtani, még közelebb az adatok generálásának vagy összegyűjtésének helyéhez, ezáltal átállva a hagyományos modellről a nagymértékben elosztottra („pereminformatika”). |
(35) |
Az adatközpont-szolgáltatók által kínált szolgáltatásokat nem mindig biztosíthatják felhőszolgáltatások formájában. Ennek megfelelően az adatközpontok nem mindig képezik a felhőalapú számítástechnikai infrastruktúra részét. A hálózati és információs rendszerek biztonsága tekintetében fennálló összes kockázat kezelése érdekében ennek az irányelvnek ezért ki kell terjednie az olyan adatközpont-szolgáltatások szolgáltatóira is, amelyek nem felhőszolgáltatások. Ezen irányelv alkalmazásában az „adatközpont-szolgáltatás” kifejezésnek magában kell foglalnia olyan szolgáltatások nyújtását, amelyeknek részét képezik olyan struktúrák vagy struktúracsoportok, amelyek az adattárolási, feldolgozási és továbbítási szolgáltatásokat nyújtó informatikai és hálózati berendezések központosított elhelyezésére, összekapcsolására és működtetésére szolgálnak, az energia-elosztás és a környezetvédelmi ellenőrzés összes létesítményével és infrastruktúrájával együtt. Az „adatközpont-szolgáltatás” kifejezés nem vonatkozik az érintett szervezet saját tulajdonában lévő és saját céljaira működtetett házon belüli, vállalati adatközpontokra. |
(36) |
A kutatási tevékenységek kulcsszerepet játszanak az új termékek és folyamatok kifejlesztésében. Az említett tevékenységek nagy részét olyan szervezetek végzik, amelyek megosztják, terjesztik vagy kereskedelmi célokra hasznosítják kutatásaik eredményeit. Az említett szervezetek ezért az értékláncok fontos szereplői lehetnek, ami hálózati és információs rendszereik biztonságát a belső piac általános kiberbiztonságának szerves részévé teszi. Kutatóhelyek alatt olyan szervezetek értendők, amelyek a Gazdasági Együttműködési és Fejlesztési Szervezet 2015-ös, „Iránymutatás a kutatással és a kísérleti fejlesztéssel kapcsolatos adatgyűjtésről és adatszolgáltatásról” című Frascati kézikönyve értelmében tevékenységük lényeges részét alkalmazott kutatásra vagy kísérleti fejlesztésre összpontosítják, eredményeik kereskedelmi célú hasznosítása céljából, például termékek vagy eljárások előállítása vagy fejlesztése, szolgáltatások nyújtása, vagy ezek forgalmazása céljából. |
(37) |
Az egyre növekvő kölcsönös függőségek az egyre inkább nemzetközivé váló és egymástól függő olyan szolgáltatási hálózat következményei, amelyek az Unió egész területén kulcsfontosságú infrastruktúrákat használnak olyan ágazatokban, mint például az energia, a közlekedés, a digitális infrastruktúra, az ivóvíz- és szennyvíz-, az egészségügy, a közigazgatás bizonyos vonatkozásai, valamint az űrágazat, amennyiben bizonyos szolgáltatások nyújtása olyan földi infrastruktúráktól függ, amelyek tulajdonosai, kezelői és üzemeltetői tagállamok vagy magánszemélyek, tehát nem tartoznak ide az Unió űrprogramja részeként az Unió vagy annak megbízottja tulajdonában lévő, általuk kezelt vagy üzemeltetett infrastruktúrák. Ezek a kölcsönös függőségek azt jelentik, hogy bármilyen zavarnak – akkor is, ha eredetileg csak egy szervezetre vagy egy ágazatra korlátozódik – szélesebb körben lépcsőzetes hatásai lehetnek, ami messzemenő és hosszú távú negatív hatásokat eredményezhet a szolgáltatások belső piacon történő nyújtásában. A Covid19-járvány idején felerősödött kibertámadások megmutatták az egyre inkább egymásra utalt társadalmak sérülékenységét az alacsony valószínűségű kockázatokkal szemben. |
(38) |
Figyelemmel a nemzeti irányítási struktúrák közötti különbségekre, és a már meglévő ágazati megállapodások vagy az uniós felügyeleti és szabályozó testületek védelme érdekében a tagállamok számára lehetővé kell tenni, hogy kijelöljenek vagy létrehozzanak egy vagy több, a kiberbiztonságért és az ezen irányelv szerinti felügyeleti feladatokért felelős illetékes hatóságot. |
(39) |
A határokon átnyúló együttműködés és a hatóságok közötti kommunikáció megkönnyítése és ezen irányelv hatékony végrehajtásának lehetővé tétele érdekében minden tagállamnak ki kell jelölnie egy egyedüli kapcsolattartó pontot, amely felelős a hálózati és információs rendszerek biztonságával kapcsolatos kérdések koordinálásáért és az uniós szintű, határokon átnyúló együttműködésért. |
(40) |
Az egyedüli kapcsolattartó pontoknak hatékony, határokon átnyúló együttműködést kell biztosítaniuk más tagállamok érintett hatóságaival, valamint adott esetben a Bizottsággal és az ENISA-val. Az egyedüli kapcsolattartó pontokat ezért meg kell bízni azzal, hogy a jelentős, határokon átnyúló hatású eseményekre vonatkozó bejelentéseket a CSIRT vagy az illetékes hatóság kérésére továbbítsák a többi érintett tagállam egyedüli kapcsolattartó pontjának. Nemzeti szinten az egyedüli kapcsolattartó pontnak lehetővé kell tennie a többi illetékes hatósággal való zökkenőmentes ágazatközi együttműködést. Az (EU) 2022/2554 rendelet szerinti illetékes hatóságok a pénzügyi szervezetekkel kapcsolatos eseményekkel kapcsolatos releváns információkat az egyedüli kapcsolattartó pontoknak is megküldhetik, amelyek adott esetben azokat a CSIRT-eknek vagy az ezen irányelv szerinti illetékes hatóságoknak is továbbíthatják. |
(41) |
A tagállamoknak mind technikai, mind szervezeti képességek tekintetében megfelelő felszereléssel kell rendelkezniük az események és kockázatok megelőzésére, észlelésére, az azokra való reagálásra, valamint azok mérséklésére. A tagállamoknak ezért ezen irányelv alapján létre kell hozniuk vagy ki kell jelölniük egy vagy több CSIRT-et, és biztosítaniuk kell, hogy azok megfelelő erőforrásokkal és technikai képességekkel rendelkezzenek. A CSIRT-eknek meg kell felelniük az ezen irányelvben meghatározott követelményeknek annak érdekében, hogy garantálják az események és kockázatok kezeléséhez szükséges hatékony és kompatibilis képességeket, valamint hogy biztosítsák a hatékony uniós szintű együttműködést. A tagállamok számára lehetővé kell tenni, hogy meglévő, számítógépes vészhelyzeteket elhárító csoportokat (CERT-eket) is kijelölhessenek CSIRT-eknek. A szervezetek és a CSIRT-ek közötti bizalmi kapcsolat erősítése érdekében azokban az esetekben, amikor a CSIRT az illetékes hatóság része, a tagállamok számára lehetővé kell tenni, hogy fontolóra vegyék a CSIRT-ek által végzett operatív feladatok közötti funkcionális elkülönítést, különösen az információmegosztással és a szervezetek számára nyújtott támogatással, illetve az illetékes hatóságok felügyeleti tevékenységeivel kapcsolatban. |
(42) |
A CSIRT-ek feladata az események kezelése. Ez magában foglalja nagy mennyiségű, olykor érzékeny adatok kezelését. A tagállamoknak biztosítaniuk kell, hogy a CSIRT-ek rendelkezzenek az információk megosztására és feldolgozására szolgáló infrastruktúrával, valamint jól felszerelt személyzettel, amely biztosítja műveleteik titkosságát és megbízhatóságát. A CSIRT-ek e tekintetben magatartási kódexeket is elfogadhatnak. |
(43) |
A személyes adatok tekintetében a CSIRT-ek számára lehetővé kell tenni, hogy az (EU) 2016/679 rendelettel összhangban valamely alapvető vagy fontos szervezet kérésére proaktív módon átvizsgálhassák a szervezet szolgáltatásainak nyújtásához használt hálózati és információs rendszereket. Adott esetben a tagállamoknak törekedniük kell arra, hogy valamennyi ágazati CSIRT számára egyenlő szintű technikai képességeket biztosítsanak. A tagállamok számára biztosítani kell annak lehetőségét, hogy segítséget kérhessenek az ENISA-tól CSIRT-jeik fejlesztéséhez. |
(44) |
A CSIRT-eknek képesnek kell lenniük arra, hogy valamely alapvető vagy fontos szervezet kérésére nyomon kövessék a szervezet internetre mutató eszközeit mind a helyszínen, mind azon kívül, annak érdekében, hogy azonosítsák, megértsék és kezeljék a szervezet általános szervezeti kockázatait az ellátási lánc újonnan azonosított veszélyeivel vagy kritikus sérülékenységeivel kapcsolatban. A szervezetet ösztönözni kell arra, hogy tájékoztassa a CSIRT-et arról, hogy működtet-e kiváltságos irányítási interfészt, mivel ez befolyásolhatja a kockázatmérséklő intézkedések végrehajtásának sebességét. |
(45) |
Tekintettel a kiberbiztonság terén folytatott nemzetközi együttműködés fontosságára, a CSIRT-ek részt vehetnek az ezen irányelv által létrehozott CSIRT-hálózat mellett nemzetközi együttműködési hálózatokban is. Ezért feladataik ellátása céljából a CSIRT-ek és az illetékes hatóságok számára lehetővé kell tenni, hogy információkat – többek között személyes adatokat – cseréljenek harmadik országok nemzeti számítógép-biztonsági eseményekre reagáló csoportjaival vagy illetékes hatóságaival, feltéve, hogy teljesülnek az uniós adatvédelmi jog személyes adatok harmadik országokba történő továbbítására vonatkozó feltételei, többek között az (EU) 2016/679 rendelet 49. cikkében foglaltak. |
(46) |
Alapvető fontosságú, hogy megfelelő forrásokat biztosítsanak ezen irányelv célkitűzéseinek eléréséhez, valamint az illetékes hatóságok és a CSIRT-ek számára ezen irányelvben megállapított feladatok végrehajtásának lehetővé tételéhez. A tagállamok nemzeti szinten finanszírozási mechanizmust vezethetnek be az ezen irányelv értelmében a kiberbiztonságért felelős tagállami közigazgatási szervek feladatainak ellátásához szükséges kiadások fedezésére. E mechanizmusnak meg kell felelnie az uniós jognak, arányosnak és megkülönböztetéstől mentesnek kell lennie, és figyelembe kell vennie a biztonságos szolgáltatások nyújtására vonatkozó különböző megközelítéseket. |
(47) |
A CSIRT-hálózatnak továbbra is hozzá kell járulnia a bizalom erősítéséhez és továbbra is elő kell mozdítania a tagállamok közötti gyors és hatékony operatív együttműködést. Az uniós szintű operatív együttműködés fokozása érdekében a CSIRT-hálózatnak fontolóra kell vennie, hogy felkérje a kiberbiztonsági szakpolitikában részt vevő uniós szerveket és ügynökségeket – például az Europolt – arra, hogy vegyenek részt a hálózat munkájában. |
(48) |
A kiberbiztonság magas szintjének elérése és fenntartása érdekében az ezen irányelvben előírt nemzeti kiberbiztonsági stratégiáknak olyan koherens keretekből kell állniuk, amelyek stratégiai célkitűzéseket és prioritásokat határoznak meg a kiberbiztonság területén, valamint az ezek eléréséhez szükséges irányítást. Ezek a stratégiák egy vagy több jogalkotási vagy nem jogalkotási eszközből állhatnak. |
(49) |
A kiberhigiéniai szakpolitikák biztosítják a hálózati és információs rendszerek infrastruktúrája, hardver-, szoftver- és online alkalmazásbiztonsága, valamint a szervezetek által felhasznált üzleti vagy végfelhasználói adatok védelmének alapjait. A kiberhigiéniai szakpolitikák közös alapvető gyakorlatokat foglalnak magukban, beleértve a szoftver- és hardverfrissítéseket, a jelszó megváltoztatását, az új telepítések kezelését, a rendszergazda-szintű hozzáférési fiókok korlátozását és az adatmentést, lehetővé teszik a proaktív felkészültségi keretet, valamint az általános biztonságot és védelmet események vagy kiberfenyegetések esetén. Az ENISA-nak nyomon kell követnie és elemeznie kell a tagállamok kiberhigiéniai szakpolitikáit. |
(50) |
A kiberbiztonsággal kapcsolatos tudatosság és a kiberhigiénia elengedhetetlen az Unión belüli kiberbiztonság szintjének növeléséhez, különös tekintettel a kibertámadások során egyre gyakrabban használt csatlakoztatott eszközök növekvő számára. Törekedni kell az ilyen eszközökkel kapcsolatos kockázatokra vonatkozó általános tudatosság növelésére, míg az uniós szintű értékelések segíthetnek biztosítani az ilyen kockázatok egységes értelmezését a belső piacon. |
(51) |
A tagállamoknak ösztönözniük kell minden olyan innovatív technológia alkalmazását, ideértve a mesterséges intelligenciát is, amelynek használata javíthatná a kibertámadások észlelését és megelőzését, lehetővé téve, hogy az erőforrásokat hatékonyabban lehessen a kibertámadásokra fordítani. A tagállamoknak ezért nemzeti kiberbiztonsági stratégiájukban ösztönözniük kell az ilyen technológiák – különösen a kiberbiztonság automatizált vagy félautomatizált eszközeivel kapcsolatos technológiák – használatát elősegítő kutatási és fejlesztési tevékenységeket, valamint adott esetben az ilyen technológiák felhasználóinak képzéséhez és e technológiák fejlesztéséhez szükséges adatok megosztását. Az innovatív technológiák, köztük a mesterséges intelligencia használatának teljes mértékben meg kell felelnie az uniós adatvédelmi jognak, ideértve az adatok pontosságára, az adatminimalizálásra, a méltányosságra és az átláthatóságra, valamint az adatbiztonságra vonatkozó adatvédelmi elveket, például a legkorszerűbb titkosítást. Teljes mértékben ki kell használni az (EU) 2016/679 rendeletben meghatározott beépített és alapértelmezett adatvédelemre vonatkozóan meghatározott követelményeket. |
(52) |
A nyílt forráskódú kiberbiztonsági eszközök és alkalmazások nagyobb fokú nyitottságot biztosíthatnak, és pozitív hatást gyakorolhatnak az ipari innováció hatékonyságára. A nyílt szabványok elősegítik a biztonsági eszközök közötti interoperabilitást, ami az ipari szereplők biztonságát is szolgálja. A nyílt forráskódú kiberbiztonsági eszközök és alkalmazások ösztönözhetik a szélesebb fejlesztői közösséget, lehetővé téve a beszállítók diverzifikálását. A nyílt forráskód a kiberbiztonsággal kapcsolatos eszközök átláthatóbb ellenőrzési folyamatához és a sérülékenységek közösségi alapú felderítéséhez vezethet. A tagállamoknak ezért képesnek kell lenniük arra, hogy előmozdítsák a nyílt forráskódú szoftverek és nyílt szabványok használatát a nyílt hozzáférésű adatok és a nyílt forráskódok – az átláthatóságon alapuló biztonság részeként történő – felhasználásával kapcsolatos szakpolitikák folytatása révén. A nyílt forráskódú kiberbiztonsági eszközök bevezetését és fenntartható használatát előmozdító szakpolitikák különösen fontosak a jelentős végrehajtási költségekkel szembesülő kis- és középvállalkozások számára, mivel a költségek a konkrét alkalmazások vagy eszközök iránti igény csökkentésével minimalizálhatók. |
(53) |
A városi közlekedési hálózatok fejlesztése, a vízellátás és a hulladékártalmatlanító létesítmények korszerűsítése, valamint a világítás és az épületek fűtése hatékonyságának növelése érdekében a városokban a közművek egyre inkább kapcsolódnak a digitális hálózatokhoz. Ezek a digitalizált közművek ki vannak téve a kibertámadásoknak, és sikeres kibertámadások esetén fennáll annak a kockázata, hogy összekapcsoltságuk miatt nagymértékben ártanak a polgároknak. A tagállamoknak nemzeti kiberbiztonsági stratégiájuk részeként olyan szakpolitikát kell kidolgozniuk, amely foglalkozik az ilyen összekapcsolt vagy intelligens városok fejlődésével és azok társadalomra gyakorolt lehetséges hatásaival. |
(54) |
Az elmúlt években az Unióban exponenciálisan nőtt a zsarolóvírus-támadások száma, amelyek során a rosszindulatú szoftverek titkosítják az adatokat és rendszereket, és váltságdíjat követelnek felszabadításukért. A zsarolóvírus-támadások gyakoriságának és súlyosságának növekedése több tényezőre vezethető vissza, például a különböző támadási mintákra, a „szolgáltatásként nyújtott zsarolóvírus” és a kriptovaluták köré épülő bűnözői üzleti modellekre, a váltságdíjkövetelésekre és az ellátási láncot érintő támadások terjedésére. A tagállamoknak nemzeti kiberbiztonsági stratégiájuk részeként ki kell dolgozniuk egy olyan szakpolitikát, amely kezeli a zsarolóvírus-támadások növekedését. |
(55) |
A kiberbiztonság területén működő köz-magán társulások (a továbbiakban: PPP-k) megfelelő keretet biztosíthatnak a tudáscseréhez, a bevált gyakorlatok megosztásához és az érdekelt felek közötti közös megértési szint kialakításához. A tagállamoknak olyan szakpolitikákat kell előmozdítaniuk, amelyek támogatják a kiberbiztonsági PPP-k létrehozását. E szakpolitikáknak egyértelművé kell tenniük többek között a hatályt és a részt vevő érdekelt feleket, az irányítási modellt, a rendelkezésre álló finanszírozási lehetőségeket, valamint a részt vevő érdekelt felek közötti interakciót a PPP-k tekintetében. A PPP-k kihasználhatják a magánszektorbeli szervezetek szakértelmét annak érdekében, hogy segítsék az illetékes hatóságokat a legkorszerűbb szolgáltatások és folyamatok kifejlesztésében, ideértve az információcserét, a korai figyelmeztetéseket, a kiberfenyegetés- és kiberesemény-gyakorlatokat, a válságkezelést és a rezilienciatervezést. |
(56) |
A tagállamoknak nemzeti kiberbiztonsági stratégiáikban foglalkozniuk kell a kis- és középvállalkozások sajátos kiberbiztonsági igényeivel. A kis- és középvállalkozások Unió-szerte az ipari és üzleti piac jelentős hányadát képviselik, és gyakran nehezen tudnak alkalmazkodni az összekapcsoltabb világban az új üzleti gyakorlatokhoz és a digitális környezethez, amelyben az alkalmazottak egyre inkább otthonról dolgoznak és az üzleti tevékenységet egyre inkább online folytatják. Egyes kis- és középvállalkozások olyan sajátos kiberbiztonsági kihívásokkal néznek szembe, mint például az alacsony kibertudatosság, a távoli informatikai biztonság hiánya, a kiberbiztonsági megoldások magas költsége és a fokozott fenyegetettségi szint, például a zsarolóvírusok, amelyekkel kapcsolatban iránymutatást és segítséget kell kapniuk. A kis- és középvállalkozások egyre inkább az ellátási lánccal szembeni támadások célpontjává válnak, mivel kevésbé szigorú kiberbiztonsági kockázatkezelési intézkedésekkel és támadáskezeléssel rendelkeznek, és korlátozott biztonsági erőforrásaik vannak. Az ilyen ellátási láncot érintő támadások nem csak elszigetelten hatnak a kis- és középvállalkozásokra és azok működésére, hanem lépcsőzetes hatást gyakorolhatnak az azon szervezetek elleni nagyobb támadásokra is, amelyek számára a kis- és középvállalkozások ellátást biztosítottak. A tagállamoknak nemzeti kiberbiztonsági stratégiáik révén segíteniük kell a kis- és középvállalkozásokat az ellátási láncaikban felmerülő kihívások kezelésében. A tagállamoknak nemzeti vagy regionális szinten kapcsolattartó pontot kell létrehozniuk a kis- és középvállalkozások számára, amely vagy iránymutatást és segítséget nyújt a kis- és középvállalkozások számára, vagy a megfelelő szervekhez irányítja őket a kiberbiztonsággal kapcsolatos kérdésekre vonatkozó iránymutatást és segítséget illetően. Arra is ösztönzik a tagállamokat, hogy kínáljanak olyan szolgáltatásokat, mint a honlapok konfigurációja és naplózás lehetővé tétele, az ilyen képességekkel nem rendelkező mikrovállalkozások és kisvállalkozások számára. |
(57) |
Nemzeti kiberbiztonsági stratégiáik részeként a tagállamoknak egy szélesebb körű védelmi stratégia részeként az aktív kiberbiztonság előmozdítására irányuló szakpolitikákat kell elfogadniuk. A reaktív reagálás helyett az aktív kiberbiztonság a hálózatbiztonságot fenyegető betörések aktív módon történő megelőzését, észlelését, nyomon követését, elemzését és mérséklését jelenti, a támadás áldozatául esett hálózaton belül és azon kívül telepített képességek igénybevételével kombinálva. Ez magában foglalhatja azt, hogy a tagállamok ingyenes szolgáltatásokat vagy eszközöket kínálnak egyes szervezetek számára, többek között önkiszolgáló ellenőrzéseket, felderítési eszközöket és eltávolítási szolgáltatásokat. A hálózati és információs rendszerek elleni támadások sikeres megelőzésére, észlelésére, kezelésére és megakadályozására irányuló erőfeszítéseknek egységeseknek kell lenniük, ezért alapvető fontosságú a fenyegetésekre vonatkozó információk és elemzések, a kibertevékenységre figyelmeztető riasztások és a válaszintézkedések gyors és automatikus megosztása és megértése. Az aktív kiberbiztonság olyan védelmi stratégián alapul, amely kizárja az offenzív intézkedéseket. |
(58) |
Mivel a hálózati és információs rendszerek sérülékenységeinek kiaknázása jelentős zavarokat és kárt okozhat, az ilyen sérülékenységek gyors azonosítása és elhárítása fontos tényező a kockázat csökkentésében. Az említett rendszereket fejlesztő vagy kezelő szervezeteknek ezért megfelelő eljárásokat kell kidolgozniuk a sérülékenységek felfedezéskor történő kezelésére. Mivel a sérülékenységeket gyakran harmadik felek fedezik fel és teszik közzé, az IKT-termékek vagy IKT-szolgáltatások gyártójának vagy szolgáltatójának szintén be kell vezetnie a sérülékenységre vonatkozó információk harmadik felektől történő fogadásához szükséges eljárásokat. Ebben a tekintetben az ISO/IEC 30111 és az ISO/IEC 29147 nemzetközi szabvány útmutatást nyújt a sérülékenységek kezeléséhez, illetve a sérülékenység közzétételéhez. A sérülékenységek közzétételére vonatkozó önkéntes keret előmozdítása érdekében különösen fontos az adatszolgáltatásra kötelezett természetes és jogi személyek és az IKT-termékek vagy IKT-szolgáltatások gyártói vagy nyújtói közötti koordináció megerősítése. A sérülékenység összehangolt közzététele strukturált folyamatot határoz meg, amelyen keresztül a potenciálisan sérülékeny IKT-termékek vagy IKT-szoltáltatások gyártói vagy nyújtói számára a sérülékenységeket oly módon jelentik, hogy a szervezet diagnosztizálhassa és orvosolhassa a sérülékenységet, mielőtt a sérülékenységre vonatkozó részletes információkat harmadik felek vagy a nyilvánosság számára közzétenné. A sérülékenység összehangolt közzétételének magában kell foglalnia az adatszolgáltatásra kötelezett természetes és jogi személy és a potenciálisan sérülékeny IKT-termékek vagy IKT-szoltáltatások gyártói vagy nyújtói közötti koordinációt a sérülékenységek orvoslásának és közzétételének időzítése tekintetében. |
(59) |
A Bizottságnak, az ENISA-nak és a tagállamoknak továbbra is elő kell mozdítaniuk a nemzetközi szabványokkal és a meglévő ágazati bevált gyakorlatokkal való összehangolást a kiberbiztonsági kockázatkezelés területén, például az ellátási lánc biztonságának értékelése, az információmegosztás és a sérülékenységek közzététele terén. |
(60) |
A tagállamoknak az ENISA-val együttműködve intézkedéseket kell hozniuk a sérülékenységek összehangolt közzétételének egy megfelelő nemzeti szakpolitika kialakításával történő megkönnyítésére. Nemzeti szakpolitikájuk részeként a tagállamoknak törekedniük kell arra, hogy – a nemzeti joggal összhangban – a lehető legnagyobb mértékben kezeljék a sérülékenységeket kutatók előtt álló kihívásokat, beleértve a büntetőjogi felelősségre vonásnak való potenciális kitettségüket is. Tekintettel arra, hogy a sérülékenységeket vizsgáló természetes és jogi személyek egyes tagállamokban büntetőjogi és polgári jogi szempontból felelősségre vonhatók, a tagállamokat arra ösztönzik, hogy fogadjanak el iránymutatásokat az információbiztonsági kutatók büntetőeljárás alá vonásának mellőzésére és a tevékenységeikkel kapcsolatos polgári jogi felelősség alóli mentességre vonatkozóan. |
(61) |
A tagállamoknak ki kell jelölniük valamelyik CSIRT-jüket koordinátornak, amely megbízható közvetítőként jár el a bejelentő természetes vagy jogi személyek és – a sérülékenység által valószínűleg érintett – IKT-termékek vagy IKT-szolgáltatások gyártói vagy nyújtói között, amennyiben ez szükséges. A koordinátorként kijelölt CSIRT feladatai közé tartozik az érintett szervezetek azonosítása és a velük való kapcsolatfelvétel, a sérülékenységet bejelentő természetes vagy jogi személyek támogatása, a közzétételi ütemtervek megtárgyalása és a több szervezetet érintő sérülékenységek kezelése (több felet érintő sérülékenységek összehangolt közzététele). Ha a bejelentett sérülékenység több tagállamban is jelentős hatást gyakorolhat bizonyos szervezetekre, a koordinátorként kijelölt CSIRT-eknek adott esetben együtt kell működniük a CSIRT-hálózaton belül. |
(62) |
Az IKT-termékeket és IKT-szolgáltatásokat érintő sérülékenységekkel kapcsolatos helyes és időszerű információkhoz való hozzáférés hozzájárul a jobb kiberbiztonsági kockázatkezeléshez. A sérülékenységekről nyilvánosan elérhető információk forrásai fontos eszköznek minősülnek a szervezetek és azok szolgáltatásainak felhasználói, de az illetékes hatóságok és a CSIRT-ek számára is. Emiatt az ENISA-nak európai sérülékenység-adatbázist kell létrehoznia, amelyben a szervezetek – függetlenül attól, hogy ezen irányelv hatálya alá tartoznak-e – és a hálózati és információs rendszereket biztosító beszállítóik, valamint az illetékes hatóságok és a CSIRT-ek önkéntes alapon közzétehetik és regisztrálhatják a nyilvánosan ismert sérülékenységeket annak érdekében, hogy lehetővé tegyék a felhasználók számára a megfelelő mérséklési intézkedések megtételét. Az adatbázis célja, hogy kezelje azokat az egyedi kihívásokat, amelyeket a kockázatok jelentenek az unióbeli szervezetek számára. Ezen túlmenően az ENISA-nak megfelelő eljárást kell létrehoznia a közzétételi folyamat tekintetében annak érdekében, hogy elegendő idő álljon a szervezetek rendelkezésére arra, hogy mérséklési intézkedéseket hozzanak sérülékenységeik tekintetében, és a legkorszerűbb kiberbiztonsági kockázatkezelési intézkedéseket, valamint géppel olvasható adatkészleteket és megfelelő interfészeket alkalmazzanak. A sérülékenységek közzététele kultúrájának ösztönzése érdekében a közzétételnek nem szabad káros hatást gyakorolnia a bejelentő természetes vagy jogi személyekre. |
(63) |
Noha léteznek hasonló sérülékenység-nyilvántartások vagy adatbázisok, ezeket nem az Unióban letelepedett szervezetek üzemeltetik és tartják fenn. Az ENISA által fenntartott európai sérülékenység-adatbázis átláthatóbbá tenné a sérülékenységek hivatalos közzététele előtti közzétételi folyamatot, és rezilienciát biztosítana a hasonló szolgáltatások nyújtásának megszakadása vagy zavara esetén. A kettős erőfeszítések lehető legnagyobb mértékű megelőzése és a kiegészítő jelleg elérése érdekében az ENISA-nak fel kell tárnia a harmadik országok joghatósága alá tartozó hasonló nyilvántartásokkal vagy adatbázisokkal kialakítandó strukturált együttműködési megállapodások megkötésének lehetőségét. Az ENISA-nak különösen meg kell vizsgálnia a gyakori sérülékenységek és kitettségek (CVE) rendszere üzemeltetőivel való szoros együttműködés lehetőségét. |
(64) |
Az együttműködési csoportnak támogatnia kell és elő kell segítenie a stratégiai együttműködést és az információcserét, valamint erősítenie kell a tagállamok közötti bizalmat. Az együttműködési csoportnak kétévente munkaprogramot kell kidolgoznia. A munkaprogramnak tartalmaznia kell az együttműködési csoport céljainak és feladatainak végrehajtása érdekében meghozandó intézkedéseket. Az ezen irányelv szerinti első munkaprogram kialakításának időkeretét összhangba kell hozni az (EU) 2016/1148 irányelv szerint kialakított utolsó munkaprogram időkeretével az együttműködési csoport munkájában bekövetkező esetleges zavarok elkerülése érdekében. |
(65) |
Az együttműködési csoportnak az útmutató dokumentumok kidolgozása során következetesen fel kell térképeznie a nemzeti megoldásokat és tapasztalatokat, fel kell mérnie az együttműködési csoport eredményeinek nemzeti megközelítésekre gyakorolt hatását, meg kell vitatnia a végrehajtási kihívásokat és konkrét ajánlásokat kell megfogalmaznia, különös tekintettel ezen irányelv átültetésének a tagállamok közti összehangolása elősegítésére, amelyet a meglévő szabályok jobb végrehajtása révén kell elérni. Az együttműködési csoportnak annak érdekében is fel kell térképeznie a nemzeti megoldásokat, hogy előmozdítsa az egyes ágazatokra Unió-szerte alkalmazott kiberbiztonsági megoldások összeegyeztethetőségét. Ez különösen releváns azokban az ágazatokban, amelyek nemzetközi és határokon átnyúló jellegűek. |
(66) |
Az együttműködési csoportnak továbbra is rugalmas fórumnak kell maradnia, és reagálnia kell a változó és új szakpolitikai prioritásokra és kihívásokra, az erőforrások rendelkezésre állásának figyelembevételével. Rendszeres közös megbeszéléseket szervezhetne az Unió egész területéről érkező magánszférabeli érdekelt felekkel, hogy megvitassák az együttműködési csoport tevékenységeit, és adatokat és információkat gyűjtsenek a felmerülő szakpolitikai kihívásokról. Emellett az együttműködési csoportnak rendszeresen értékelnie kellene a kiberfenyegetések vagy -események, például a zsarolóvírusok helyzetét. Az uniós szintű együttműködés fokozása érdekében az együttműködési csoportnak fontolóra kell vennie a kiberbiztonsági szakpolitikában részt vevő uniós intézmények, szervek, hivatalok és ügynökségek, például az Európai Parlament, az Europol, az Európai Adatvédelmi Testület, az Európai Unió (EU) 2018/1139 rendelettel létrehozott Repülésbiztonsági Ügynöksége és az Európai Unió (EU) 2021/696 európai parlamenti és tanácsi rendelettel (14) létrehozott Űrprogramügynöksége meghívását a munkájában történő részvételre. |
(67) |
A tagállamok közötti együttműködés javítása és a bizalom erősítése érdekében az illetékes hatóságok és a CSIRT-ek számára lehetővé kell tenni, hogy konkrét keretek között és adott esetben az ilyen csereprogramokban részt vevő tisztviselők számára előírt szükséges biztonsági tanúsítvány megszerzésétől függően részt vegyenek a más tagállamok tisztviselőire vonatkozó csereprogramokban. Az illetékes hatóságoknak meg kell hozniuk a szükséges intézkedéseket annak érdekében, hogy más tagállamok tisztviselői tényleges szerepet tölthessenek be a fogadó illetékes hatóság vagy a fogadó CSIRT tevékenységeiben. |
(68) |
A tagállamoknak hozzá kell járulniuk az (EU) 2017/1584 bizottsági ajánlásban (15) meghatározott uniós kiberbiztonsági válságelhárítási keret létrehozásához a meglévő együttműködési hálózatokon, különösen az Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózatán (a továbbiakban: EU-CyCLONe), a CSIRT-hálózaton és az együttműködési csoporton keresztül. Az EU-CyCLONe-nak és a CSIRT-hálózatnak az együttműködés részleteit meghatározó eljárási megállapodások alapján kell együttműködniük és el kell kerülniük a feladatok megkettőződését. Az EU-CyCLONe eljárási szabályzatának részletesen meg kell határoznia az említett hálózat működésének szabályait, ideértve a hálózat szerepét, az együttműködési módokat, az egyéb érintett szereplőkkel folytatott interakciókat és az információmegosztási sablonokat, valamint a kommunikáció eszközeit. Az uniós szintű válságkezelés során az érintett feleknek az (EU) 2018/1993 tanácsi végrehajtási határozat (16) szerinti uniós politikai szintű integrált válságelhárítási mechanizmusra (IPCR-mechanizmus) kell támaszkodniuk. A Bizottságnak az említett célra az ARGUS magas szintű, ágazatok közötti válságkoordinációs folyamatát kell alkalmaznia. Ha a válságnak fontos külső vagy közös biztonság- és védelempolitikai dimenziója van, aktiválni kell az Európai Külügyi Szolgálat válságelhárítási mechanizmusát. |
(69) |
Az (EU) 2017/1584 ajánlás mellékletével összhangban nagyszabású kiberbiztonsági eseménynek azt az eseményt kell tekinteni, amely olyan mértékű zavart okoz, amely meghaladja valamely tagállamnak az arra való reagálása képességét, vagy amely legalább két tagállamra jelentős hatást gyakorol. Okuktól és hatásuktól függően a nagyszabású kiberbiztonsági események eszkalálódhatnak, és olyan teljes körű válsággá válhatnak, amely nem teszi lehetővé a belső piac megfelelő működését, illetve súlyos közrendi és közbiztonsági kockázatot jelent a szervezetekre vagy a polgárokra nézve több tagállamban vagy az Unió egészében. Tekintettel az említett események széles hatókörére és a legtöbb esetben határokon átnyúló jellegére, a tagállamoknak és az érintett uniós intézményeknek, szerveknek, hivataloknak és ügynökségeknek technikai, operatív és politikai szinten együtt kell működniük a reagálás Unión belüli megfelelő összehangolása érdekében. |
(70) |
A nagyszabású kiberbiztonsági események és válságok uniós szinten összehangolt fellépést tesznek szükségessé a gyors és hatékony reagálás biztosítása érdekében, az ágazatok és a tagállamok közötti nagyfokú kölcsönös függőség miatt. A kibertámadásokkal szemben reziliens hálózati és információs rendszerek rendelkezésre állása, valamint az adatok rendelkezésre állása, bizalmas jellege és integritása létfontosságú az Unió biztonsága, polgárainak, vállalkozásainak és intézményeinek az eseményekkel és kiberfenyegetésekkel szembeni védelme, valamint az egyének és szervezetek abba vetett bizalmának növelése szempontjából, hogy az Unió képes előmozdítani és megvédeni az emberi jogokon, az alapvető szabadságokon, a demokrácián és a jogállamiságon alapuló globális, nyitott, szabad, stabil és biztonságos kiberteret. |
(71) |
Az EU-CyCLONe-nak közvetítőként kell működnie a technikai és politikai szint között a nagyszabású kiberbiztonsági események és válságok során, fokoznia kell az operatív szintű együttműködést, és támogatnia kell a politikai szintű döntéshozatalt. Tekintettel a Bizottság válságkezelési hatáskörére, az EU-CyCLONe-nak a Bizottsággal együttműködésben a CSIRT-hálózat megállapításaira kell építenie, és fel kell használnia saját kapacitásait a nagyszabású kiberbiztonsági események és válságok hatásvizsgálatának elkészítésére. |
(72) |
A kibertámadások határokon átnyúló jellegűek, és egy jelentős esemény megzavarhatja és károsíthatja azokat a kritikus információs infrastruktúrákat, amelyektől a belső piac zavartalan működése függ. Az (EU) 2017/1584 ajánlás valamennyi érintett szereplő szerepével foglalkozik. Ezen túlmenően az 1313/2013/EU európai parlamenti és tanácsi határozattal (17) létrehozott uniós polgári védelmi mechanizmus keretében a Bizottság felelős az általános felkészültségi intézkedésekért, ideértve a Veszélyhelyzet-reagálási Koordinációs Központ és a közös veszélyhelyzeti kommunikációs és tájékoztatási rendszer irányítását, a helyzetismereti és -elemzési képesség fenntartását és továbbfejlesztését, valamint a szakértői csoportok valamely tagállam vagy harmadik ország segítségkérése esetén történő mozgósítására és kiküldésére vonatkozó képesség létrehozását és irányítását. A Bizottság feladata továbbá, hogy elemző jelentéseket készítsen az (EU) 2018/1993 végrehajtási határozat szerinti IPCR-mechanizmus számára, többek között a kiberbiztonsági helyzetismeretről és felkészültségről, valamint a helyzetismeretről és a válságelhárításról a mezőgazdaság, a kedvezőtlen időjárási viszonyok, a konfliktusok feltérképezése és előrejelzése, a természeti katasztrófákra vonatkozó korai előrejelző rendszerek, az egészségügyi vészhelyzetek, a fertőző betegségek felügyelete, a növényegészségügy, a vegyi események, az élelmiszer- és takarmánybiztonság, az állategészségügy, a migráció, a vámügy, a nukleáris és radiológiai vészhelyzetek és az energiaügy területén. |
(73) |
Az Unió adott esetben nemzetközi megállapodásokat köthet az EUMSZ 218. cikkével összhangban harmadik országokkal vagy nemzetközi szervezetekkel, lehetővé téve és megszervezve részvételüket az együttműködési csoport, a CSIRT-hálózat és az EU-CyCLONe egyes tevékenységeiben. Az ilyen megállapodásoknak védeniük kell az Unió érdekeit és biztosítaniuk kell az adatok megfelelő védelmét. Ez nem zárja ki a tagállamok azon jogát, hogy együttműködjenek harmadik országokkal a sérülékenységek és a kiberbiztonsági kockázatok kezelése terén, megkönnyítve ezáltal a jelentéstételt és az általános információmegosztást az uniós joggal összhangban. |
(74) |
Ezen irányelv – többek között a sérülékenységek kezelése, a kiberbiztonsági kockázatkezelési intézkedések, a jelentéstételi kötelezettségek és a kiberbiztonsági információmegosztási megállapodások tekintetében történő – hatékony végrehajtásának elősegítése érdekében a tagállamok együttműködhetnek harmadik országokkal, és folytathatnak e célból megfelelőnek ítélt tevékenységeket, ideértve többek között a kiberfenyegetésekre, eseményekre, sérülékenységekre, eszközökre és módszerekre, taktikákra, technikákra és eljárásokra, a kiberbiztonsági válságok kezelésére való felkészültségre és az erre irányuló gyakorlatokra, képzésre, bizalomépítésre és strukturált információmegosztási megállapodásokra vonatkozó információcserét. |
(75) |
A kölcsönös bizalom erősítése és a kiberbiztonság egységesen magas szintjének elérése érdekében szakértői értékeléseket kell bevezetni. A szakértői értékelések értékes felismeréseket és ajánlásokat eredményezhetnek, erősítve az általános kiberbiztonsági képességeket, újabb funkcionális útvonalat teremtve a bevált gyakorlatok tagállamok közötti megosztásához, és hozzájárulva a tagállamok kiberbiztonsággal kapcsolatos érettségi szintjének javításához. Ezen túlmenően a szakértői értékeléseknek figyelembe kell venniük a hasonló mechanizmusok – például a CSIRT-hálózat szakértői értékelési rendszere – eredményeit, hozzáadott értéket kell teremteniük, és el kell kerülniük a párhuzamos munkavégzést. A szakértői értékelések megvalósítása nem sértheti a bizalmas és minősített adatok védelmére vonatkozó uniós vagy nemzeti jogot. |
(76) |
Az együttműködési csoportnak önértékelési módszertant kell kidolgoznia a tagállamok számára, törekedve olyan tényezők beemelésére, mint a kiberbiztonsági kockázatkezelési intézkedések és jelentéstételi kötelezettségek végrehajtásának szintje, az illetékes hatóságok képességeinek szintje és feladatai ellátásának hatékonysága, a CSIRT-ek operatív képességei, a kölcsönös segítségnyújtás végrehajtási szintje, a kiberbiztonsági információmegosztási megállapodások végrehajtási szintje, illetve a határokon vagy ágazatokon átnyúló jellegű konkrét kérdések. A tagállamokat ösztönözni kell az önértékelések rendszeres elvégzésére és önértékeléseik eredményeinek az együttműködési csoporton belüli ismertetésére és megvitatására. |
(77) |
A hálózati és információs rendszer biztonságának biztosítása nagymértékben az alapvető és a fontos szervezetek felelőssége. Ösztönözni és fejleszteni kell a kockázatértékeléseket és a felmerülő kockázatok súlyosságának megfelelő kiberbiztonsági kockázatkezelési intézkedések végrehajtását egyaránt magában foglaló kockázatkezelési kultúrát. |
(78) |
A kiberbiztonsági kockázatkezelési intézkedéseknek figyelembe kell venniük az alapvető vagy fontos szervezet hálózati és információs rendszerektől való függőségének mértékét, és intézkedéseket kell tartalmazniuk az események kockázatainak azonosítására, az események megelőzésére, észlelésére, az azokra való reagálásra és azokat követően a működés helyreállítására, valamint azok hatásainak mérséklésére. A hálózati és információs rendszerek biztonságának magában kell foglalnia a tárolt, továbbított és kezelt adatok biztonságát. A kiberbiztonsági kockázatkezelési intézkedéseknek rendszerszintű elemzést kell biztosítaniuk, figyelembe véve az emberi tényezőt annak érdekében, hogy teljes képet lehessen alkotni a hálózati és információs rendszer biztonságáról. |
(79) |
Mivel a hálózati és információs rendszerek biztonságát fenyegető veszélyek különböző eredetűek lehetnek, a kiberbiztonsági kockázatkezelési intézkedéseknek minden veszélyre kiterjedő megközelítésen kell alapulniuk, amelynek célja a hálózati és információs rendszereknek és azok fizikai környezetének a védelme minden olyan eseménytől, mint például a lopás, a tűz, az árvíz, a távközlési és áramellátási zavarok, vagy valamely alapvető vagy fontos szervezet információs és információfeldolgozó létesítményeihez való jogosulatlan fizikai hozzáférés, az azokban keletkezett kár és az azokon végrehajtott beavatkozás, amely veszélyeztetheti a tárolt, továbbított vagy kezelt adatok vagy a hálózati és információs rendszerek által kínált vagy azokon keresztül elérhető szolgáltatások rendelkezésre állását, hitelességét, integritását vagy bizalmas jellegét. A kiberbiztonsági kockázatkezelési intézkedéseknek ezért a hálózati és információs rendszerek fizikai és a környezetbiztonságával is foglalkozniuk kell azáltal, hogy magukban foglalnak olyan intézkedéseket az európai és nemzetközi szabványokkal, például az ISO/IEC 27000 szabványsorozatban foglalt szabványokkal összhangban, amelyek célja, hogy védjék az ilyen rendszereket a rendszerhibákkal, az emberi hibával, a rosszindulatú cselekményekkel vagy a természeti jelenségekkel szemben. E tekintetben az alapvető és fontos szervezeteknek kiberbiztonsági kockázatkezelési intézkedéseik részeként foglalkozniuk kell az emberi erőforrásokhoz kapcsolódó biztonsággal is, és megfelelő hozzáférés-ellenőrzési szabályzatokkal kell rendelkezniük. Ezeknek az intézkedéseknek összhangban kell lenniük az (EU) 2022/2557 irányelvvel. |
(80) |
A kiberbiztonsági kockázatkezelési intézkedéseknek való megfelelés igazolása céljából, valamint az (EU) 2019/881 európai parlamenti és tanácsi rendelettel (18) összhangban elfogadott megfelelő európai kiberbiztonsági tanúsítási rendszerek hiányában a tagállamoknak – az együttműködési csoporttal és az európai kiberbiztonsági tanúsítási csoporttal konzultálva – elő kell mozdítaniuk a vonatkozó európai és nemzetközi szabványok alapvető és fontos szervezetek általi használatát, vagy előírhatják a szervezetek számára, hogy tanúsított IKT-termékeket, IKT-szolgáltatásokat és IKT-folyamatokat használjanak. |
(81) |
Az alapvető és fontos szervezetekre aránytalan pénzügyi és adminisztratív terhek előírásának elkerülése érdekében a kiberbiztonsági kockázatkezelési intézkedéseknek arányosnak kell lenniük az érintett hálózati és információs rendszert fenyegető kockázattal, figyelembe véve az ilyen intézkedések legkorszerűbb állását és adott esetben a vonatkozó európai és nemzetközi szabványokat, valamint végrehajtásuk költségeit. |
(82) |
A kiberbiztonsági kockázatkezelési intézkedéseknek arányosnak kell lenniük az alapvető vagy fontos szervezet kockázatoknak való kitettségének mértékével, valamint azon társadalmi és gazdasági hatással, amellyel az esemény járna. Az alapvető és fontos szervezetekhez igazított kiberbiztonsági kockázatkezelési intézkedések meghatározásakor megfelelően figyelembe kell venni az alapvető és fontos szervezetek eltérő kockázati kitettségét, például a szervezet kritikus jellegét, azokat a kockázatokat – köztük társadalmi kockázatokat is –, amelyeknek a szervezet ki van téve, a szervezet méretét és az események bekövetkezésének valószínűségét, valamint azok súlyosságát, ideértve társadalmi és gazdasági hatásukat is. |
(83) |
Az alapvető és fontos szervezeteknek biztosítaniuk kell a tevékenységük során használt hálózati és információs rendszerek biztonságát. Ezek a rendszerek elsősorban magánhálózatok és információs rendszerek, amelyeket az alapvető és fontos szervezetek belső informatikai személyzete kezel, vagy amelyek biztonságát kiszervezték. Az ezen irányelvben megállapított kiberbiztonsági kockázatkezelési intézkedéseket és jelentéstételi kötelezettségeket az érintett alapvető és fontos szervezetekre alkalmazni kell, függetlenül attól, hogy az említett szervezetek házon belül végzik-e hálózatuk és információs rendszereik karbantartását vagy kiszervezik azt. |
(84) |
A határokon átnyúló jellegükre tekintettel uniós szinten magasabb fokú harmonizációt kell alkalmazni a következőkre: DNS-szolgáltatók, legfelső szintű doménnév-nyilvántartók, felhőszolgáltatók, adatközpont-szolgáltatók, tartalomszolgáltató hálózati szolgáltatók, irányított szolgáltatók és irányított biztonsági szolgáltatók, az online piacterek, az online keresőprogramok és a közösségimédia-szolgáltatási platformok szolgáltatói, valamint bizalmi szolgáltatók. A kiberbiztonsági kockázatkezelési intézkedések e szervezetek tekintetében való végrehajtását ezért végrehajtási jogi aktussal kell elősegíteni. |
(85) |
A szervezet ellátási láncából és a beszállítóival – például az adattárolási és adatkezelési szolgáltatókkal vagy az irányított biztonsági szolgáltatókkal és szoftverszerkesztőkkel – való kapcsolatából eredő kockázatok kezelése különösen fontos, tekintettel az olyan események előfordulási gyakoriságára, amikor a szervezetek kibertámadások áldozatává válnak, és amikor a rosszindulatú elkövetők azzal tudják veszélyeztetni a szervezet hálózatának és információs rendszereinek biztonságát, hogy harmadik fél termékeit és szolgáltatásait érintő sérülékenységeket kihasználnak. Az alapvető és fontos szervezeteknek ezért fel kell mérniük és figyelembe kell venniük beszállítóik és szolgáltatóik termékeinek, szolgáltatásainak, az azokba beépített kiberbiztonsági kockázatkezelési intézkedéseknek, valamint kiberbiztonsági gyakorlatainak általános minőségét és rezilienciáját, beleértve a biztonságos fejlesztési eljárásaikat is. Az alapvető és fontos szervezeteket különösen arra kell ösztönözni, hogy a kiberbiztonsági kockázatkezelési intézkedéseket építsék be a közvetlen beszállítókkal és szolgáltatókkal kötött szerződéses megállapodásokba. Az említett szervezetek figyelembe vehetik a más szintű beszállítóktól és szolgáltatóktól eredő kockázatokat is. |
(86) |
A szolgáltatók közül az irányított biztonsági szolgáltatók olyan területeken, mint az eseményekre való reagálás, behatolási tesztek, biztonsági auditok és tanácsadás, különösen fontos szerepet töltenek be abban, hogy segítsék a szervezeteket az események megelőzésében, észlelésében, az azokra való reagálásban, vagy az eseményt követően a működés helyreállításában. Azonban maguk az irányított biztonsági szolgáltatók is kibertámadások célpontjai, és a szervezetek működésébe való szoros integrációjuk miatt különös kockázatot jelentenek. Az alapvető és fontos szervezeteknek ezért fokozott gondossággal kell eljárniuk az irányított biztonsági szolgáltató kiválasztása során. |
(87) |
Az illetékes hatóságok a felügyeleti feladataikkal összefüggésben olyan kiberbiztonsági szolgáltatásokat is igénybe vehetnek, mint például a biztonsági auditok, a behatolási tesztek vagy az eseményekre való reagálás. |
(88) |
Az alapvető és fontos szervezeteknek foglalkozniuk kell azon kockázatokkal is, amelyek egy szélesebb ökoszisztémán belüli más érdekelt felekkel folytatott interakcióikból és kapcsolataikból fakadnak, többek között az ipari kémkedés elleni küzdelem és az üzleti titkok védelme tekintetében. Az említett szervezeteknek különösen meg kell tenniük a megfelelő intézkedéseket annak biztosítása érdekében, hogy az egyetemekkel és a kutatóintézetekkel folytatott együttműködésük kiberbiztonsági szabályzatukkal összhangban történjen, és a bevált gyakorlatokat kövessék az információkhoz való általános hozzáférés és terjesztés, valamint különösen a szellemi tulajdon védelme tekintetében. Hasonlóképpen – tekintettel az adatoknak az alapvető és fontos szervezetek tevékenysége szempontjából fennálló fontosságára és értékére – amennyiben az adatok átalakítására és harmadik felektől származó adatelemzési szolgáltatásokra támaszkodnak, az említett szervezeteknek meg kell tenniük a megfelelő kiberbiztonsági kockázatkezelési intézkedéseket. |
(89) |
Az alapvető és fontos szervezeteknek az alapvető kiberhigiéniai gyakorlatok széles skáláját kell alkalmazniuk, például a zéró bizalom alapelveit, a szoftverfrissítéseket, az eszközkonfigurációt, a hálózatszegmentálást, a személyazonosság- és hozzáférés-kezelést vagy a felhasználói tudatosságot, továbbá képzéseket kell szervezniük alkalmazottaik számára és fel kell hívniuk a figyelmet a kiberfenyegetésekre, illetve az adathalászatra vagy a pszichológiai manipulációs technikákra. Ezen túlmenően az említett szervezeteknek értékelniük kell saját kiberbiztonsági képességeiket, és adott esetben törekedniük kell a kiberbiztonságot erősítő technológiák, például a mesterséges intelligencia vagy a gépi tanulásra épülő rendszerek integrálására képességeik, valamint a hálózati és információs rendszerek biztonságának fokozása érdekében. |
(90) |
Az ellátási lánc kulcsfontosságú kockázatainak további kezelése és az ezen irányelv hatálya alá tartozó ágazatokban működő alapvető és fontos szervezetek számára az ellátási lánccal és a szállítóval kapcsolatos kockázatok megfelelő kezelésének elősegítése érdekében az együttműködési csoportnak a Bizottsággal és az ENISA-val együttműködve, és adott esetben az érintett érdekelt felekkel, többek között az ágazati szereplőkkel folytatott konzultációt követően összehangolt biztonsági kockázatértékeléseket kell végeznie a kritikus ellátási láncokra vonatkozóan, az (EU) 2019/534 bizottsági ajánlást (19) követően az 5G hálózatok esetében már megtettek szerint, annak meghatározása céljából, hogy az egyes ágazatokban melyek a kritikus IKT-szolgáltatások, -rendszerek vagy -termékek, a releváns fenyegetések és a sérülékenységek. Ezeknek az összehangolt biztonsági kockázatértékeléseknek azonosítaniuk kell a kritikus függőségekkel, az esetleges egyedi hibapontokkal, a fenyegetésekkel, a sérülékenységekkel és az ellátási lánchoz kapcsolódó egyéb kockázatokkal szembeni intézkedéseket, kockázatcsökkentési terveket és bevált gyakorlatokat, és fel kell tárniuk, hogy miként lehetne még inkább ösztönözni az alapvető és fontos szervezetek általi szélesebb körű elfogadásukat. A potenciális nem technikai kockázati tényezők – például valamely harmadik ország által beszállítókra és szolgáltatásnyújtókra gyakorolt indokolatlan befolyás, különösen alternatív irányítási modellek esetében – közé tartoznak a rejtett sérülékenységek vagy „hátsó ajtók”, valamint az ellátás esetleges rendszerszintű zavarai, különösen technológiai bezáródás („lock-in”) vagy a szolgáltatóktól való függés esetén. |
(91) |
A kritikus ellátási láncokra vonatkozó összehangolt biztonsági kockázatértékeléseknek az érintett ágazat sajátosságaira figyelemmel figyelembe kell venniük a műszaki és adott esetben a nem technikai tényezőket, ideértve az (EU) 2019/534 ajánlásban, az 5G hálózatok kiberbiztonságának uniós összehangolt kockázatértékelése során és az együttműködési csoport által elfogadott 5G kiberbiztonsági uniós eszköztárban meghatározottakat is. Az összehangolt biztonsági kockázatértékelés alá eső ellátási láncok azonosításához a következő kritériumokat kell figyelembe venni: i. az alapvető és fontos szervezetek mennyiben használnak bizonyos kritikus IKT-szolgáltatásokat, -rendszereket vagy -termékeket, és mennyiben támaszkodnak azokra; ii. a konkrét kritikus IKT-szolgáltatások, -rendszerek vagy -termékek relevanciája a kritikus vagy érzékeny funkciók ellátása tekintetében, ideértve a személyes adatok kezelését is; iii. alternatív IKT-szolgáltatások, -rendszerek vagy -termékek elérhetősége; iv. az IKT-szolgáltatások, -rendszerek vagy -termékek teljes ellátási láncának rezilienciája teljes életciklusuk során a zavaró eseményekkel szemben és v. a megjelenő IKT-szolgáltatások, -rendszerek vagy -termékek esetében azok jövőbeli jelentősége a szervezetek tevékenysége szempontjából. Ezenkívül különös hangsúlyt kell fektetni azokra az IKT-szolgáltatásokra, -rendszerekre és -termékekre, amelyekre harmadik országok egyedi követelményei vonatkoznak. |
(92) |
A nyilvános elektronikus hírközlő hálózatok vagy a nyilvánosan elérhető elektronikus hírközlési szolgáltatások szolgáltatóira, valamint a bizalmi szolgáltatókra a hálózati és információs rendszereik biztonságával kapcsolatban előírt kötelezettségek észszerűsítése, valamint annak lehetővé tétele érdekében, hogy az említett szervezetek és az (EU) 2018/1972 európai parlamenti és tanácsi irányelv (20), illetve a 910/2014/EU rendelet szerinti illetékes hatóságok kiaknázhassák az ezen irányelv által létrehozott jogi keret előnyeit (ideértve az események kezeléséért felelős CSIRT kijelölését, valamint az érintett illetékes hatóságok részvételét az együttműködési csoport és a CSIRT-hálózat tevékenységeiben), ezeknek a szervezeteknek ezen irányelv hatálya alá kell tartozniuk. A 910/2014/EU rendelet és az (EU) 2018/1972 irányelv megfelelő, az említett típusú szervezetekre vonatkozó biztonsági és bejelentési követelmények előírásával kapcsolatos rendelkezéseit ezért el kell hagyni. Az ezen irányelvben a jelentési kötelezettségekre vonatkozóan megállapított szabályok nem érinthetik az (EU) 2016/679 rendeletet és a 2002/58/EK irányelvet. |
(93) |
Az ezen irányelvben megállapított kiberbiztonsági kötelezettségeket úgy kell tekinteni, mint amelyek kiegészítik a 910/2014/EU rendeletben a bizalmi szolgáltatókra vonatkozóan előírt követelményeket. A bizalmi szolgáltatók számára elő kell írni, hogy tegyenek meg minden megfelelő és arányos intézkedést a szolgáltatásaikat fenyegető – többek között a fogyasztókkal és a szolgáltatást igénybe vevő harmadik felekkel kapcsolatos – kockázatok kezelésére, valamint hogy jelentsék be az ezen irányelv szerinti eseményeket. Ezeknek a kiberbiztonsági és bejelentési kötelezettségeknek ki kell terjedniük a nyújtott szolgáltatások fizikai védelmére is. A 910/2014/EU rendelet 24. cikkében a minősített bizalmi szolgáltatókra vonatkozóan meghatározott követelmények továbbra is alkalmazandók. |
(94) |
A tagállamok a bizalmi szolgáltatásokért felelős illetékes hatóságok szerepét a 910/2014/EU rendelet szerinti felügyeleti szervekre ruházhatják annak érdekében, hogy biztosítsák a jelenlegi gyakorlatok folytatását és biztosítsák az említett rendelet alkalmazása során szerzett ismeretek és tapasztalatok hasznosítását. Ilyen esetben az ezen irányelv szerinti illetékes hatóságoknak szorosan és kellő időben együtt kell működniük az említett felügyeleti szervekkel azáltal, hogy megosztják egymással a releváns információkat annak érdekében, hogy biztosítsák a bizalmi szolgáltatók hatékony felügyeletét és az ezen irányelvben, valamint 910/2014/EU rendeletben megállapított követelményeknek való megfelelésüket. Adott esetben a CSIRT-nek vagy az ezen irányelv szerinti illetékes hatóságnak haladéktalanul tájékoztatnia kell a 910/2014/EU rendelet szerinti felügyeleti szervet minden olyan bejelentett jelentős kiberfenyegetésről vagy eseményről, amely a bizalmi szolgáltatásokat érinti, valamint ezen irányelvnek valamely bizalmi szolgáltató általi bármely megsértéséről. A jelentéstétel céljából a tagállamok adott esetben igénybe vehetik az események mind a 910/2014/EU rendelet szerinti felügyeleti szervnek, mind a CSIRT-nek vagy az ezen irányelv szerinti illetékes hatóságnak történő közös és automatikus bejelentésére létrehozott egyedüli kapcsolattartó pontot. |
(95) |
Adott esetben és a szükségtelen zavarok elkerülése érdekében ezen irányelv átültetése során figyelembe kell venni az (EU) 2018/1972 irányelv 40. és 41. cikkében meghatározott biztonsági intézkedésekre vonatkozó szabályok átültetésére elfogadott, meglévő nemzeti iránymutatásokat, ezáltal építve az (EU) 2018/1972 irányelv alapján a biztonsági intézkedésekkel és az események bejelentésével kapcsolatos, már megszerzett ismeretekre és készségekre. Az ENISA emellett a harmonizáció és az átmenet megkönnyítése, valamint a fennakadások minimálisra csökkentése érdekében iránymutatásokat dolgozhat ki a nyilvános elektronikus hírközlő hálózatok szolgáltatóira és a nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó szolgáltatókra vonatkozó biztonsági és jelentéstételi kötelezettségekre vonatkozóan. A tagállamok az elektronikus hírközlésért felelős illetékes hatóságok szerepét az (EU) 2018/1972 irányelv szerinti nemzeti szabályozó hatóságokra bízhatják annak érdekében, hogy biztosítsák a jelenlegi gyakorlatok folytatását és biztosítsák az említett irányelv alkalmazása során szerzett ismeretek és tapasztalatok hasznosítását. |
(96) |
Az (EU) 2018/1972 irányelvben meghatározott számfüggetlen személyközi hírközlési szolgáltatások növekvő jelentőségére tekintettel biztosítani kell, hogy az említett szolgáltatások sajátos jellegére és gazdasági jelentőségére figyelemmel azok megfeleljenek célszerű biztonsági követelményeknek is. A támadási felület folyamatos bővülésével a számfüggetlen személyközi hírközlési szolgáltatások, például az üzenetküldő szolgáltatások egyre elterjedtebb támadási vektorokká válnak. A rosszindulatú elkövetők platformokat használnak arra, hogy kommunikáljanak az áldozatokkal, és az áldozatokat a feltört honlapokra csábítsák, ezáltal növelve a személyes adatok felhasználását, valamint ahhoz kapcsolódóan a hálózati és információs rendszerek biztonságát érintő események valószínűségét. A számfüggetlen személyközi hírközlési szolgáltatásokat nyújtó szolgáltatóknak biztosítaniuk kell, hogy a hálózati és információs rendszerek biztonsága megfeleljen a lehetséges kockázatoknak. Tekintettel arra, hogy a számfüggetlen személyközi hírközlési szolgáltatások szolgáltatói általában nem gyakorolnak tényleges ellenőrzést a hálózatokon keresztüli jelátvitel felett, az említett szolgáltatásokat érintő kockázatok mértéke bizonyos szempontból alacsonyabbnak tekinthető, mint a hagyományos elektronikus hírközlési szolgáltatások esetében. Ugyanez vonatkozik az (EU) 2018/1972 irányelvben meghatározott személyközi hírközlési szolgáltatásokra, amelyek számokat használnak, és amelyek nem gyakorolnak tényleges ellenőrzést a jelátvitel felett. |
(97) |
A belső piac minden eddiginél jobban támaszkodik az internet működésére. Majdnem minden alapvető és fontos szervezet szolgáltatásai az interneten keresztül nyújtott szolgáltatásoktól függenek. Az alapvető és fontos szervezetek által nyújtott szolgáltatások zavartalanságának biztosítása érdekében fontos, hogy a nyilvános elektronikus hírközlő hálózatok valamennyi szolgáltatója megfelelő kiberbiztonsági kockázatkezelési intézkedésekkel rendelkezzen, és jelentse az ezekkel kapcsolatos jelentős eseményeket. A tagállamoknak biztosítaniuk kell a nyilvános elektronikus hírközlő hálózatok biztonságának fenntartását, valamint alapvető fontosságú biztonsági érdekeik védelmét a szabotázstól és a kémkedéstől. Mivel a nemzetközi konnektivitás fokozza és felgyorsítja az Unió és gazdaságának versenyképes digitalizációját, a tenger alatti kommunikációs kábeleket érintő eseményeket jelenteni kell a CSIRT-nek vagy adott esetben az illetékes hatóságnak. A tagállamok nemzeti kiberbiztonsági stratégiájának adott esetben figyelembe kell vennie a tenger alatti kommunikációs kábelek kiberbiztonságát, és a legmagasabb szintű védelem biztosítása érdekében tartalmaznia kell a potenciális kiberbiztonsági kockázatok feltérképezését és mérséklési intézkedéseket. |
(98) |
A nyilvános elektronikus hírközlő hálózatok és a nyilvánosan elérhető elektronikus hírközlési szolgáltatások biztonságának védelme érdekében elő kell mozdítani a titkosítási technológiák alkalmazását, különösen a végponttól végpontig terjedő titkosítást, valamint az olyan adatközpontú biztonsági koncepciókat, mint a feltérképezés, a szegmentálás, a címkézés, a hozzáférési politika és a hozzáférés-kezelés, valamint az automatizált hozzáférés-megadás. Szükség esetén a titkosítás, különösen a végponttól végpontig terjedő titkosítás használatát kötelezővé kell tenni a nyilvános elektronikus hírközlő hálózatok szolgáltatói és a nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó szolgáltatók számára, az alapértelmezett és beépített biztonság és adatvédelem elveivel összhangban, ezen irányelv alkalmazásában. A végponttól végpontig terjedő titkosítás használatát össze kell egyeztetni a tagállamok azon hatáskörével, hogy biztosítsák alapvető biztonsági érdekeik és közbiztonságuk védelmét, valamint lehetővé tegyék a bűncselekmények megelőzését, kivizsgálását, felderítését és a büntetőeljárás alá vonását az uniós joggal összhangban. Ez azonban nem gyengítheti a végponttól végpontig terjedő titkosítást, amely az adatok és a magánélet hatékony védelme és a kommunikáció biztonsága szempontjából kritikus technológia. |
(99) |
A nyilvános elektronikus hírközlő hálózatok és a nyilvánosan elérhető elektronikus hírközlési szolgáltatások biztonságának védelme, valamint az azokkal való visszaélés és manipuláció megelőzése érdekében elő kell mozdítani a biztonságos útválasztási szabványok alkalmazását annak érdekében, hogy az internetszolgáltatók teljes ökoszisztémájában biztosítani lehessen az útválasztási funkciók integritását és megbízhatóságát. |
(100) |
Az internet funkcionalitásának és integritásának megőrzése, valamint a DNS biztonságának és rezilienciájának előmozdítása érdekében ösztönözni kell az érdekelt feleket, köztük az uniós magánszektorbeli szervezeteket, a nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyújtóit, különösen az internet-hozzáférési szolgáltatókat és az online keresőprogram-szolgáltatókat, hogy fogadjanak el stratégiát a DNS címfeloldás diverzifikálására. A tagállamoknak ösztönözniük kell továbbá egy nyilvános és biztonságos európai DNS-címfeloldási szolgáltatás kifejlesztését és használatát. |
(101) |
Ez az irányelv többlépcsős megközelítést állapít meg a jelentős események bejelentésével kapcsolatban annak érdekében, hogy megtalálja a megfelelő egyensúlyt egyrészt a gyors bejelentések között, amelyek segítenek enyhíteni a jelentős események potenciális terjedését, és lehetővé teszik az alapvető és fontos szervezetek számára, hogy segítségnyújtást kérjenek, másrészt pedig az olyan mélyreható jelentés érdekében, amely értékes tanulságokat von le az egyes eseményekből, és idővel javítja az egyes szervezetek és teljes ágazatok kiberrezilienciáját. E tekintetben ezen irányelvnek ki kell terjednie azon események bejelentésére is, amelyek az érintett szervezet által elvégzett első értékelés alapján jelentős működési zavarokhoz vagy pénzügyi veszteséghez vezethetnek az adott szervezet számára, vagy jelentős vagyoni vagy nem vagyoni kár okozásával hátrányosan érinthetnek más természetes vagy jogi személyeket. Ennek az első értékelésnek figyelembe kell vennie többek között az érintett hálózati és információs rendszereket és különösen fontosságukat a szervezet szolgáltatásainak nyújtásában, a kiberfenyegetés súlyosságát és műszaki jellemzőit, minden kihasznált mögöttes sérülékenységet, valamint a szervezet hasonló eseményekkel kapcsolatos tapasztalatait. Annak meghatározásában, hogy a szolgáltatás működési zavara súlyos-e, fontos szerepet játszhatnak olyan mutatók, mint a szolgáltatás működésére gyakorolt hatás mértéke, az esemény időtartama vagy a szolgáltatások érintett igénybe vevőinek száma. |
(102) |
Az alapvető és fontos szervezetek számára elő kell írni, hogy amennyiben jelentős eseményről szereznek tudomást, indokolatlan késedelem nélkül és minden esetben 24 órán belül nyújtsanak be egy első bejelentést. Ezt az első bejelentést eseménybejelentésnek kell követnie. Az érintett szervezeteknek indokolatlan késedelem nélkül, és minden esetben a jelentős eseményről való tudomásszerzéstől számított 72 órán belül eseménybejelentést kell benyújtaniuk, különösen azzal a céllal, hogy frissítsék az első bejelentés keretében benyújtott információkat, és közöljék a jelentős esemény első értékelését, beleértve annak súlyosságát és hatását, valamint – amennyiben rendelkezésre állnak – a fertőzöttségi mutatókat. Legkésőbb az eseménybejelentéstől számított egy hónapon belül zárójelentést kell benyújtani. Az első bejelentésnek csak azokat az információkat kell tartalmaznia, amelyek szükségesek ahhoz, hogy a CSIRT-ek vagy adott esetben az illetékes hatóságok értesüljenek a jelentős eseményről, és lehetővé tegyék az érintett szervezet számára, hogy szükség esetén segítséget kérjen. Ennek az első bejelentésnek adott esetben jeleznie kell, hogy feltételezhető-e, hogy a jelentős eseményt jogellenes vagy rosszhiszemű cselekmények okozták, és hogy valószínűsíthető-e, hogy az esemény határokon átnyúló hatásokkal jár. A tagállamoknak gondoskodniuk kell arról, hogy az említett első bejelentés vagy az azt követő eseménybejelentés benyújtásának kötelezettsége ne vonja el a bejelentő szervezet erőforrásait az esemény kezelésével kapcsolatos tevékenységektől, amelyeket kiemelten kell kezelni annak megelőzése érdekében, hogy az eseménybejelentési kötelezettségek erőforrásokat vonjanak el a jelentős események kezelésétől, vagy más módon veszélybe sodorják a szervezet e tekintetben tett erőfeszítéseit. Abban az esetben, ha az esemény a zárójelentés benyújtásának időpontjában folyamatban van, a tagállamoknak biztosítaniuk kell, hogy az érintett szervezetek az adott időpontban az addig elért eredményekről szóló jelentést, a jelentős esemény általuk való kezelését követő egy hónapon belül pedig zárójelentést nyújtsanak be. |
(103) |
Adott esetben az alapvető és fontos szervezeteknek indokolatlan késedelem nélkül közölniük kell szolgáltatásuk igénybe vevőivel minden olyan intézkedést vagy fenyegetést orvosló lehetőséget, amelyet a jelentős kiberfenyegetésből eredő kockázatok mérséklése érdekében hozhatnak. Az említett szervezeteknek adott esetben és különösen akkor, ha a jelentős kiberfenyegetés valószínűsíthetően bekövetkezik, magáról a fenyegetésről is tájékoztatniuk kell a szolgáltatás igénybe vevőit. A szolgáltatás említett igénybe vevői jelentős kiberfenyegetésekről történő tájékoztatásának követelményét a legnagyobb gondosság elve alapján kell teljesíteni, de az nem mentesítheti az említett szervezeteket azon kötelezettség alól, hogy saját költségükre megfelelő és azonnali intézkedéseket hozzanak az ilyen fenyegetések megelőzésére vagy elhárítására, valamint a szolgáltatás normál biztonsági szintjének helyreállítására. A jelentős kiberfenyegetésekkel kapcsolatos említett információkat a szolgáltatást igénybe vevőknek ingyenesen kell megkapniuk, és azokat könnyen érthető módon kell megfogalmazni. |
(104) |
A nyilvános elektronikus hírközlő hálózatok szolgáltatóinak vagy a nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó szolgáltatóknak beépített és alapértelmezett biztonságot kell alkalmazniuk, és tájékoztatniuk kell a szolgáltatást igénybe vevőket a jelentős kiberfenyegetésekről, valamint azokról az intézkedésekről, amelyeket megtehetnek az eszközeik és a kommunikáció biztonságának védelme érdekében, például bizonyos típusú szoftverek vagy titkosítási technológiák használata révén. |
(105) |
A kiberfenyegetések proaktív megközelítése a kiberbiztonsági kockázatok kezelését célzó intézkedések alapvető eleme, amely várhatóan lehetővé fogja tenni az illetékes hatóságok számára, hogy hatékonyan megakadályozzák, hogy a kiberfenyegetések esetlegesen jelentős vagyoni vagy nem vagyoni kárt okozó biztonsági eseményekké váljanak. E célból kulcsfontosságú a kiberbiztonsági fenyegetések bejelentése. Ennek érdekében a szervezetek számára javasolt, hogy önkéntes alapon tegyenek jelentést a kiberbiztonsági fenyegetésekről. |
(106) |
Az ezen irányelvben előírt információk bejelentésének egyszerűsítése, valamint a szervezetekre háruló adminisztratív terhek csökkentése érdekében a tagállamoknak a bejelentendő releváns információk benyújtása céljából gondoskodniuk kell technikai eszközökről, például egyedüli kapcsolattartó pontokról, automatizált rendszerekről, online űrlapokról, felhasználóbarát interfészekről, sablonokról, kifejezetten a szervezetek használatára létrehozott platformokról, függetlenül attól, hogy a szervezetek ezen irányelv hatálya alá tartoznak-e vagy sem. Az ezen irányelv végrehajtását – különösen az (EU) 2021/694 európai parlamenti és tanácsi rendelettel (21) létrehozott Digitális Európa program keretében – támogató uniós finanszírozás magában foglalhatja az egyedüli kapcsolattartó pontok támogatását is. Emellett az alapvető és fontos szervezetek gyakran vannak olyan helyzetben, amikor egy adott eseményről – jellemzői miatt – különféle jogi eszközökben szereplő bejelentési kötelezettségek eredményeként különböző hatóságoknak kell jelentést tenniük. Az említett esetek további adminisztratív terhet jelentenek, és bizonytalansághoz vezethetnek az említett bejelentések formátumát és eljárásait illetően is. Egyedüli kapcsolattartó pont létrehozása esetén a tagállamok számára javasolt az is, hogy ezt az egyedüli kapcsolattartó pontot vegyék igénybe a biztonsági események más uniós jogszabályok, például az (EU) 2016/679 rendelet és a 2002/58/EK irányelv által előírt bejelentésére is. Az említett egyedüli kapcsolattartó pontnak a biztonsági események (EU) 2016/679 rendelet és 2002/58/EK irányelv szerinti bejelentésére történő felhasználása nem érintheti az (EU) 2016/679 rendelet és a 2002/58/EK irányelv rendelkezéseinek – különösen az azokban említett hatóságok függetlenségére vonatkozó rendelkezések – alkalmazását. Az ENISA-nak az együttműködési csoporttal együttműködve közös bejelentési sablonokat kell kidolgoznia az uniós jog alapján bejelentendő információk egyszerűsítésére és összehangolására, valamint a bejelentő szervezetekre nehezedő teher csökkentésére irányuló iránymutatások révén. |
(107) |
Ha felmerül a gyanú, hogy egy esemény az uniós vagy a nemzeti jog szerint súlyos bűncselekményekhez kapcsolódik, a tagállamoknak az uniós joggal összhangban alkalmazandó büntetőeljárási szabályok alapján ösztönözniük kell az alapvető és fontos szervezeteket a vélhetően súlyos bűncselekménynek minősülő események illetékes bűnüldöző hatóságoknak történő bejelentésére. Adott esetben és az Europolra irányadó, a személyes adatok védelmére vonatkozó szabályok sérelme nélkül kívánatos, hogy a Kiberbűnözés Elleni Európai Központ (EC3) és az ENISA megkönnyítse a koordinációt a különböző tagállamok illetékes hatóságai és bűnüldöző hatóságai között. |
(108) |
Az események következtében sok esetben személyes adatok kerülnek veszélybe. Ebben az összefüggésben az illetékes hatóságoknak minden releváns kérdésben együtt kell működniük és információt kell cserélniük az (EU) 2016/679 rendeletben és a 2002/58/EK irányelvben említett hatóságokkal. |
(109) |
A doménnév-nyilvántartási adatok (WHOIS-adatok) pontos és teljes adatbázisainak gondozása és az említett adatokhoz való jogszerű hozzáférés biztosítása elengedhetetlen a DNS biztonságának, stabilitásának és rezilienciájának biztosításához, ami viszont hozzájárul az Unió egészére kiterjedő, egységesen magas szintű kiberbiztonsághoz. E konkrét célból a legfelső szintű doménnév-nyilvántartók és a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezetek számára elő kell írni az e cél eléréséhez szükséges egyes adatok kezelését. Ennek az adatkezelésnek az (EU) 2016/679 rendelet 6. cikke (1) bekezdésének c) pontja értelmében vett jogi kötelezettségnek kell minősülnie. E kötelezettség nem érinti a doménnév-nyilvántartási adatok más célból, például más uniós vagy nemzeti jogban meghatározott szerződéses megállapodások vagy jogi követelmények alapján történő gyűjtésének lehetőségét. E kötelezettség célja a nyilvántartási adatok teljes és pontos voltának biztosítása, és nem eredményezheti ugyanazon adatok többszöri gyűjtését. A legfelső szintű doménnév-nyilvántartóknak és a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezeteknek együtt kell működniük egymással az e feladattal kapcsolatos átfedések elkerülése érdekében. |
(110) |
A doménnév-nyilvántartási adatok jogosult hozzáférés-igénylők számára való elérhetősége és időben történő hozzáférhetősége alapvető fontosságú a DNS-sel való visszaélések megelőzése és leküzdése, valamint az események megelőzése, észlelése és az azokra való reagálás szempontjából. Jogosult hozzáférés-igénylőnek tekintendő minden olyan természetes vagy jogi személy, aki vagy amely az uniós vagy a nemzeti jog alapján kérelmet nyújt be. Közéjük tartozhatnak az ezen irányelv alapján illetékes hatóságok, valamint a bűncselekmények megelőzése, kivizsgálása, felderítése vagy büntetőeljárás alá vonása céljából az uniós vagy nemzeti jog alapján illetékes hatóságok, valamint a CERT-ek vagy a CSIRT-ek. A legfelső szintű doménnév-nyilvántartók és a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezetek számára elő kell írni, hogy az uniós és nemzeti joggal összhangban tegyék lehetővé a jogosult hozzáférés-igénylők számára a jogszerű hozzáférést a hozzáférés iránti kérelemhez szükséges meghatározott doménnév-nyilvántartási adatokhoz. A jogszerű hozzáférés-igénylők kérelméhez indokolást kell csatolni, amely lehetővé teszi az adatokhoz való hozzáférés szükségességének értékelését. |
(111) |
A pontos és teljes doménnév-nyilvántartási adatok rendelkezésre állásának biztosítása érdekében a legfelső szintű doménnév-nyilvántartóknak és a doménnév-nyilvántartási szolgáltatást nyújtó szervezeteknek össze kell gyűjteniük a doménnevek nyilvántartási adatait, és garantálniuk kell azok integritását és rendelkezésre állását. Különösen a legfelső szintű doménnév-nyilvántartóknak és a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezeteknek szabályzatokat és eljárásokat kell kidolgozniuk a pontos és teljes doménnév-nyilvántartási adatok összegyűjtése és vezetése, valamint az uniós adatvédelmi jogszabályokkal összhangban a pontatlan nyilvántartási adatok megelőzése és kijavítása céljából. E szabályzatoknak és eljárásoknak a lehető legnagyobb mértékben figyelembe kell venniük a több érdekelt felet tömörítő irányítási struktúrák által nemzetközi szinten kidolgozott normákat. A legfelső szintű doménnév-nyilvántartóknak és a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezeteknek arányos eljárásokat kell elfogadniuk és végrehajtaniuk a doménnév-nyilvántartási adatok ellenőrzése céljából. Ezen eljárásoknak tükrözniük kell az ágazatban alkalmazott bevált gyakorlatokat és – amennyire lehetséges – az elektronikus azonosítás terén elért eredményeket. Az ellenőrzési eljárások közé tartozhatnak például a nyilvántartásba vételkor végzett előzetes ellenőrzések és a nyilvántartásba vételt követően végzett utólagos ellenőrzések. A legfelső szintű doménnév-nyilvántartóknak és a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezeteknek különösen a bejegyzést igénylő legalább egy kapcsolatfelvételi módját ellenőrizniük kell. |
(112) |
A legfelső szintű doménnév-nyilvántartók és a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezetek számára elő kell írni, hogy tegyék nyilvánosan hozzáférhetővé az uniós adatvédelmi jog hatálya alá nem tartozó doménnév-nyilvántartási adatokat, például – az (EU) 2016/679 rendelet preambulumával összhangban – a jogi személyeket érintő adatokat. Jogi személyek esetében a legfelső szintű doménnév-nyilvántartóknak és a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezeteknek legalább a bejegyzést igénylő nevét és kapcsolattartási telefonszámát nyilvánosan hozzáférhetővé kell tenniük. A kapcsolattartási e-mail-címet is közzé kell tenni, feltéve, hogy az nem tartalmaz személyes adatokat, így például az e-mail aliasok vagy a funkcionális fiókok esetében. A legfelső szintű doménnév-nyilvántartóknak és a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezeteknek lehetővé kell tenniük a jogosult hozzáférés-igénylők számára, hogy jogszerű módon, az uniós adatvédelmi joggal összhangban hozzáférjenek a természetes személyekre vonatkozó meghatározott doménnév-nyilvántartási adatokhoz is. A tagállamoknak elő kell írniuk a legfelső szintű doménnév-nyilvántartók és a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezetek számára, hogy indokolatlan késedelem nélkül reagáljanak a jogosult hozzáférés-igénylők doménnév-nyilvántartási adatok nyilvánosságra hozatalára irányuló kérelmeire. A legfelső szintű doménnév-nyilvántartóknak és a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezeteknek szabályzatokat és eljárásokat kell kidolgozniuk a nyilvántartási adatok közzétételére és nyilvánosságra hozatalára vonatkozóan, beleértve a szolgáltatási szintre vonatkozó megállapodásokat is, a jogosult hozzáférés-igénylők kérelmeinek kezelése céljából. E szabályzatoknak és eljárásoknak a lehető legnagyobb mértékben figyelembe kell venniük minden iránymutatást és a több érdekelt felet tömörítő irányítási struktúrák által nemzetközi szinten kidolgozott normákat. A hozzáférési eljárás magában foglalhatja egy interfész, portál vagy más technikai eszközök használatát, hogy hatékony rendszert lehessen biztosítani a nyilvántartási adatok lekérésére és elérésére. A Bizottság a belső piacon a harmonizált gyakorlatok előmozdítása érdekében – az Európai Adatvédelmi Testület hatáskörének sérelme nélkül – iránymutatásokat nyújthat az említett eljárásokról, amelyek a lehető legnagyobb mértékben figyelembe veszik a több érdekelt felet tömörítő irányítási struktúrák által nemzetközi szinten kidolgozott normákat. A tagállamoknak biztosítaniuk kell, hogy a személyes és nem személyes doménnév-nyilvántartási adatokhoz való bármilyen típusú hozzáférés ingyenes legyen. |
(113) |
Az ezen irányelv hatálya alá tartozó szervezeteket a letelepedésük szerinti tagállam joghatósága alá tartozónak kell tekinteni. A nyilvános elektronikus hírközlő hálózatok szolgáltatóit vagy a nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó szolgáltatókat azonban azon tagállam joghatósága alá tartozónak kell tekinteni, ahol szolgáltatásaikat nyújtják. A DNS-szolgáltatókat, a legfelső szintű doménnév-nyilvántartókat és a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezeteket, a felhőszolgáltatókat, az adatközpont-szolgáltatókat, a tartalomszolgáltató hálózati szolgáltatókat, az irányított szolgáltatókat és az irányított biztonsági szolgáltatókat, valamint az online piacterek, az online keresőprogramok és a közösségimédia-szolgáltatási platformok szolgáltatóit azon tagállam joghatósága alá tartozónak kell tekinteni, ahol Unión belüli üzleti tevékenységük fő helye található. A közigazgatási szervezetek az őket létrehozó tagállam joghatósága alá tartozónak kell tekinteni. Ha a szervezet több tagállamban nyújt szolgáltatásokat vagy több tagállamban is letelepedett, annak külön és egyidejűleg minden érintett tagállam joghatósága alá kell tartoznia. E tagállamok illetékes hatóságainak együtt kell működniük, kölcsönös segítséget kell nyújtaniuk egymásnak, és adott esetben közös felügyeleti intézkedéseket kell végrehajtaniuk. Joghatóságuk gyakorlása során a tagállamok – a ne bis in idem elvének megfelelően – nem írhatnak elő egynél többször végrehajtási intézkedéseket vagy szankciókat ugyanazon magatartásért. |
(114) |
A DNS-szolgáltatók, a legfelső szintű doménnév-nyilvántartók, a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezetek, a felhőszolgáltatók, az adatközpont-szolgáltatók, a tartalomszolgáltató hálózati szolgáltatók, az irányított szolgáltatók és az irányított biztonsági szolgáltatók, valamint az online piacterek, az online keresőprogramok és a közösségimédia-szolgáltatási platformok szolgáltatói szolgáltatásai és működése határokon átnyúló jellegének figyelembevétele érdekében e szervezetek felett csak egy tagállamnak lehet joghatósága. A joghatóságot annak a tagállamnak kell tulajdonítani, ahol az érintett szervezet Unión belüli üzleti tevékenységének fő helye található. A letelepedési kritérium ezen irányelv alkalmazásában a tevékenység állandó megállapodások útján történő tényleges gyakorlását jelenti. Ebben a tekintetben nem meghatározó tényező az említett megállapodások jogi formája, függetlenül attól, hogy fióktelepen vagy jogi személyiséggel rendelkező leányvállalaton keresztül kötötték-e azokat. E kritérium teljesülése nem függhet attól, hogy a hálózat és az információs rendszerek fizikailag egy adott helyen találhatók-e; az említett rendszerek jelenléte és használata önmagukban nem képezi az üzleti tevékenység említett fő helyét, ezért nem meghatározó kritériumok az üzleti tevékenység fő helyének meghatározásához. Az üzleti tevékenység fő helyének azt kell tekinteni, ahol az Unióban túlnyomórészt meghozzák a kiberbiztonsági kockázatkezelési intézkedésekkel kapcsolatos döntéseket. Ez általában megfelel a vállalatok uniós központi ügyvezetése helyének. Ha ilyen tagállam nem határozható meg, vagy az ilyen döntéseket nem az Unióban hozzák meg, akkor úgy kell tekinteni, hogy az üzleti tevékenység fő helye abban a tagállamban található, ahol a kiberbiztonsági műveleteket végzik. Ha ilyen tagállam nem határozható meg, akkor az üzleti tevékenység fő helyét abban a tagállamban levőnek kell tekinteni, ahol a szervezetnek az Unióban a legmagasabb munkavállalói létszámmal rendelkező telephelye található. Ha a szolgáltatásokat vállalkozások csoportja végzi, az irányító vállalkozás üzleti tevékenysége fő helyét a vállalkozáscsoport üzleti tevékenysége fő helyének kell tekinteni. |
(115) |
Amennyiben egy nyilvános elektronikus hírközlő hálózatokat üzemeltető vagy nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó szolgáltató kizárólag az internet-hozzáférési szolgáltatás részeként nyújt nyilvánosan elérhető rekurzív DNS-szolgáltatást, úgy kell tekinteni, hogy a szervezet valamennyi olyan tagállamnak a joghatósága alá tartozik, amelyben a szolgáltatásait nyújtja. |
(116) |
Olyan esetekben, amikor az Unióban nem letelepedett DNS-szolgáltató, legfelső szintű doménnév-nyilvántartó és doménnév-nyilvántartási szolgáltatásokat nyújtó szervezet, felhőszolgáltató, adatközpont-szolgáltató, tartalomszolgáltató hálózati szolgáltató, irányított szolgáltató és irányított biztonsági szolgáltató, valamint online piactér, online keresőprogram vagy közösségimédia-szolgáltatási platform szolgáltatója az Unión belül kínál szolgáltatásokat, ki kell jelölnie egy Unión belüli képviselőt. Annak eldöntése érdekében, hogy az említett szervezet kínál-e szolgáltatásokat az Unión belül, meg kell győződni arról, hogy a szervezetnek szándékában áll-e szolgáltatásokat nyújtani személyek számára egy vagy több tagállamban. A szervezet vagy valamely közvetítő webhelyének, az e-mail-címnek és más elérhetőségeknek az Unióban való puszta elérhetősége, vagy a szervezet letelepedési helye szerinti harmadik országban általánosan használt nyelv használata önmagában nem elegendő információ az említett szándék megállapításához. Ha azonban például a szervezet olyan nyelvet vagy pénznemet használ, amely egy vagy több tagállamban is általánosan használatos, és így lehetőséget biztosít szolgáltatásoknak az említett nyelven történő megrendelésére, vagy unióbeli fogyasztókra vagy felhasználókra tesz utalást, az egyértelműen jelezheti, hogy a digitális szolgáltató szolgáltatásokat szándékozik kínálni az Unión belül. A képviselőnek a szervezet nevében kell eljárnia, és az illetékes hatóságok vagy a CSIRT-ek számára lehetővé kell tenni, hogy a képviselőhöz forduljanak. A szervezetnek írásban kifejezetten fel kell hatalmaznia a képviselőt arra, hogy a nevében eljárjon az ezen irányelvben megállapított kötelezettségei vonatkozásában, ideértve a biztonsági események bejelentését is. |
(117) |
Annak érdekében, hogy biztosítsa az Unióban szolgáltatásokat nyújtó és ezen irányelv hatálya alá tartozó DNS-szolgáltatók, legfelső szintű doménnév-nyilvántartók és doménnév-nyilvántartási szolgáltatásokat nyújtó szervezetek, felhőszolgáltatók, adatközpont-szolgáltatók, tartalomszolgáltató hálózati szolgáltatók, irányított szolgáltatók és irányított biztonsági szolgáltatók, valamint az online piacterek, az online keresőprogramok és a közösségimédia-szolgáltatási platformok szolgáltatói világos áttekinthetőségét, az ENISA-nak a tagállamoktól – adott esetben a szervezetek számára a saját maguk bejegyeztetésére létrehozott nemzeti mechanizmusokon keresztül – kapott információk alapján nyilvántartást kell létrehoznia és vezetnie ezekről a szervezetekről. Az egyedüli kapcsolattartó pontoknak továbbítaniuk kell az ENISA-nak az információkat és azok változásait. Az említett nyilvántartásban feltüntetendő információk pontosságának és teljességének biztosítása céljából a tagállamok benyújthatják az ENISA számára a nemzeti nyilvántartásaikban e szervezetekre vonatkozóan rendelkezésre álló információkat. Az ENISA-nak és a tagállamoknak intézkedéseket kell hozniuk az ilyen nyilvántartások interoperabilitásának elősegítésére, biztosítva ugyanakkor a bizalmas vagy minősített adatok védelmét. Az ENISA-nak megfelelő információosztályozási és kezelési protokollokat kell létrehoznia a közzétett információk biztonságának és bizalmas jellegének biztosítása, valamint az ilyen információk elérésének, tárolásának és a szándékolt felhasználók számára történő továbbításának korlátozása érdekében. |
(118) |
Amennyiben a nemzeti vagy az uniós joggal összhangban minősített információkat ezen irányelv alapján kicserélik, jelentik vagy más módon megosztják, a minősített információk kezelésére vonatkozó különös szabályokat alkalmazni kell. Emellett az ENISA-nak rendelkeznie kell az érzékeny és minősített adatok kezeléséhez szükséges infrastruktúrával, eljárásokkal és szabályokkal, az EU-minősített adatok védelmére vonatkozó biztonsági szabályokkal összhangban. |
(119) |
A kiberfenyegetések bonyolultabbá és kifinomultabbá válásával e fenyegetések jó észlelése és a megelőzési intézkedések nagymértékben függenek a fenyegetésekre és sérülékenységekre vonatkozó információk szervezetek közötti rendszeres megosztásától. Az információmegosztás hozzájárul a kiberfenyegetésekkel kapcsolatos tudatosság erősítéséhez, ami viszont fokozza a szervezetek azon képességét, hogy megakadályozzák e fenyegetések eseményekké válását, és lehetővé teszi a szervezetek számára, hogy jobban visszaszorítsák az események hatásait, és hatékonyabbá tegyék a működés helyreállítását. Uniós szintű útmutatás hiányában, úgy tűnik, számos tényező gátolta az említett információmegosztást, különösen a verseny- és felelősségi szabályokkal való összeegyeztethetőség bizonytalansága. |
(120) |
A tagállamoknak ösztönözniük és segíteniük kell a szervezeteket, hogy stratégiai, taktikai és operatív szinten együttesen hasznosítsák egyéni tudásukat és gyakorlati tapasztalataikat annak érdekében, hogy javítsák képességeiket az események megfelelő megelőzésére, felderítésére, az azokra való reagálásra, az azokat követő helyreállításra, és hatásaik enyhítésére. Ezért lehetővé kell tenni az önkéntes kiberbiztonsági információmegosztási megállapodások uniós szintű kialakulását. Ennek érdekében a tagállamoknak aktív segítséget és ösztönönzést kell nyújtaniuk az olyan szervezetek számára, mint például a kiberbiztonsági szolgáltatásokat és kutatásokat végző szervezetek, és az ezen irányelv hatálya alá nem tartozó érintett szervezetek számára, hogy részt vegyenek az említett kiberbiztonsági információmegosztási megállapodásokban. Ezeket a megállapodásokat az uniós versenyszabályokkal és az uniós adatvédelmi joggal teljes összhangban kell kialakítani. |
(121) |
A személyes adatok kezelése – a hálózati és információs rendszerek biztonságának az alapvető és fontos szervezetek általi biztosítása céljából szükséges és arányos mértékben – jogszerűnek tekinthető azon az alapon, hogy az adatkezelés megfelel az adatkezelőre vonatkozó jogi kötelezettségnek, az (EU) 2016/679 rendelet 6. cikke (1) bekezdésének c) pontjában és 6. cikkének (3) bekezdésében foglalt követelményekkel összhangban. A személyes adatok kezelése az alapvető és fontos szervezetek, valamint az e szervezetek nevében eljáró, biztonsági technológiákat és szolgáltatásokat nyújtó szolgáltatók jogos érdekei miatt is szükséges lehet az (EU) 2016/679 rendelet 6. cikke (1) bekezdésének f) pontja értelmében, ideértve azt az esetet is, amikor az adatkezelés kiberbiztonsági információmegosztási megállapodásokhoz vagy a releváns információk ezen irányelvvel összhangban történő önkéntes bejelentéséhez szükséges. Az események megelőzésével, észlelésével, azonosításával, megfékezésével, elemzésével és az azokra való reagálással kapcsolatos intézkedések, a konkrét kiberfenyegetésekkel kapcsolatos tudatosság növelését célzó intézkedések, a sérülékenységek elhárításával és az összehangolt közzététellel kapcsolatos információmegosztás, valamint az ezekre az eseményekre, valamint a kiberfenyegetésekre és sérülékenységekre, a kompromisszummutatókra, taktikákra, technikákra és eljárásokra, kiberbiztonsági figyelmeztetésekre és konfigurációs eszközökre vonatkozó önkéntes információmegosztás szükségessé tehetik a személyes adatok bizonyos kategóriáinak, például IP-címeknek, egységes forrásazonosítóknak (URL-ek), doménneveknek, e-mail-címeknek, és – amennyiben személyes adatokat fednek fel – időbélyegzőknek a kezelését. A személyes adatok illetékes hatóságok, egyedüli kapcsolattartó pontok és CSIRT-ek általi kezelése az (EU) 2016/679 rendelet 6. cikke (1) bekezdésének c) vagy e) pontja és 6. cikkének (3) bekezdése értelmében jogi kötelezettségnek minősülhet, vagy közérdekűnek vagy szükségesnek tekinthető az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához vagy az említett rendelet 6. cikke (1) bekezdésének f) pontjában említett alapvető és fontos szervezetek jogos érdekének érvényesítéséhez. Ezen túlmenően a nemzeti jog megállapíthat olyan szabályokat, amelyek lehetővé teszik az illetékes hatóságok, az egyedüli kapcsolattartó pontok és a CSIRT-ek számára, hogy az alapvető és fontos szervezetek hálózati és információs rendszerei biztonságának biztosítása céljából szükséges és arányos mértékben az (EU) 2016/679 rendelet 9. cikkével összhangban kezeljék a személyes adatok különleges kategóriáit, különösen azáltal, hogy megfelelő és konkrét intézkedéseket írnak elő a természetes személyek alapvető jogainak és érdekeinek védelme érdekében, beleértve az ilyen adatok további felhasználására vonatkozó technikai korlátozásokat, valamint a legkorszerűbb biztonsági és adatvédelmi intézkedések alkalmazását, például az álnevesítést vagy titkosítást, amennyiben az anonimizálás jelentősen befolyásolhatja a kitűzött célt. |
(122) |
A tényleges megfelelés biztosítását elősegítő felügyeleti hatáskörök és intézkedések megerősítése érdekében ennek az irányelvnek rendelkeznie kell azon felügyeleti intézkedések és eszközök minimumlistájáról, amelyek révén az illetékes hatóságok felügyelhetik az alapvető és a fontos szervezeteket. Ezen túlmenően ennek az irányelvnek eltérő felügyeleti rendszert kell meghatároznia az alapvető és a fontos szervezetek vonatkozásában annak érdekében, hogy biztosítsa a kötelezettségek méltányos egyensúlyát az említett szervezetek és az illetékes hatóságok számára. Ezért az alapvető szervezetekre teljes körű (előzetes és utólagos) felügyeleti rendszert kell alkalmazni, míg a fontos szervezetekre könnyített, csak utólagos felügyeleti rendszer alkalmazandó. Ezért a fontos szervezetek számára nem kell előírni a kiberbiztonsági kockázatkezelési intézkedéseknek való megfelelés szisztematikus dokumentálását, míg az illetékes hatóságoknak reaktív utólagos felügyeleti megközelítést kell alkalmazniuk, és ezért nem terheli azokat általános kötelezettség az említett szervezetek felügyeletére. A fontos szervezetek utólagos felügyeletét az illetékes hatóságok tudomására hozott olyan bizonyíték, jelzés vagy információ alapján lehet elindítani, amelyről e hatóságok úgy vélik, hogy ezen irányelv lehetséges megsértésére utal. Ilyen bizonyíték, jelzés vagy információ lehet például a más hatóságok, szervezetek, állampolgárok, a média vagy más források által az illetékes hatóságok rendelkezésére bocsátott információ, továbbá a nyilvánosan hozzáférhető információk, illetve az származhat az illetékes hatóságok által a feladataik ellátása során végzett egyéb tevékenységekből is. |
(123) |
A felügyeleti feladatok illetékes hatóságok általi végrehajtása nem akadályozhatja szükségtelen módon az érintett szervezet üzleti tevékenységét. Alapvető szervezetekkel kapcsolatos felügyeleti feladataik – többek között helyszíni ellenőrzések és külső felügyelet elvégzése, ezen irányelv megsértésének kivizsgálása, biztonsági ellenőrzések vagy biztonsági átvilágítások lefolytatása – elvégzése során az illetékes hatóságoknak minimálisra kell korlátozniuk az érintett szervezet üzleti tevékenységére gyakorolt hatást. |
(124) |
Az előzetes felügyelet végrehajtása során az illetékes hatóságok számára lehetővé kell tenni, hogy arányos módon döntsenek a rendelkezésükre álló felügyeleti intézkedések és eszközök alkalmazásának rangsorolásáról. Ez azt jelenti, hogy az illetékes hatóságok e rangsorolásról olyan felügyeleti módszerek alapján dönthetnek, amelyeknek kockázatalapú megközelítést kell követniük. Konkrétabban, ezek a módszerek tartalmazhatnak kritériumokat vagy referenciaértékeket az alapvető szervezetek kockázati kategóriákba sorolására és a megfelelő felügyeleti intézkedésekre, valamint kockázati kategóriánként ajánlott eszközökre, például a helyszíni ellenőrzések vagy célzott biztonsági ellenőrzések vagy biztonsági vizsgálatok használatára, gyakoriságára vagy típusára, a bekérendő információk típusára és ezen információk részletességének szintjére. Ezeket a felügyeleti módszereket munkaprogramok is kísérhetik, továbbá rendszeresen értékelni kell és felül kell vizsgálni azokat, többek között olyan szempontok alapján, mint az erőforrások elosztása és a szükségletek. A közigazgatási szervek tekintetében a felügyeleti hatásköröket a nemzeti jogalkotási és intézményi keretekkel összhangban kell gyakorolni. |
(125) |
Az illetékes hatóságoknak biztosítaniuk kell, hogy az alapvető és fontos szervezetekkel kapcsolatos felügyeleti feladataikat képzett szakemberek végezzék, akiknek rendelkezniük kell a szóban forgó feladatok elvégzéséhez szükséges készségekkel, különösen a helyszíni ellenőrzések és a külső felügyelet elvégzése tekintetében, beleértve az adatbázisok, a hardverek, a tűzfalak, a titkosítás és a hálózatok hiányosságainak azonosítását is. Ezeket az ellenőrzéseket és a felügyeletet objektív módon kell végrehajtani. |
(126) |
Kellően indokolt esetekben, amikor az illetékes hatóság jelentős kiberfenyegetésről vagy közvetlen kockázatról szerez tudomást, lehetővé kell tenni számára, hogy azonnali végrehajtási határozatokat hozzon valamely biztonsági esemény megelőzése vagy az arra való reagálás céljából. |
(127) |
A végrehajtás hatásossága érdekében meg kell határozni az ezen irányelvben előírt kiberbiztonsági kockázatkezelési intézkedések és jelentéstételi kötelezettségek megszegése esetén gyakorolható végrehajtási hatáskörök minimumlistáját, az említett végrehajtás vonatkozásában az egész Unióban egyértelmű és következetes keretet létrehozva. Megfelelő figyelmet kell fordítani ezen irányelv megsértésének jellegére, súlyosságára és időtartamára, az okozott vagyoni vagy nem vagyoni kárra, a jogsértés szándékos vagy gondatlan jellegére, az elszenvedett vagyoni vagy nem vagyoni kár megelőzésére vagy enyhítésére tett intézkedésekre, a felelősség mértékére vagy bármely releváns korábbi jogsértésre, az illetékes hatósággal való együttműködés mértékére és minden egyéb súlyosbító vagy enyhítő tényezőre. A végrehajtási intézkedéseknek – beleértve a közigazgatási bírságokat is – arányosaknak kell lenniük, és kiszabásukra megfelelő eljárási biztosítékoknak kell vonatkozniuk az uniós jog általános elveivel és az Európai Unió Alapjogi Chartájával (a továbbiakban: a Charta) összhangban, ideértve a hatékony bírói védelemhez, a jogszerű eljáráshoz, az ártatlanság vélelméhez és a védelemhez való jogot. |
(128) |
Ez az irányelv nem írja elő a tagállamok számára, hogy a valamely szervezet ezen irányelvnek való megfelelésének biztosításáért felelős természetes személyek tekintetében büntetőjogi vagy polgári jogi felelősséget írjanak elő az ezen irányelv megsértése miatt harmadik felek által elszenvedett károkért. |
(129) |
Az ezen irányelvben megállapított kötelezettségek hatékony végrehajtásának biztosítása érdekében minden illetékes hatóságnak rendelkeznie kell hatáskörrel közigazgatási bírság kiszabására vagy ilyen bírság kiszabásának kérelmezésére. |
(130) |
Ha a közigazgatási bírságot olyan alapvető vagy fontos szervezetre szabják ki, amely vállalkozás, akkor a vállalkozás fogalmát e célból az EUMSZ 101. és 102. cikkében meghatározott vállalkozásokra vonatkozó szabályoknak megfelelően kell értelmezni. Amennyiben vállalkozásnak nem minősülő személyre szabnak ki közigazgatási bírságot, a bírság megfelelő összegének mérlegelésekor az illetékes hatóságnak figyelembe kell vennie a tagállam általános jövedelemszintjét, valamint a személy anyagi helyzetét. A tagállamok feladata annak meghatározása, hogy a közhatalmi szervekkel szemben alkalmazható legyen-e közigazgatási bírság, és ha igen, milyen mértékben. A közigazgatási bírság kiszabása nem érinti az illetékes hatóságok egyéb hatásköreinek alkalmazását vagy az ezen irányelvet átültető nemzeti szabályokban megállapított egyéb szankciók alkalmazását. |
(131) |
A tagállamok számára lehetővé kell tenni az ezen irányelvet átültető nemzeti szabályok megsértése esetén alkalmazandó büntetőjogi szankciók szabályainak megállapítását. Az említett tagállami szabályok megsértésére vonatkozó büntetőjogi szankciók, illetve közigazgatási szankciók kiszabása azonban nem eredményezheti az Európai Unió Bíróságának értelmezése szerinti ne bis in idem elv megsértését. |
(132) |
Ha ez az irányelv nem harmonizálja a közigazgatási szankciókat, vagy szükség esetén más esetekben, például ezen irányelv súlyos megsértése esetén, a tagállamoknak olyan rendszert kell bevezetniük, amely hatékony, arányos és visszatartó erejű szankciókat ír elő. E szankciók jellegét és azok büntetőjogi vagy közigazgatási természetét a nemzeti jogban kell meghatározni. |
(133) |
Az ezen irányelv megsértése esetén alkalmazandó szankciók hatékonyságának és visszatartó erejének további erősítése érdekében az illetékes hatóságokat fel kell hatalmazni arra, hogy az alapvető szervezet által nyújtott összes releváns szolgáltatásra vagy azok egy részére vonatkozó tanúsítványt vagy engedélyt ideiglenesen felfüggesszék vagy kérelmezzék annak ideiglenes felfüggesztését, és kérelmezzék bármely, vezérigazgatói vagy jogi képviselői szinten eljáró természetes személy irányítási feladatok ellátásától való ideiglenes eltiltását. Az említett ideiglenes felfüggesztéseket és eltiltásokat csak a jogsértés súlyosságával arányosan lehet alkalmazni – tekintettel azok súlyosságára és a szervezetek tevékenységére, és végső soron a felhasználókra gyakorolt hatására –, figyelembe véve minden egyes eset sajátos körülményeit, beleértve a jogsértés szándékos vagy gondatlan jellegét, valamint a vagyoni és nem vagyoni károk megelőzése vagy enyhítése érdekében tett intézkedéseket. Ezeket az ideiglenes felfüggesztéseket és eltiltásokat csak végső megoldásként szabad alkalmazni, vagyis csak az ezen irányelvben megállapított egyéb vonatkozó végrehajtási intézkedések kimerítése után, és csak addig, amíg az érintett szervezet meghozza a szükséges intézkedéseket a hiányosságok orvoslására vagy az illetékes hatóság követelményeinek – amelyekkel kapcsolatban az ideiglenes felfüggesztéseket és eltiltásokat alkalmazták – való megfelelésre. Az említett ideiglenes felfüggesztések vagy tiltások kiszabására megfelelő eljárási biztosítékok vonatkoznak, az uniós jog általános elveivel és a Chartával összhangban, ideértve a tényleges jogorvoslathoz és a tisztességes eljáráshoz való jogot, az ártatlanság vélelmét és a védelemhez való jogot. |
(134) |
Annak biztosítása érdekében, hogy a szervezetek megfeleljenek az ezen irányelvben megállapított kötelezettségeiknek, a tagállamoknak együtt kell működniük, és segíteniük kell egymást a felügyeleti és végrehajtási intézkedések tekintetében, különösen abban az esetben, ha valamely szervezet egynél több tagállamban nyújt szolgáltatásokat, vagy ha annak hálózati és információs rendszerei a szolgáltatásnyújtás helye szerinti tagállamtól eltérő tagállamban találhatók. A segítségnyújtás során a megkeresett illetékes hatóságnak a nemzeti jognak megfelelő felügyeleti vagy végrehajtási intézkedéseket kell hoznia. Az ezen irányelv szerinti kölcsönös segítségnyújtás zökkenőmentes működésének biztosítása érdekében az illetékes hatóságoknak az együttműködési csoportot kell fórumként felhasználniuk az ügyek és az egyedi segítségnyújtás iránti megkeresések megvitatására. |
(135) |
A hatékony felügyelet és végrehajtás biztosítása érdekében – különösen a határokon átnyúló dimenzióval rendelkező helyzetekben – azon tagállamnak, amely kölcsönös segítségnyújtás iránti megkeresést kapott, a megkeresés alapján szükséges keretek között megfelelő felügyeleti és végrehajtási intézkedéseket kell hoznia az említett megkeresés alanyát képező szervezettel kapcsolatban, amely az említett tagállam területén szolgáltatásokat nyújt vagy hálózati és információs rendszerrel rendelkezik. |
(136) |
Ennek az irányelvnek az (EU) 2016/679 rendelet értelmében meg kell határoznia az illetékes hatóságok és a felügyeleti hatóságok közötti együttműködési szabályokat az ezen irányelv személyes adatokkal kapcsolatos megsértésének kezelése érdekében. |
(137) |
Ezen irányelv célja, hogy biztosítsa a kiberbiztonsági kockázatkezelési intézkedésekért és a jelentéstételi kötelezettségekért viselt magas szintű felelősséget az alapvető és fontos szervezetek szintjén. Ezen okok miatt az alapvető és fontos szervezetek vezető testületeinek jóvá kell hagyniuk a kiberbiztonsági kockázatkezelési intézkedéseket, és felügyelniük kell azok végrehajtását. |
(138) |
A kiberbiztonság egységesen magas szintjének Unió-szerte történő biztosítása érdekében a Bizottságot fel kell hatalmazni arra, hogy az EUMSZ 290. cikkével összhangban jogi aktusokat fogadjon el ezen irányelv kiegészítése céljából, meghatározva, hogy az alapvető és fontos szervezetek mely kategóriái kötelesek bizonyos tanúsított IKT-termékeket, IKT-szolgáltatásokat és IKT-folyamatokat használni vagy tanúsítványt szerezni valamely európai kiberbiztonsági tanúsítási rendszer keretében. Különösen fontos, hogy a Bizottság az előkészítő munka során – többek között szakértői szinten – megfelelő konzultációkat folytasson, és a konzultációkra a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásban (22) foglalt elvekkel összhangban kerüljön sor. Így különösen a felhatalmazáson alapuló jogi aktusok előkészítésében való egyenlő részvétel biztosítása érdekében az Európai Parlament és a Tanács a tagállamok szakértőivel egyidejűleg kap kézhez minden dokumentumot, és szakértőik rendszeresen részt vehetnek a Bizottság felhatalmazáson alapuló jogi aktusok előkészítésével foglalkozó szakértői csoportjainak ülésein. |
(139) |
Ezen irányelv végrehajtása egységes feltételeinek biztosítása érdekében a Bizottságot végrehajtási hatáskörökkel kell felruházni annak érdekében, hogy megállapítsa az együttműködési csoport működéséhez szükséges eljárási szabályokat, valamint a kiberbiztonsági kockázatkezelési intézkedésekhez kapcsolódó technikai, módszertani és ágazati követelményeket, és tovább pontosítsa az információk típusát, az események, kiberfenyegetések és majdnem bekövetkezett (near miss) események bejelentése, továbbá a jelentős kiberfenyegetésekre vonatkozó kommunikáció formátumát és eljárását, valamint azokat az eseteket, amelyekben valamely biztonsági esemény jelentősnek minősül. Ezeket a végrehajtási hatásköröket a 182/2011/EU európai parlamenti és tanácsi rendeletnek (23) megfelelően kell gyakorolni. |
(140) |
A Bizottságnak az érdekelt felekkel folytatott konzultációt követően rendszeresen felül kell vizsgálnia ezt az irányelvet, különösen annak megállapítása céljából, hogy a társadalmi, politikai, technológiai vagy piaci feltételek változásai fényében helyénvaló-e módosításokat javasolni. E felülvizsgálatok részeként a Bizottságnak értékelnie kell, hogy az ezen irányelv mellékleteiben említett szervezetek mérete, ágazatai, alágazatai és típusai mennyire relevánsak a gazdaság és a társadalom működése szempontjából a kiberbiztonság tekintetében. A Bizottságnak többek között értékelnie kell, hogy az (EU) 2022/2065 európai parlamenti és tanácsi rendelet (24) 33. cikke értelmében online óriásplatformnak kijelölt, ezen irányelv hatálya alá tartozó szolgáltatók ezen irányelv értelmében azonosíthatók-e alapvető szervezetként. |
(141) |
Ez az irányelv új feladatokat hoz létre az ENISA számára, ezáltal növelve szerepét, ami azt is eredményezheti, hogy az ENISA-nak a korábbinál magasabb szinten kell ellátnia az (EU) 2019/881 rendelet szerinti meglévő feladatait. Annak biztosítása érdekében, hogy az ENISA rendelkezzen a meglévő és új feladatai ellátásához szükséges pénzügyi és emberi erőforrásokkal, valamint hogy magasabb szinten végre tudja hajtani a megerősített szerepéből eredő feladatokat, költségvetését ennek megfelelően növelni kell. Ezen túlmenően az erőforrások hatékony felhasználásának biztosítása érdekében az ENISA számára nagyobb rugalmasságot kell biztosítani a források belső elosztásának módja tekintetében, hogy feladatait eredményesen ellássa, és eleget tegyen az elvárásoknak. |
(142) |
Mivel ezen irányelv célját, nevezetesen a kiberbiztonság Unión belüli egységesen magas szintjének megvalósítását a tagállamok nem tudják kielégítően megvalósítani, az Unió szintjén azonban az intézkedés hatásai miatt e cél jobban megvalósítható, az Unió intézkedéseket hozhat a szubszidiaritásnak az Európai Unióról szóló szerződés 5. cikkében foglalt elvével összhangban. Az arányosságnak az említett cikkben foglalt elvével összhangban ez az irányelv nem lépi túl az e cél eléréséhez szükséges mértéket. |
(143) |
Az irányelv tiszteletben tartja az alapvető jogokat, és figyelembe veszi különösen a Charta által elismert elveket, mindenekelőtt a magánélet és a magáncélú kommunikáció tiszteletben tartásához való jogot, a személyes adatok védelméhez való jogot, a vállalkozás szabadságát, a tulajdonhoz való jogot, a hatékony jogorvoslathoz és a tisztességes eljáráshoz való jogot, az ártatlanság vélelmét, valamint a védelemhez való jogot. A hatékony jogorvoslathoz való jog kiterjed az alapvető és fontos szervezetek által nyújtott szolgáltatások igénybe vevőire. Ezt az irányelvet az említett jogokkal és elvekkel összhangban kell végrehajtani. |
(144) |
Az európai adatvédelmi biztossal az (EU) 2018/1725 európai parlamenti és tanácsi rendelet (25) 42. cikkének (1) bekezdésével összhangban konzultációra került sor, és a biztos 2021. március 11-én véleményt nyilvánított (26), |
ELFOGADTA EZT AZ IRÁNYELVET:
I. FEJEZET
II. ÁLTALÁNOS RENDELKEZÉSEK
1. cikk
Tárgy
(1) Ez az irányelv a belső piac működésének javítása érdekében intézkedéseket határoz meg az egységesen magas szintű kiberbiztonság Unión belüli elérése céljából.
(2) Ennek érdekében ezen irányelv a következőket állapítja meg:
a) |
a tagállamok számára azt előíró kötelezettségek, hogy nemzeti kiberbiztonsági stratégiákat fogadjanak el, valamint illetékes hatóságokat, kiberválságok kezelésével foglalkozó hatóságokat, kiberbiztonsággal foglalkozó egyedüli kapcsolattartó pontokat (a továbbiakban: egyedüli kapcsolattartó pontok) és számítógép-biztonsági eseményekre reagáló csoportokat (a továbbiakban: CSIRT-ek) jelöljenek ki vagy hozzanak létre; |
b) |
kiberbiztonsági kockázatkezelési intézkedések és bejelentési kötelezettségek az I. vagy a II. mellékletben említett típusú szervezetek, valamint az (EU) 2022/2557 irányelv szerint kritikus szervezetként azonosított szervezetek számára; |
c) |
szabályok és kötelezettségek a kiberbiztonsági információk megosztására vonatkozóan; |
d) |
felügyeleti és végrehajtási kötelezettségek a tagállamok számára. |
2. cikk
Hatály
(1) Ezt az irányelvet az I. vagy II. mellékletben említett típusú olyan állami vagy magánszervezetekre kell alkalmazni, amelyek a 2003/361/EK ajánlás mellékletének 2. cikke szerint középvállalkozásoknak minősülnek vagy meghaladják az említett cikkben a középvállalkozásokra vonatkozóan előírt küszöbértékeket, és amelyek az Unión belül nyújtják szolgáltatásaikat vagy végzik tevékenységeiket.
Az említett ajánlás melléklete 3. cikkének (4) bekezdése ezen irányelv alkalmazásában nem alkalmazandó.
(2) Ez az irányelv – méretüktől függetlenül – az I. vagy II. mellékletben említett típusú szervezetekre is alkalmazandó, amennyiben:
a) |
a szolgáltatásokat a következők nyújtják:
|
b) |
a szervezet egy tagállamban az egyetlen szolgáltató egy olyan szolgáltatás tekintetében, amely elengedhetetlen a kritikus társadalmi vagy gazdasági tevékenységek fenntartásához; |
c) |
a szervezet által nyújtott szolgáltatás zavara jelentős hatással lehet a közvédelemre, a közbiztonságra vagy a közegészségre; |
d) |
a szervezet által nyújtott szolgáltatás zavara jelentős rendszerszintű kockázatot idézhet elő, különösen azokban az ágazatokban, ahol az említett zavarnak határokon átnyúló hatása lehet; |
e) |
a szervezet kritikus, mivel nemzeti vagy regionális szinten különös fontossággal bír az adott ágazat vagy szolgáltatás típusa, vagy a tagállam más, kölcsönösen függő ágazatai szempontjából; |
f) |
a szervezet:
|
(3) Ez az irányelv – méretüktől függetlenül – az (EU) 2022/2557 irányelv szerint kritikus szervezetként azonosított szervezetekre is alkalmazandó.
(4) Ez az irányelv – méretüktől függetlenül – a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezetekre is alkalmazandó.
(5) A tagállamok rendelkezhetnek úgy, hogy ez az irányelv alkalmazandó a következőkre:
a) |
helyi szintű közigazgatási szervek; |
b) |
oktatási intézmények, különösen, ha kritikus fontosságú kutatási tevékenységeket végeznek. |
(6) Ez az irányelv nem érinti a tagállamoknak a nemzetbiztonság védelmével kapcsolatos felelősségüket és az egyéb alapvető állami funkciók védelmére vonatkozó hatáskörüket, beleértve az állam területi integritásának biztosítását és a közrend fenntartását.
(7) Ez az irányelv nem alkalmazandó azokra a közigazgatási szervekre, amelyek a nemzetbiztonság, a közbiztonság, a védelem vagy a bűnüldözés – többek között a bűncselekmények megelőzése, kivizsgálása, felderítése és büntetőeljárás alá vonása – területén végzik tevékenységeiket.
(8) A tagállamok egyes olyan szervezeteket, amelyek a nemzetbiztonság, a közbiztonság, a védelem vagy a bűnüldözés – többek között a bűncselekmények megelőzése, kivizsgálása, felderítése és büntetőeljárás alá vonása – területén végzik tevékenységeiket vagy amelyek kizárólag az e cikk (7) bekezdésében említett közigazgatási szervek számára nyújtanak szolgáltatásokat, az említett tevékenységek vagy szolgáltatások tekintetében mentesíthetnek a 21. vagy 23. cikkben megállapított kötelezettségek alól. Ilyen esetekben a VII. fejezetben említett felügyeleti és végrehajtási intézkedések nem alkalmazandók az említett egyes tevékenységekre vagy szolgáltatásokra. Amennyiben a szervezetek kizárólag az e bekezdésben említett típusú tevékenységeket végeznek vagy ilyen típusú szolgáltatásokat nyújtanak, a tagállamok ezeket a szervezeteket is mentesíthetik a 3. és 27. cikkben megállapított kötelezettségek alól.
(9) A (7) és (8) bekezdés nem alkalmazandó, ha a szervezet bizalmi szolgáltatóként tevékenykedik.
(10) Ez az irányelv nem alkalmazandó azokra a szervezetekre, amelyeket a tagállamok mentesítettek az (EU) 2022/2554 rendelet hatálya alól az említett rendelet 2. cikkének (4) bekezdésével összhangban.
(11) Az ezen irányelvben meghatározott kötelezettségek nem foglalják magukban olyan információk szolgáltatását, amelyek közzététele ellentétes lenne a tagállamok nemzetbiztonságának, közbiztonságának vagy védelmének alapvető érdekeivel.
(12) Ezt az irányelvet az (EU) 2016/679 rendelet, a 2002/58/EK irányelv, a 2011/93/EU (27) és a 2013/40/EU (28) európai parlamenti és tanácsi irányelv, valamint az (EU) 2022/2557 irányelv sérelme nélkül kell alkalmazni.
(13) Az EUMSZ 346. cikkének sérelme nélkül az uniós vagy nemzeti szabályok értelmében bizalmas információkat – például az üzleti titoktartási szabályokat – csak akkor lehet megosztani a Bizottsággal és az ezen irányelv szerinti más érintett hatóságokkal, ha az említett információcsere ezen irányelv alkalmazásához szükséges. A megosztott információnak az információcsere célja szempontjából lényeges és arányos mértékre kell korlátozódnia. Az információcsere során meg kell őrizni a rendelkezésre bocsátott információk bizalmas jellegét, és óvni kell az érintett szervezetek biztonsági és kereskedelmi érdekeit.
(14) A szervezetek, az illetékes hatóságok, az egyedüli kapcsolattartó pontok és a CSIRT-ek az ezen irányelv céljaihoz szükséges mértékig és az (EU) 2016/679 rendelettel összhangban folytatnak személyesadat-kezelést, és ezen adatkezelés során különösen az említett rendelet 6. cikkére támaszkodnak.
A személyes adatok ezen irányelv szerinti kezelését a nyilvános elektronikus hírközlő hálózatok szolgáltatói vagy a nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó szolgáltatók az adatvédelemre és a magánélet védelmére vonatkozó uniós joggal, különösen a 2002/58/EK irányelvvel összhangban végzik.
3. cikk
Alapvető és fontos szervezetek
(1) Ezen irányelv alkalmazásában a következő szervezeteket kell alapvető szervezetnek tekinteni:
a) |
az I. mellékletben említett típusú azon szervezetek, amelyek meghaladják a 2003/361/EK ajánlás melléklete 2. cikkének (1) bekezdésében a középvállalkozásokra vonatkozóan előírt küszöbértékeket; |
b) |
a minősített bizalmi szolgáltatók és a legfelső szintű doménnév-nyilvántartók, valamint a DNS-szolgáltatók, méretüktől függetlenül; |
c) |
a nyilvános elektronikus hírközlő hálózatok szolgáltatói vagy a nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó szolgáltatók, amelyek a 2003/361/EK ajánlás mellékletének 2. cikke szerint középvállalkozásoknak minősülnek; |
d) |
a 2. cikk (2) bekezdése f) pontjának i. alpontjában említett közigazgatási szervek; |
e) |
az I. vagy II. mellékletben említett típusú bármely egyéb szervezetek, amelyeket egy tagállam a 2. cikk (2) bekezdésének b)–e) pontja alapján alapvető szervezetekként azonosított; |
f) |
az ezen irányelv 2. cikkének (3) bekezdésében említett, az (EU) 2022/2557 irányelv értelmében kritikus szervezetként azonosított szervezetek; |
g) |
amennyiben a tagállam úgy rendelkezik, azon szervezetek, amelyeket az adott tagállam 2023. január 16. előtt az (EU) 2016/1148 irányelvvel vagy a nemzeti joggal összhangban alapvető szolgáltatásokat nyújtó szereplőként azonosított. |
(2) Ezen irányelv alkalmazásában az I. vagy II. mellékletben említett típusú összes olyan szervezetet, amely az e cikk (1) bekezdése értelmében nem minősül alapvető szervezetnek, fontos szervezetnek kell tekinteni. Ebbe beletartoznak azok a szervezetek, amelyeket a tagállamok a 2. cikk (2) bekezdésének b)–e) pontja alapján fontos szervezetként azonosítottak.
(3) A tagállamok 2025. április 17-ig összeállítják az alapvető és fontos szervezetek, valamint a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezetek jegyzékét. A tagállamok az említett jegyzéket rendszeresen, de az említett időpontot követően legalább kétévente felülvizsgálják, és adott esetben frissítik.
(4) A (3) bekezdésben említett jegyzék összeállítása céljából a tagállamok előírják az említett bekezdésben említett szervezetek számára, hogy az illetékes hatóságoknak nyújtsák be legalább a következő információkat:
a) |
a szervezet neve; |
b) |
a cím és naprakész elérhetőségek, beleértve az e-mail-címeket, IP-tartományokat és telefonszámokat; |
c) |
adott esetben az I. vagy II. mellékletben említett megfelelő ágazat és alágazat; valamint |
d) |
adott esetben azon tagállamok jegyzéke, ahol az ezen irányelv hatálya alá tartozó szolgáltatásokat nyújtják. |
A (3) bekezdésben említett szervezetek haladéktalanul, és minden esetben a változás időpontjától számított két héten belül bejelentenek az e bekezdés első albekezdése alapján benyújtott adatokban bekövetkező bármely változást.
A Bizottság az Európai Uniós Kiberbiztonsági Ügynökség (a továbbiakban: ENISA) segítségével indokolatlan késedelem nélkül iránymutatásokat nyújt és sablonokat bocsát rendelkezésre ez e bekezdésben megállapított kötelezettségekre vonatkozóan.
A tagállamok nemzeti mechanizmusokat hozhatnak létre abból a célból, hogy a szervezetek bejegyeztessék magukat.
(5) 2025. április 17-ig és azt követően kétévente az illetékes hatóságok bejelentik:
a) |
a Bizottságnak és az együttműködési csoportnak az I. vagy a II. mellékletben említett egyes ágazatok és alágazatok tekintetében a (3) bekezdés szerint a jegyzékben felsorolt alapvető és fontos szervezetek számát; valamint |
b) |
a Bizottságnak a 2. cikk (2) bekezdésének b)–e) pontja alapján azonosított alapvető és fontos szervezetek számáról, az I. vagy a II. mellékletben említett ágazatukról és alágazatukról, az általuk nyújtott szolgáltatás típusáról, valamint a 2. cikk (2) bekezdésének b)–e) pontjában megállapítottak közül az azonosításuk alapjául szolgáló rendelkezésről szóló releváns információkat. |
(6) 2025. április 17-ig és a Bizottság kérésére a tagállamok bejelenthetik a Bizottságnak az (5) bekezdés b) pontjában említett alapvető és fontos szervezetek nevét.
4. cikk
Ágazatspecifikus uniós jogi aktusok
(1) Amennyiben az ágazatspecifikus uniós jogi aktusok előírják, hogy az alapvető vagy fontos szervezetek kiberbiztonsági kockázatkezelési intézkedéseket fogadjanak el, vagy bejelentsék a jelentős biztonsági eseményeket, és ha ezek a követelmények hatásukban legalább egyenértékűek az ezen irányelvben meghatározott kötelezettségekkel, akkor ezen irányelv vonatkozó rendelkezései – beleértve a VII. fejezetben meghatározott, a felügyeletre és a végrehajtásra vonatkozó rendelkezéseket – nem alkalmazandók az említett szervezetekre. Amennyiben az ágazatspecifikus uniós jogi aktusok hatálya nem terjed ki az ezen irányelv hatálya alá tartozó, adott ágazatban működő valamennyi szervezetre, ezen irányelv vonatkozó rendelkezései továbbra is alkalmazandók azokra a szervezetekre, amelyek nem tartoznak az említett ágazatspecifikus uniós jogi aktusok hatálya alá.
(2) Az e cikk (1) bekezdésében említett követelmények az ezen irányelvben megállapított kötelezettségekkel hatásukban egyenértékűnek tekintendők, ha:
a) |
a kiberbiztonsági kockázatkezelési intézkedések hatásukban legalább egyenértékűek a 21. cikk (1) és (2) bekezdésében megállapítottakkal; vagy |
b) |
az ágazatspecifikus uniós jogi aktus előírja az eseménybejelentésekhez való azonnali – adott esetben automatikus és közvetlen – hozzáférést a CSIRT-ek, az illetékes hatóságok vagy az ezen irányelv szerinti egyedüli kapcsolattartó pontok számára, és ha a jelentős események bejelentésére vonatkozó követelmények hatásukban legalább egyenértékűek az ezen irányelv 23. cikkének (1)–(6) bekezdésében megállapítottakkal. |
(3) A Bizottság 2023. július 17-ig iránymutatásokat ad ki, amelyekben pontosítja az (1) és (2) bekezdés alkalmazását. A Bizottság rendszeresen felülvizsgálja az említett iránymutatásokat. Az említett iránymutatások kidolgozása során a Bizottság figyelembe veszi az együttműködési csoport és az ENISA valamennyi észrevételét.
5. cikk
Minimális harmonizáció
Ez az irányelv nem akadályozza meg a tagállamokat abban, hogy magasabb szintű kiberbiztonságot biztosító rendelkezéseket fogadjanak el vagy tartsanak fenn, feltéve, ha e rendelkezések összhangban vannak a tagállamok uniós jogban megállapított kötelezettségeivel.
6. cikk
Fogalommeghatározások
Ezen irányelv alkalmazásában:
1. |
„hálózati és információs rendszer”:
|
2. |
„hálózati és információs rendszerek biztonsága”: a hálózati és információs rendszerek azon képessége, hogy adott bizonyossággal ellenálljanak minden olyan eseménynek, amely veszélyeztetheti a rajtuk tárolt, továbbított vagy kezelt adatok vagy az említett hálózati és információs rendszerek által kínált vagy azokon keresztül elérhető szolgáltatások rendelkezésre állását, hitelességét, sértetlenségét vagy bizalmasságát; |
3. |
„kiberbiztonság”: az (EU) 2019/881 rendelet 2. cikkének 1. pontjában meghatározott kiberbiztonság; |
4. |
„nemzeti kiberbiztonsági stratégia”: valamely tagállam koherens kerete, amely meghatározza a kiberbiztonság területén követendő stratégiai célokat és prioritásokat és a megvalósításukhoz szükséges irányítási intézkedéseket az adott tagállamban; |
5. |
„majdnem bekövetkezett (near miss) esemény”: olyan esemény, amely veszélyeztethette volna a hálózati és információs rendszereken tárolt, továbbított vagy kezelt adatok vagy az e rendszerek által kínált vagy azokon keresztül elérhető szolgáltatások rendelkezésre állását, hitelességét, sértetlenségét vagy bizalmasságát, de amelynek bekövetkezését sikerült megakadályozni, vagy amely nem következett be; |
6. |
„esemény”: olyan esemény, amely veszélyezteti a hálózati és információs rendszereken tárolt, továbbított vagy kezelt adatok vagy az e rendszerek által kínált vagy azokon keresztül elérhető szolgáltatások rendelkezésre állását, hitelességét, sértetlenségét vagy bizalmasságát; |
7. |
„nagyszabású kiberbiztonsági esemény”: olyan esemény, amely olyan mértékű zavart okoz, amely meghaladja valamely tagállamnak az arra való reagálása képességét, vagy amely legalább két tagállamra jelentős hatást gyakorol; |
8. |
„eseménykezelés”: minden olyan tevékenység és eljárás, amelynek célja az esemény megelőzése, észlelése, elemzése és elszigetelése vagy az eseményre való reagálás és az eseményt követően a működés helyreállítása; |
9. |
„kockázat”: egy esemény által okozott veszteség vagy zavar lehetősége, amelyet az említett veszteség vagy zavar nagyságrendje és az adott esemény bekövetkezési valószínűsége kombinációjaként kell kifejezni; |
10. |
„kiberfenyegetés”: az (EU) 2019/881 rendelet 2. cikkének 8. pontjában meghatározott kiberfenyegetés; |
11. |
„jelentős kiberfenyegetés”: olyan kiberfenyegetés, amelyről – technikai jellemzői alapján – feltételezhető, hogy jelentős vagyoni vagy nem vagyoni kárt okozva súlyos hatást gyakorolhat egy szervezet hálózati és információs rendszereire vagy a szervezet szolgáltatásainak felhasználóira; |
12. |
„IKT-termék”: az (EU) 2019/881 rendelet 2. cikkének 12. pontjában meghatározott IKT-termék; |
13. |
„IKT-szolgáltatás”: az (EU) 2019/881 rendelet 2. cikkének 13. pontjában meghatározott IKT-szolgáltatás; |
14. |
„IKT-folyamat”: az (EU) 2019/881 rendelet 2. cikkének 14. pontjában meghatározott IKT-folyamat; |
15. |
„sérülékenység”: valamely IKT-termék vagy IKT-szolgáltatás gyengesége, érzékenysége vagy hiányossága, amely egy kiberfenyegetés során kihasználható; |
16. |
„szabvány”: az 1025/2012/EU európai parlamenti és tanácsi rendelet (29) 2. cikkének 1. pontjában meghatározott szabvány; |
17. |
„műszaki előírás”: az 1025/2012/EU rendelet 2. cikkének 4. pontjában meghatározott műszaki előírás; |
18. |
„internetes exchange pont” olyan hálózati létesítmény, amely elsősorban az internetes forgalomcsere megkönnyítése érdekében lehetővé teszi kettőnél több, egymástól független hálózat összekapcsolását (a továbbiakban: autonóm rendszerek), amely kizárólag autonóm rendszerek részére biztosít összekapcsolást, és amely nem kívánja meg, hogy a részt vevő bármely két autonóm rendszer között zajló internetes forgalom egy bármely harmadik autonóm rendszeren is áthaladjon, továbbá nem változtatja meg az említett forgalmat, és egyéb módon sem avatkozik be abba; |