This document is an excerpt from the EUR-Lex website
Document 02022R2554-20221227
Consolidated text: Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 (2022. gada 14. decembris) par finanšu nozares digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011 (Dokuments attiecas uz EEZ)
Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 (2022. gada 14. decembris) par finanšu nozares digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011 (Dokuments attiecas uz EEZ)
02022R2554 — LV — 27.12.2022 — 000.007
Šis dokuments ir tikai informatīvs, un tam nav juridiska spēka. Eiropas Savienības iestādes neatbild par tā saturu. Attiecīgo tiesību aktu un to preambulu autentiskās versijas ir publicētas Eiropas Savienības “Oficiālajā Vēstnesī” un ir pieejamas datubāzē “Eur-Lex”. Šie oficiāli spēkā esošie dokumenti ir tieši pieejami, noklikšķinot uz šajā dokumentā iegultajām saitēm
|
EIROPAS PARLAMENTA UN PADOMES REGULA (ES) 2022/2554 (2022. gada 14. decembris) par finanšu nozares digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011 (OV L 333, 27.12.2022., 1. lpp) |
Labota ar:
EIROPAS PARLAMENTA UN PADOMES REGULA (ES) 2022/2554
(2022. gada 14. decembris)
par finanšu nozares digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011
(Dokuments attiecas uz EEZ)
I NODAĻA
Vispārīgi noteikumi
1. pants
Priekšmets
Lai sasniegtu augstu kopējo digitālās darbības noturības līmeni, šajā regulā ir noteiktas šādas vienotas prasības attiecībā uz tādu tīklu un informācijas sistēmu drošību, kas atbalsta finanšu vienību uzņēmējdarbības procesus:
finanšu vienībām piemērojamās prasības attiecībā uz:
informācijas un komunikācijas tehnoloģiju (IKT) riska pārvaldību;
ziņošanu par būtiskiem ar IKT saistītiem incidentiem un brīvprātīgu paziņošanu kompetentajām iestādēm par būtiskiem kiberdraudiem;
2. panta 1. punkta a)–d) apakšpunktā minēto finanšu vienību ziņošanu kompetentajām iestādēm par būtiskiem ar maksājumiem saistītiem darbības vai drošības incidentiem;
digitālās darbības noturības testēšanu;
ar kiberdraudiem un ievainojamību saistītu informācijas un izlūkdatu apmaiņu;
pasākumiem ar trešām personām saistīta IKT riska stabilai pārvaldībai;
prasības attiecībā uz līgumisku vienošanos, kas noslēgta starp trešām personām, kas sniedz IKT pakalpojumus, un finanšu vienībām;
noteikumi par pārraudzības sistēmas izveidi un darbību attiecībā uz trešām personām, kas sniedz kritiski svarīgus IKT pakalpojumus, kad tās sniedz pakalpojumus finanšu vienībām;
kompetento iestāžu sadarbības noteikumi un kompetento iestāžu uzraudzības un izpildes noteikumi attiecībā uz visiem jautājumiem, uz kuriem attiecas šī regula.
2. pants
Darbības joma
Neskarot 3. un 4. punktu, šo regulu piemēro šādām vienībām:
kredītiestādēm;
maksājumu iestādēm, tostarp maksājumu iestādēm, kam piemēro atbrīvojumu, ievērojot Direktīvu (ES) 2015/2366;
konta informācijas pakalpojumu sniedzējiem;
elektroniskās naudas iestādēm, tostarp elektroniskās naudas iestādēm, kam piemēro atbrīvojumu, ievērojot Direktīvu 2009/110/EK;
ieguldījumu brokeru sabiedrībām;
kriptoaktīvu pakalpojumu sniedzējiem, kas saņēmuši atļauju saskaņā ar Eiropas Parlamenta un Padomes regulu par kriptoaktīvu tirgiem un ar ko groza Regulas (ES) Nr. 1093/2010 un (ES) Nr. 1095/2010 un Direktīvas 2013/36/ES un (ES) 2019/1937 (“regula par kriptoaktīvu tirgiem”), un aktīviem piesaistītu žetonu emitentiem;
centrālajiem vērtspapīru depozitārijiem;
centrālajiem darījumu partneriem;
tirdzniecības vietām;
darījumu reģistriem;
alternatīvo ieguldījumu fondu pārvaldniekiem;
pārvaldības sabiedrībām;
datu ziņošanas pakalpojumu sniedzējiem;
apdrošināšanas un pārapdrošināšanas sabiedrībām;
apdrošināšanas starpniekiem, pārapdrošināšanas starpniekiem un apdrošināšanas papildpakalpojuma starpniekiem;
arodpensiju kapitāla uzkrāšanas iestādēm;
kredītreitingu aģentūrām;
kritiski svarīgu etalonu administratoriem;
kolektīvās finansēšanas pakalpojumu sniedzējiem;
vērtspapīrošanas repozitorijiem;
trešām personām, kas sniedz IKT pakalpojumus.
Šo regulu nepiemēro:
alternatīvo ieguldījumu fondu pārvaldniekiem, kā minēts Direktīvas 2011/61/ES 3. panta 2. punktā;
apdrošināšanas sabiedrībām un pārapdrošināšanas sabiedrībām, kā minēts Direktīvas 2009/138/EK 4. pantā;
arodpensijas kapitāla uzkrāšanas iestādēm, kas pārvalda pensiju plānus, kuros kopā nav vairāk par 15 dalībniekiem;
fiziskām vai juridiskām personām, kam piemēro atbrīvojumu, ievērojot Direktīvas 2014/65/ES 2. un 3. pantu;
apdrošināšanas starpniekiem, pārapdrošināšanas starpniekiem un apdrošināšanas papildpakalpojuma starpniekiem, kas ir mikrouzņēmumi vai mazie vai vidējie uzņēmumi;
pasta žiro norēķinu iestādēm, kā minēts Direktīvas 2013/36/ES 2. panta 5. punkta 3) apakšpunktā.
3. pants
Definīcijas
Šajā regulā piemēro šādas definīcijas:
“digitālās darbības noturība” ir finanšu vienības spēja veidot, nodrošināt un pārskatīt savu darbības integritāti un uzticamību, tieši vai netieši, izmantojot pakalpojumus, ko sniedz trešās personas, kas sniedz IKT pakalpojumus, nodrošinot visas ar IKT saistītās iespējas, kas vajadzīgas, lai risinātu finanšu vienības izmantoto tīklu un informācijas sistēmu drošību, un kas atbalsta finanšu pakalpojumu nepārtrauktu sniegšanu un to kvalitāti, tostarp traucējumu laikā;
“tīklu un informācijas sistēma” ir tīklu un informācijas sistēma, kā definēts Direktīvas (ES) 2022/2555 6. panta 1. punktā;
“mantota IKT sistēma” ir IKT sistēma, kas ir sasniegusi sava aprites cikla beigas (ekspluatācijas laika beigas), kas nav piemērota modernizācijai vai labošanai tehnoloģisku vai komerciālu iemeslu dēļ vai ko vairs neatbalsta tās piegādātājs vai trešā persona, kas sniedz IKT pakalpojumus, bet kura joprojām tiek izmantota un atbalsta finanšu vienības funkcijas;
“tīklu un informācijas sistēmu drošība” ir tīklu un informācijas sistēmu drošība, kā definēts Direktīvas (ES) 2022/2555 6. panta 2. punktā;
“IKT risks” ir jebkāds ar tīklu un informācijas sistēmu izmantošanu saistīts un saprātīgi identificējams apstāklis, kas īstenošanās gadījumā varētu apdraudēt tīklu un informācijas sistēmu, jebkura no tehnoloģijām atkarīga rīka vai procesa, darbības un noritošo procesu vai pakalpojumu sniegšanas drošību, radot negatīvas sekas digitālajā vai fiziskajā vidē;
“informācijas aktīvs” ir materiāls vai nemateriāls informācijas kopums, ko ir vērts aizsargāt;
“IKT aktīvs” ir programmatūras vai aparatūras aktīvs tīklu un informācijas sistēmās, ko izmanto finanšu vienība;
“ar IKT saistīts incidents” ir atsevišķs incidents vai savstarpēji saistītu notikumu virkne, ko finanšu vienība nav plānojusi un kas apdraud drošību tīklu un informācijas sistēmās, un negatīvi ietekmē datu pieejamību, autentiskumu, integritāti vai konfidencialitāti vai finanšu vienības sniegtos pakalpojumus;
“ar maksājumiem saistīts darbības vai drošības incidents” ir atsevišķs notikums vai savstarpēji saistītu notikumu virkne, ko neplāno 2. panta 1. punkta a)–d) apakšpunktā minētās finanšu vienības, neatkarīgi no tā, vai tas ir vai nav saistīts ar IKT, un kas negatīvi ietekmē ar maksājumiem saistīto datu pieejamību, autentiskumu, integritāti vai konfidencialitāti vai ar maksājumiem saistītos finanšu vienības sniegtos pakalpojumus;
“būtisks ar IKT saistīts incidents” ir ar IKT saistīts incidents, kam ir liela nelabvēlīga ietekme uz tīklu un informācijas sistēmām, kas atbalsta finanšu vienības kritiski svarīgas vai svarīgas funkcijas;
“būtisks ar maksājumiem saistīts darbības vai drošības incidents” ir ar maksājumiem saistīts darbības vai drošības incidents, kam ir liela nelabvēlīga ietekme uz sniegtajiem pakalpojumiem, kas saistīti ar maksājumiem;
“kiberdraudi” ir kiberdraudi, kā definēts Regulas (ES) 2019/881 2. panta 8. punktā;
“būtiski kiberdraudi” ir kiberdraudi, kuru tehniskās īpašības norāda, ka tie varētu izraisīt būtisku ar IKT saistītu incidentu vai būtisku ar maksājumiem saistītu darbības vai drošības incidentu;
“kiberuzbrukums” ir ļaunprātīgs ar IKT saistīts incidents, kas ir izraisīts, mēģinot iznīcināt, pakļaut, mainīt, atspējot, nozagt aktīvu vai iegūt neatļautu piekļuvi aktīvam, vai neatļauti izmantot aktīvu, un ko veic jebkurš apdraudējuma dalībnieks;
“draudu izlūkdati” ir informācija, kas apkopota, pārveidota, analizēta, interpretēta vai papildināta, lai nodrošinātu vajadzīgo kontekstu lēmumu pieņemšanai un lai ļautu panākt būtisku un pietiekamu izpratni, kā mazināt ar IKT saistīta incidenta vai kiberdraudu ietekmi, tostarp tehnisko informāciju par kiberuzbrukumu, par uzbrukumu atbildīgajām personām, to darbības veidu un motīviem;
“ievainojamība” ir aktīva, sistēmas, procesa vai kontroles trūkums, uzņēmība vai nepilnība, ko var izmantot;
“draudu vadīta ielaušanās testēšana (DVIT)” ir sistēma, kura imitē tādu apdraudējuma dalībnieku taktiku, paņēmienus un procedūras, kas tiek uztverti kā patiesi kiberdraudi, un kura nodrošina kontrolētu, īpaši izstrādātu, izlūkdatu vadītu (sarkanās komandas) finanšu vienības kritiski svarīgas aktīvas izstrādes sistēmas testēšanu;
“ar trešo personu saistīts IKT risks” ir IKT risks, kas finanšu vienībai var rasties saistībā ar to, ka tā izmanto trešās personas, kas sniedz IKT pakalpojumus, vai tās apakšuzņēmēju sniegtus IKT pakalpojumus, tostarp ar ārpakalpojumu līgumu starpniecību;
“trešā persona, kas sniedz IKT pakalpojumus” ir uzņēmums, kas sniedz IKT pakalpojumus;
“IKT pakalpojumu sniedzēji, kuri pieder vienai grupai” ir uzņēmums, kas pieder finanšu grupai un galvenokārt sniedz IKT pakalpojumus tās pašas grupas finanšu vienībām vai finanšu vienībām, uz kurām attiecas tā pati institucionālā aizsardzības shēma, tostarp mātesuzņēmumiem, meitasuzņēmumiem, filiālēm vai citām vienībām, kas pakļautas tām pašām īpašumtiesībām vai kontrolei;
“IKT pakalpojumi” ir digitālie un datu pakalpojumi, ko ar IKT sistēmu starpniecību pastāvīgi sniedz vienam vai vairākiem iekšējiem vai ārējiem lietotājiem, tostarp aparatūras nodrošināšanas pakalpojumi un ar aparatūru saistīti pakalpojumi, kas ietver tehniskā atbalsta sniegšanu, izmantojot programmatūru vai aparātprogrammatūras atjauninājumus, ko veic aparatūras nodrošinātājs, izņemot tradicionālos analogās telefonijas pakalpojumus;
“kritiski svarīga vai svarīga funkcija” ir funkcija, kuras traucējums būtiski pasliktinātu finanšu vienības finanšu darbības rezultātus vai tās pakalpojumu un darbību stabilitāti vai nepārtrauktību, vai kuras izpildes izbeigšana, trūkumi vai neizpilde būtiski kaitētu finanšu vienības atļaujā paredzēto noteikumu un nosacījumu vai citu piemērojamajos finanšu pakalpojumu tiesību aktos paredzēto saistību turpmākai izpildei;
“kritiski svarīga trešā persona, kas sniedz IKT pakalpojumus” ir trešā persona, kas sniedz IKT pakalpojumus un kura ir izraudzīta par kritiski svarīgu saskaņā ar 31. pantu;
“trešā valstī iedibināta trešā persona, kas sniedz IKT pakalpojumus” ir trešā persona, kas sniedz IKT pakalpojumus un kas ir trešā valstī iedibināta juridiska persona, kura ir noslēgusi līgumisku vienošanos ar finanšu vienību par IKT pakalpojumu sniegšanu;
“meitasuzņēmums” ir meitasuzņēmums Direktīvas 2013/34/ES 2. panta 10. punkta un 22. panta nozīmē;
“grupa” ir grupa, kā definēts Direktīvas 2013/34/ES 2. panta 11. punktā;
“mātesuzņēmums” ir mātesuzņēmums Direktīvas 2013/34/ES 2. panta 9. punkta un 22. panta nozīmē;
“trešā valstī iedibināts IKT apakšuzņēmējs” ir IKT apakšuzņēmējs, kas ir trešā valstī iedibināta juridiska persona un kas ir noslēdzis līgumisku vienošanos vai nu ar trešo personu, kas sniedz IKT pakalpojumus, vai ar trešā valstī iedibinātu trešo personu, kas sniedz IKT pakalpojumus;
“IKT koncentrācijas risks” ir pakļautība atsevišķām vai vairākām saistītām trešām personām, kas sniedz kritiski svarīgus IKT pakalpojumus, kas rada zināmu atkarību no šādiem pakalpojumu sniedzējiem, tā ka to nepieejamība, atteice vai cita veida trūkums var iespējami apdraudēt finanšu vienības spēju nodrošināt kritiski svarīgas vai svarīgas funkcijas vai likt ciest cita veida nelabvēlīgas sekas, tostarp lielus zaudējumus, vai apdraudēt Savienības finansiālo stabilitāti kopumā;
“vadības struktūra” ir vadības struktūra, kā definēts Direktīvas 2014/65/ES 4. panta 1. punkta 36) apakšpunktā, Direktīvas 2013/36/ES 3. panta 1. punkta 7) apakšpunktā, Eiropas Parlamenta un Padomes Direktīvas 2009/65/EK ( 1 ) 2. panta 1. punkta s) apakšpunktā, Regulas (ES) Nr. 909/2014 2. panta 1. punkta 45) apakšpunktā, Regulas (ES) 2016/1011 3. panta 1. punkta 20) apakšpunktā un Regulas par kriptoaktīvu tirgiem attiecīgajā noteikumā, vai līdzvērtīgās personas, kas faktiski vada vienību vai pilda galvenās funkcijas saskaņā ar attiecīgajiem Savienības vai valsts tiesību aktiem;
“kredītiestāde” ir kredītiestāde, kā definēts Eiropas Parlamenta un Padomes Regulas (ES) Nr. 575/2013 ( 2 ) 4. panta 1. punkta 1. apakšpunktā;
“iestāde, kam piemēro atbrīvojumu, ievērojot Direktīvu 2013/36/ES” ir vienība, kas minēta Direktīvas 2013/36/ES 2. panta 5. punkta 4)–23) apakšpunktā;
“ieguldījumu brokeru sabiedrība” ir ieguldījumu brokeru sabiedrība, kā definēts Direktīvas 2014/65/ES 4. panta 1. punkta 1. apakšpunktā;
“neliela un savstarpēji nesaistīta ieguldījumu brokeru sabiedrība” ir ieguldījumu brokeru sabiedrība, kas atbilst nosacījumiem, kuri izklāstīti Eiropas Parlamenta un Padomes Regulas (ES) 2019/2033 ( 3 ) 12. panta 1. punktā;
“maksājumu iestāde” ir maksājumu iestāde, kā definēts Direktīvas (ES) 2015/2366 4. panta 4. punktā;
“maksājumu iestāde, kam piemēro atbrīvojumu, ievērojot Direktīvu (ES) 2015/2366” ir maksājumu iestāde, kam piemēro atbrīvojumu, ievērojot Direktīvas (ES) 2015/2366 32. panta 1. punktu;
“konta informācijas pakalpojumu sniedzējs” ir konta informācijas pakalpojumu sniedzējs, kā minēts Direktīvas (ES) 2015/2366 33. panta 1. punktā;
“elektroniskās naudas iestāde” ir elektroniskās naudas iestāde, kā definēts Eiropas Parlamenta un Padomes Direktīvas 2009/110/EK 2. panta 1. punktā;
“elektroniskās naudas iestāde, kam piemēro atbrīvojumu, ievērojot Direktīvu 2009/110/EK” ir elektroniskās naudas iestāde, kam piemēro atbrīvojumu, ievērojot Direktīvas 2009/110/EK 9. panta 1. punktu;
“centrālais darījumu partneris” ir centrālais darījumu partneris, kā definēts Regulas (ES) Nr. 648/2012 2. panta 1. punktā;
“darījumu reģistrs” ir darījumu reģistrs, kā definēts Regulas (ES) Nr. 648/2012 2. panta 2. punktā;
“centrālais vērtspapīru depozitārijs” ir centrālais vērtspapīru depozitārijs, kā definēts Regulas (ES) Nr. 909/2014 2. panta 1. punkta 1. apakšpunktā;
“tirdzniecības vieta” ir tirdzniecības vieta, kā definēts Direktīvas 2014/65/ES 4. panta 1. punkta 24. apakšpunktā;
“alternatīvo ieguldījumu fondu pārvaldnieks” ir alternatīvo ieguldījumu fondu pārvaldnieks, kā definēts Direktīvas 2011/61/ES 4. panta 1. punkta b) apakšpunktā;
“pārvaldības sabiedrība” ir pārvaldības sabiedrība, kā definēts Direktīvas 2009/65/EK 2. panta 1. punkta b) apakšpunktā;
“datu ziņošanas pakalpojumu sniedzējs” ir datu ziņošanas pakalpojumu sniedzējs Regulas (ES) Nr. 600/2014 nozīmē, kā minēts tās 2. panta 1. punkta 34)–36) apakšpunktā;
“apdrošināšanas sabiedrība” ir apdrošināšanas sabiedrība, kā definēts Direktīvas 2009/138/EK 13. panta 1. punktā;
“pārapdrošināšanas sabiedrība” ir pārapdrošināšanas sabiedrība, kā definēts Direktīvas 2009/138/EK 13. panta 4. punktā;
“apdrošināšanas starpnieks” ir apdrošināšanas starpnieks, kā definēts Eiropas Parlamenta un Padomes Direktīvas (ES) 2016/97 ( 4 ) 2. panta 1. punkta 3) apakšpunktā;
“apdrošināšanas papildpakalpojuma starpnieks” ir apdrošināšanas papildpakalpojuma starpnieks, kā definēts Direktīvas (ES) 2016/97 2. panta 1. punkta 4) apakšpunktā;
“pārapdrošināšanas starpnieks” ir pārapdrošināšanas starpnieks, kā definēts Direktīvas (ES) 2016/97 2. panta 1. punkta 5) apakšpunktā;
“arodpensijas kapitāla uzkrāšanas institūcija” ir arodpensijas kapitāla uzkrāšanas institūcija, kā definēts Direktīvas (ES) 2016/2341 6. panta 1. punktā;
“neliela arodpensijas kapitāla uzkrāšanas institūcija” ir arodpensijas kapitāla uzkrāšanas institūcija, kas pārvalda pensiju plānus, kuros kopā ir mazāk nekā 100 dalībnieku;
“kredītreitingu aģentūra” ir kredītreitingu aģentūra, kā definēts Regulas (EK) Nr. 1060/2009 3. panta 1. punkta b) apakšpunktā;
“kriptoaktīvu pakalpojumu sniedzējs” ir kriptoaktīvu pakalpojumu sniedzējs, kā definēts Regulas par kriptoaktīvu tirgiem attiecīgajā noteikumā;
“aktīviem piesaistītu žetonu emitents” ir “aktīviem piesaistītu žetonu” emitents, kā definēts Regulas par kriptoaktīvu tirgiem attiecīgajā noteikumā;
“kritiski svarīgu etalonu administrators” ir “kritiski svarīgu etalonu” administrators, kā definēts Regulas (ES) 2016/1011 3. panta 1. punkta 25) apakšpunktā;
“kolektīvās finansēšanas pakalpojumu sniedzējs” ir kolektīvās finansēšanas pakalpojumu sniedzējs, kā definēts Eiropas Parlamenta un Padomes Regulas (ES) 2020/1503 ( 5 ) 2. panta 1. punkta e) apakšpunktā;
“vērtspapīrošanas repozitorijs” ir vērtspapīrošanas repozitorijs, kā definēts Eiropas Parlamenta un Padomes Regulas (ES) 2017/2402 ( 6 ) 2. panta 23. punktā;
“mikrouzņēmums” ir finanšu vienība, kura nav tirdzniecības vieta, centrālais darījumu partneris, darījumu reģistrs vai centrālais vērtspapīru depozitārijs un kura nodarbina mazāk nekā 10 personas un kuras gada apgrozījums un/vai kopējā gada bilance nepārsniedz 2 miljonus EUR;
“galvenais pārraugs” ir Eiropas Uzraudzības iestāde, kas izraudzīta saskaņā ar šīs regulas 31. panta 1. punkta b) apakšpunktu;
“apvienotā komiteja” ir komiteja, kas minēta Regulu (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010 54. pantā;
“mazais uzņēmums” ir finanšu vienība, kura nodarbina 10 vai vairāk personas, bet mazāk nekā 50 personas, un kuras gada apgrozījums un/vai kopējā gada bilance pārsniedz 2 miljonus EUR, bet nepārsniedz 10 miljonus EUR;
“vidējais uzņēmums” ir finanšu vienība, kura nav mazais uzņēmums un kura nodarbina mazāk nekā 250 personas un kuras gada apgrozījums nepārsniedz 50 miljonus EUR un/vai gada bilance nepārsniedz 43 miljonus EUR;
“publiska iestāde” ir jebkura valdības vai cita valsts pārvaldes struktūra, tostarp valstu centrālās bankas.
4. pants
Proporcionalitātes princips
II NODAĻA
IKT riska pārvaldība
5. pants
Pārvaldība un organizācija
Pirmās daļas īstenošanas vajadzībām vadības struktūra:
uzņemas galīgo atbildību par finanšu vienības IKT riska pārvaldību;
ievieš politiku, kuras mērķis ir nodrošināt augstu datu pieejamības, autentiskuma, integritātes un konfidencialitātes standartu uzturēšanu;
nosaka visu ar IKT saistīto funkciju uzdevumus un atbildību un izveido atbilstošu pārvaldības kārtību, lai nodrošinātu efektīvu un savlaicīgu saziņu, sadarbību un koordināciju starp minētajām funkcijām;
uzņemas vispārēju atbildību par digitālās darbības noturības stratēģijas noteikšanu un apstiprināšanu, kā minēts 6. panta 8. punktā, tostarp par atbilstīgas finanšu vienības IKT riska tolerances līmeņa noteikšanu, kā minēts 6. panta 8. punkta b) apakšpunktā;
apstiprina, pārrauga un periodiski pārskata attiecīgi 11. panta 1. un 3. punktā minēto finanšu vienības IKT darbības nepārtrauktības politikas un IKT reaģēšanas un seku novēršanas plānu īstenošanu, kurus var pieņemt kā īpašu politiku, kas ir neatņemama daļa no finanšu vienības vispārējās darbības nepārtrauktības politikas un reaģēšanas un seku novēršanas plāna;
apstiprina un periodiski pārskata finanšu vienības IKT iekšējās revīzijas plānus, IKT revīzijas un būtiskus to grozījumus;
piešķir un periodiski pārskata atbilstīgu budžetu, lai apmierinātu finanšu vienības digitālās darbības noturības vajadzības attiecībā uz visu veidu resursiem, tostarp uz attiecīgajām IKT drošības izpratnes veidošanas programmām un digitālās darbības noturības mācībām, kas minētas 13. panta 6. punktā, un IKT prasmēm visam personālam;
apstiprina un periodiski pārskata finanšu vienības politiku attiecībā uz kārtību, kādā tiek izmantoti IKT pakalpojumi, ko sniedz IKT pakalpojumus sniedzošās trešās personas;
korporatīvā līmenī izveido ziņošanas kanālus, kas tai ļauj būt pienācīgi informētai par šādiem jautājumiem:
vienošanās, kas noslēgtas ar trešām personām, kas sniedz IKT pakalpojumus, par IKT pakalpojumu izmantošanu,
jebkādas attiecīgās plānotās būtiskās izmaiņas attiecībā uz trešām personām, kas sniedz IKT pakalpojumus,
šādu izmaiņu iespējamo ietekmi uz kritiski svarīgajām vai svarīgajām funkcijām, uz kurām attiecas minētās vienošanās, tostarp riska analīzes kopsavilkumu, lai novērtētu minēto izmaiņu ietekmi, un vismaz par būtiskiem ar IKT saistītiem incidentiem un to ietekmi, kā arī reaģēšanas, seku novēršanas un korektīvajiem pasākumiem.
6. pants
IKT riska pārvaldības sistēma
IKT riska pārvaldības sistēma ietver digitālās darbības noturības stratēģiju, kurā izklāstīts, kā sistēma jāīsteno. Šajā nolūkā digitālās darbības noturības stratēģija ietver metodes, kā novērst IKT risku un sasniegt konkrētus IKT mērķus:
izskaidrojot, kā IKT riska pārvaldības sistēma atbalsta finanšu vienības uzņēmējdarbības stratēģiju un mērķus;
nosakot riska tolerances līmeni IKT riskam saskaņā ar finanšu vienības gatavību uzņemties risku, kā arī analizējot IKT traucējumu ietekmes noturību;
nosakot skaidrus informācijas drošības mērķus, tostarp galvenos snieguma rādītājus un galvenos riska rādītājus;
izskaidrojot IKT atsauces arhitektūru un jebkādas izmaiņas, kas vajadzīgas, lai sasniegtu konkrētus uzņēmējdarbības mērķus;
izklāstot dažādos mehānismus, kas ieviesti, lai atklātu ar IKT saistītus incidentus, novērstu to ietekmi un nodrošinātu aizsardzību pret to;
pamatojot pašreizējās digitālās darbības noturības situāciju, balstoties uz paziņoto būtisko ar IKT saistīto incidentu skaitu un preventīvo pasākumu efektivitāti;
īstenojot digitālās darbības noturības testēšanu saskaņā ar šīs regulas IV nodaļu;
izklāstot saziņas stratēģiju ar IKT saistītu incidentu gadījumā, par ko jāsniedz informācija saskaņā ar 14. pantu.
7. pants
IKT sistēmas, protokoli un rīki
Lai novērstu un pārvaldītu IKT risku, finanšu vienības izmanto un uztur atjauninātas IKT sistēmas, protokolus un rīkus, kas ir:
piemēroti to operāciju apjomam, ar kurām tiek atbalstīta to darbība, saskaņā ar 4. pantā minēto proporcionalitātes principu;
uzticami;
aprīkoti ar pietiekamu veiktspēju, lai precīzi apstrādātu darbību veikšanai un savlaicīgai pakalpojumu sniegšanai nepieciešamos datus, kā arī pēc vajadzības apstrādātu rīkojumu, ziņojumu vai darījumu maksimālos apjomus, tostarp, ja tiek ieviesta jauna tehnoloģija;
tehnoloģiski elastīgi, lai pienācīgi risinātu papildu informācijas apstrādes vajadzības, kas nepieciešams saspringtos tirgus apstākļos vai citās nelabvēlīgās situācijās.
8. pants
Identifikācija
9. pants
Aizsardzība un profilakse
Lai sasniegtu 2. punktā minētos mērķus, finanšu vienības izmanto IKT risinājumus un procesus, kas ir piemēroti saskaņā ar 4. pantu. Minētie IKT risinājumi un procesi:
nodrošina datu pārsūtīšanas līdzekļu drošību;
pēc iespējas samazina datu bojājumu vai zudumu, neatļautas piekļuves un tehnisko nepilnību, kas varētu kavēt uzņēmējdarbību, risku;
novērš datu pieejamības trūkumu, autentiskuma un integritātes aizskārumu, konfidencialitātes pārkāpumus un datu zudumu;
nodrošina datu aizsardzību pret riskiem, kas rodas no datu pārvaldības, tostarp sliktas pārvaldības, ar apstrādi saistītiem riskiem un cilvēka kļūdām.
Šā panta 6. panta 1. punktā minētās IKT riska pārvaldības sistēmas ietvaros finanšu vienības:
izstrādā un dokumentē informācijas drošības politiku, ar ko paredz noteikumus, lai aizsargātu savu un attiecīgā gadījumā klientu datu, informācijas aktīvu un IKT aktīvu pieejamību, autentiskumu, integritāti un konfidencialitāti;
saskaņā ar uz risku balstītu pieeju izveido stabilu tīkla un infrastruktūras pārvaldības struktūru, lietojot attiecīgus paņēmienus, metodes un protokolus, kas var ietvert tādu automatizētu mehānismu ieviešanu, ar kuriem izolēt skartos informācijas aktīvus kiberuzbrukuma gadījumā;
īsteno rīcībpolitiku, kas ierobežo fizisku vai loģisku piekļuvi informācijas aktīviem un IKT aktīviem un datiem tikai tādā apjomā, kāds ir nepieciešams leģitīmām un atļautām funkcijām un darbībām, un šim nolūkam izveido rīcībpolitikas, procedūru un kontroles pasākumu kopumu, ar ko nosaka piekļuves tiesības un nodrošina to pareizu pārvaldību;
īsteno rīcībpolitiku un protokolus, kas paredz spēcīgus autentificēšanas mehānismus, kuri ir balstīti uz attiecīgiem standartiem un īpašām kontroles sistēmām, un aizsardzības pasākumus šifrēšanas atslēgu veidā, ar kurām dati tiek šifrēti, balstoties uz apstiprinātiem datu klasifikācijas un IKT riska novērtējuma procesiem;
īsteno dokumentētu IKT izmaiņu, tostarp programmatūras, aparatūras, aparātprogrammatūras komponentu, sistēmu vai drošības parametru, pārvaldības politiku, procedūras un kontroli, kas ir balstītas uz riska novērtēšanas pieeju un ir finanšu vienības kopējās izmaiņu pārvaldības politikas neatņemama daļa, lai nodrošinātu, ka visas IKT sistēmu izmaiņas tiek kontrolēti reģistrētas, testētas, novērtētas, apstiprinātas, ieviestas un pārbaudītas;
ievieš dokumentētu attiecīgu un visaptverošu labojumu un atjauninājumu politiku.
Pirmās daļas b) apakšpunkta vajadzībām finanšu vienības projektē tīkla savienojuma infrastruktūru tā, lai to varētu nekavējoties pārtraukt vai segmentēt nolūkā pēc iespējas samazināt kaitīgas ietekmes izplatīšanos, jo īpaši attiecībā uz savstarpēji savienotiem finanšu procesiem.
Pirmās daļas e) apakšpunkta vajadzībām IKT izmaiņu pārvaldības procesu apstiprina atbilstīga hierarhiskā vadība, un tam ir ieviesti īpaši protokoli.
10. pants
Atklāšana
Visus pirmajā daļā minētos atklāšanas mehānismus regulāri testē saskaņā ar 25. pantu.
11. pants
Reaģēšana un seku novēršana
Finanšu vienības īsteno IKT darbības nepārtrauktības politiku, izmantojot īpašu, piemērotu un dokumentētu kārtību, plānus, procedūras un mehānismus, kuru mērķis ir:
nodrošināt finanšu vienības kritiski svarīgo vai svarīgo funkciju nepārtrauktību;
ātri, pienācīgi un efektīvi reaģēt uz visiem ar IKT saistītajiem incidentiem un novērst tos tā, lai ierobežotu kaitējumu un par prioritārām noteiktu darbības atsākšanu un seku novēršanu;
nekavējoties aktivizēt īpašus plānus, kas ļauj īstenot ierobežošanas pasākumus, procesus un tehnoloģijas, kuri piemēroti katram ar IKT saistīto incidentu veidam un ļauj novērst turpmāku kaitējumu, kā arī pielāgotas reaģēšanas un seku novēršanas procedūras, kas noteiktas saskaņā ar 12. pantu;
provizoriski aplēst ietekmi, kaitējumu un zaudējumus;
noteikt saziņas un krīzes pārvarēšanas pasākumus, kas nodrošina atjauninātas informācijas nosūtīšanu visam attiecīgajam iekšējam personālam un ārējām ieinteresētajām personām saskaņā ar 14. pantu un tās paziņošanu kompetentajām iestādēm saskaņā ar 19. pantu.
Finanšu vienības kā daļu no visaptverošās IKT riska pārvaldības:
vismaz reizi gadā, kā arī pēc būtiskām tādu IKT sistēmu izmaiņām, ar kurām atbalsta kritiski svarīgas vai svarīgas funkcijas, testē IKT darbības nepārtrauktības plānus un IKT reaģēšanas un seku novēršanas plānus saistībā ar IKT sistēmām, kas atbalsta visas funkcijas;
testē saskaņā ar 14. pantu izveidotos krīzes saziņas plānus.
Pirmās daļas a) apakšpunkta vajadzībām finanšu vienības, kas nav mikrouzņēmumi, testēšanas plānos iekļauj scenārijus, kuros notiek kiberuzbrukumi un pārslēgšanās starp primāro IKT infrastruktūru un rezerves jaudu, rezerves kopijām un rezerves mehānismiem, kas vajadzīgi 12. pantā noteikto pienākumu izpildei.
Finanšu vienības regulāri pārskata savu IKT darbības nepārtrauktības politiku un IKT reaģēšanas un seku novēršanas plānus, ņemot vērā saskaņā ar panta pirmo daļu veikto testu rezultātus un ieteikumus, kas izriet no revīzijas pārbaudēm vai uzraudzības pārskatiem.
12. pants
Rezerves kopiju veidošanas politika un procedūras, atjaunošanas un atgūšanas procedūras un metodes
Lai nodrošinātu IKT sistēmu un datu atjaunošanu ar minimāliem laika zaudējumiem, ierobežotiem traucējumiem un zaudējumiem, finanšu vienības kā daļu no IKT riska pārvaldības sistēmas izstrādā un dokumentē:
rezerves kopiju veidošanas politiku un procedūras, kur nosaka to datu tvērumu, kuriem jāveido rezerves kopijas, un rezerves kopiju veidošanas minimālo biežumu, balstoties uz informācijas svarīgumu vai datu konfidencialitātes līmeni;
atjaunošanas un atgūšanas procedūras un metodes.
Centrālo darījumu partneru seku novēršanas plāni atļauj atjaunot visus darījumus pārtraukšanas brīdī, lai centrālais darījumu partneris varētu turpināt droši darboties un pabeigt norēķinus paredzētajā dienā.
Datu ziņošanas pakalpojumu sniedzēji papildus uztur pienācīgus resursus un nodrošina rezerves kopijas un atjaunošanas iekārtas, lai jebkurā laikā piedāvātu un uzturētu savus pakalpojumus.
Rezerves apstrādes vieta:
atrodas ģeogrāfiski attālu no galvenās apstrādes vietas, lai nodrošinātu, ka tai ir atšķirīgs riska profils, un novērstu, ka to skar notikums, kas ir skāris galveno vietu;
spēj nodrošināt kritiski svarīgu vai svarīgu funkciju nepārtrauktību tieši tāpat kā galvenā vieta vai sniegt pakalpojumus līmenī, kas nepieciešams, lai nodrošinātu, ka finanšu vienība veic kritiski svarīgās darbības saskaņā ar atgūšanas mērķiem;
ir nekavējoties pieejama finanšu vienības personālam, lai nodrošinātu kritiski svarīgu vai svarīgu funkciju nepārtrauktību gadījumā, ja galvenā apstrādes vieta ir kļuvusi nepieejama.
13. pants
Mācīšanās un attīstība
Finanšu vienības, kas nav mikrouzņēmumi, pēc pieprasījuma paziņo kompetentajām iestādēm par izmaiņām, kas veiktas pēc pirmajā daļā minētās ar IKT saistīto incidentu pārskatīšanas.
Pirmajā daļā minētajā ar IKT saistītā incidenta pārskatīšanā nosaka, vai tika ievērotas noteiktās procedūras un vai veiktās darbības bija efektīvas, tostarp attiecībā uz:
tūlītēju reaģēšanu uz drošības brīdinājumiem un ar IKT saistīto incidentu ietekmes un to būtiskuma noteikšanu;
kriminālistikas analīzes kvalitāti un ātrumu, ja to uzskata par lietderīgu;
incidentu eskalācijas efektivitāti finanšu vienībā;
iekšējās un ārējās saziņas efektivitāti.
14. pants
Saziņa
15. pants
IKT riska pārvaldības rīku, metožu, procesu un politikas tālāka saskaņošana
EUI ar Apvienotās komitejas starpniecību, apspriežoties ar Eiropas Savienības Kiberdrošības aģentūru (ENISA), izstrādā kopīgu regulatīvo tehnisko standartu projektu, lai:
noteiktu papildu elementus, kas jāiekļauj 9. panta 2. punktā minētajā IKT drošības rīcībpolitikā, procedūrās, protokolos un rīkos, lai nodrošinātu tīklu drošību, ļautu īstenot atbilstošus aizsardzības pasākumus pret ielaušanos un datu ļaunprātīgu izmantošanu, saglabātu datu pieejamību, autentiskumu, integritāti un konfidencialitāti, tostarp kriptogrāfijas metodes, un garantētu datu precīzu un ātru pārraidi bez būtiskiem traucējumiem un nepamatotiem kavējumiem;
izstrādātu papildu komponentus 9. panta 4. punkta c) apakšpunktā minētajai piekļuves pārvaldības tiesību kontrolei un ar to saistīto cilvēkresursu politiku, lai precizētu piekļuves tiesības, tiesību piešķiršanas un anulēšanas procedūras, uzraudzītu anomālu rīcību saistībā ar IKT riskiem, izmantojot atbilstošus rādītājus, tostarp tīkla izmantošanas modeļus, laikus, IT darbību un nezināmas ierīces;
sīkāk izstrādātu 10. panta 1. punktā noteiktos mehānismus, kas ļautu operatīvi atklāt anomālas darbības, un 10. panta 2. punktā izklāstītos kritērijus, kas ierosina ar IKT saistītu incidentu atklāšanas un reaģēšanas procesus;
sīkāk precizētu 11. panta 1. punktā minētās IKT darbības nepārtrauktības politikas komponentus;
sīkāk precizētu 11. panta 6. punktā minēto IKT darbības nepārtrauktības plānu testēšanu, lai nodrošinātu, ka šādā testēšanā pienācīgi ņemti vērā scenāriji, kuros kritiski svarīgas vai svarīgas funkcijas nodrošināšanas kvalitāte nepieņemami pasliktinās vai netiek ievērota vispār, un pienācīgi apsvērta attiecīgās trešās personas, kas sniedz IKT pakalpojumus, maksātnespējas vai citas atteices iespējamā ietekme un konkrētā gadījumā – attiecīgo pakalpojumu sniedzēju jurisdikciju politiskie riski;
sīkāk precizētu 11. panta 3. punktā minēto IKT reaģēšanas un seku novēršanas plānu komponentus;
sīkāk precizētu 6. panta 5. punktā minētā ziņojuma par IKT riska pārvaldības sistēmas pārskatīšanu saturu un formātu.
Izstrādājot minēto regulatīvo tehnisko standartu projektu, EUI ņem vērā finanšu vienības lielumu un vispārējo riska profilu, kā arī tās pakalpojumu, darbību un operāciju veidu, apmēru un sarežģītību, vienlaikus pienācīgi ņemot vērā visas īpašās iezīmes, kas izriet no darbību atšķirīgā rakstura dažādās finanšu pakalpojumu nozarēs.
EUI iesniedz Komisijai minēto regulatīvo tehnisko standartu projektu līdz 2024. gada 17. janvārim.
Komisijai tiek deleģētas pilnvaras papildināt šo regulu, pieņemot pirmajā daļā minētos regulatīvos tehniskos standartus saskaņā ar 10.–14. pantu Regulās (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010.
16. pats
Vienkāršota IKT riska pārvaldības sistēma
Neskarot pirmo daļu, tajā uzskaitītās vienības:
ievieš un uztur stabilu un dokumentētu IKT riska pārvaldības sistēmu, ar ko sīki izklāsta mehānismus un pasākumus, kuru mērķis ir ātra, efektīva un visaptveroša IKT riska pārvaldība, tostarp attiecīgo fizisko komponentu un infrastruktūru aizsardzība;
pastāvīgi uzrauga visu IKT sistēmu drošību un darbību;
pēc iespējas samazina IKT riska ietekmi, izmantojot stabilas, noturīgas un atjauninātas IKT sistēmas, protokolus un rīkus, kuri ir piemēroti to darbību nodrošināšanai un pakalpojumu sniegšanai un tīklu un informācijas sistēmās esošo datu pieejamības, autentiskuma, integritātes un konfidencialitātes pienācīgai aizsardzībai;
ļauj ātri identificēt un atklāt IKT riska un anomāliju cēloņus tīklu un informācijas sistēmās un ātri rīkoties IKT incidentu gadījumos;
nosaka galvenās atkarības no trešām personām, kas sniedz IKT pakalpojumus;
nodrošina kritiski svarīgo vai svarīgo funkciju nepārtrauktību, izmantojot darbības nepārtrauktības plānus un reaģēšanas un seku novēršanas pasākumus, kas ietver vismaz rezerves kopiju veidošanas un atjaunošanas pasākumus;
regulāri testē f) apakšpunktā minētos plānus un pasākumus, kā arī saskaņā ar a) un c) apakšpunktu īstenoto kontroļu efektivitāti;
attiecīgā gadījumā IKT riska novērtēšanas procesā īsteno attiecīgus darbības secinājumus, kas izriet no g) apakšpunktā minētajiem testiem un pēcincidentu analīzes, un saskaņā ar vajadzībām un IKT riska profilu izstrādā IKT drošības izpratnes veidošanas programmas un digitālās darbības noturības mācības personālam un vadībai.
EUI ar Apvienotās komitejas starpniecību, apspriežoties ar ENISA, izstrādā kopīgu regulatīvo tehnisko standartu projektu, lai:
sīkāk precizētu elementus, kas jāiekļauj 1. punkta otrās daļas a) apakšpunktā minētajā IKT riska pārvaldības sistēmā;
sīkāk precizētu elementus, kas saistīti ar 1. punkta otrās daļas c) apakšpunktā minētajām sistēmām, protokoliem un rīkiem IKT riska ietekmes iespējamai samazināšanai, nolūkā nodrošināt tīklu drošību, nodrošināt pienācīgus aizsardzības pasākumus pret ielaušanos un datu ļaunprātīgu izmantošanu un saglabātu datu pieejamību, autentiskumu, integritāti un konfidencialitāti;
sīkāk precizētu 1. punkta otrās daļas f) apakšpunktā minēto IKT darbības nepārtrauktības plānu komponentus;
sīkāk precizētu noteikumus par darbības nepārtrauktības plānu testēšanu un nodrošinātu 1. punkta otrās daļas g) apakšpunktā minētās kontroles efektivitāti un nodrošinātu, ka šādā testēšanā pienācīgi ņem vērā scenārijus, kuros kritiski svarīgas vai svarīgas funkcijas nodrošināšanas kvalitāte pasliktinās līdz nepieņemamam līmenim vai kad tā nedarbojas;
sīkāk precizētu 2. punktā minētā ziņojuma par IKT riska pārvaldības sistēmas pārskatīšanu saturu un formātu.
Izstrādājot minēto regulatīvo tehnisko standartu projektu, EUI ņem vērā finanšu vienības lielumu un vispārējo riska profilu, kā arī tās pakalpojumu, darbību un operāciju veidu, apmēru un sarežģītību.
EUI iesniedz Komisijai minēto īstenošanas tehnisko standartu projektus līdz 2024. gada 17. janvārim.
Komisijai tiek deleģētas pilnvaras papildināt šo regulu, pieņemot pirmajā daļā minētos regulatīvos tehniskos standartus saskaņā ar 10.–14. pantu Regulās (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010.
III NODAĻA
Ar IKT saistītu incidentu pārvaldības process, klasifikācija un ziņošana
17. pants
Ar IKT saistītu incidentu pārvaldības process
Šā panta 1. punktā minētajā ar IKT saistītu incidentu pārvaldības procesā:
ievieš agrīnās brīdināšanas rādītājus;
izveido procedūras ar IKT saistītu incidentu identificēšanai, izsekošanai, reģistrēšanai, kategorizācijai un klasificēšanai atbilstīgi to prioritātei, kā arī skarto pakalpojumu nopietnībai un kritiskumam saskaņā ar 18. panta 1. punktā izklāstītajiem kritērijiem;
iedala funkcijas un atbildību, kas jāiedarbina attiecībā uz dažādiem ar IKT saistītiem incidentu veidiem un scenārijiem;
saskaņā ar 14. pantu izstrādā plānus, kā sazināties ar personālu, ārējām ieinteresētajām personām un plašsaziņas līdzekļiem un kā informēt klientus, īstenot iekšējās eskalācijas procedūras, tostarp saistībā ar klientu sūdzībām par IKT jautājumiem, kā arī informācijas sniegšanai finanšu vienībām, kas attiecīgi darbojas kā darījumu partneri;
nodrošina, ka vismaz par būtiskiem ar IKT saistītiem incidentiem tiek ziņots attiecīgajai augstākajai vadībai, kā arī vadības struktūra tiek informēta vismaz par būtiskiem ar IKT saistītiem incidentiem, skaidrojot to ietekmi, reaģēšanu un papildu kontroli, kas tiek noteikta šādu ar IKT saistītu incidentu rezultātā;
izveido ar IKT saistītu incidentu reaģēšanas procedūras, lai mazinātu ietekmi un nodrošinātu to, ka pakalpojumi laikus kļūst operatīvi un drošāki.
18. pants
Ar IKT saistītu incidentu un kiberdraudu klasifikācija
Finanšu vienības klasificē ar IKT saistītus incidentus un nosaka to ietekmi, pamatojoties uz šādiem kritērijiem:
to klientu vai finanšu darījumu partneru skaits un/vai relevance, kurus ir skāris ar IKT saistītais incidents un – attiecīgā gadījumā – skarto darījumu apjoms vai skaits, kā arī tas, vai ar IKT saistītais incidents ir ietekmējis reputāciju;
ar IKT saistītā incidenta ilgums, tostarp konkrētā pakalpojuma nepieejamība;
ģeogrāfiskā izplatība attiecībā uz jomām, ko skāris ar IKT saistītais incidents, jo īpaši, ja tas skar vairāk nekā divas dalībvalstis;
datu zudumi, ko rada ar IKT saistītais incidents, saistībā ar datu pieejamību, autentiskumu, integritāti vai konfidencialitāti;
ietekmēto pakalpojumu, tostarp finanšu vienības darījumu un operāciju, kritiskums;
ar IKT saistītā incidenta ekonomiskā ietekme, jo īpaši tiešās un netiešās izmaksas un zaudējumi, gan absolūtā, gan relatīvā izteiksmē.
EUI ar Apvienotās komitejas starpniecību un apspriežoties ar ECB un ENISA izstrādā kopēju regulatīvo tehnisko standartu projektu, tajā sīkāk nosakot:
1. punktā izklāstītos kritērijus, tostarp būtiskuma robežvērtības, pēc kā noteikt būtiskus ar IKT saistītus incidentus vai – attiecīgā gadījumā – būtiskus ar maksājumiem saistītus darbības vai drošības incidentus, kam piemēro 19. panta 1. punktā paredzēto ziņošanas pienākumu;
kritērijus, ko piemēro kompetentās iestādes, lai izvērtētu būtisku ar IKT saistītu incidentu vai – attiecīgā gadījumā – būtisku ar maksājumiem saistītu darbības vai drošības incidentu relevanci attiecīgajām kompetentajām iestādēm citās dalībvalstīs, kā arī sīkāku informāciju no ziņojumiem par būtiskiem ar IKT saistītiem incidentiem vai – attiecīgā gadījumā – būtiskiem ar maksājumiem saistītiem darbības vai drošības incidentiem, kas tiek koplietota ar citām kompetentajām iestādēm, ievērojot 19. panta 6. un 7. punktu;
kritērijus, kas izklāstīti šā panta 2. punktā, tostarp augstas būtiskuma robežvērtības būtisku kiberdraudu noteikšanai.
Minētos kopējo regulatīvo tehnisko standartu projektus EUI iesniedz Komisijai līdz 2024. gada 17. janvārim.
Komisijai tiek deleģētas pilnvaras papildināt šo regulu, pieņemot 3. punktā minētos regulatīvos tehniskos standartus saskaņā ar 10.–14. pantu Regulās (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010.
19. pants
Ziņošana par būtiskiem ar IKT saistītiem incidentiem un brīvprātīga paziņošana par būtiskiem kiberdraudiem
Ja finanšu vienību uzrauga vairāk nekā viena 46. pantā minētā valsts kompetentā iestāde, dalībvalstis izraugās vienu kompetento iestādi par attiecīgo kompetento iestādi, kas ir atbildīga par šajā pantā paredzēto funkciju un pienākumu izpildi.
Kredītiestādes, kas saskaņā ar Regulas (ES) Nr. 1024/2013 6. panta 4. punktu klasificētas kā nozīmīgas, ziņo par būtiskiem ar IKT saistītiem incidentiem attiecīgajai valsts kompetentajai iestādei, kura izraudzīta saskaņā ar Direktīvas 2013/36/ES 4. pantu un kura nekavējoties nosūta minēto ziņojumu ECB.
Piemērojot šā punkta pirmo daļu, finanšu vienības pēc visas attiecīgās informācijas ievākšanas un analīzes, sagatavo sākotnējo paziņojumu un šā panta 4. punktā minētos ziņojumus, izmantojot 20. pantā minētās veidnes, un iesniedz tos kompetentajai iestādei. Ja tehniska neiespējamība liedz iesniegt sākotnējo paziņojumu, izmantojot veidni, finanšu vienības par to paziņo kompetentajai iestādei, izmantojot alternatīvus līdzekļus.
Sākotnējā paziņojumā un 4. punktā minētajos ziņojumos ietver visu informāciju, kas nepieciešama kompetentajai iestādei, lai noteiktu būtiskā ar IKT saistītā incidenta nozīmīgumu un izvērtētu iespējamo pārrobežu ietekmi.
Neskarot ziņošanu attiecīgajai kompetentajai iestādei, kuru finanšu vienība īsteno, ievērojot pirmo daļu, dalībvalstis var papildus noteikt, ka dažas vai visas finanšu vienības, izmantojot 20. pantā minētās veidnes, sniedz arī sākotnējo paziņojumu un katru no šā panta 4. punktā minētajiem ziņojumiem kompetentajām iestādēm vai datordrošības incidentu reaģēšanas vienībām (CSIRT), kas izraudzītas vai izveidotas saskaņā ar Direktīvu (ES) 2022/2555.
Kredītiestādes, kas saskaņā ar Regulas (ES) Nr. 1024/2013 6. panta 4. punktu klasificētas kā nozīmīgas, var brīvprātīgi ziņot par būtiskiem kiberdraudiem attiecīgajai valsts kompetentajai iestādei, kura izraudzīta saskaņā ar Direktīvas 2013/36/ES 4. pantu un kura nekavējoties nosūta minēto ziņojumu ECB.
Dalībvalstis var noteikt, ka minētās finanšu vienības, kuras veic brīvprātīgo paziņošanu saskaņā ar pirmo daļu, var nosūtīt minēto paziņojumu arī CSIRT, kas izraudzītas vai izveidotas saskaņā ar Direktīvu (ES) 2022/2555.
Būtiska kiberdrauda gadījumā finanšu vienības attiecīgā gadījumā informē savus klientus, kurus minētais drauds varētu potenciāli ietekmēt, par jebkādiem piemērotiem aizsardzības pasākumiem, ko viņi varētu apsvērt veikt.
Finanšu vienības termiņā, kas jānosaka saskaņā ar 20. panta pirmās daļas a) apakšpunkta ii) punktu, attiecīgajai kompetentajai iestādei iesniedz:
sākotnējo paziņojumu;
starpposma ziņojumu pēc a) apakšpunktā minētā sākotnējā ziņojuma, tiklīdz ir būtiski mainījies sākotnējā incidenta statuss vai ja, pamatojoties uz pieejamo jauno informāciju, ir mainījusies būtiskā ar IKT saistītā incidenta apstrāde, kam attiecīgā gadījumā seko atjaunināti paziņojumi ikreiz, kad ir pieejams attiecīgs statusa atjauninājums, kā arī pēc kompetentās iestādes konkrēta pieprasījuma;
gala ziņojumu, kad ir pabeigta pamatcēloņu analīze un neatkarīgi no tā, vai mazināšanas pasākumi jau ir ieviesti, un kad ir pieejami faktiskie ietekmes rādītāji, ar ko aizstāt aplēses.
Saņemot sākotnējo paziņojumu un katru 4. punktā minēto ziņojumu, kompetentā iestāde savlaicīgi sniedz informāciju par būtisko ar IKT saistīto incidentu šādiem saņēmējiem, attiecīgā gadījumā pamatojoties uz to attiecīgajām kompetencēm:
EBI, EVTI vai EAAPI;
šīs regulas 2. panta 1. punkta a), b) un d) apakšpunktā minēto finanšu vienību gadījumā – ECB;
kompetentajām iestādēm, vienotajiem kontaktpunktiem vai CSIRT, kas izraudzītas vai izveidotas, attiecīgi, saskaņā ar Direktīvu (ES) 2022/2555.
noregulējuma iestādēm, kā minēts Direktīvas 2014/59/ES 3. pantā, un Vienotajai noregulējuma valdei (VNV) attiecībā uz vienībām, kas minētas Eiropas Parlamenta un Padomes Regulas (ES) Nr. 806/2014 ( 7 ) 7. panta 2. punktā, un attiecībā uz vienībām un grupām, kas minētas Regulas (ES) Nr. 806/2014 7. panta 4. punkta b) apakšpunktā un 5. punktā, ja šāda informācija attiecas uz incidentiem, kas rada risku kritiski svarīgu funkciju nodrošināšanai Direktīvas 2014/59/ES 2. panta 1. punkta 35) apakšpunkta nozīmē; un
citām attiecīgām valsts iestādēm saskaņā ar valsts tiesību aktiem.
20. pants
Ziņojumu satura un veidņu saskaņošana
EUI, ar Apvienotās komitejas starpniecību un apspriežoties ar ENISA un ECB, izstrādā:
kopējo regulatīvo tehnisko standartu projektus, ar ko:
nosaka ziņojumu par būtiskiem ar IKT saistītiem incidentiem saturu, lai atspoguļotu 18. panta 1. punktā noteiktos kritērijus un ietvertu papildu elementus, piemēram, sīku informāciju nolūkā noteikt, vai iesniegtie ziņojumi ir relevanti citām dalībvalstīm, un to, vai tas ir vai nav būtisks ar maksājumiem saistīts darbības vai drošības incidents;
nosaka termiņus sākotnējam paziņojumam un katram 19. panta 4. punktā minētajam ziņojumam;
nosaka par būtiskiem kiberdraudiem veikto paziņojumu saturu.
Izstrādājot minētos regulatīvo tehnisko standartu projektus, EUI ņem vērā finanšu vienības lielumu, tās pakalpojumu, darbību un operāciju veidu, apmēru un sarežģītību, kā arī tās vispārējo riska profilu, un jo īpaši nolūkā nodrošināt, ka šīs daļas a) punkta ii) apakšpunkta vajadzībām dažādi termiņi attiecīgā gadījumā varētu atspoguļot finanšu nozaru īpatnības, neskarot vienotas pieejas uzturēšanu ar IKT saistīto incidentu paziņošanai, ievērojot šo regulu un Direktīvu (ES) 2022/2555 EUI attiecīgā gadījumā sniedz pamatojumu, ja notiek novirzīšanās no pieejām, kas ieņemtas minētās direktīvas kontekstā;
kopējo īstenošanas tehnisko standartu projektus, ar ko nosaka standarta veidlapas, veidnes un procedūras, kā finanšu vienības ziņo par būtisku ar IKT saistītu incidentu un kā paziņo būtisku kiberdraudu.
EUI iesniedz Komisijai pirmās daļas a) punktā minēto kopējo regulatīvo tehnisko standartu projektus un pirmās daļas b) punktā minēto kopējo īstenošanas tehnisko standartu projektus līdz 2024. gada 17. jūlijam.
Komisijai tiek deleģētas pilnvaras papildināt šo regulu, pieņemot pirmās daļas a) punktā minētos kopējos regulatīvos tehniskos standartus saskaņā ar 10.–14. pantu Regulās (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010.
Komisijai tiek deleģētas pilnvaras pieņemt pirmās daļas b) punktā minētos kopējos īstenošanas tehniskos standartus saskaņā ar 15. pantu Regulās (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010.
21. pants
Centralizēta ziņošana par būtiskiem ar IKT saistītiem incidentiem
Šā panta 1. punktā minētajā kopīgajā ziņojumā ir vismaz šādi elementi:
priekšnoteikumi šāda vienota ES centrmezgla izveidei;
ieguvumi, ierobežojumi un riski, tostarp riski, kas saistīti ar augstu sensitīvas informācijas koncentrāciju;
spēja, kas nepieciešama, lai nodrošinātu sadarbspēju salīdzinājumā ar citām attiecīgajām ziņošanas shēmām;
darbības vadības elementi;
dalības nosacījumi;
tehniskā kārtība, kādā finanšu vienības un valstu kompetentās iestādes var piekļūt vienotajam ES centrmezglam;
provizorisks novērtējums par finansiālajām izmaksām, kas radušās ar vienotā ES centrmezgla atbalsta darbības platformas izveidi, tostarp tai vajadzīgajām speciālām zināšanām.
22. pants
Uzraudzības atgriezeniskā saite
EUI izdod brīdinājumus un sagatavo augsta līmeņa statistiku, lai atbalstītu IKT apdraudējumu un ievainojamības novērtējumus.
23. pants
Ar maksājumiem saistīti darbības vai drošības incidenti, kas attiecas uz kredītiestādēm, maksājumu iestādēm, konta informācijas pakalpojumu sniedzējiem un elektroniskās naudas iestādēm
Šajā nodaļā paredzētās prasības piemēro arī ar maksājumiem saistītiem darbības vai drošības incidentiem un būtiskiem ar maksājumiem saistītiem darbības vai drošības incidentiem, ja tie attiecas uz kredītiestādēm, maksājumu iestādēm, konta informācijas pakalpojumu sniedzējiem un elektroniskās naudas iestādēm.
IV NODAĻA
Digitālās darbības noturības testēšana
24. pants
Vispārējās prasības digitālās darbības noturības testu veikšanai
25. pants
IKT rīku un sistēmu testēšana
26. pants
IKT rīku, sistēmu un procesu padziļināta testēšana, balstoties uz DVIT
Finanšu vienības identificē visas attiecīgās pamatā esošās IKT sistēmas, procesus un tehnoloģijas, kas atbalsta kritiski svarīgas vai svarīgas funkcijas un IKT pakalpojumus, tostarp tos, kas atbalsta kritiski svarīgas vai svarīgas funkcijas, kas nodotas ārpakalpojumā vai par ko noslēgts līgums ar trešām personām, kas sniedz IKT pakalpojumus.
Finanšu vienības novērtē, kuras kritiski svarīgās vai svarīgās funkcijas ir jāiekļauj DVIT. Šā novērtējuma rezultāts nosaka precīzu DVIT jomu, un to validē kompetentās iestādes.
Minētā apvienotā testēšana aptver attiecīgo IKT pakalpojumu klāstu, ar kuriem atbalsta kritiski svarīgās vai svarīgās funkcijas, par kurām finanšu vienības ir noslēgušas līgumu ar attiecīgo trešo personu, kas sniedz IKT pakalpojumus. Apvienoto testēšanu uzskata par DVIT, ko veic finanšu vienības, kuras piedalās apvienotajā testēšanā.
To finanšu vienību skaitu, kas piedalās apvienotajā testēšanā, pienācīgi kalibrē, ņemot vērā iesaistīto pakalpojumu sarežģītību un veidus.
Neskarot šādu apliecinājumu, finanšu vienības nepārtraukti ir pilnībā atbildīgas par 4. punktā minēto testu ietekmi.
Kredītiestādes, kas saskaņā ar Regulas (ES) Nr. 1024/2013 6. panta 4. punktu ir klasificētas kā nozīmīgas, saskaņā ar 27. panta 1. punkta a)–e) apakšpunktu izmanto tikai ārējos testētājus.
Kompetentās iestādes identificē finanšu vienības, kam ir pienākums veikt DVIT, ņemot vērā 4. panta 2. punktā izklāstītos kritērijus, pamatojoties uz šādu faktoru izvērtējumu:
ar ietekmi saistīti faktori, jo īpaši tas, kādā mērā finanšu vienības sniegtie pakalpojumi un veiktās darbības ietekmē finanšu nozari;
iespējamās bažas par finanšu stabilitāti, tostarp finanšu vienības sistēmiskumu Savienības vai – attiecīgā gadījumā – valsts līmenī;
finanšu vienības konkrētais IKT riska profils, IKT gatavības līmenis vai iesaistītās tehnoloģijas īpašības.
EUI, vienojoties ar ECB, izstrādā kopēju regulatīvo tehnisko standartu projektu saskaņā ar TIBER–EU sistēmu, lai sīkāk precizētu:
8. punkta otrās daļas piemērošanas vajadzībām izmantotos kritērijus;
prasības un standartus, kas reglamentē iekšējo testētāju izmantošanu;
prasības attiecībā uz:
šā panta 2. punktā minēto DVIT darbības jomu;
testēšanas metodiku un pieeju, ko ievēro katrā testēšanas procesa konkrētajā posmā;
testēšanas rezultātu, slēgšanas un kļūdu novēršanas posmus;
tādas uzraudzības un citas attiecīgas sadarbības veidu, kas vajadzīga, lai īstenotu DVIT un veicinātu minētās testēšanas savstarpēju atzīšanu saistībā ar finanšu vienībām, kas darbojas vairāk nekā vienā dalībvalstī, lai nodrošinātu pienācīgu uzraudzības iesaisti un elastīgu īstenošanu nolūkā ņemt vērā finanšu apakšnozaru vai vietējo finanšu tirgu īpatnības.
Izstrādājot minēto regulatīvo tehnisko standartu projektus, EUI pienācīgi ņem vērā visas īpašās iezīmes, kas izriet no darbību atšķirīgā rakstura dažādās finanšu pakalpojumu nozarēs.
Minētos regulatīvo tehnisko standartu projektus EUI iesniedz Komisijai līdz 2024. gada 17. jūlijam.
Komisijai tiek deleģētas pilnvaras papildināt šo regulu, pieņemot pirmajā daļā minētos regulatīvos tehniskos standartus saskaņā ar 10.–14. pantu Regulās (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010.
27. pants
Prasības testētājiem attiecībā uz DVIT veikšanu
Finanšu vienības DVIT veikšanai izmanto tikai testētājus:
kam ir visaugstākā piemērotība un reputācija;
kam ir tehniskās un organizēšanas spējas un kuri ir apliecinājuši, ka tiem ir īpaša zinātība par draudu izlūkdatiem, ielaušanās testēšanu un sarkanās komandas testēšanu;
ko ir sertificējusi dalībvalsts akreditācijas struktūra vai kas ievēro oficiālus rīcības kodeksus vai ētikas regulējumu;
kas sniedz neatkarīgu apliecinājumu vai revīzijas ziņojumu saistībā ar tādu risku stabilu pārvaldību, kas ir saistīti ar DVIT veikšanu, tostarp finanšu vienības konfidenciālās informācijas pienācīgu aizsardzību un finanšu vienības uzņēmējdarbības risku atlīdzināšanu;
kam ir pienācīgs un pilnīgs attiecīgas profesionālās apdrošināšanas segums, tostarp pret ļaunprātīgas rīcības un nolaidības riskiem.
Izmantojot iekšējos testētājus, finanšu iestādes nodrošina, ka papildus 1. punkta prasībām, tiek izpildīti šādi nosacījumi:
šādu izmantošanu ir apstiprinājusi attiecīgā kompetentā iestāde vai vienotā publiskā iestāde, kas izraudzīta saskaņā ar 26. panta 9. un 10. punktu;
attiecīgā kompetentā iestāde ir pārbaudījusi, ka finanšu vienībai ir pietiekami atvēlēti resursi, un nodrošinājusi, ka visā testa izstrādes un izpildes laikā netiek pieļauti interešu konflikti; un
draudu izlūkdatu sniedzējs ir ar finanšu vienību nesaistīts.
V NODAĻA
Ar trešo personu saistīta IKT riska pārvaldība
28. pants
Vispārējie principi
Finanšu vienības savās IKT riska pārvaldības sistēmās, kā minēts 6. panta 1. punktā, pārvalda ar trešo personu saistīto IKT risku kā IKT riska neatņemamu daļu saskaņā ar turpmāk izklāstītajiem principiem:
finanšu vienības, kurām ir līgumiskas vienošanās par IKT pakalpojumu izmantošanu savas uzņēmējdarbības veikšanai, nepārtraukti ir pilnībā atbildīgas par visu šajā regulā un piemērojamos finanšu pakalpojumu tiesību aktos noteikto saistību ievērošanu un izpildi;
finanšu vienības īsteno ar trešo personu saistītā IKT riska pārvaldību saskaņā ar proporcionalitātes principu, ņemot vērā:
ar IKT saistītu atkarību veidu, apmēru, sarežģītību un svarīgumu;
riskus, kuri rodas no tādas līgumiskas vienošanās par IKT pakalpojumu sniegšanu, kas noslēgta ar trešām personām, kas sniedz IKT pakalpojumus, ņemot vērā attiecīgā pakalpojuma, procesa vai funkcijas kritisko svarīgumu vai svarīgumu un iespējamo ietekmi uz finanšu pakalpojumu un darbību nepārtrauktību un pieejamību individuālā un grupas līmenī.
Pirmajā daļā minētās līgumiskās vienošanās attiecīgi dokumentē, nošķirot tās, kas attiecas uz IKT pakalpojumiem, ar ko atbalsta kritiski svarīgas vai svarīgas funkcijas, no tām, kas uz tiem neattiecas.
Finanšu vienības vismaz reizi gadā ziņo kompetentajām iestādēm par jaunu vienošanos skaitu attiecībā uz IKT pakalpojumu izmantošanu, trešo personu, kas sniedz IKT pakalpojumus, kategorijām, līgumisku vienošanos veidiem un nodrošinātajiem IKT pakalpojumiem un funkcijām.
Finanšu vienības dara kompetentajai iestādei pieejamu pilno informācijas reģistru vai konkrētas tā daļas pēc tās pieprasījuma, kā arī jebkādu informāciju, ko uzskata par nepieciešamu finanšu vienības efektīvas uzraudzības nodrošināšanai.
Finanšu vienības laikus informē kompetento iestādi par visām plānotajām līgumiskajām vienošanām par tādu IKT pakalpojumu izmantošanu, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas, kā arī par to, ka funkcija ir kļuvusi par kritiski svarīgu vai svarīgu.
Finanšu vienības, pirms tās noslēdz līgumisku vienošanos par IKT pakalpojumu izmantošanu:
novērtē, vai līgumiskā vienošanās attiecas uz tādu IKT pakalpojumu izmantošanu, ar kuriem atbalsta kritiski svarīgu vai svarīgu funkciju;
novērtē, vai ir izpildīti uzraudzības nosacījumi līguma slēgšanai;
identificē un novērtē visus būtiskos riskus saistībā ar līgumisko vienošanos, tostarp iespēju, ka šāda līgumiska vienošanās var sekmēt IKT koncentrācijas riska palielināšanos, kā minēts 29. pantā;
ar visu pienācīgo rūpību pārbauda iespējamās trešās personas, kas sniedz IKT pakalpojumus, un visos atlases un novērtēšanas procesos nodrošina, ka trešā persona, kas sniedz IKT pakalpojumus, ir piemērota;
identificē un novērtē interešu konfliktus, ko var izraisīt līgumiskā vienošanās.
Ja līgumiskas vienošanās, kas noslēgtas ar trešām personām, kas sniedz IKT pakalpojumus, par IKT pakalpojumu izmantošanu rada lielu tehnisku sarežģītību, finanšu vienība pārbauda, vai revidentiem – gan iekšējiem, gan ārējiem revidentiem, vai revidentu grupai – ir atbilstīgas prasmes un zināšanas, lai efektīvi veiktu attiecīgās revīzijas un novērtējumus.
Finanšu vienības nodrošina, ka līgumiskas vienošanās par IKT pakalpojumu izmantošanu var izbeigt jebkurā no šādiem gadījumiem:
trešā persona, kas sniedz IKT pakalpojumus, būtiski pārkāpj piemērojamos tiesību aktus, noteikumus vai līguma noteikumus;
pastāv apstākļi, kuri identificēti visā ar trešo personu saistītā riska pārraudzībā un kurus uzskata par tādiem, kas var mainīt ar līgumisko vienošanos sniegto funkciju izpildi, tostarp būtiskas izmaiņas, kas ietekmē trešās personas, kas sniedz IKT pakalpojumus, struktūru vai situāciju;
pastāv trešās personas, kas sniedz IKT pakalpojumus, pierādītas nepilnības attiecībā uz tās vispārējā IKT riska pārvaldību un jo īpaši attiecībā uz veidu, kādā tas nodrošina datu – gan personas, gan citādi sensitīvu datu, gan datu, kas nav personas dati – pieejamību, autentiskumu, integritāti un konfidenciālitāti;
ja kompetentā iestāde vairs nevar efektīvi uzraudzīt finanšu vienību attiecīgās līgumiskās vienošanās nosacījumu rezultātā vai ar to saistītu apstākļu dēļ.
Finanšu vienības nodrošina, ka tās var atkāpties no līgumiskas vienošanās:
netraucējot to uzņēmējdarbībai;
neierobežojot atbilstību regulatīvajām prasībām;
nekaitējot klientiem sniegto pakalpojumu nepārtrauktībai un kvalitātei.
Atkāpšanās plāni ir visaptveroši, dokumentēti un saskaņā ar 4. panta 2. punktā noteiktajiem kritērijiem tiek pietiekami pārbaudīti un periodiski pārskatīti.
Finanšu vienības identificē alternatīvus risinājumus un izstrādā pārejas plānus, kas tām ļauj ar līgumu noteiktos IKT pakalpojumus un attiecīgos datus pārvietot no trešās personas, kas sniedz IKT pakalpojumus, un droši un vienoti nodot tos citiem pakalpojumu sniedzējiem vai atkārtoti iekļaut vienības iekšienē.
Finanšu vienības veic attiecīgus ārkārtas pasākumus, lai nodrošinātu darbības nepārtrauktību pirmajā daļā minēto apstākļu gadījumā.
Komisijai tiek deleģētas pilnvaras pieņemt pirmajā daļā minētos īstenošanas tehniskos standartus saskaņā ar 15. pantu Regulās (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010.
Izstrādājot minēto regulatīvo tehnisko standartu projektus, EUI ņem vērā finanšu vienības lielumu un vispārējo riska profilu, kā arī tās pakalpojumu, darbību un darbību veidu, apmēru un sarežģītību. Minēto regulatīvo tehnisko standartu projektu EUI iesniedz Komisijai līdz 2024. gada 17. janvārim.
Komisijai tiek deleģētas pilnvaras papildināt šo regulu, pieņemot pirmajā daļā minētos regulatīvos tehniskos standartus saskaņā ar 10.–14. pantu Regulās (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010.
29. pants
IKT koncentrācijas riska sākotnējais novērtējums
Veicot 28. panta 4. punkta c) apakšpunktā minētā riska identificēšanu un novērtēšanu, finanšu vienības ņem vērā arī to, vai plānotā līgumiskas vienošanās noslēgšana par IKT pakalpojumiem, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas, radītu kādas no šādām sekām:
līguma noslēgšana ar trešo personu, kas sniedz IKT pakalpojumus un kas nav viegli aizstājama; vai
pastāvētu vairākas līgumiskas vienošanās attiecībā uz IKT pakalpojumu, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas, sniegšanu ar to pašu trešo personu, kas sniedz IKT pakalpojumus, vai ar cieši saistītām trešām personām, kas sniedz IKT pakalpojumus.
Finanšu vienības izvērtē izmaksas un ieguvumus no alternatīvu risinājumu izmantošanas, piemēram, dažādu trešo personu, kas sniedz IKT pakalpojumus, izmantošanas, ņemot vērā, vai un kā paredzētie risinājumi atbilst digitālās darbības noturības stratēģijā izklāstītajām uzņēmējdarbības vajadzībām un mērķiem.
Ja līgumiskas vienošanās attiecas uz IKT pakalpojumiem, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas, finanšu vienības pienācīgi ņem vērā maksātnespējas tiesību aktu noteikumus, ko piemērotu, ja trešā persona, kas sniedz IKT pakalpojumus, bankrotē, kā arī jebkādus ierobežojumus, kas varētu rasties saistībā ar finanšu vienības datu steidzamu atgūšanu.
Ja līgumisko vienošanos par IKT pakalpojumu, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas, izmantošanu slēdz ar trešo personu, kas sniedz IKT pakalpojumus un kas ir iedibināta trešā valstī, līdztekus pirmajā un otrajā daļā minētajiem apsvērumiem finanšu vienības apsver arī atbilstību Savienības datu aizsardzības noteikumiem un tiesību aktu efektīvu izpildi minētajā trešā valstī.
Ja līgumiskajās vienošanās par tādu IKT pakalpojumu izmantošanu, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas, paredz apakšuzņēmuma līgumu slēgšanu, finanšu vienības vērtē, vai un kā iespējamās garās vai sarežģītās apakšuzņēmēju ķēdes varētu ietekmēt to spēju pilnībā uzraudzīt ar līgumu nodotās funkcijas un kompetentās iestādes spēju šajā ziņā efektīvi uzraudzīt finanšu vienību.
30. pants
Svarīgākie līgumu noteikumi
Līgumiskas vienošanās par IKT pakalpojumu izmantošanu ietver vismaz šādus elementus:
skaidru un pilnīgu aprakstu par visām funkcijām un IKT pakalpojumiem, ko nodrošina trešā persona, kas sniedz IKT pakalpojumus, norādot, vai ir atļauts IKT pakalpojumu, ar ko atbalsta kritiski svarīgu vai svarīgu funkciju, vai būtiskas tā daļas nodot apakšuzņēmējam un, ja tā ir – nosacījumus, ko piemēro nodošanai apakšuzņēmējam;
ar līgumu vai apakšuzņēmuma līgumu nodoto funkciju un IKT pakalpojumu izpildes un datu apstrādes vietas, proti, reģioni vai valstis, tostarp to glabāšanas vietu, kā arī prasību trešai personai, kas sniedz IKT pakalpojumus, iepriekš paziņot finanšu vienībai, ja tā plāno šādas vietas mainīt;
noteikumus par pieejamību, autentiskumu, integritāti un konfidencialitāti, saistībā ar datu, tostarp personas datu, aizsardzību;
noteikumus par to, kā nodrošināt piekļuvi finanšu vienības apstrādātajiem personas datiem un datiem, kas nav personas dati, to atgūšanu un atgriešanu viegli piekļūstamā formātā trešās personas, kas sniedz IKT pakalpojumus, maksātnespējas, noregulējuma vai uzņēmējdarbības izbeigšanas gadījumā vai līgumisku vienošanos izbeigšanas gadījumā;
pakalpojumu līmeņa aprakstus, tostarp to atjauninājumus un labojumus;
trešās personas, kas sniedz IKT pakalpojumus, pienākumu sniegt palīdzību finanšu vienībai bez papildu izmaksām vai par izmaksām, kas ir noteiktas ex-ante, ja notiek IKT incidents, kas ir saistīts ar finanšu vienībai sniegto IKT pakalpojumu;
trešās personas, kas sniedz IKT pakalpojumus, pienākumu pilnībā sadarboties ar finanšu vienības kompetentajām iestādēm un noregulējuma iestādēm, tostarp to ieceltajām personām;
izbeigšanas tiesības un ar tām saistītos minimālos paziņošanas termiņus attiecībā uz līgumiskās vienošanās izbeigšanu atbilstoši tam, kā to sagaida kompetentās iestādes un noregulējuma iestādes;
nosacījumus trešo personu, kas sniedz IKT pakalpojumus, dalībai finanšu vienību IKT drošības izpratnes veidošanas programmās un digitālās darbības noturības mācībās saskaņā ar 13. panta 6. punktu.
Papildus 2. punktā minētajiem elementiem līgumiskās vienošanās par tādu IKT pakalpojumu izmantošanu, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas, ietver vismaz:
pilnīgus pakalpojumu līmeņa aprakstus, tostarp to atjauninājumus un labojumus, norādot precīzus kvantitatīvus un kvalitatīvus darbības mērķus saskaņotajos pakalpojumu līmeņos, lai ļautu finanšu vienībai efektīvi uzraudzīt IKT pakalpojumus un lai bez liekas kavēšanās varētu veikt atbilstīgus koriģējošus pasākumus, ja netiek ievēroti saskaņotie pakalpojumu līmeņi;
trešai personai, kas sniedz IKT pakalpojumus, saistošos paziņošanas termiņus un ziņošanas pienākumus attiecībā pret finanšu vienību, tostarp paziņošanu par jebkādu notikumu attīstību, kura varētu būtiski ietekmēt trešās personas, kas sniedz IKT pakalpojumus, spēju efektīvi sniegt IKT pakalpojumus, ar ko atbalsta kritiski svarīgas vai svarīgas funkcijas atbilstīgi saskaņotajiem pakalpojumu līmeņiem;
prasības trešai personai, kas sniedz IKT pakalpojumus, īstenot un testēt uzņēmējdarbības ārkārtas rīcības plānus un ieviest IKT drošības pasākumus, instrumentus un politikas pasākumus, kas nodrošina pienācīgu drošības līmeni finanšu vienības pakalpojumu sniegšanai saskaņā ar tās normatīvo regulējumu;
trešās personas, kas sniedz IKT pakalpojumus, pienākumu piedalīties un pilnībā sadarboties finanšu vienības DVIT, kā minēts 26. un 27. pantā;
tiesības pastāvīgi uzraudzīt trešās personas, kas sniedz IKT pakalpojumus, veikto izpildi, kas ietver:
finanšu vienības vai ieceltas trešās personas un kompetentās iestādes neierobežotas tiesības piekļūt, pārbaudīt un veikt revīziju, kā arī tiesības uz attiecīgo dokumentu kopēšanu uz vietas, ja tiem ir būtiski svarīga nozīme trešo personu, kas sniedz IKT pakalpojumus, darbībās, un šo tiesību efektīvu īstenošanu nekavē un neierobežo citas līgumiskas vienošanās vai īstenošanas politika;
tiesības vienoties par alternatīviem garantijas līmeņiem, ja tiek skartas citu klientu tiesības;
trešās personas, kas sniedz IKT pakalpojumus, pienākumu pilnībā sadarboties kompetento iestāžu, galvenā pārrauga, finanšu vienības vai ieceltas trešās personas veiktajās pārbaudēs uz vietas un revīzijās; un
pienākumu sniegt sīku informāciju par šādu pārbaužu un revīziju tvērumu, procedūrām, kuras jāievēro, un biežumu;
atkāpšanās stratēģijas, jo īpaši obligāta piemērota pārejas perioda noteikšanu:
kuras laikā trešā persona, kas sniedz IKT pakalpojumus, turpinās nodrošināt attiecīgās funkcijas vai IKT pakalpojumus nolūkā samazināt finanšu vienības darbības traucējumu risku vai nodrošināt tās efektīvu noregulējumu un pārstrukturēšanu;
kas ļauj finanšu vienībai migrēt pie citas trešās personas, kas sniedz IKT pakalpojumus, vai pāriet uz iekšējiem risinājumiem, kas atbilst sniegtā pakalpojuma sarežģītībai.
Atkāpjoties no e) apakšpunkta, trešā persona, kas sniedz IKT pakalpojumus, un finanšu vienība, kas ir mikrouzņēmums, var vienoties, ka finanšu vienības piekļuves, pārbaudes un revīzijas veikšanas tiesības ir iespējams deleģēt neatkarīgai trešai personai, kuru iecēlusi trešā persona, kas sniedz IKT pakalpojumus, un ka finanšu vienība no šādas trešās personas jebkurā brīdī var pieprasīt informāciju un garantiju par izpildes rezultātu, kuru nodrošina trešā persona, kas sniedz IKT pakalpojumus.
Izstrādājot minēto regulatīvo tehnisko standartu projektus, EUI ņem vērā finanšu vienības lielumu un vispārējo riska profilu, kā arī tās pakalpojumu, darbību un operāciju veidu, apmēru un sarežģītību.
Minēto regulatīvo tehnisko standartu projektus EBI iesniedz Komisijai līdz 2024. gada 17. jūlijam.
Komisijai tiek deleģētas pilnvaras papildināt šo regulu, pieņemot pirmajā daļā minētos regulatīvos tehniskos standartus saskaņā ar 10.–14. pantu Regulās (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010.
31. pants
Kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, izraudzīšanās
EUI ar Apvienotās komitejas starpniecību un pēc saskaņā ar 32. panta 1. punktu izveidotā Pārraudzības foruma ieteikuma:
izraugās trešās personas, kas sniedz IKT pakalpojumus, kuras ir kritiski svarīgas finanšu vienībām, pēc novērtējuma, kurā ņemti vērā 2. punktā minētie kritēriji;
par galveno pārraugu katrai kritiski svarīgai trešai personai, kas sniedz IKT pakalpojumus, ieceļ EUI, kas saskaņā ar Regulām (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 vai (ES) Nr. 1095/2010 ir atbildīga par finanšu vienībām, kurām aktīvu kopējā vērtība veido lielāko daļu no visu to finanšu vienību kopējo aktīvu vērtības, kuras izmanto pakalpojumus, kurus sniedz attiecīgās kritiski svarīgās trešās personas, kas sniedz IKT pakalpojumus, ko apliecina minēto finanšu vienību individuālo bilanču summa.
Šā panta 1. punkta a) apakšpunktā minētās izraudzīšanās pamatā ir visi turpmāk minētie kritēriji attiecībā uz IKT pakalpojumiem, ko sniedz trešā persona, kas sniedz IKT pakalpojumus:
sistēmiskā ietekme uz finanšu pakalpojumu sniegšanas stabilitāti, nepārtrauktību vai kvalitāti gadījumā, ja attiecīgajai trešai personai, kas sniedz IKT pakalpojumus, iestātos plaši darbības traucējumi, kuru dēļ tā nespētu sniegt savus pakalpojumus, ņemot vērā finanšu vienību skaitu un to finanšu vienību aktīvu kopējo vērtību, kurām attiecīgā trešā persona, kas sniedz IKT pakalpojumus, sniedz pakalpojumus;
finanšu vienību, kas paļaujas uz attiecīgo trešo personu, kas sniedz IKT pakalpojumus, sistēmiskais raksturs vai nozīme, ko novērtē saskaņā ar šādiem parametriem:
to globālo sistēmiski nozīmīgo iestāžu (G-SNI) vai citu sistēmiski nozīmīgu iestāžu (C-SNI) skaits, kuras paļaujas uz attiecīgo trešo personu, kas sniedz IKT pakalpojumus;
iepriekš i) apakšpunktā minēto G-SNI vai C-SNI un citu finanšu vienību savstarpējā atkarība, tostarp situācijas, kad G-SNI vai C-SNI sniedz finanšu infrastruktūras pakalpojumus citām finanšu vienībām;
finanšu vienību paļaušanās uz attiecīgās trešās personas, kas sniedz IKT pakalpojumus, sniegtajiem pakalpojumiem saistībā ar tādu finanšu vienību kritiski svarīgām vai svarīgām funkcijām, kurās galu galā ir iesaistīta viena un tā pati trešā persona, kas sniedz IKT pakalpojumus, neatkarīgi no tā, vai finanšu vienības šos pakalpojumus izmanto tieši vai netieši, izmantojot apakšuzņēmuma līgumus;
trešās personas, kas sniedz IKT pakalpojumus, aizstājamības pakāpe, ņemot vērā šādus parametrus:
reālu alternatīvu trūkums, pat daļējs, ņemot vērā konkrētā tirgū strādājošo trešo personu, kas sniedz IKT pakalpojumus, ierobežoto skaitu vai attiecīgās trešās personas, kas sniedz IKT pakalpojumus, tirgus daļu, vai attiecīgo tehnisko sarežģītību vai komplicētību, tostarp attiecībā uz jebkuru patentētu tehnoloģiju, vai trešās personas, kas sniedz IKT pakalpojumus, organizācijas vai darbības specifiku;
grūtības, kas saistītas ar attiecīgo datu un darba slodzes daļēju vai pilnīgu migrēšanu no attiecīgās trešās personas, kas sniedz IKT pakalpojumus, pie citas trešās personas, kas sniedz IKT pakalpojumus, ko rada vai nu būtiskas finansiālās izmaksas, laika vai citu resursu patēriņš, ko varētu radīt migrācijas process, vai palielināts IKT risks vai citi operacionālie riski, kam finanšu vienība šādā migrēšanā varētu tikt pakļauta.
Pēc tam, kad trešā persona, kas sniedz IKT pakalpojumus, ir izraudzīta par kritiski svarīgu, EUI ar Apvienotās komitejas starpniecību paziņo trešai personai, kas sniedz IKT pakalpojumus, par šādu izraudzīšanu un par sākuma datumu, no kura uz to faktiski attieksies pārraudzības darbības. Minētais sākuma datums ir ne vēlāk kā vienu mēnesi pēc paziņojuma. Trešā persona, kas sniedz IKT pakalpojumus, paziņo finanšu vienībām, kurām tā sniedz pakalpojumus, par to, ka tā ir izraudzīta par kritiski svarīgu.
Šā panta 1. punkta a) apakšpunktā minēto izraudzīšanu nepiemēro:
finanšu vienībām, kas sniedz IKT pakalpojumus citām finanšu vienībām;
trešām personām, kas sniedz IKT pakalpojumus un kurām piemēro Līguma par Eiropas Savienības darbību 127. panta 2. punktā minēto uzdevumu atbalstam izveidotās pārraudzības sistēmas;
IKT pakalpojumu sniedzējiem, kas pieder vienai grupai;
trešām personām, kas sniedz IKT pakalpojumus tikai vienā dalībvalstī finanšu vienībām, kuras darbojas tikai attiecīgajā dalībvalstī.
Pirmās daļas vajadzībām trešā persona, kas sniedz IKT pakalpojumus, iesniedz argumentētu pieteikumu EBI, EVTI vai EAAPI, kas ar Apvienotās komitejas starpniecību lemj, vai izraudzīties minēto trešo personu, kas sniedz IKT pakalpojumus, par kritiski svarīgu saskaņā ar 1. punkta a) apakšpunktu.
Otrajā daļā minēto lēmumu pieņem un par to paziņo trešai personai, kas sniedz IKT pakalpojumus, sešu mēnešu laikā no pieteikuma saņemšanas.
32. pants
Pārraudzības sistēmas struktūra
Pārraudzības forums regulāri apspriež attiecīgās norises saistībā ar IKT risku un ievainojamību un veicina saskaņotas pieejas izmantošanu, uzraugot ar trešām personām saistīto IKT risku Savienības līmenī.
Pārraudzības forumu veido:
EUI vadītāji;
viens augsta līmeņa pārstāvis no attiecīgās 46. pantā minētās kompetentās iestādes pašreizējā personāla katrā dalībvalstī;
katras EUI izpilddirektori un pa vienam pārstāvim no Komisijas, ESRK, ECB un ENISA kā novērotāji;
attiecīgā gadījumā – vēl viens 46. pantā minētās kompetentās iestādes pārstāvis no katras dalībvalsts kā novērotājs;
attiecīgā gadījumā – kā novērotājs viens tādu kompetento iestāžu pārstāvis, kas izraudzītas vai izveidotas saskaņā ar Direktīvu (ES) 2022/2555 un ir atbildīgas par tādas būtiskas vai svarīgas vienības uzraudzību, kas ir izraudzīta par kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, uz kuru attiecas minētā direktīva.
Pārraudzības forums attiecīgā gadījumā var vērsties pēc padoma pie neatkarīgiem ekspertiem, kas iecelti saskaņā ar 6. punktu.
EUI savā tīmekļa vietnē publicē sarakstu ar dalībvalstu izraudzītiem augsta līmeņa pārstāvjiem no attiecīgās kompetentās iestādes pašreizējā personāla.
Neatkarīgos ekspertus ieceļ, pamatojoties uz viņu speciālajām zināšanām finansiālās stabilitātes, digitālās darbības noturības un IKT drošības jautājumos. Viņi rīkojas neatkarīgi un objektīvi vienīgi Savienības interesēs kopumā un nelūdz, un nepieņem Savienības iestāžu vai struktūru, jebkuras dalībvalsts valdības vai citas valsts vai privātas struktūras norādījumus.
33. pants
Galvenā pārrauga uzdevumi
Pirmajā daļā minētajā novērtējumā galvenā uzmanība tiek pievērsta IKT pakalpojumiem, ko sniedz tā kritiski svarīgā trešā persona, kas sniedz IKT pakalpojumus un kura atbalsta kritiski svarīgās vai svarīgās finanšu vienību funkcijas. Ja tas ir nepieciešams, lai pievērstos visiem attiecīgajiem riskiem, minētais novērtējums tiek attiecināts arī uz IKT pakalpojumiem, kas atbalsta funkcijas, kas nav tikai kritiski svarīgas vai svarīgas.
Šā panta 2. punktā minētais novērtējums ietver:
IKT prasības, kuru mērķis jo īpaši ir nodrošināt to pakalpojumu drošību, pieejamību, nepārtrauktību, mērogojamību un kvalitāti, kurus kritiski svarīgā trešā persona, kas sniedz IKT pakalpojumus, sniedz finanšu vienībām, kā arī spēju nepārtraukti uzturēt augstus datu pieejamības, autentiskuma, integritātes vai konfidencialitātes standartus;
fizisko drošību, kas palīdz nodrošināt IKT drošību, tostarp telpu, objektu, datu centru drošību;
riska pārvaldības procesus, tostarp IKT riska pārvaldības rīcībpolitiku, IKT darbības nepārtrauktības politiku un IKT reaģēšanas un seku novēršanas plānus;
pārvaldības kārtību, tostarp organizatorisku struktūru ar skaidriem, pārredzamiem un konsekventiem atbildības un pārskatatbildības noteikumiem, kas ļauj veikt efektīvu IKT riska pārvaldību;
ar IKT saistītu būtisku incidentu apzināšanu, uzraudzību un tūlītēju paziņošanu finanšu vienībām, šo incidentu, jo īpaši kiberuzbrukumu, pārvaldību un atrisināšanu;
datu pārnesamības, lietojumprogrammu pārnesamības un sadarbspējas mehānismus, kas finanšu vienībām nodrošina izbeigšanas tiesību efektīvu īstenošanu;
IKT sistēmu, infrastruktūras un kontroles testēšanu;
IKT revīzijas;
tādu attiecīgu valsts un starptautisko standartu izmantošanu, ko piemēro IKT pakalpojumu sniegšanai finanšu vienībām.
Pirms pārraudzības plāna pieņemšanas galvenais pārraugs kritiski svarīgajai trešai personai, kas sniedz IKT pakalpojumus, paziņo pārraudzības plāna projektu.
Saņēmusi pārraudzības plāna projektu, kritiski svarīgā trešā persona, kas sniedz IKT pakalpojumus, 15 kalendāro dienu laikā var iesniegt argumentētu paziņojumu, kurā pamatoti izklāstītas gaidāmās sekas klientiem, kas ir vienības, kuras neietilpst šīs regulas darbības jomā, un attiecīgā gadījumā formulēti risinājumi risku mazināšanai.
34. pants
Darbības koordinācija starp galvenajiem pārraugiem
35. pants
Galvenā pārrauga pilnvaras
Pildot šajā iedaļā paredzētos pienākumus, galvenajam pārraugam ir šādas pilnvaras attiecībā uz kritiski svarīgajām trešām personām, kas sniedz IKT pakalpojumus:
pieprasīt visu attiecīgo informāciju un dokumentus saskaņā ar 37. pantu;
veikt vispārēju izmeklēšanu un pārbaudes saskaņā ar attiecīgi 38. un 39. pantu;
pēc pārraudzības darbību pabeigšanas pieprasīt ziņojumus, kuros ir norādītas kritiski svarīgo trešo personu, kas sniedz IKT pakalpojumus, veiktās darbības vai īstenotie novēršanas pasākumi saistībā ar šā punkta d) apakšpunktā minētajiem ieteikumiem;
sniegt ieteikumus attiecībā uz 33. panta 3. punktā minētajām jomām, jo īpaši saistībā ar šādiem jautājumiem:
konkrētu IKT drošības un kvalitātes prasību vai procesu izmantošanu, jo īpaši saistībā ar ielāpu, atjauninājumu, šifrēšanas un citu drošības pasākumu ieviešanu, kurus galvenais pārraugs uzskata par nozīmīgiem finanšu vienībām sniegto pakalpojumu IKT drošības nodrošināšanai;
noteikumu un nosacījumu izmantošanu, tostarp to tehnisko īstenošanu, saskaņā ar kuriem finanšu vienībām IKT pakalpojumus sniedz kritiski svarīgas trešās personas un kurus galvenais pārraugs uzskata par nozīmīgiem saistībā ar viena kļūdaina ķēdes punkta rašanās novēršanu vai tā pastiprināšanu, vai IKT koncentrācijas riska gadījumā – iespējamās sistēmiskās ietekmes uz Savienības finanšu nozari samazināšanu līdz minimumam;
jebkādiem plānotiem apakšuzņēmuma līgumiem, attiecībā uz kuriem galvenais pārraugs, pamatojoties uz tādas informācijas izskatīšanu, kas savākta saskaņā ar 37. un 38. pantu, uzskata, ka tālāka apakšuzņēmuma līguma slēgšana, tostarp tādi apakšuzņēmuma līgumi, ko kritiski svarīgās trešās personas, kas sniedz IKT pakalpojumus, plāno slēgt ar citām trešām personām, kas sniedz IKT pakalpojumus, vai ar trešā valstī iedibinātiem IKT apakšuzņēmējiem, var radīt risku finanšu vienības pakalpojumu sniegšanai vai finanšu stabilitātes risku;
tālāku apakšuzņēmuma līgumu neslēgšanu, ja pastāv šādi kumulatīvi nosacījumi:
Šā apakšpunkta iv) punkta nolūkos trešās personas, kas sniedz IKT pakalpojumus, izmantojot 41. panta 1. punkta b) apakšpunktā minēto veidni, nosūta informāciju par apakšuzņēmuma līguma slēgšanu galvenajam pārraugam.
Īstenojot šajā pantā minētās pilnvaras, galvenais pārraugs:
nodrošina regulāru koordināciju JON ietvaros un jo īpaši attiecīgos gadījumos cenšas panākt konsekventas pieejas attiecībā uz kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, pārraudzību;
pienācīgi ņem vērā satvaru, kas izveidots ar Direktīvu (ES) 2022/2555, un vajadzības gadījumā apspriežas ar attiecīgajām kompetentajām iestādēm, kas izraudzītas vai izveidotas saskaņā ar minēto direktīvu, lai izvairītos no tādu tehnisko un organizatorisko pasākumu dublēšanās, kas, ievērojot minēto direktīvu, varētu attiekties uz kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus;
ciktāl iespējams, cenšas līdz minimumam samazināt risku, ka tiek traucēti kritiski svarīgo trešo personu sniegtie IKT pakalpojumi klientiem, kas ir vienības, kuras neietilpst šīs regulas darbības jomā.
Pirms sniegt ieteikumus saskaņā ar 1. punkta d) apakšpunktu, galvenais pārraugs dod iespēju trešai personai, kas sniedz IKT pakalpojumus, 30 kalendāro dienu laikā sniegt attiecīgu informāciju, kurā pamatoti izklāstītas gaidāmās sekas klientiem, kas ir vienības, kuras neietilpst šīs regulas darbības jomā, un attiecīgā gadījumā formulēti risinājumi risku mazināšanai.
Periodiskā soda maksājuma summa, rēķinot no lēmumā par periodiska soda maksājuma piemērošanu paredzētā datuma, nepārsniedz 1 % no kritiski svarīgās trešās personas, kas sniedz IKT pakalpojumus, dienas vidējā apgrozījuma pasaulē iepriekšējā finanšu gadā. Nosakot soda maksājuma lielumu, galvenais pārraugs ņem vērā šādus kritērijus attiecībā uz neatbilstību 6. punktā minētajiem pasākumiem:
neatbilstības smagums un ilgums;
tas, vai neatbilstība ir notikusi tīši vai nolaidības dēļ;
apmērs, kādā trešā persona, kas sniedz IKT pakalpojumus, ir sadarbojusies ar galveno pārraugu.
Pirmās daļas nolūkos, lai panāktu konsekventu pieeju, galvenais pārraugs iesaistās apspriedēs JON ietvaros.
Lietas izskatīšanā pilnībā ievēro procesā iesaistīto personu tiesības uz aizstāvību. Procesā iesaistītā kritiski svarīgā trešā persona, kas sniedz IKT pakalpojumus, ir tiesīga piekļūt lietas materiāliem, ievērojot citu personu likumīgās intereses attiecībā uz viņu komercnoslēpumu aizsardzību. Tiesības piekļūt lietas materiāliem neattiecas uz konfidenciālu informāciju vai galvenā pārrauga iekšējiem darba sagatavošanas dokumentiem.
36. pants
Galvenā pārrauga pilnvaru īstenošana ārpus Savienības
Ja pārraudzības mērķus nevar sasniegt, mijiedarbojoties ar 31. panta 12. punkta nolūkā izveidoto meitasuzņēmuma struktūru vai īstenojot pārraudzības darbības Savienībā esošās telpās, galvenais pārraugs var īstenot pilnvaras, kas minētas turpmāk minētajos noteikumos, jebkādās telpās, kas atrodas trešā valstī un kas pieder kritiski svarīgai trešai persona, kas sniedz IKT pakalpojumus, vai ko tā izmanto jebkādā veidā pakalpojumu sniegšanai Savienības finanšu vienībām, saistībā ar tās uzņēmējdarbību, funkcijām vai pakalpojumiem, tostarp jebkādos administratīvajos, darījumu vai darbības birojos, telpās, zemēs, ēkās vai citos īpašumos:
35. panta 1. punkta a) apakšpunktā; un
35. panta 1. punkta b) apakšpunktā saskaņā ar 38. panta 2. punkta a), b) un d) apakšpunktu un 39. panta 1. punktā un 2. punkta a) apakšpunktā.
Pirmajā daļā minētās pilnvaras var īstenot, ievērojot visus turpmāk minētos nosacījumus:
galvenais pārraugs pārbaudes veikšanu trešā valstī uzskata par nepieciešamu, lai varētu pilnīgi un efektīvi veikt savus šajā regulā paredzētos pienākumus;
pārbaude trešā valstī ir tieši saistīta ar IKT pakalpojumu sniegšanu finanšu vienībām Savienībā;
attiecīgā kritiski svarīgā trešā persona, kas sniedz IKT pakalpojumus, piekrīt pārbaudes veikšanai trešā valstī; un
galvenais pārraugs ir oficiāli informējis attiecīgās trešās valsts attiecīgo iestādi, un tā nav pret to cēlusi nekādus iebildumus.
Minētajās sadarbības vienošanās norāda vismaz šādus elementus:
koordinācijas procedūras attiecībā uz pārraudzības darbībām, ko veic saskaņā ar šo regulu, un jebkādu analogu pārraudzību attiecībā uz IKT trešo personu risku finanšu nozarē, kuru īsteno attiecīgās trešās valsts attiecīgā iestāde, tostarp informāciju par to, kā tiek nosūtīta minētās iestādes piekrišana tam, ka galvenais pārraugs un tā izraudzītā darba grupa iestādes jurisdikcijā esošajā teritorijā veic vispārēju izmeklēšanu un pārbaudes uz vietas, kā minēts 1. punkta pirmajā daļā;
mehānisms, saskaņā ar kuru tiek nosūtīta visa nozīmīgā informācija starp EBI, EVTI vai EAAPI un attiecīgās trešās valsts attiecīgo iestādi, jo īpaši saistībā ar informāciju, ko var pieprasīt galvenais pārraugs, ievērojot 37. pantu;
mehānisms, saskaņā ar kuru attiecīgās trešās valsts attiecīgā iestāde ātri informē EBI, EVTI vai EAAPI par gadījumiem, kad ir uzskatāms, ka trešā valstī iedibināta trešā persona, kas sniedz IKT pakalpojumus un kas ir izraudzīta kā kritiski svarīga saskaņā ar 31. panta 1. punkta a) apakšpunktu, ir pārkāpusi prasības, kuras tai ir pienākums ievērot saskaņā ar attiecīgās trešās valsts spēkā esošajiem tiesību aktiem, kad tiek sniegti pakalpojumi finanšu vienībām minētajā trešajā valstī, kā arī par piemērotajiem tiesiskās aizsardzības līdzekļiem un sodiem;
regulāra aktuālās informācijas nosūtīšana par norisēm saistībā ar regulējumu un uzraudzību attiecībā uz finanšu iestāžu ar trešo personu saistītā IKT riska uzraudzību attiecīgajā trešā valstī;
informācija par to, ka vajadzības gadījumā tiek atļauta attiecīgās trešās valsts iestādes pārstāvja piedalīšanās pārbaudēs, ko veic galvenais pārraugs un izraudzītā darba grupa.
Ja galvenais pārraugs nespēj veikt 1. un 2. punktā minētās pārraudzības darbības ārpus Savienības, galvenais pārraugs:
īsteno savas 35. pantā paredzētās pilnvaras, pamatojoties uz visiem tam pieejamajiem faktiem un dokumentiem;
dokumentē un skaidro visas sekas, kādas rada tā nespēja veikt paredzētās pārraudzības darbības, kā minēts šajā pantā.
Šā punkta b) apakšpunktā minētās iespējamās sekas tiek ņemtas vērā galvenā pārrauga ieteikumos, ko izdod, ievērojot 35. panta 1. punkta d) apakšpunktu.
37. pants
Informācijas pieprasījums
Sūtot vienkāršu pieprasījumu sniegt informāciju saskaņā ar 1. punktu, galvenais pārraugs:
atsaucas uz šo pantu kā pieprasījuma juridisko pamatu;
norāda pieprasījuma mērķi;
norāda, kāda informācija ir vajadzīga;
nosaka termiņu, līdz kuram informācija ir jāsniedz;
informē kritiski svarīgās trešās personas, kas sniedz IKT pakalpojumus un no kuras tiek pieprasīta informācija, pārstāvi, ka tā var nesniegt šo informāciju, bet, ja tā atbildi sniedz brīvprātīgi, sniegtā informācija nedrīkst būt nepatiesa un maldinoša.
Ar lēmumu pieprasot sniegt informāciju saskaņā ar 1. punktu, galvenais pārraugs:
atsaucas uz šo pantu kā pieprasījuma juridisko pamatu;
norāda pieprasījuma mērķi;
norāda, kāda informācija ir vajadzīga;
nosaka termiņu, līdz kuram informācija ir jāsniedz;
norāda 35. panta 6. punktā paredzēto periodisko soda maksājumu, ja pieprasītā informācija nav sniegta pilnā apmērā vai ja šāda informācija netiek sniegta šā punkta d) apakšpunktā minētajā termiņā;
norāda uz tiesībām šo lēmumu apstrīdēt EUI Apelācijas padomē un uz iespēju to pārskatīt Eiropas Savienības Tiesā (Tiesa) saskaņā ar 60. un 61. pantu Regulās (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010.
38. pants
Vispārēja izmeklēšana
Galvenais pārraugs ir pilnvarots:
pārbaudīt uzskaites dokumentus, datus, procedūras un pārējos materiālus, kas saistīti ar tā uzdevumu izpildi, neatkarīgi no tā, kādā veidā šī informācija tiek glabāta;
noņemt vai iegūt šādu uzskaites dokumentu, datu, dokumentētu procedūru un jebkādu citu materiālu apstiprinātas kopijas vai izrakstus;
izsaukt kritiski svarīgās trešās personas, kas sniedz IKT pakalpojumus, pārstāvjus sniegt mutiskus vai rakstiskus paskaidrojumus par faktiem vai dokumentiem, kas attiecas uz izmeklēšanas priekšmetu un mērķi, un fiksēt atbildes;
iztaujāt jebkuru citu fizisku vai juridisku personu, kas piekrīt iztaujāšanai, lai iegūtu informāciju, kas saistīta ar izmeklēšanas priekšmetu;
pieprasīt telefona sarunu izdrukas vai datplūsmas pārskatus.
Minētajā atļaujā norāda arī 35. panta 6. punktā paredzētos periodiskos soda maksājumus, ja pieprasīto uzskaites dokumentu, datu, dokumentētu procedūru vai citu materiālu sagatavošana vai atbilžu sniegšana uz trešās personas, kas sniedz IKT pakalpojumus, pārstāvjiem uzdotajiem jautājumiem nenotiek vai ir nepilnīga.
Galvenais pārraugs paziņo JON visu informāciju, kas nodota saskaņā ar pirmo daļu.
39. pants
Pārbaudes
Lai īstenotu pirmajā daļā minētās pilnvaras, galvenais pārraugs apspriežas ar JON.
Amatpersonas un citas personas, kuras galvenais pārraugs pilnvarojis veikt pārbaudi uz vietas, ir tiesīgas:
iekļūt jebkurās šādās uzņēmuma telpās, zemes gabalos vai īpašumā; un
aizzīmogot jebkuras šāda uzņēmuma telpas, uzskaites žurnālus un reģistrus uz tik ilgu laiku un tādā apjomā, kāds vajadzīgs pārbaudei.
Amatpersonas un citas personas, kuras galvenais pārraugs pilnvarojis, īsteno savas pilnvaras, uzrādot rakstisku atļauju, kurā norādīts pārbaudes priekšmets un mērķis, kā arī 35. panta 6. punktā paredzētie periodiskie soda maksājumi gadījumam, ja attiecīgo kritiski svarīgo trešo personu, kas sniedz IKT pakalpojumus, pārstāvji nepakļaujas pārbaudei.
40. pants
Pastāvīgā pārraudzība
Šā panta 1. punktā minētās kopīgās pārbaudes grupas sastāvā ir darbinieki no:
EUI;
attiecīgajām kompetentajām iestādēm, kas uzrauga finanšu vienības, kurām IKT pakalpojumus sniedz kritiski svarīga trešā persona, kas sniedz IKT pakalpojumus;
valsts kompetentās iestādes, kas minēta 32. panta 4. punkta e) apakšpunktā, – brīvprātīgā kārtā;
vienas valsts kompetentās iestādes dalībvalstī, kurā ir iedibināta kritiski svarīgā trešā persona, kas sniedz IKT pakalpojumus, – brīvprātīgā kārtā.
Kopīgās pārbaudes grupas dalībniekiem ir zināšanas IKT jautājumos un operacionālā riska jomā. Kopīgā pārbaudes grupa strādā iecelta galvenā pārrauga darbinieka (“galvenā pārrauga koordinators”) vadībā.
Lai izpildītu pārraudzības darbības, galvenais pārraugs var ņemt vērā visus attiecīgos trešās personas izsniegtos sertifikātus un trešās personas, kas sniedz IKT pakalpojumus, iekšējās vai ārējās revīzijas ziņojumus, ko darījusi pieejamus kritiski svarīgā trešā persona, kas sniedz IKT pakalpojumus.
41. pants
Saskaņoti nosacījumi, kas ļauj veikt pārraudzības darbības
EUI ar Apvienotās komitejas starpniecību izstrādā regulatīvo tehnisko standartu projektus, lai noteiktu:
informāciju, kas trešai personai, kas sniedz IKT pakalpojumus, jāsniedz pieteikumā ar brīvprātīgu pieprasījumu izraudzīšanai par kritiski svarīgu saskaņā ar par 31. panta 11. punktu;
tās informācijas saturu, struktūru un formātu, kas trešai personai, kas sniedz IKT pakalpojumus, jāiesniedz, jāatklāj vai jāpaziņo saskaņā ar 35. panta 1. punktu, tostarp veidni informācijas sniegšanai par apakšuzņēmuma līgumiem;
kritērijus, pēc kuriem nosaka kopīgās pārbaudes grupas sastāvu, nodrošinot EUI un attiecīgo kompetento iestāžu darbinieku līdzsvarotu dalību, viņu iecelšanu, uzdevumus un darba procedūras;
detalizētu informāciju par kompetento iestāžu veikto novērtējumu attiecībā uz pasākumiem, ko veic kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus, pamatojoties uz galvenā pārrauga ieteikumiem saskaņā ar 42. panta 3. punktu.
Komisijai tiek deleģētas pilnvaras papildināt šo regulu, pieņemot 1. punktā minētos regulatīvos tehniskos standartus saskaņā ar 10.–14. pantu Regulās (ES) Nr. 1093/2010, (ES) Nr. 1095/2010 un (ES) Nr. 1094/2010.
42. pants
Kompetento iestāžu turpmākā rīcība
Galvenais pārraugs informē trešo personu, kas sniedz IKT pakalpojumus, par šādu publiskošanu.
Pārvaldot ar trešo personu saistītu IKT risku, finanšu vienības ņem vērā pirmajā daļā minētos riskus.
Pēc 35. panta 1. punkta c) apakšpunktā minēto ziņojumu saņemšanas kompetentās iestādes, pieņemot šā panta 6. punktā minēto lēmumu, ņem vērā kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus, nenovērstā riska veidu un tā lielumu, kā arī neatbilstības smagumu saskaņā ar šādiem kritērijiem:
neatbilstības smagums un ilgums;
vai neatbilstība ir atklājusi būtiskus trūkumus kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, procedūrās, pārvaldības sistēmās, riska pārvaldībā un iekšējā kontrolē;
vai neatbilstība ir veicinājusi vai izraisījusi finanšu noziegumu vai kā citādi ir ar to saistīta;
vai neatbilstība ir notikusi tīši vai nolaidības dēļ;
vai līgumisku vienošanos apturēšana vai izbeigšana rada risku finanšu vienības uzņēmējdarbības nepārtrauktībai, neskarot finanšu vienības centienus izvairīties no traucējumiem tā pakalpojumu sniegšanā;
attiecīgā gadījumā – atzinums, ko sniedz kompetentās iestādes, kas izraudzītas vai izveidotas saskaņā ar Direktīvu (ES) 2022/2555 un ir atbildīgas par tādas būtiskas vai svarīgas vienības uzraudzību, kura ir izraudzīta par kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, uz kuru attiecas minētā direktīva un kas ir pieprasīts brīvprātīgi saskaņā ar šā panta 5. punktu.
Kompetentās iestādes piešķir finanšu vienībām nepieciešamo laiku, lai tās varētu pielāgot līgumiskās vienošanās ar kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, lai izvairītos no negatīvas ietekmes uz to digitālās darbības noturību un ļautu tām izmantot atkāpšanās stratēģijas un pārejas plānus, kā minēts 28. pantā.
Kritiski svarīgās trešās personas, kas sniedz IKT pakalpojumus, kuras skar 6. punktā paredzētie lēmumi, pilnībā sadarbojas ar ietekmētajām finanšu vienībām, jo īpaši saistībā ar to līgumisko vienošanos apturēšanas vai izbeigšanas procesu.
43. pants
Pārraudzības maksas
Kritiski svarīgai trešai personai, kas sniedz IKT pakalpojumus, piemērotās maksas sedz visas izmaksas, kas izriet no šajā iedaļā izklāstīto pienākumu izpildes, un ir proporcionālas tā apgrozījumam.
44. pants
Starptautiska sadarbība
VI NODAĻA
Informācijas apmaiņas kārtība
45. pants
Kiberdraudu informācijas un izlūkdatu informācijas apmaiņas kārtība
Finanšu vienības var savstarpēji apmainīties ar informāciju par kiberdraudiem un izlūkdatiem, tostarp pazīmēm, kas liecina par kompromitēšanu, taktiku, paņēmieniem un procedūrām, kiberdraudu trauksmes signāliem un konfigurēšanas rīkiem, ciktāl šāda informācijas un izlūkdatu koplietošana:
ir ar mērķi uzlabot finanšu vienību digitālās darbības noturību, jo īpaši palielinot informētību attiecībā uz kiberdraudiem, ierobežojot vai traucējot kiberdraudu izplatīšanos, atbalstot aizsardzības spējas, apdraudējuma atklāšanas metodes, seku mazināšanas stratēģijas vai reaģēšanas un seku novēršanas posmus;
notiek uzticamās finanšu vienību kopienās;
tiek īstenota, izmantojot informācijas apmaiņas pasākumus, kas aizsargā koplietotās informācijas iespējami sensitīvo raksturu, un ko reglamentē rīcības noteikumi, kuros pilnībā ievērota uzņēmējdarbības konfidencialitāte, personas datu aizsardzība saskaņā ar Regulu (ES) 2016/679 un nostādnes par konkurences politiku.
VII NODAĻA
Kompetentās iestādes
46. pants
Kompetentās iestādes
Neskarot šīs regulas V nodaļas II iedaļā minētos noteikumus par kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, pārraudzības sistēmu, šīs regulas izpildi saskaņā ar pilnvarām, kas piešķirtas ar attiecīgiem tiesību aktiem, nodrošina šādas kompetentās iestādes:
kredītiestādēm un iestādēm, kam piemēro izņēmumu, ievērojot Direktīvu 2013/36/ES, – kompetentā iestāde, kas norīkota saskaņā ar minētās direktīvas 4. pantu, un kredītiestādēm, kas klasificētas kā nozīmīgas saskaņā ar Regulas (ES) Nr. 1024/2013 6. panta 4. punktu, – ECB saskaņā ar pilnvarām un uzdevumiem, kas piešķirti ar minēto regulu;
maksājumu iestādēm, tostarp maksājumu iestādēm, kam piemēro izņēmumu saskaņā ar Direktīvu (ES) 2015/2366, elektroniskās naudas iestādēm, tostarp tām, kam piemēro izņēmumu saskaņā ar Direktīvu 2009/110/EK, un konta informācijas pakalpojumu sniedzējiem, kas minēti 33. panta 1. punktā Direktīvā (ES) 2015/2366 – kompetentā iestāde, kas norīkota saskaņā ar 22. pantu Direktīvā (ES) 2015/2366;
ieguldījumu brokeru sabiedrībām – kompetentā iestāde, kas norīkota saskaņā ar Eiropas Parlamenta un Padomes Direktīvas (ES) 2019/2034 ( 8 ) 4. pantu;
kriptoaktīvu pakalpojumu sniedzējiem, kas saņēmuši atļauju saskaņā ar Regulu par kriptovalūtu tirgiem, un aktīviem piesaistītu žetonu emitentiem – kompetentā iestāde, kas norīkota saskaņā ar minētās regulas attiecīgo noteikumu;
centrālajiem vērtspapīru depozitārijiem – kompetentā iestāde, kas norīkota saskaņā ar Regulas (ES) Nr. 909/2014 11. pantu;
centrālajiem darījumu partneriem – kompetentā iestāde, kas norīkota saskaņā ar Regulas (ES) Nr. 648/2012 22. pantu;
tirdzniecības vietām un datu ziņošanas pakalpojumu sniedzējiem – kompetentā iestāde, kas norīkota saskaņā ar Direktīvas 2014/65/ES 67. pantu, un kompetentā iestāde, kā definēts Regulas (ES) Nr. 600/2014 2. panta 1. punkta 18) apakšpunktā;
darījumu reģistriem – kompetentā iestāde, kas norīkota saskaņā ar Regulas (ES) Nr. 648/2012 22. pantu;
alternatīvo ieguldījumu fondu pārvaldniekiem – kompetentā iestāde, kas norīkota saskaņā ar Direktīvas 2011/61/ES 44. pantu;
pārvaldības sabiedrībām – kompetentā iestāde, kas norīkota saskaņā ar Direktīvas 2009/65/EK 97. pantu;
apdrošināšanas sabiedrībām un pārapdrošināšanas sabiedrībām – kompetentā iestāde, kas norīkota saskaņā ar Direktīvas 2009/138/EK 30. pantu;
apdrošināšanas starpniekiem, pārapdrošināšanas starpniekiem un apdrošināšanas papildpakalpojuma starpniekiem – kompetentā iestāde, kas norīkota saskaņā ar Direktīvas (ES) 2016/97 12. pantu;
arodpensijas kapitāla uzkrāšanas institūcijām – kompetentā iestāde, kas norīkota saskaņā ar Direktīvas (ES) 2016/2341 47. pantu;
kredītreitingu aģentūrām – kompetentā iestāde, kas norīkota saskaņā ar Direktīvas (EK) Nr. 1060/2009 21. pantu;
kritiski svarīgu etalonu administratoriem – kompetentā iestāde, kas norīkota saskaņā ar Regulas (ES) 2016/1011 40. un 41. pantu;
kolektīvās finansēšanas pakalpojumu sniedzējiem – kompetentā iestāde, kas norīkota saskaņā ar Regulas (ES) 2020/1503 29. pantu;
vērtspapīrošanas repozitorijiem – kompetentā iestāde, kas norīkota saskaņā ar Regulas (ES) 2017/2402 10. pantu un 14. panta 1. punktu.
47. pants
Sadarbība ar struktūrām un iestādēm, kas izveidotas ar Direktīvu (ES) 2022/2555
48. pants
Iestāžu sadarbība
49. pants
Finanšu starpnozaru mācības, saziņa un sadarbība
Tās var izstrādāt krīzes pārvarēšanas un ārkārtas situāciju pasākumus, kuros ietilpst kiberuzbrukuma scenāriji, lai attīstītu saziņas kanālus un pakāpeniski nodrošinātu efektīvu Savienības līmeņa koordinētu reakciju, ja būtisks pārrobežu IKT incidents vai ar to saistīts apdraudējums radītu sistēmisku ietekmi uz Savienības finanšu nozari kopumā.
Minētajās mācībās vajadzības gadījumā var arī pārbaudīt finanšu nozares atkarību no citām ekonomikas nozarēm.
50. pants
Administratīvi sodi un korektīvi pasākumi
Šā panta 1. punktā minētās pilnvaras ietver vismaz šādas pilnvaras:
piekļūt jebkuram dokumentam vai datiem jebkādā formātā, kurus kompetentās iestādes uzskata par nozīmīgiem savu pienākumu veikšanā, un saņemt vai noņemt to kopiju;
veikt pārbaudes vai izmeklēšanu uz vietas, tostarp, bet ne tikai:
uzaicināt finanšu vienību pārstāvjus sniegt mutiskus vai rakstiskus paskaidrojumus par faktiem vai dokumentiem, kas attiecas uz izmeklēšanas priekšmetu un mērķi, un fiksēt atbildes;
iztaujāt jebkuru citu fizisku vai juridisku personu, kas piekrīt iztaujāšanai, lai iegūtu informāciju, kas saistīta ar izmeklēšanas priekšmetu;
pieprasīt koriģējošus un korektīvus pasākumus šīs regulas prasību pārkāpšanas gadījumos.
Šiem sodiem un pasākumiem jābūt iedarbīgiem, samērīgiem un atturošiem.
Dalībvalstis piešķir kompetentajām iestādēm pilnvaras par šīs regulas pārkāpumiem piemērot vismaz šādus administratīvos sodus vai korektīvus pasākumus:
izdot rīkojumu, ar ko pieprasa fiziskai vai juridiskai personai pārtraukt rīcību, kas ir pretrunā šai regulai, un atturēties no šādas rīcības atkārtošanas;
pieprasīt pagaidu vai pastāvīgu jebkuras prakses vai rīcības pārtraukšanu, ko kompetentā iestāde uzskata par pretēju šīs regulas noteikumiem, un novērst minētās prakses vai rīcības atkārtošanos;
pieņemt jebkāda veida pasākumus, tostarp finansiāla rakstura pasākumus, lai nodrošinātu to, ka finanšu vienības turpina ievērot juridiskās prasības;
ciktāl to atļauj valsts tiesību akti, pieprasīt telesakaru operatora rīcībā esošos datu plūsmas ierakstus, ja ir pamatotas aizdomas par šīs regulas pārkāpumu un ja šādi ieraksti var būt noderīgi, izmeklējot šīs regulas pārkāpumus; un
izdot publiskus paziņojumus, tostarp publiskus paziņojumus, kuros norādīta fiziskās vai juridiskās personas identitāte un pārkāpuma būtība.
51. pants
Administratīvo sodu un korektīvo pasākumu piemērošanas pilnvaru īstenošana
Kompetentās iestādes pēc vajadzības īsteno pilnvaras uzlikt 50. pantā minētos administratīvos sodus un korektīvos pasākumus saskaņā ar attiecīgās valsts tiesisko regulējumu attiecīgā gadījumā šādi:
tieši;
sadarbojoties ar citām iestādēm;
uz savu atbildību deleģējot savas pilnvaras citām iestādēm; vai
iesniedzot pieteikumu kompetentajām tiesas iestādēm.
Kompetentās iestādes, nosakot saskaņā ar 50. pantu uzlikta administratīvā soda vai korektīva pasākuma veidu un apmēru, ņem vērā visus nozīmīgos apstākļus, tostarp to, cik lielā mērā pārkāpums izdarīts tīši vai izriet no neuzmanības, un visus citus attiecīgos apstākļus, tostarp attiecīgā gadījumā šādus:
pārkāpuma būtiskumu, smagumu un ilgumu;
par pārkāpumu atbildīgās fiziskās vai juridiskās personas atbildības pakāpi;
atbildīgās fiziskās vai juridiskās personas finansiālo stāvokli;
atbildīgās fiziskās vai juridiskās personas gūtās peļņas vai novērsto zaudējumu nozīmīgumu, ciktāl to var noteikt;
pārkāpuma radītos zaudējumus trešām personām, ja tos var noteikt;
atbildīgās fiziskās vai juridiskās personas sadarbības līmeni ar kompetento iestādi, neskarot vajadzību nodrošināt attiecīgās fiziskās vai juridiskās personas gūto ienākumu vai novērsto zaudējumu atdošanu;
atbildīgās fiziskās vai juridiskās personas iepriekš izdarītos pārkāpumus.
52. pants
Kriminālsodi
53. pants
Ziņošanas pienākums
Dalībvalstis līdz 2025. gada 17. janvārim Komisijai, EVTI, EBI un EAAPI dara zināmus tos normatīvos un administratīvos aktus, ar kuriem tiek īstenotas šīs nodaļas prasības, tostarp jebkādas attiecīgās krimināltiesību normas. Dalībvalstis bez liekas kavēšanās informē Komisiju, EVTI, EBI un EAAPI par turpmākiem grozījumiem tajos.
54. pants
Informācijas par administratīvajiem sodiem publicēšana
Ja kompetentā iestāde, novērtējusi katru gadījumu atsevišķi, uzskata, ka identitātes publicēšana juridisku personu gadījumā vai identitātes un personas datu publicēšana fizisko personu gadījumā būtu nesamērīga, tostarp radītu riskus saistībā ar personas datu aizsardzību, apdraudētu finanšu tirgu stabilitāti vai notiekošu kriminālizmeklēšanu vai, ciktāl to var noteikt, radītu nesamērīgu kaitējumu iesaistītajai personai, tā attiecībā uz lēmumu, ar ko uzliek administratīvo sodu, pieņem vienu no šādiem risinājumiem:
atlikt tā publicēšanu, kamēr nav beiguši pastāvēt visi nepublicēšanas iemesli;
publicēt to anonīmi saskaņā ar valsts tiesību aktiem; vai
atturēties no publicēšanas, ja uzskata, ka ar a) un b) apakšpunktā izklāstītajiem risinājumiem nepietiek, lai garantētu, ka finanšu tirgu stabilitātei draudu nav, vai arī šāda publicēšana nebūtu proporcionāla piemērotā soda maigumam.
55. pants
Dienesta noslēpums
56. pants
Datu aizsardzība
VIII NODAĻA
Deleģētie akti
57. pants
Deleģēšanas īstenošana
IX NODAĻA
Pārejas un nobeiguma noteikumi
58. pants
Pārskatīšanas klauzula
Komisija līdz 2028. gada 17. janvārim pēc apspriešanās ar, attiecīgi, EUI un ESRK, veic pārskatīšanu un iesniedz ziņojumu Eiropas Parlamentam un Padomei, vajadzības gadījumā pievienojot tiesību akta priekšlikumu. Pārskatīšanā ir iekļauti vismaz šādi elementi:
kritēriji, kas paredzēti, lai saskaņā ar 31. panta 2. punktu izraudzītos kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus;
19. pantā minēto būtisko kiberdraudu paziņošanas brīvprātīgums;
31. panta 12. punktā minētā kārtība un galvenā pārrauga pilnvaras, kas paredzētas 35. panta 1. punkta d) apakšpunkta iv) punkta pirmajā ievilkumā, nolūkā novērtēt, cik efektīvi ir minētie noteikumi, lai nodrošinātu efektīvu pārraudzību pār trešā valstī iedibinātām kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, un to, vai ir jāiedibina meitasuzņēmums Savienībā.
Šā apakšpunkta pirmās daļas vajadzībām pārskatīšanā iekļauj 31. panta 12. punktā minētās kārtības analīzi, tostarp noteikumus par Savienības finanšu vienību piekļuvi no trešām valstīm sniegtiem pakalpojumiem un šādu pakalpojumu pieejamību Savienības tirgū, un tajā ņem vērā turpmākās norises to pakalpojumu tirgos, uz kuriem attiecas šī regula, finanšu vienību un finanšu uzraudzības iestāžu praktisko pieredzi minētās kārtības piemērošanā un attiecīgi minētās kārtības uzraudzībā, kā arī visas attiecīgās regulatīvās un uzraudzības norises starptautiskā līmenī.
tas, vai ir lietderīgi šīs regulas darbības jomā iekļaut 2. panta 3. punkta e) apakšpunktā minētās finanšu vienības, kas izmanto automatizētas pārdošanas sistēmas, ņemot vērā turpmākās tirgus norises šādu sistēmu izmantošanā;
kopīgā pārraudzības tīkla (JON) darbība un efektivitāte, pārraudzības sistēmā sekmējot pārraudzības konsekvenci un informācijas apmaiņas efektivitāti.
Pamatojoties uz minēto pārskata ziņojumu un apspriedusies ar EUI, ECB un ESRK, Komisija attiecīgā gadījumā un kā daļu no tiesību akta priekšlikuma, ko tā var pieņemt, ievērojot Direktīvas (ES) 2015/2366 108. panta otro daļu, var iesniegt priekšlikumu nodrošināt, lai visiem maksājumu sistēmu operatoriem un maksājumu apstrādes darbībās iesaistītajām vienībām tiktu piemērota pienācīga pārraudzība, vienlaikus ņemot vērā jau pastāvošu centrālās bankas pārraudzību.
59. pants
Grozījumi Regulā (EK) Nr. 1060/2009
Regulu (EK) Nr. 1060/2009 groza šādi:
regulas I pielikuma A iedaļas 4. punkta pirmo daļu aizstāj ar šādu:
“Kredītreitingu aģentūrai ir pareizas administratīvas un grāmatvedības procedūras, iekšējie kontroles mehānismi, efektīvas riska novērtēšanas procedūras, kā arī efektīvi kontroles pasākumi un aizsargpasākumi IKT sistēmu pārvaldībai saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2022/2554 ( *1 ).
regulas III pielikuma 12. punktu aizstāj ar šādu:
Kredītreitingu aģentūra pārkāpj 6. panta 2. punktu, to lasot saistībā ar I pielikuma A iedaļas 4. punktu, jo aģentūrai nav pareizu administratīvo vai grāmatvedības procedūru, iekšējo kontroles mehānismu, efektīvu riska novērtēšanas procedūru vai efektīvu kontroles pasākumu vai aizsargpasākumu IKT sistēmu pārvaldībai saskaņā ar Regulu (ES) 2022/2554; vai ja tā neīsteno vai neuztur lēmumu pieņemšanas procedūras vai organizatoriskās struktūras, kā noteikts minētajā punktā.”
60. pants
Grozījumi Regulā (ES) Nr. 648/2012
Regulu (ES) Nr. 648/2012 groza šādi:
regulas 26. pantu groza šādi:
panta 3. punktu aizstāj ar šādu:
panta 6. punktu svītro;
regulas 34. pantu groza šādi:
panta 1. punktu aizstāj ar šādu:
panta 3. punkta pirmo daļu aizstāj ar šādu:
regulas 56. panta 3. punkta pirmo daļu aizstāj ar šādu daļu:
regulas 79. panta 1. un 2. punktu aizstāj ar šādiem:
regulas 80. panta 1. punktu svītro;
regulas I pielikuma II iedaļu groza šādi:
iedaļas a) un b) punktu aizstāj ar šādiem:
darījumu reģistrs pārkāpj 79. panta 1. punktu, ja tas neatklāj darbības riska cēloņus vai nemēģina tos pēc iespējas samazināt, izstrādājot atbilstošas sistēmas, kontroli un procedūras, tostarp IKT sistēmas, ko pārvalda saskaņā ar Regulu (ES) 2022/2554;
darījumu reģistrs pārkāpj 79. panta 2. punktu, ja tas neizveido, neīsteno vai neuztur atbilstošu uzņēmējdarbības nepārtrauktības politiku un negadījuma seku novēršanas plānu, kurš ir izveidots saskaņā ar Regulu (ES) 2022/2554 ar mērķi nodrošināt tā funkciju uzturēšanu, savlaicīgu darbības atsākšanu un darījumu reģistra pienākumu izpildi;”;
iedaļas c) punktu svītro;
regulas III pielikumu groza šādi:
pielikuma II iedaļu groza šādi:
iedaļas c) punktu aizstāj ar šādu:
2. līmeņa CCP pārkāpj 26. panta 3. punktu, ja tas neuztur vai neizmanto organizatorisko struktūru, kas nodrošina tā pakalpojumu un darbību veikšanas nepārtrauktību un pareizu funkcionēšanu, vai neizmanto piemērotas un samērīgas sistēmas, resursus vai procedūras, tostarp IKT sistēmas, ko pārvalda saskaņā ar Regulu (ES) 2022/2554;”;
iedaļas f) punktu svītro;
pielikuma III iedaļas a) punktu aizstāj ar šādu:
2. līmeņa CCP pārkāpj 34. panta 1. punktu, ja tas neizveido, neīsteno vai neuztur piemērotu uzņēmējdarbības nepārtrauktības politiku un negadījuma seku novēršanas plānu, kurš ir izveidots saskaņā ar Regulu (ES) 2022/2554 ar mērķi nodrošināt tā funkciju saglabāšanu, savlaicīgu darbību atjaunošanu un CCP pienākumu izpildi, kas vismaz ļauj atjaunot visus darījumus kopš pārtraukšanas brīža, lai CCP varētu turpināt droši darboties un pabeigt norēķinus paredzētajā dienā;”.
61. pants
Grozījumi Regulā (ES) Nr. 909/2014
Regulas (ES) Nr. 909/2014 45. pantu groza šādi:
panta 1. punktu aizstāj ar šādu:
panta 2. punktu svītro;
panta 3. un 4. punktu aizstāj ar šādu:
panta 6. punktu aizstāj ar šādu:
panta 7. punkta pirmo daļu aizstāj ar šādu:
62. pants
Grozījumi Regulā (ES) Nr. 600/2014
Regulu (ES) Nr. 600/2014 groza šādi:
regulas 27.g pantu groza šādi:
panta 4. punktu aizstāj ar šādu:
APS ievēro tīklu un informācijas sistēmu drošības prasības, kas noteiktas Eiropas Parlamenta un Padomes Regulā (ES) 2022/2554 ( *4 ).
panta 8. punkta c) apakšpunktu aizstāj ar šādu:
konkrētas organizatoriskas prasības, kas izklāstītas 3. un 5. punktā.”;
regulas 27.h pantu groza šādi:
panta 5. punktu aizstāj ar šādu:
panta 8. punkta e) apakšpunktu aizstāj ar šādu:
konkrētas organizatoriskas prasības, kas noteiktas 4. punktā.”;
regulas 27.i pantu groza šādi:
panta 3. punktu aizstāj ar šādu:
panta 5. punkta b) apakšpunktu aizstāj ar šādu:
konkrētas organizatoriskas prasības, kas noteiktas 2. un 4. punktā.”
63. pants
Grozījumi Regulā (ES) 2016/1011
Regulas (ES) 2016/1011 6. pantam pievieno šādu punktu:
Attiecībā uz kritiski svarīgiem etaloniem administratoram ir pareizas administratīvas un grāmatvedības procedūras, iekšējie kontroles mehānismi, efektīvas riska novērtēšanas procedūras, kā arī efektīvi kontroles pasākumi un aizsargpasākumi IKT sistēmu pārvaldībai saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2022/2554 ( *5 ).
64. pants
Stāšanās spēkā un piemērošana
Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.
To piemēro no 2025. gada 17. janvāra.
Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.
( 1 ) Eiropas Parlamenta un Padomes Direktīva 2009/65/EK (2009. gada 13. jūlijs) par normatīvo un administratīvo aktu koordināciju attiecībā uz pārvedamu vērtspapīru kolektīvo ieguldījumu uzņēmumiem (PVKIU) (OV L 302, 17.11.2009., 32. lpp.).
( 2 ) Eiropas Parlamenta un Padomes Regula (ES) Nr. 575/2013 (2013. gada 26. jūnijs) par prudenciālajām prasībām attiecībā uz kredītiestādēm un ar ko groza Regulu (ES) Nr. 648/2012 (OV L 176, 27.6.2013., 1. lpp.).
( 3 ) Eiropas Parlamenta un Padomes Regula (ES) 2019/2033 (2019. gada 27. novembris) par prudenciālajām prasībām ieguldījumu brokeru sabiedrībām un ar ko groza Regulas (ES) Nr. 1093/2010, (ES) Nr. 575/2013, (ES) Nr. 600/2014 un (ES) Nr. 806/2014 (OV L 314, 5.12.2019., 1. lpp.).
( 4 ) Eiropas Parlamenta un Padomes Direktīva (ES) 2016/97 (2016. gada 20. janvāris) par apdrošināšanas izplatīšanu (OV L 26, 2.2.2016., 19. lpp.).
( 5 ) Eiropas Parlamenta un Padomes Regula (ES) 2020/1503 (2020. gada 7. oktobris) par Eiropas kolektīvās finansēšanas pakalpojumu sniedzējiem uzņēmējdarbībai un ar ko groza Regulu (ES) 2017/1129 un Direktīvu (ES) 2019/1937 (OV L 347, 20.10.2020., 1. lpp.).
( 6 ) Eiropas Parlamenta un Padomes Regula (ES) 2017/2402 (2017. gada 12. decembris), ar ko nosaka vispārēju regulējumu vērtspapīrošanai un izveido īpašu satvaru attiecībā uz vienkāršu, pārredzamu un standartizētu vērtspapīrošanu, un groza Direktīvas 2009/65/EK, 2009/138/EK un 2011/61/ES un Regulas (EK) Nr. 1060/2009 un (ES) Nr. 648/2012 (OV L 347, 28.12.2017., 35. lpp.).
( 7 ) Eiropas Parlamenta un Padomes Regula (ES) Nr. 806/2014 (2014. gada 15. jūlijs), ar ko izveido vienādus noteikumus un vienotu procedūru kredītiestāžu un noteiktu ieguldījumu brokeru sabiedrību noregulējumam, izmantojot vienotu noregulējuma mehānismu un vienotu noregulējuma fondu, un groza Regulu (ES) Nr. 1093/2010 (OV L 225, 30.7.2014., 1. lpp.).
( 8 ) Eiropas Parlamenta un Padomes Direktīva (ES) 2019/2034 (2019. gada 27. novembris) par ieguldījumu brokeru sabiedrību prudenciālo uzraudzību un ar ko groza Direktīvas 2002/87/EK, 2009/65/EK, 2011/61/ES, 2013/36/ES, 2014/59/ES un 2014/65/ES (OV L 314, 5.12.2019., 64. lpp.).
( 9 ) Eiropas Parlamenta un Padomes Direktīva 2006/43/EK (2006. gada 17. maijs), ar ko paredz gada pārskatu un konsolidēto pārskatu obligātās revīzijas, groza Padomes Direktīvu 78/660/EEK un Padomes Direktīvu 83/349/EEK un atceļ Padomes Direktīvu 84/253/EEK (OV L 157, 9.6.2006., 87. lpp.).
( *1 ) Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 (2022. gada 14. decembris) par finanšu sektora digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011 (OV L 333, 27.12.2022, p. 1.. lpp.).”;
( *2 ) Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 (2022. gada 14. decembris) par finanšu sektora digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011 (OV L 333, 27.12.2022, 1.. lpp.).”;
( *3 ) Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 (2022. gada 14. decembris) par finanšu sektora digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011 (OV L 333, 27.12.2022, 1.. lpp.).”;
( *4 ) Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 (2022. gada 14. decembris) par finanšu sektora digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011 (OV L 333, , 27.12.2022., 1.. lpp.).”;
( *5 ) Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 (2022. gada 14. decembris) par finanšu sektora digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011 (OV L 333, 27.12.2022, 1.. lpp.).”