Reglamentu nustatytos vienodos finansų subjektų, pavyzdžiui, bankų, draudimo bendrovių ir investicinių įmonių, tinklų ir informacinių sistemų saugumo taisyklės.

Jis taikomas daugeliui Europos Sąjungos (ES) reguliuojamų finansų subjektų, reikalaujant, kad jie būtų atsparūs bet kokiems su informacinėmis ir ryšių technologijomis (IRT) susijusiems trikdžiams ar grėsmėms, reaguotų į jas ir atsigautų po jų.

PAGRINDINIAI ASPEKTAI

Taikymo sritis

Reglamentas taikomas:

kredito, mokėjimo, elektroninių pinigų ir profesinių pensijų įstaigoms;
sąskaitų informacijos, kriptovaliutų turto, duomenų teikimo, sutelktinio finansavimo ir IRT trečiųjų šalių paslaugų teikėjams;
investicinėms įmonėms, alternatyvaus investavimo fondams, valdymo įmonėms, kredito reitingų agentūroms ir svarbiausių lyginamųjų indeksų administratoriams;
sandorių ir pakeitimo vertybiniais popieriais saugykloms, centriniams vertybinių popierių depozitoriumams, pagrindinėms sandorio šalims ir prekybos vietoms;
draudimo, draudimo tarpininkų ir perdraudimo įmonėms.

IRT rizikos valdymas

Finansų subjektai, išskyrus labai mažas įmones turi:

įdiegti vidaus valdymo ir kontrolės priemones, užtikrinančias veiksmingą ir apdairų IRT rizikos valdymą;
užtikrinti, kad jų valdymo organas nustatytų, patvirtintų, prižiūrėtų ir būtų atsakingas už visas atitinkamas priemones;
turėti patikimą, išsamią ir gerai dokumentuotą IRT rizikos valdymo sistemą su būtinomis strategijomis, politika, procedūromis, protokolais ir priemonėmis, kad būtų galima greitai ir veiksmingai reaguoti;
naudoti ir prižiūrėti atnaujintas IRT sistemas, protokolus ir priemones, kurios yra tinkamos, patikimos, technologiškai atsparios ir turi pakankamus pajėgumus;
nustatyti, klasifikuoti ir tinkamai dokumentuoti visas IRT palaikomas verslo funkcijas, vaidmenis ir atsakomybę bei peržiūrėti rizikos scenarijus;
nuolat stebėti IRT sistemų ir priemonių saugumą ir veikimą, kad būtų sumažintas bet kokios IRT rizikos poveikis;
greitai aptikti pažeidimus ir nustatyti galimus sutrikimus;
įdiegti išsamią IRT veiklos tęstinumo politiką su atitinkamais planais, procedūromis ir mechanizmais;
kurti ir dokumentuoti atsarginių kopijų kūrimo politiką ir atkūrimo bei atgavimo procedūras;
pasitelkti išteklius ir darbuotojus, kad įvertintų pažeidžiamumą ir kibernetines grėsmes, su IRT susijusius incidentus, ypač kibernetines atakas, ir analizuoti jų galimą poveikį subjekto skaitmeninės veiklos atsparumui;
parengti krizių komunikacijos planus, kad klientams, partneriams ir visuomenei būtų atskleisti bent didžiausi su IRT susiję incidentai ar pažeidžiamumai.

Su IRT susijęs valdymas, klasifikavimas ir ataskaitų teikimas

Finansų subjektai turi:

apibrėžti, nustatyti ir įgyvendinti priemones, skirtas su IRT susijusiems incidentams aptikti, valdyti, registruoti ir apie juos pranešti;
klasifikuoti incidentus ir nustatyti jų poveikį pagal tokius kriterijus, kaip paveiktų klientų ir partnerių skaičius, trukmė, geografinis paplitimas ir duomenų praradimas;
pranešti apie didelius su IRT susijusius incidentus savo paskirtai kompetentingai institucijai, kuri juos perduoda aukštesnei institucijai, pavyzdžiui, Europos centriniam bankui arba Europos bankininkystės institucijai.

Skaitmeninio operacinio atsparumo testavimas

Finansų subjektai, išskyrus labai mažas įmones turi:

sukurti, prižiūrėti ir peržiūrėti patikimą ir išsamią skaitmeninio operacinio testavimo programą, apimančią būtinus vertinimus, testus, metodikas, praktiką ir priemones;
ne rečiau kaip kas trejus metus atlikti grėsmės lygio įsiskverbimo testus, atsižvelgiant į rizikos profilį ir veiklos aplinkybes, ir pasitelkti tik sertifikuotus, reikiamą kompetenciją turinčius bei profesinės civilinės atsakomybės draudimą turinčius testuotojus.

IRT trečiųjų šalių rizikos valdymas

Finansų subjektai turi:

valdyti trečiųjų šalių riziką, kuri yra neatsiejama bendros IRT rizikos sudedamoji dalis;
sudaryti sutartis dėl IRT paslaugų, kad jų verslo operacijos būtų vykdomos visiškai laikantis atitinkamų teisės aktų;
atsižvelgti į su IRT susijusių priklausomybių pobūdį, mastą, sudėtingumą ir svarbą bei galimą riziką;
pasverti alternatyvių sprendimų naudą ir sąnaudas nustatant ir įvertinant bet kokią susijusią riziką;
į sutartį įtraukti kiekvienos šalies teises ir pareigas bei paslaugų sutartį.

Ypatingos svarbos IRT paslaugas teikiančių trečiųjų šalių priežiūros sistema

Sistema:

paveda Europos priežiūros institucijoms (EPI):
- remiantis aiškiais kriterijais paskirti IRT trečiųjų šalių paslaugų teikėjus, kurie laikomi itin svarbiais finansų subjektams,
- kiekvienam ypatingos svarbos trečiųjų šalių paslaugų teikėjui paskiria priežiūros instituciją, atsakingą už atitinkamą finansų subjektą;
įsteigia Priežiūros forumą, kurio paskirtis:
- aptarti atitinkamus su IRT rizika ir pažeidžiamumu susijusius pokyčius ir skatinti nuoseklų ES stebėsenos metodą,
- kasmet vertinti priežiūros veiklą, skatinti veiksmus, kuriais didinamas skaitmeninės veiklos atsparumas, ir puoselėti geriausią praktiką,
- pateikti išsamius svarbiausių IRT trečiųjų šalių paslaugų teikėjų lyginamuosius standartus;
įpareigoja atsakingąją priežiūros instituciją:
- būti svarbiausių IRT trečiųjų šalių paslaugų teikėjų pagrindiniu kontaktiniu punktu,
- įvertinti, ar kiekvienas ypatingos svarbos paslaugų teikėjas turi išsamias, patikimas ir veiksmingas taisykles, procedūras, mechanizmus ir priemones,
- prašyti visos susijusios informacijos ir dokumentų, atlikti tyrimus ir patikrinimus (taip pat ir ES nepriklausančiose šalyse), nurodyti taisomuosius veiksmus ir pateikti rekomendacijas;
suteikia galimybę Europos bankininkystės institucijai, Europos draudimo ir profesinių pensijų institucijai ir Europos vertybinių popierių ir rinkų institucijai bendradarbiauti su ES nepriklausančiomis reguliavimo ir priežiūros institucijomis IRT trečiųjų šalių rizikos srityje;
reikalauja, kad EPI kas penkerius metus Europos Parlamentui, Europos Sąjungos Tarybai ir Europos Komisijai pateiktų konfidencialią ataskaitą apie savo ryšius su ne ES institucijomis.

Dalijimosi informacija schemos

Finansų subjektai gali tarpusavyje keistis kibernetinių grėsmių informacija ir žvalgybos duomenimis, jei:

taip siekiama sustiprinti jų skaitmeninės veiklos atsparumą;
tai vyksta jų patikimose bendruomenėse;
tai saugo verslo konfidencialumą ir asmens duomenis bei padeda laikytis konkurencijos politikos taisyklių.

Nuobaudos ir taisomosios priemonės

Kompetentingos valdžios institucijos:

turi visus priežiūros, tyrimo ir sankcijų taikymo įgaliojimus, reikalingus jų pareigoms atlikti;
skiria nacionalinėje teisėje nustatytas administracines nuobaudas ir taisomąsias priemones ir jas skelbia savo interneto svetainėse.

EPI rengia IRT rizikos valdymo priemonių, su IRT susijusių incidentų klasifikavimo ir pranešimo apie juos bei priežiūros veiklos vykdymo techninių reguliavimo standartų projektus.

Komisija:

turi teisę priimti deleguotuosius aktus;
pasikonsultavusi su EPI ir Europos sisteminės rizikos valdyba, iki 2028 m. sausio 17 d. pateikia Parlamentui ir Tarybai reglamento peržiūrą.

Šiuo reglamentu iš dalies keičiami reglamentai (EB) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 909/2014, (ES) Nr. 600/2014 ir (ES) 2016/1011.

NUO KADA TAIKOMAS ŠIS REGLAMENTAS?

Šis reglamentas taikomas nuo 2025 m. sausio 17 d.

KONTEKSTAS

Po 2008 m. finansų krizės įvykdytos reformos pirmiausia sustiprino sektoriaus finansinį stabilumą. Kai kuriose srityse IRT rizikos klausimai buvo sprendžiami tik netiesiogiai ir toliau kėlė grėsmę ES finansų sistemos veiklos atsparumui, veikimui ir stabilumui.

Reglamentas, žinomas kaip SVAA, yra didesnio skaitmeninių finansų dokumentų rinkinio, kuriuo siekiama skatinti technologijų plėtrą ir užtikrinti finansinį stabilumą bei vartotojų apsaugą, dalis. Kiti jos elementai apima skaitmeninių finansų strategiją, kriptoturto rinkas ir paskirstytojo registro technologiją.

Daugiau informacijos žr.:

Skaitmeninių finansų dokumentų rinkinys (Europos Komisija).

PAGRINDINIS DOKUMENTAS

2022 m. gruodžio 14 d. Europos Parlamento ir Tarybos reglamentas (ES) 2022/2554 dėl skaitmeninės veiklos atsparumo finansų sektoriuje, kuriuo iš dalies keičiami reglamentai (EB) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 ir (ES) 2016/1011 (OL L 333, 2022 12 27, p. 1–79)

SUSIJĘ DOKUMENTAI

Komisijos komunikatas Europos Parlamentui, Tarybai, Europos ekonomikos ir socialinių reikalų komitetui ir Regionų komitetui dėl ES skaitmeninių finansų strategijos (COM(2020) 591 final, 2022 9 24)

2016 m. birželio 8 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/1011 dėl indeksų, kurie kaip lyginamieji indeksai naudojami finansinėse priemonėse ir finansinėse sutartyse arba siekiant įvertinti investicinių fondų veiklos rezultatus, kuriuo iš dalies keičiami direktyvos 2008/48/EB ir 2014/17/ES bei Reglamentas (ES) Nr. 596/2014 (OL L 171, 2016 6 29, p. 1–65)

Vėlesni Reglamento (ES) 2016/1011 daliniai pakeitimai buvo įterpti į pradinį dokumentą. Ši konsoliduota versija yra skirta tik informacijai.

2014 m. liepos 23 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 909/2014 dėl atsiskaitymo už vertybinius popierius gerinimo Europos Sąjungoje ir centrinių vertybinių popierių depozitoriumų, kuriuo iš dalies keičiamos direktyvos 98/26/EB ir 2014/65/ES bei Reglamentas (ES) Nr. 236/2012 (OL L 257, 2014 8 28, p. 1–72)

Žr. konsoliduotą versiją.

2014 m. gegužės 15 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 600/2014 dėl finansinių priemonių rinkų, kuriuo iš dalies keičiamas Reglamentas (ES) Nr. 648/2012 (OL L 173, 2014 6 12, p. 84–148)

Žr. konsoliduotą versiją.

2012 m. liepos 4 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 648/2012 dėl ne biržos išvestinių finansinių priemonių, pagrindinių sandorio šalių ir sandorių duomenų saugyklų (OL L 201, 2012 7 27, p. 1–59)

Žr. konsoliduotą versiją.

2009 m. rugsėjo 16 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1060/2009 dėl kredito reitingų agentūrų (OL L 302, 2009 11 17, p. 1–31)

Žr. konsoliduotą versiją.

paskutinis atnaujinimas 10.01.2024

Top