32022L2556

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
Direktīva - 2022/2556 - EN - EUR-Lex

Document 32022L2556

Help

Eiropas Parlamenta un Padomes Direktīva (ES) 2022/2556 (2022. gada 14. decembris), ar ko groza Direktīvas 2009/65/EK, 2009/138/EK, 2011/61/ES, 2013/36/ES, 2014/59/ES, 2014/65/ES, (ES) 2015/2366 un (ES) 2016/2341 attiecībā uz finanšu nozares digitālās darbības noturību (Dokuments attiecas uz EEZ)

PE/42/2022/REV/1

OV L 333, 27.12.2022, p. 153–163 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/dir/2022/2556/oj

HTML

PDF

Official Journal

27.12.2022

Eiropas Savienības Oficiālais Vēstnesis

L 333/153

EIROPAS PARLAMENTA UN PADOMES DIREKTĪVA (ES) 2022/2556

(2022. gada 14. decembris),

ar ko groza Direktīvas 2009/65/EK, 2009/138/EK, 2011/61/ES, 2013/36/ES, 2014/59/ES, 2014/65/ES, (ES) 2015/2366 un (ES) 2016/2341 attiecībā uz finanšu nozares digitālās darbības noturību

(Dokuments attiecas uz EEZ)

EIROPAS PARLAMENTS UN EIROPAS SAVIENĪBAS PADOME,

ņemot vērā Līgumu par Eiropas Savienības darbību un jo īpaši tā 53. panta 1. punktu un 114. pantu,

ņemot vērā Eiropas Komisijas priekšlikumu,

pēc leģislatīvā akta projekta nosūtīšanas valstu parlamentiem,

ņemot vērā Eiropas Centrālās bankas atzinumu (1),

ņemot vērā Eiropas Ekonomikas un sociālo lietu komitejas atzinumu (2),

saskaņā ar parasto likumdošanas procedūru (3),

tā kā:

(1)

Savienībai ir pienācīgi un vispusīgi jānovērš tādi digitālie riski visām finanšu vienībām, kas izriet no informācijas un komunikācijas tehnoloģiju (IKT) plašākas izmantošanas finanšu pakalpojumu sniegšanā un patērēšanā, tādējādi palīdzot īstenot digitālo finanšu potenciālu inovācijas un konkurences veicināšanas drošā digitālā vidē ziņā.

(2)

Finanšu vienības ir ļoti atkarīgas no digitālo tehnoloģiju izmantošanas savā ikdienas darbībā. Tāpēc ir ārkārtīgi svarīgi nodrošināt to digitālās darbības noturību pret IKT risku. Šī vajadzība ir kļuvusi vēl aktuālāka progresīvo tehnoloģiju tirgus izaugsmes dēļ, jo īpaši tādu tehnoloģiju, kas ļauj elektroniski pārsūtīt un uzglabāt vērtību vai tiesību digitālu attēlojumu, izmantojot sadalīto virsgrāmatu vai līdzīgu tehnoloģiju (kriptoaktīvi), kā arī ar minētajiem aktīviem saistītu pakalpojumu tirgus izaugsmes dēļ.

(3)

Savienības līmenī prasības, kas saistītas ar IKT riska pārvaldību finanšu nozarē, pašlaik ir paredzētas Eiropas Parlamenta un Padomes Direktīvās 2009/65/EK (4), 2009/138/EK (5), 2011/61/ES (6), 2013/36/ES (7), 2014/59/ES (8), 2014/65/ES (9), (ES) 2015/2366 (10) un (ES) 2016/2341 (11).

Minētās prasības ir atšķirīgas un reizēm nepilnīgas. Dažviet IKT risks ir aplūkots tikai netieši kā operacionālā riska daļa, savukārt citviet tas vispār nav aplūkots. Minētie jautājumi ir novērsti, pieņemot Eiropas Parlamenta un Padomes Regulu (ES) 2022/2554 (12). Tādēļ minētās direktīvas jāgroza, lai nodrošinātu atbilstību minētajai regulai. Ar šo direktīvu ieviests vairāku tādu grozījumu kopums, kas ir nepieciešami, lai panāktu juridisko skaidrību un konsekvenci attiecībā uz to, kā finanšu vienības, kas ir pilnvarotas un tiek uzraudzītas saskaņā ar minētajām direktīvām, piemēro dažādas tādas prasības saistībā ar digitālās darbības noturību, kas nepieciešamas šo vienību darbību veikšanai un pakalpojumu sniegšanai, tādējādi garantējot netraucētu iekšējā tirgus darbību. Ir jānodrošina minēto prasību atbilstība tirgus attīstībai, vienlaikus veicinot samērīgumu, jo īpaši attiecībā uz finanšu vienību lielumu un īpašajiem režīmiem, kas uz tām attiecas, nolūkā samazināt atbilstības nodrošināšanas izmaksas.

(4)

Banku pakalpojumu jomā Direktīvā 2013/36/ES pašlaik ir paredzēti vienīgi vispārēji iekšējās pārvaldības noteikumi un noteikumi par operacionālo risku, kas ietver prasības attiecībā uz ārkārtas situāciju un darbības nepārtrauktības plāniem, kuri netieši ir pamats tam, lai pievērstos IKT riskam. Tomēr, lai IKT riskam pievērstos nepārprotami un skaidri, prasības attiecībā uz ārkārtas situāciju un darbības nepārtrauktības plāniem būtu jāgroza, lai iekļautu darbības nepārtrauktības plānus un reaģēšanas un seku novēršanas plānus arī attiecībā uz IKT risku saskaņā ar prasībām, kas noteiktas Regulā (ES) 2022/2554. Turklāt IKT risks kā daļa no operacionālā riska ir tikai netieši iekļauts uzraudzības pārbaudes un novērtēšanas procesā (SREP), ko veic kompetentās iestādes, un tā novērtēšanas kritēriji pašlaik ir noteikti Eiropas Uzraudzības iestādes (Eiropas Banku iestādes) (EBI), kas izveidota ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 1093/2010 (13), izdotajās Pamatnostādnēs par IKT riska novērtēšanu saskaņā ar Uzraudzības pārskata un novērtēšanas procesu (SREP). Lai nodrošinātu juridisko skaidrību un to, ka banku uzraudzītāji efektīvi identificē IKT risku un pārrauga, kā finanšu vienības to pārvalda, saskaņā ar jauno digitālās darbības noturības regulējumu, būtu jāgroza arī SREP darbības joma, lai skaidri atsauktos uz Regulā (ES) 2022/2554 noteiktajām prasībām un jo īpaši aptvertu riskus, kas atklāti ziņojumos par būtiskiem incidentiem, kuri saistīti ar IKT, un to digitālās darbības noturības testēšanas rezultātos, kurus finanšu vienības veikušas saskaņā ar minēto regulu.

(5)

Digitālās darbības noturība ir būtiska, lai saglabātu finanšu vienības kritiski svarīgās funkcijas un galvenos darbības virzienus noregulējuma gadījumā un tādējādi izvairītos no reālās ekonomikas un finanšu sistēmas traucējumiem. Būtiski operacionālie incidenti var kavēt finanšu vienības spēju turpināt darbību un var apdraudēt noregulējuma mērķu sasniegšanu. Būtiskas ir dažas līgumiskas vienošanās par IKT pakalpojumu izmantošanu, lai noregulējuma gadījumā nodrošinātu darbības nepārtrauktību un sniegtu nepieciešamos datus. Lai nodrošinātu saskaņotību ar Savienības darbības noturības regulējuma mērķiem, Direktīva 2014/59/ES būtu attiecīgi jāgroza nolūkā panākt, ka informācija par darbības noturību tiek ņemta vērā saistībā ar noregulējuma plānošanu un finanšu vienību noregulējamības novērtējumu.

(6)

Direktīvā 2014/65/ES attiecībā uz ieguldījumu brokeru sabiedrībām un tirdzniecības vietām, kas veic algoritmisko tirdzniecību, ir paredzēti stingrāki noteikumi saistībā ar IKT risku. Ne tik sīki izstrādātas prasības attiecas uz datu ziņošanas pakalpojumiem un darījumu reģistriem. Turklāt Direktīvā 2014/65/ES ir iekļautas tikai ierobežotas atsauces uz informācijas apstrādes sistēmu kontroles un drošības pasākumiem un uz atbilstošu sistēmu, resursu un procedūru izmantošanu, lai nodrošinātu darbības pakalpojumu nepārtrauktību un regularitāti. Bez tam minētā direktīva būtu jāsaskaņo ar Regulu (ES) 2022/2554 attiecībā uz ieguldījumu pakalpojumu sniegšanu un ieguldījumu darbību veikšanas nepārtrauktību un regularitāti, darbības noturību, tirdzniecības sistēmu veiktspēju, kā arī darbības nepārtrauktības pasākumu un riska pārvaldības efektivitāti.

(7)

Direktīvā (ES) 2015/2366 ir izklāstīti īpaši noteikumi par IKT drošības pārbaudēm un riska mazināšanas elementiem, lai saņemtu atļauju sniegt maksājumu pakalpojumus. Minētie atļauju piešķiršanas noteikumi būtu jāgroza, lai tos saskaņotu ar Regulu (ES) 2022/2554. Turklāt, lai samazinātu administratīvo slogu un izvairītos no sarežģītības un dublējošām ziņošanas prasībām, minētajā direktīvā paredzētie incidentu ziņošanas noteikumi būtu jābeidz piemērot maksājumu pakalpojumu sniedzējiem, kuri tiek regulēti saskaņā ar minēto direktīvu un uz kuriem attiecas arī Regula (ES) 2022/2554, tādejādi ļaujot minētajiem maksājumu pakalpojumu sniedzējiem gūt labumu no vienota, pilnībā saskaņota incidentu ziņošanas mehānisma attiecībā uz visiem ar maksājumiem saistītiem darbības vai drošības incidentiem neatkarīgi no tā, vai šādi incidenti ir saistīti ar IKT.

(8)

Direktīvā 2009/138/EK un Direktīvā (ES) 2016/2341 IKT risks ir daļēji aptverts vispārīgajos noteikumos par pārvaldību un riska vadību, paredzot, ka dažas prasības ir jāprecizē, pieņemot deleģētos aktus ar vai bez īpašām atsaucēm uz IKT risku. Līdzīgi, tikai ļoti vispārīgi noteikumi ir piemērojami alternatīvo ieguldījumu fondu pārvaldniekiem, uz kuriem attiecas Direktīvas 2011/61/ES, un uz pārvaldības sabiedrībām, uz kurām attiecas Direktīva 2009/65/EK. Tāpēc minētās direktīvas būtu jāsaskaņo ar Regulā (ES) 2022/2554 noteiktajām prasībām attiecībā uz IKT sistēmu un rīku pārvaldību.

(9)

Daudzos gadījumos papildu prasības attiecībā uz IKT risku jau ir noteiktas deleģētajos un īstenošanas aktos, kas pieņemti, pamatojoties uz regulatīvo tehnisko standartu projektiem un īstenošanas tehnisko standartu projektiem, kurus izstrādājusi kompetentā Eiropas Uzraudzības iestāde. Ņemot vērā to, ka turpmāk IKT riska finanšu nozarē tiesiskais regulējums ir Regulas (ES) 2022/2554 noteikumi, dažas pilnvaras pieņemt deleģētos un īstenošanas aktus Direktīvās 2009/65/EK, 2009/138/EK, 2011/61/ES un 2014/65/ES būtu jāgroza, lai minēto pilnvaru darbības jomā vairs nebūtu noteikumi attiecībā uz IKT risku.

(10)	Lai nodrošinātu jaunās digitālās darbības noturības satvara finanšu nozarē konsekventu īstenošanu, no Regulas 2022/2554 piemērošanas dienas dalībvalstīm būtu jāpiemēro to valsts tiesību aktu noteikumi, ar kuriem transponē šo direktīvu.

(11)

Direktīvas 2009/65/EK, 2009/138/EK, 2011/61/ES, 2013/36/ES, 2014/59/ES, 2014/65/ES, (ES) 2015/2366 un (ES) 2016/2341 ir pieņemtas, pamatojoties uz Līguma par Eiropas Savienības darbību (LESD) 53. panta 1. punktu vai 114. pantu, vai abiem. Šajā direktīvā noteiktie grozījumi ir iekļauti vienotā leģislatīvā aktā, ņemot vērā grozījumu priekšmeta un mērķu savstarpējo saistību. Attiecīgi šī direktīva būtu jāpieņem, pamatojoties gan uz LESD 53. panta 1. punktu, gan 114. pantu.

(12)

Ņemot vērā to, ka šīs direktīvas mērķus nevar pietiekami labi sasniegt atsevišķās dalībvalstīs, jo tie paredz to prasību saskaņošanu, kas jau ir ietvertas direktīvās, bet gan šīs darbības mēroga un iedarbības dēļ tos var labāk sasniegt Savienības līmenī, Savienība var pieņemt pasākumus saskaņā ar Līguma par Eiropas Savienību 5. pantā noteikto subsidiaritātes principu. Saskaņā ar minētajā pantā noteikto proporcionalitātes principu šajā direktīvā paredz vienīgi tos pasākumus, kas ir vajadzīgi minēto mērķu sasniegšanai.

(13)

Saskaņā ar Dalībvalstu un Komisijas 2011. gada 28. septembra kopīgo politisko deklarāciju par skaidrojošiem dokumentiem (14) dalībvalstis ir apņēmušās, paziņojot savus transponēšanas pasākumus, pamatotos gadījumos pievienot vienu vai vairākus dokumentus, kuros paskaidrota saikne starp direktīvas sastāvdaļām un atbilstīgajām daļām valsts transponēšanas instrumentos. Attiecībā uz šo direktīvu likumdevējs uzskata, ka šādu dokumentu nosūtīšana ir pamatota,

IR PIEŅĒMUŠI ŠO DIREKTĪVU.

1. pants

Grozījumi Direktīvā 2009/65/EK

Direktīvas 2009/65/EK 12. pantu groza šādi:

panta 1. punkta otrās daļas a) apakšpunktu aizstāj ar šādu:

“a)

izmantotu pareizas administratīvas un grāmatvedības procedūras, kontroles un aizsardzības pasākumus elektronisko datu apstrādei, tostarp attiecībā uz tīklu un informācijas sistēmām, kas ir ieviestas un tiek pārvaldītas saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2022/2554 (*1), kā arī atbilstīgus iekšējās kontroles mehānismus, tostarp jo īpaši noteikumus attiecībā uz darbinieku personīgajiem darījumiem vai tādu glabāšanu vai pārvaldību, kas attiecas uz ieguldījumiem finanšu instrumentos, lai ieguldītu pašu kontos, un nodrošinātu vismaz to, ka katru ar PVKIU saistīto darījumu var rekonstruēt pēc tā izcelsmes, iesaistītajām pusēm, būtības, veikšanas laika un vietas un ka PVKIU aktīvus, kas ir pārvaldības sabiedrības pārvaldībā, iegulda atbilstīgi fondu nolikumiem vai dibināšanas dokumentiem un spēkā esošajām tiesību normām;

(*1) Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 (2022. gada 14. decembris) par finanšu nozares digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011 (OV L 333, 27.12.2022.1.. lpp., ).”;"

panta 3. punktu aizstāj ar šādu:

“3. Neskarot 116. pantu, Komisija, izmantojot deleģētus aktus saskaņā ar 112.a pantu, pieņem pasākumus, precizējot:

a)	procedūras un kārtību, kas minētas 1. punkta otrās daļas a) apakšpunktā, izņemot tās, kas attiecas uz tīklu un informācijas sistēmām;

b)	struktūru un organizatoriskās prasības, lai līdz minimumam samazinātu interešu konfliktus, kas minēti 1. punkta otrās daļas b) apakšpunktā.”

2. pants

Grozījumi Direktīvā 2009/138/EK

Direktīvu 2009/138/EK groza šādi:

direktīvas 41. panta 4. punktu aizstāj ar šādu:

“4. Apdrošināšanas vai pārapdrošināšanas sabiedrības veic vajadzīgos pasākumus darbību nepārtrauktības un regularitātes nodrošināšanai, tostarp izstrādājot ārkārtas situāciju plānus. Tālab sabiedrība izmanto atbilstīgas un samērīgas sistēmas, resursus un procedūras un jo īpaši ievieš un pārvalda tīklu un informācijas sistēmas saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2022/2554 (*2).

(*2) Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 (2022. gada 14. decembris) par finanšu nozares digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011 (OV L 333, 27.12.2022.1.. lpp., ).”;"

direktīvas 50. panta 1. punkta a) un b) apakšpunktu aizstāj ar šādiem:

“a)	sistēmu elementus, kas minēti direktīvas 41. pantā, 44. pantā, jo īpaši jomas, kas uzskaitītas 44. panta 2. punktā, un 46. un 47. pantā, izņemot tos, kas attiecas uz informācijas un komunikācijas tehnoloģiju risku vadību;

b)	funkcijas, kas minētas 44., 46., 47. un 48. pantā, izņemot funkcijas, kas saistītas ar informācijas un komunikācijas tehnoloģiju risku vadību.”

3. pants

Grozījums Direktīvā 2011/61/ES

Direktīvas 2011/61/ES 18. pantu aizstāj ar šādu:

“18. pants

Vispārējie principi

1. Dalībvalstis prasa, lai AIFP vienmēr izmanto pietiekamus un atbilstošus cilvēkresursus un tehniskos resursus, kas nepieciešami, lai pareizi pārvaldītu AIF.

Jo īpaši AIFP izcelsmes dalībvalsts kompetentās iestādes, ņemot vērā arī AIFP pārvaldītā AIF raksturu, prasa, lai AIFP izmantotu pareizas administratīvas un grāmatvedības procedūras, kontroles un aizsardzības pasākumus elektronisko datu apstrādei, tostarp attiecībā uz tīklu un informācijas sistēmām, kas ir ieviestas un tiek pārvaldītas saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2022/2554 (*3), kā arī atbilstīgus iekšējās kontroles mehānismus, tostarp jo īpaši noteikumus attiecībā uz darbinieku personīgajiem darījumiem vai ieguldījumu turēšanu vai pārvaldību, lai ieguldītu savā vārdā un nodrošinātu vismaz to, ka ir iespējams iegūt informāciju par katru ar AIF saistīto darījumu pēc tā veikšanas – tā izcelsmi, iesaistītajām pusēm, raksturu, veikšanas laiku un vietu – un ka AIFP pārvaldīto AIF aktīvus iegulda atbilstīgi AIF nolikumam vai dibināšanas dokumentiem un spēkā esošajām tiesību normām.

2. Komisija, izmantojot deleģētos aktus saskaņā ar 56. pantu un ievērojot 57. un 58. panta nosacījumus, pieņem pasākumus, nosakot šā panta 1. punktā minētās procedūras un kārtību, izņemot tās, kas attiecas uz tīklu un informācijas sistēmām.

4. pants

Grozījumi Direktīvā 2013/36/ES

Direktīvu 2013/36/ES groza šādi:

direktīvas 65. panta 3. punkta a) apakšpunkta vi) punktu aizstāj ar šādu:

“vi)	trešās personas, ar kurām i)–iv) apakšpunktā minētās sabiedrības ir noslēgušas ārpakalpojumu līgumus par funkciju vai darbību veikšanu, tostarp trešās personas, kas sniedz IKT pakalpojumus, kā minēts Eiropas Parlamenta un Padomes Regulas (ES) 2022/2554 (*4) V nodaļā;

(*4) Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 (2022. gada 14. decembris) par finanšu nozares digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011 (OV L 333, 27.12.2022.1.. lpp., ).”;"

direktīvas 74. panta 1. punkta pirmo daļu aizstāj ar šādu:

“Iestādēm ir noturīga pārvaldības kārtība, kas ietver skaidru organizatorisko struktūru ar precīzi definētu, pārredzamu un konsekventu atbildības sadalījumu, efektīvus procesus esošo vai varbūtējo risku identificēšanai, pārvaldībai, pārraudzībai un ziņošanai par tiem, piemērotus iekšējās kontroles mehānismus, tostarp pareizas administratīvās un grāmatvedības procedūras, tīklu un informācijas sistēmas, kas ir ieviestas un tiek pārvaldītas saskaņā ar Regulu (ES) 2022/2554, un tādu atalgojuma politiku un praksi, kas atbilst pareizai un efektīvai riska pārvaldībai un veicina to.”;

direktīvas 85. panta 2. punktu aizstāj ar šādu:

“2. Kompetentās iestādes nodrošina, ka iestādēm ir izstrādāta ārkārtas situāciju un darbības nepārtrauktības politika un plāni, tostarp IKT darbības nepārtrauktības politika un plāni un IKT reaģēšanas un seku novēršanas plāni tehnoloģijai, ko tās izmanto informācijas paziņošanai, un ka minētie plāni tiek izstrādāti, pārvaldīti un testēti saskaņā ar Regulas (ES) 2022/2554 11. pantu, lai ļautu iestādēm turpināt darboties smagu darbības traucējumu gadījumā un ierobežot zaudējumus, kas rodas šādu traucējumu rezultātā.”;

direktīvas 97. panta 1. punktā pievieno šādu apakšpunktu:

“d)	riskus, kas atklājas digitālās darbības noturības testēšanā saskaņā ar Regulas (ES) 2022/2554 IV nodaļu.”

5. pants

Grozījumi Direktīvā 2014/59/ES

Direktīvu 2014/59/ES groza šādi:

direktīvas 10. pantu groza šādi:

panta 7. punkta c) apakšpunktu aizstāj ar šādu:

“c)	to, kādā veidā varētu nepieciešamajā apmērā juridiski un ekonomiski nodalīt kritiski svarīgās funkcijas un galvenās darbības jomas no citām funkcijām, lai nodrošinātu to nepārtrauktību un digitālās darbības noturību iestādes darbības nespējas gadījumā”;

panta 7. punkta q) apakšpunktu aizstāj ar šādu:

“q)	aprakstu par būtiskām darbībām un sistēmām iestādes operacionālo procesu nepārtrauktas darbības uzturēšanai, tostarp tīklu un informācijas sistēmām, kā minēts Eiropas Parlamenta un Padomes Regulā (ES) 2022/2554 (*5);

(*5) Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 (2022. gada 14. decembris) par finanšu nozares digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011 (OV L 333, 27.12.2022.1.. lpp., ).”;"

c)	panta 9. punktā pievieno šādu daļu: “EBI saskaņā ar Regulas (ES) Nr. 1093/2010 10. pantu pārskata un attiecīgā gadījumā atjaunina regulatīvos tehniskos standartus, lai cita starpā ņemtu vērā Regulas (ES) 2022/2554 II nodaļas noteikumus.”;

pielikumu groza šādi:

pielikuma A iedaļas 16. punktu aizstāj ar šādu:

“16)	mehānismi un pasākumi, kas vajadzīgi, lai pastāvīgi uzturētu iestādes operacionālos procesus, tostarp tīklu un informācijas sistēmu, kas ir ieviesti un tiek pārvaldīti saskaņā ar Regulu (ES) 2022/2554, nepārtrauktu darbību;”;

pielikuma B iedaļu groza šādi:

iedaļas 14. punktu aizstāj ar šādu:

“14)

13) punktā norādīto sistēmu īpašnieku identificēšana, ar tām saistīto pakalpojumu līmeņa līgumu un programmatūras un sistēmu vai licenču identificēšana, tostarp to juridisko personu, kritiski svarīgo darbību un galveno darbības jomu kartēšana, kā arī Regulas (ES) 2022/2554 3. panta 23) punktā definēto kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, identificēšana;”;

ii)

iekļauj šādu punktu:

“14.a)

iestāžu digitālās darbības noturības testēšanas rezultāti saskaņā ar Regulu (ES) 2022/2554;”;

pielikuma C iedaļu groza šādi:

iedaļas 4. punktu aizstāj ar šādu:

“4)	to, ciktāl iestādes uzturētie pakalpojumu līgumi, tostarp līgumiskas vienošanās par IKT pakalpojumu izmantošanu, ir stingri un pilnībā izpildāmi iestādes noregulējuma gadījumā;”;

ii)

iekļauj šādu punktu:

“4.a)

to tīklu un informācijas sistēmu digitālā darbības noturība, kas atbalsta iestādes kritiski svarīgās funkcijas un galvenos darbības virzienus, ņemot vērā ziņojumus par būtiskiem incidentiem, kas saistīti ar IKT, un digitālās darbības noturības testēšanas rezultātus saskaņā ar Regulu (ES) 2022/2554;”.

6. pants

Grozījumi Direktīvā 2014/65/ES

Direktīvu 2014/65/ES groza šādi:

direktīvas 16. pantu groza šādi:

panta 4. punktu aizstāj ar šādu:

“4. Ieguldījumu brokeru sabiedrība veic pamatotas darbības, kas vajadzīgas, lai nodrošinātu tās ieguldījumu pakalpojumu un darbību nepārtrauktību un regularitāti. Tālab ieguldījumu brokeru sabiedrība izmanto atbilstošas un samērīgas sistēmas, tostarp informācijas un komunikācijas tehnoloģiju (IKT) sistēmas, kas ir ieviestas un tiek pārvaldītas saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) 2022/2554 (*6) 7. pantu, kā arī atbilstošus un samērīgus resursus un procedūras.

(*6) Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 (2022. gada 14. decembris) par finanšu nozares digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011 (OV L 333, 27.12.2022.1.. lpp., ).”;"

panta 5. punkta otro un trešo daļu aizstāj ar šādām:

“Ieguldījumu brokeru sabiedrībai ir atbilstīgas administratīvās un grāmatvedības procedūras, iekšējās kontroles mehānismi un efektīvas riska novērtēšanas procedūras.

Neskarot kompetento iestāžu spēju pieprasīt piekļuvi paziņojumiem saskaņā ar šo direktīvu un Regulu (ES) Nr. 600/2014, ieguldījumu brokeru sabiedrība izveido saprātīgus drošības mehānismus, lai saskaņā ar Regulā (ES) 2022/2554 noteiktajām prasībām nodrošinātu informācijas pārsūtīšanas līdzekļu drošību un autentifikāciju, līdz minimumam samazinātu datu sagrozīšanas un neatļautas piekļuves risku un nepieļautu informācijas noplūdi, tādejādi vienmēr saglabājot datu konfidencialitāti.”;

direktīvas 17. pantu groza šādi:

panta 1. punktu aizstāj ar šādu:

“1. Ieguldījumu brokeru sabiedrībai, kas veic algoritmisko tirdzniecību, ir izveidotas tās uzņēmējdarbībai piemērotas efektīvas sistēmas un riska kontroles pasākumi, lai nodrošinātu savas tirdzniecības sistēmas izturētspēju un pietiekamu jaudu saskaņā ar Regulas (ES) 2022/2554 II nodaļā noteiktajām prasībām, tā piemēro atbilstošas tirdzniecības robežvērtības un ierobežojumus un aizsardzību pret kļūdainu rīkojumu nosūtīšanu vai citādu sistēmu darbību, kas var apdraudēt vai iespējami apdraudēt pienācīgu tirgus darbību.

Šādai ieguldījumu brokeru sabiedrībai ir arī efektīvas sistēmas un riska kontroles, lai nodrošinātu, ka tirdzniecības sistēmas nevar izmantot jebkādā nolūkā, kas neatbilst Regulas (ES) Nr. 596/2014 noteikumiem vai ar to saistītās tirdzniecības vietas noteikumiem.

Ieguldījumu brokeru sabiedrība ir ieviesusi efektīvus uzņēmējdarbības nepārtrauktības pasākumus, lai novērstu jebkādas savas tirdzniecības sistēmas kļūmes, tostarp IKT darbības nepārtrauktības politiku un plānus un IKT reaģēšanas un seku novēršanas plānus, kas izveidoti saskaņā ar Regulas (ES) 2022/2554 11. pantu, un nodrošina, ka tās sistēmas ir pilnībā pārbaudītas un tiek atbilstoši uzraudzītas, lai nodrošinātu to atbilstību šajā punktā izklāstītajām vispārīgajām prasībām un īpašajām prasībām, kas noteiktas Regulas (ES) 2022/2554 II un IV nodaļā.”;

panta 7. punkta a) apakšpunktu aizstāj ar šādu:

“a)

vēl sīkāk to organizatorisko prasību konkrētos parametrus, kuras noteiktas 1.–6. punktā, izņemot tās, kas saistītas ar IKT riska vadību, un kuras ir jāpiemēro attiecībā uz ieguldījumu brokeru sabiedrībām, kas sniedz dažādus ieguldījumu pakalpojumus, veic ieguldījumu darbības un sniedz papildpakalpojumus vai to kombinācijas, paredzot konkrētus parametrus attiecībā uz 5. punktā noteiktajām organizācijas prasībām, nosaka tiešās piekļuves un garantētās piekļuves tirgum īpašas prasības, nodrošinot to, lai garantētajai piekļuvei piemērotie kontroles mehānismi būtu vismaz līdzvērtīgi tiem, kurus piemēro tiešai piekļuvei tirgum;”;

direktīvas 47. panta 1. punktu groza šādi:

punkta b) apakšpunktu aizstāj ar šādu:

“b)	lai tas ir atbilstoši aprīkots, lai pārvaldītu riskus, kam tas pakļauts, tostarp IKT risku saskaņā ar Regulas (ES) 2022/2554 II nodaļu, ieviestu attiecīgus pasākumus un sistēmas, lai identificētu būtiskos riskus tā darbībai, un ieviestu efektīvus pasākumus minēto risku mazināšanai;”;

b)	punkta c) apakšpunktu svītro;

direktīvas 48. pantu groza šādi:

panta 1. punktu aizstāj ar šādu:

“1. Dalībvalstis nosaka prasību regulētajam tirgum izveidot un uzturēt savu darbības noturību saskaņā ar Regulas (ES) 2022/2554 II nodaļā noteiktajām prasībām, lai nodrošinātu, ka tā tirdzniecības sistēmas ir noturīgas, tām ir pietiekama jauda apstrādāt rīkojumu un ziņojumu maksimuma apjomu, tās var nodrošināt pienācīgu tirdzniecību smagas tirgus spriedzes apstākļos, ir pilnībā pārbaudītas, lai nodrošinātu šo nosacījumu izpildi, un tām ir efektīvi uzņēmējdarbības nepārtrauktības noteikumi, tostarp IKT darbības nepārtrauktības politika un plāni un IKT reaģēšanas un seku novēršanas plāni, kas izveidoti saskaņā ar Regulas (ES) 2022/2554 11. pantu, lai nodrošinātu savu pakalpojumu nepārtrauktību jebkādu savas tirdzniecības sistēmas darbības kļūmju gadījumā.”;

panta 6. punktu aizstāj ar šādu:

“6. Dalībvalstis pieprasa, lai regulētais tirgus ieviestu efektīvas sistēmas, procedūras un noteikumus, tostarp pieņemtu locekļiem vai dalībniekiem paredzētas prasības pienācīgi pārbaudīt algoritmus un nodrošinātu šādu pārbaužu sekmēšanas apstākļus saskaņā ar Regulas (ES) 2022/2554 II un IV nodaļā noteiktajām prasībām, nodrošinātu, ka algoritmiskās tirdzniecības sistēmas nevar kaitēt tirdzniecības apstākļiem vai nevar veicināt šādu apstākļu pasliktināšanos, un pārvaldītu visus nesakārtotus tirdzniecības apstākļus, ko rada šādas algoritmiskās tirdzniecības sistēmas, ierobežotu neizpildīto rīkojumu attiecību pret darījumiem, ko tā loceklis vai dalībnieks var ievadīt sistēmā, lai varētu palēnināt rīkojumu plūsmu, ja ir risks, ka varētu tikt pārsniegta tā sistēmas jauda, un ierobežot un piemērot cenas izmaiņas minimālo soli, ko iespējams panākt tirgū.”;

panta 12. punktu groza šādi:

punkta a) apakšpunktu aizstāj ar šādu:

“a)	prasības nodrošināt regulēto tirgu tirdzniecības sistēmu noturību un atbilstošu kapacitāti, izņemot prasības, kas saistītas ar digitālās darbības noturību;”;

ii)

punkta g) apakšpunktu aizstāj ar šādu:

“g)

prasības, kā nodrošināt algoritmu pienācīgu pārbaudi, izņemot prasības par digitālās darbības noturības testēšanu, lai panāktu, ka algoritmiskās tirdzniecības sistēmas, tostarp augstas intensitātes algoritmisko darījumu tirdzniecības sistēmas, nevar radīt neatbilstošus tirdzniecības apstākļus tirgū vai nevar šādus apstākļus pastiprināt.”

7. pants

Grozījumi Direktīvā (ES) 2015/2366

Direktīvu (ES) 2015/2366 groza šādi:

direktīvas 3. panta j) punktu aizstāj ar šādu:

“j)

tehnisko pakalpojumu sniedzēju sniegtajiem pakalpojumiem, kas atbalsta maksājumu pakalpojumu sniegšanu, ja to īpašumā nevienu brīdi nenonāk pārskaitāmie naudas līdzekļi, tostarp datu apstrādei un uzglabāšanai, uzticēšanās un privātuma aizsardzības pakalpojumiem, datu un subjektu autentificēšanai, informācijas un komunikācijas tehnoloģiju (IKT) un komunikāciju tīklu nodrošināšanai, termināļu un maksājumu pakalpojumiem izmantojamo ierīču nodrošināšanai un uzturēšanai, izņemot maksājumu iniciēšanas pakalpojumus un konta informācijas pakalpojumus;”;

direktīvas 5. panta 1. punktu groza šādi:

punkta pirmo daļu groza šādi:

daļas e) apakšpunktu aizstāj ar šādu:

“e)

aprakstu par pieteikuma iesniedzēja pārvaldības pasākumiem un iekšējās kontroles mehānismiem, tostarp administratīvām, riska pārvaldības un grāmatvedības procedūrām, kā arī kārtību, kādā tiek izmantoti IKT pakalpojumi saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2022/2554 (*7), kas apliecina, ka minētie pārvaldības pasākumi un iekšējās kontroles mehānismi ir samērīgi, piemēroti, pareizi un pietiekami;

(*7) Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 (2022. gada 14. decembris) par finanšu nozares digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011 (OV L 333, 27.12.2022.1.. lpp., ).”;"

ii)

daļas f) apakšpunktu aizstāj ar šādu:

“f)	aprakstu par ieviesto procedūru, lai uzraudzītu, izskatītu un turpmāk pārraudzītu drošības incidentus un klientu sūdzības, kas saistītas ar drošību, tostarp ziņošanas mehānismu par incidentiem, kurā ņemti vērā Regulas (ES) 2022/2554 III nodaļā noteiktie maksājumu iestāžu ziņošanas pienākumi;”;

iii)

daļas h) apakšpunktu aizstāj ar šādu:

“h)

aprakstu par darbības nepārtrauktības kārtību, tostarp skaidri identificētas kritiski svarīgas darbības, efektīvu IKT darbības nepārtrauktības politiku un plānus un IKT reaģēšanas un seku novēršanas plānus un procedūru šādu plānu regulārai atbilstības un efektivitātes pārbaudei un pārskatīšanai saskaņā ar Regulu (ES) 2022/2554;”;

punkta trešo daļu aizstāj ar šādu:

“Drošības kontroles un riska mazināšanas pasākumos, kas minēti pirmās daļas j) apakšpunktā, norāda, kā tie nodrošina augstu digitālās darbības noturības līmeni saskaņā ar Regulas (ES) 2022/2554 II nodaļu, jo īpaši attiecībā uz tehnisko drošību un datu aizsardzību, tostarp attiecībā uz programmatūru un IKT sistēmām, ko izmanto pieteikuma iesniedzējs vai apakšuzņēmumi, kurus tas nolīdzis visām darbībām vai to daļai. Minētie pasākumi ietver arī šīs direktīvas 95. panta 1. punktā noteiktos drošības pasākumus. Minētajos pasākumos ņem vērā arī šīs direktīvas 95. panta 3. punktā minētās EBI pamatnostādnes par drošības pasākumiem (kad tās tiks pieņemtas).”;

direktīvas 19. panta 6. punkta otro daļu aizstāj ar šādu:

“Svarīgu darbības funkciju, tostarp IKT sistēmu, uzticēšanu ārpakalpojumu sniedzējiem neveic veidā, kas var būtiski pasliktināt maksājumu iestādes iekšējās kontroles kvalitāti un kompetento iestāžu spēju uzraudzīt maksājumu iestādes atbilstību visiem šajā direktīvā noteiktajiem pienākumiem un izsekot tai.”;

direktīvas 95. panta 1. punktam pievieno šādu daļu:

“Pirmā daļa neskar Regulas (ES) 2022/2554 II nodaļas piemērošanu:

a)	maksājumu pakalpojumu sniedzējiem, kas minēti šīs direktīvas 1. panta 1. punkta a), b) un d) apakšpunktā;

b)	konta informācijas pakalpojumu sniedzējiem, kas minēti šīs direktīvas 33. panta 1. punktā;

c)	maksājumu iestādēm, kam piemēro atbrīvojumu, ievērojot šīs direktīvas 32. panta 1. punktu; un

d)	elektroniskās naudas iestādēm, kam piemēro atbrīvojumu, ievērojot Direktīvas 2009/110/EK 9. panta 1. punktu;”;

direktīvas 96. pantā pievieno šādu punktu:

“7. Dalībvalstis nodrošina, ka šā panta 1.–5. punktu nepiemēro:

a)	maksājumu pakalpojumu sniedzējiem, kas minēti šīs direktīvas 1. panta 1. punkta a), b) un d) apakšpunktā;

b)	konta informācijas pakalpojumu sniedzējiem, kas minēti šīs direktīvas 33. panta 1. punktā;

c)	maksājumu iestādēm, kam piemēro atbrīvojumu, ievērojot šīs direktīvas 32. panta 1. punktu; un

d)	elektroniskās naudas iestādēm, kam piemēro atbrīvojumu, ievērojot Direktīvu 2009/110/EK, kā definēts minētās regulas 9. panta 1. punktā.”;

direktīvas 98. panta 5. punktu aizstāj ar šādu:

“5. EBI saskaņā ar Regulas (ES) Nr. 1093/2010 10. pantu regulāri pārskata un vajadzības gadījumā atjaunina regulatīvos tehniskos standartus, lai cita starpā ņemtu vērā inovāciju un tehnoloģiju attīstību un Regulas (ES) 2022/2554 II nodaļas noteikumus.”

8. pants

Grozījums Direktīvā (ES) 2016/2341

Direktīvas (ES) 2016/2341 21. panta 5. punktu aizstāj ar šādu:

“5. Dalībvalstis nodrošina, ka AKUI veic pārdomātus pasākumus, lai nodrošinātu savu darbību nepārtrauktību un regularitāti, tostarp izstrādā ārkārtas situāciju plānus. Šajā sakarā AKUI izmanto atbilstīgas un samērīgas sistēmas, resursus un procedūras, kā arī attiecīgā gadījumā jo īpaši ievieš un pārvalda tīklu un informācijas sistēmas saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2022/2554 (*8).

9. pants

Transponēšana

1. Dalībvalstis līdz 2025. gada 17. janvārim pieņem un publicē noteikumus, kas vajadzīgi, lai izpildītu šīs direktīvas prasības. Dalībvalstis par to tūlīt informē Komisiju.

Tās piemēro minētos noteikumus no 2025. gada 17. janvāra.

Kad dalībvalstis pieņem minētos noteikumus, tajos ietver atsauci uz šo direktīvu vai arī šādu atsauci pievieno to oficiālajai publikācijai. Dalībvalstis nosaka paņēmienus, kā izdarāma šāda atsauce.

2. Dalībvalstis dara Komisijai zināmus to valsts tiesību aktu galvenos noteikumus, ko tās pieņem jomā, uz ko attiecas šī direktīva.

10. pants

Stāšanās spēkā

Šī direktīva stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.

11. pants

Adresāti

Šī direktīva ir adresēta dalībvalstīm.

Strasbūrā, 2022. gada 14. decembrī

Eiropas Parlamenta vārdā –

priekšsēdētāja

R. METSOLA

Padomes vārdā –

priekšsēdētājs

M. BEK

(1) OV C 343, 26.8.2021., 1. lpp.

(2) OV C 155, 30.4.2021., 38. lpp.

(3) Eiropas Parlamenta 2022. gada 10. novembra nostāja (Oficiālajā Vēstnesī vēl nav publicēta) un Padomes 2022. gada 28. novembra lēmums.

(4) Eiropas Parlamenta un Padomes Direktīva 2009/65/EK (2009. gada 13. jūlijs) par normatīvo un administratīvo aktu koordināciju attiecībā uz pārvedamu vērtspapīru kolektīvo ieguldījumu uzņēmumiem (PVKIU) (OV L 302, 17.11.2009., 32. lpp.).

(5) Eiropas Parlamenta un Padomes Direktīva 2009/138/EK (2009. gada 25. novembris) par uzņēmējdarbības uzsākšanu un veikšanu apdrošināšanas un pārapdrošināšanas jomā (Maksātspēja II) (OV L 335, 17.12.2009., 1. lpp.).

(6) Eiropas Parlamenta un Padomes Direktīva 2011/61/ES (2011. gada 8. jūnijs) par alternatīvo ieguldījumu fondu pārvaldniekiem un par grozījumiem Direktīvā 2003/41/EK, Direktīvā 2009/65/EK, Regulā (EK) Nr. 1060/2009 un Regulā (ES) Nr. 1095/2010 (OV L 174, 1.7.2011., 1. lpp.).

(7) Eiropas Parlamenta un Padomes Direktīva 2013/36/ES (2013. gada 26. jūnijs) par piekļuvi kredītiestāžu darbībai un kredītiestāžu prudenciālo uzraudzību, ar ko groza Direktīvu 2002/87/EK un atceļ Direktīvas 2006/48/EK un 2006/49/EK (OV L 176, 27.6.2013., 338. lpp.).

(8) Eiropas Parlamenta un Padomes Direktīva 2014/59/ES (2014. gada 15. maijs), ar ko izveido kredītiestāžu un ieguldījumu brokeru sabiedrību atveseļošanas un noregulējuma režīmu un groza Padomes Direktīvu 82/891/EEK un Eiropas Parlamenta un Padomes Direktīvas 2001/24/EK, 2002/47/EK, 2004/25/EK, 2005/56/EK, 2007/36/EK, 2011/35/ES, 2012/30/ES un 2013/36/ES, un Eiropas Parlamenta un Padomes Regulas (ES) Nr. 1093/2010 un (ES) Nr. 648/2012 (OV L 173, 12.6.2014., 190. lpp.).

(9) Eiropas Parlamenta un Padomes Direktīva 2014/65/ES (2014. gada 15. maijs) par finanšu instrumentu tirgiem un ar ko groza Direktīvu 2002/92/EK un Direktīvu 2011/61/ES (OV L 173, 12.6.2014., 349. lpp.).

(10) Eiropas Parlamenta un Padomes Direktīva (ES) 2015/2366 (2015. gada 25. novembris) par maksājumu pakalpojumiem iekšējā tirgū, ar ko groza Direktīvas 2002/65/EK, 2009/110/EK un 2013/36/ES un Regulu (ES) Nr. 1093/2010 un atceļ Direktīvu 2007/64/EK (OV L 337, 23.12.2015., 35. lpp.).

(11) Eiropas Parlamenta un Padomes Direktīva (ES) 2016/2341 (2016. gada 14. decembris) par arodpensijas kapitāla uzkrāšanas institūciju (AKUI) darbību un uzraudzību (OV L 354, 23.12.2016., 37. lpp.).

(12) Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 (2022. gada 14. decembris) par finanšu nozares digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011 (skatīt šā Oficiālā Vēstneša 1.. lpp.).

(13) Eiropas Parlamenta un Padomes Regula (ES) Nr. 1093/2010 (2010. gada 24. novembris), ar ko izveido Eiropas Uzraudzības iestādi (Eiropas Banku iestādi), groza Lēmumu Nr. 716/2009/EK un atceļ Komisijas Lēmumu 2009/78/EK (OV L 331, 15.12.2010., 12. lpp.).

(14) OV C 369, 17.12.2011., 14. lpp.

Top