KOMISIJAS DELEĢĒTĀ REGULA (ES) 2025/303

(2024. gada 31. oktobris),

ar ko Eiropas Parlamenta un Padomes Regulu (ES) 2023/1114 papildina attiecībā uz regulatīvajiem tehniskajiem standartiem, kuros norādīta informācija, kas noteiktām finanšu vienībām jāiekļauj paziņojumā par nodomu sniegt kriptoaktīvu pakalpojumus

(Dokuments attiecas uz EEZ)

EIROPAS KOMISIJA,

ņemot vērā Līgumu par Eiropas Savienības darbību,

ņemot vērā Eiropas Parlamenta un Padomes Regulu (ES) 2023/1114 (2023. gada 31. maijs) par kriptoaktīvu tirgiem un ar ko groza Regulas (ES) Nr. 1093/2010 un (ES) Nr. 1095/2010 un Direktīvas 2013/36/ES un (ES) 2019/1937 (1), un jo īpaši tās 60. panta 13. punkta trešo daļu,

tā kā:

(1)

Lai kompetentās iestādes varētu novērtēt, vai noteiktas finanšu vienības, kas plāno sniegt kriptoaktīvu pakalpojumus, atbilst piemērojamām prasībām, kas noteiktas Regulas (ES) 2023/1114 V sadaļā un attiecīgā gadījumā VI sadaļā, informācijai, kas noteiktām finanšu vienībām jāpaziņo par savu nodomu sniegt kriptoaktīvu pakalpojumus, vajadzētu būt pietiekami sīki izstrādātai un visaptverošai, bet nevajadzētu radīt nevajadzīgu slogu.

(2)

Saskaņā ar Regulas (ES) 2023/1114 60. panta 7. punkta a) apakšpunktu paziņojumam par nodomu sniegt kriptoaktīvu pakalpojumus ir jāietver darbības programma. Lai sniegtu pilnīgu priekšstatu par darbībām, ko paziņojošā vienība plāno veikt, darbības programmā būtu jāietver apraksts par paziņojošās vienības organizatorisko struktūru, tās stratēģiju kriptoaktīvu pakalpojumu sniegšanai saviem paredzētajiem klientiem un tās darbības spēju trīs gadus pēc paziņošanas dienas. Attiecībā uz stratēģiju, ko izmanto klientu piesaistīšanai, paziņojošajai vienībai būtu jāapraksta tirgvedības līdzekļi, ko tā plāno izmantot, piemēram, tīmekļvietnes, mobilo tālruņu lietotnes, tikšanās klātienē, paziņojumi presei vai jebkāda veida fiziski vai elektroniski līdzekļi, to vidū sociālo mediju kampaņu rīki, interneta reklāmas vai reklāmkarogi, reklāmas mērķorientēšana, līgumi ar ietekmētājiem, sponsorēšanas līgumi, zvani, tīmekļsemināri, uzaicinājumi uz pasākumiem, saistīto pasākumu kampaņas, spēliskošanas paņēmieni, uzaicinājumi aizpildīt atbildes veidlapu vai piedalīties mācību kursā, demo konti vai izglītojoši materiāli.

(3)	Lai kompetentās iestādes varētu novērtēt paziņojošās vienības noturību pret ārējiem finanšu satricinājumiem, arī tiem, kas skar kriptoaktīvu vērtību, paziņojošajai vienībai savā paziņojumā būtu jāiekļauj stresa scenāriji, kas simulē smagus, bet ticamus notikumus to prognožu uzskaites plānā.

(4)

Lai izvairītos no darbības pārtraukumiem, jo tiem var būt būtiskas finansiālas, regulatīvas un reputācijas sekas paziņojošajai vienībai un kriptoaktīvu tirgiem kopumā, ir ļoti svarīgi saglabāt kriptoaktīvu pakalpojumu sniedzēju darbības vai vismaz būtiskas funkcijas un līdz minimumam samazināt dīkstāves neparedzētu traucējumu, to vidū kiberuzbrukumu un dabas katastrofu, dēļ. Tāpēc paziņojumā būtu jāiekļauj sīka informācija par paziņojošās vienības pasākumiem, kuri nodrošina kriptoaktīvu pakalpojumu sniegšanas nepārtrauktību un regularitāti, arī sīki izstrādāts apraksts par tās riskiem un darbības nepārtrauktības plāni.

(5)

Lai nodrošinātu, ka paziņojošās struktūras pienācīgi novērš nelikumīgi iegūtu līdzekļu legalizēšanas un teroristu finansēšanas riskus un praksi kriptoaktīvu pakalpojumu sniegšanā, ir vajadzīgi efektīvi mehānismi, sistēmas un procedūras, kas atbilst Eiropas Parlamenta un Padomes Direktīvai (ES) 2015/849 (2). Tāpēc paziņojošajām vienībām paziņojumā būtu jāsniedz sīka informācija par mehānismiem, sistēmām un procedūrām, kas ieviestas, lai novērstu riskus, kuri saistīti ar to darījumdarbību, cita starpā saistībā ar nelikumīgi iegūtu līdzekļu legalizācijas un terorisma finansēšanas novēršanu.

(6)

Tā kā kriptoaktīvi ir decentralizēti un digitāli, kiberdrošības riski kriptoaktīvu pakalpojumu sniedzējiem ir būtiski un izpaužas dažādos veidos. Lai nodrošinātu, ka paziņojošā vienība spēj novērst datu aizsardzības pārkāpumus un finansiālus zaudējumus, ko varētu izraisīt kiberuzbrukumi, informācija, kas saskaņā ar Regulas (ES) 2023/1114 60. panta 7. punkta c) apakšpunktu sniedzama par paziņojošās vienības izvietotajām IKT sistēmām un saistītajiem drošības pasākumiem, piemēram, dati par pakalpojumu sniedzēju identitāti un ģeogrāfisko atrašanās vietu, ārpakalpojumā nodoto darbību vai IKT pakalpojumu apraksts ar to galvenajām iezīmēm un līgumisko vienošanos kopijas, būtu jāpapildina ar informāciju par cilvēkresursiem, kas paredzēti kiberdrošības risku novēršanai.

(7)

Klientu kriptoaktīvu un naudas līdzekļu nošķiršana aizsargā klientus no kriptoaktīvu pakalpojumu sniedzēja zaudējumiem un no viņu kriptoaktīvu un naudas līdzekļu ļaunprātīgas izmantošanas. Tāpēc Regulas (ES) 2023/1114 70. pantā ir noteikts, ka kriptoaktīvu pakalpojumu sniedzējiem ir jāveic pienācīgi pasākumi, lai aizsargātu klientu īpašumtiesības. Šī prasība attiecas arī uz kriptoaktīvu pakalpojumu sniedzējiem, kas nesniedz glabāšanas un pārvaldīšanas pakalpojumus.

(8)

Lai kompetentās iestādes varētu novērtēt paziņojošās vienības darbības noteikumu piemērotību to kriptoaktīvu tirdzniecības platformām, paziņojošajai vienībai minēto noteikumu aprakstā būtu sīki jāizklāsta konkrēti elementi. Proti, paziņojošajai vienībai būtu sīkāk jāizstrādā darbības noteikumu aspekti, kas attiecas uz pielaidi tirdzniecībai, tirdzniecību un norēķiniem par kriptoaktīviem. Attiecībā uz kriptoaktīvu pielaidi tirdzniecībai paziņojošajām vienībām būtu jāsniedz sīka informācija par to, kā pielaistie kriptoaktīvi atbilst paziņojošās vienības noteikumiem, par kriptoaktīvu veidiem, kurus paziņojošā vienība nepielaidīs tirdzniecībai savā tirdzniecības platformā, un šādas izslēgšanas iemesliem, kā arī par pielaides tirdzniecībai maksu. Attiecībā uz kriptoaktīvu tirdzniecību paziņojošajai vienībai būtu jānorāda darbības noteikumu punkti, kas reglamentē rīkojumu izpildi un atcelšanu, pārredzamību un uzskaiti. Visbeidzot, paziņojošām vienībām darbības noteikumu aprakstā būtu jāiekļauj punkti, kas reglamentē norēķinus par kriptoaktīvu darījumiem, kuri noslēgti tirdzniecības platformā, arī informācija par to, vai norēķins ir iniciēts, izmantojot sadalītās virsgrāmatas tehnoloģiju (SVT), izpildes iniciēšanas laikposmu, tā brīža definīciju, kad norēķins uzskatāms par galīgu, visām pārbaudēm, kas vajadzīgas, lai nodrošinātu efektīvu norēķinu par darījumu, un visiem pasākumiem norēķinu neizpildes ierobežošanai.

(9)

Lai kompetentās iestādes varētu novērtēt paziņojošās vienības piemērotību noteiktu kriptoaktīvu pakalpojumu sniegšanai, piemēram, kriptoaktīvu apmaiņai pret naudas līdzekļiem vai citiem kriptoaktīviem, konsultāciju sniegšanai par kriptoaktīviem vai kriptoaktīvu portfeļa pārvaldību un pārveduma pakalpojumu sniegšanai, paziņojošajai vienībai būtu jānorāda, kā šie kriptoaktīvu pakalpojumi tiks sniegti, kā arī kādi pasākumi ieviesti, lai nodrošinātu, ka paziņojošā vienība atbilst attiecīgajiem Regulas (ES) 2023/1114 noteikumiem par minēto kriptoaktīvu pakalpojumu sniegšanu.

(10)	Visa ar šīs regulas īstenošanu saistītā personas datu apstrāde atbilst Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (3) prasībām.

(11)	Šīs regulas pamatā ir regulatīvo tehnisko standartu projekts, ko Komisijai iesniegusi Eiropas Vērtspapīru un tirgu iestāde (EVTI) un kas izstrādāts ciešā sadarbībā ar Eiropas Banku iestādi.

(12)

EVTI ir veikusi atklātas sabiedriskās apspriešanas par regulatīvo tehnisko standartu projektu, kas ir šīs regulas pamatā, izanalizējusi potenciālās saistītās izmaksas un ieguvumus un lūgusi ieteikumu no Vērtspapīru un tirgu nozares ieinteresēto personu grupas, kura izveidota saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) Nr. 1095/2010 (4) 37. pantu.

(13)	Saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) 2018/1725 (5) 42. panta 1. punktu ir notikusi apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju, kas 2024. gada 21. jūnijā sniedza oficiālas piezīmes,

IR PIEŅĒMUSI ŠO REGULU.

1. pants

Darbības programma

1. Regulas (ES) 2023/1114 60. panta 7. punkta a) apakšpunkta izpildei paziņojošā vienība iesniedz kompetentajai iestādei darbības programmu turpmākajiem trim gadiem pēc paziņojuma dienas, ietverot šādu informāciju:

ja paziņojošā vienība pieder grupai, kā definēts Eiropas Parlamenta un Padomes Direktīvas 2013/34/ES (6) 2. panta 11. punktā – paskaidrojumu par to, kā paziņojošās vienības darbības iekļaujas minētās grupas stratēģijā un mijiedarbojas ar citu minētās grupas vienību darbībām, arī pārskatu par minētās grupas pašreizējo un plānoto organizāciju un struktūru;

paskaidrojumu par to, kā ar paziņojošo vienību saistīto vienību, arī ja grupā ir regulētas vienības, darbības ietekmēs paziņojošās vienības darbības, ietverot sarakstu ar un informāciju par vienībām, kas saistītas ar paziņojošo vienību, un, ja ir regulētas vienības, šo vienību sniegtajiem pakalpojumiem un katras šo vienību uzturētās tīmekļvietnes domēnu nosaukumiem;

c)	sarakstu ar kriptoaktīvu pakalpojumiem, ko paziņojošā vienība plāno sniegt, un kriptoaktīvu veidiem, uz kuriem attieksies kriptoaktīvu pakalpojumi;

d)	citas plānotās darbības, ko reglamentē saskaņā ar Savienības vai valsts tiesību aktiem vai kas nav reglamentētas, arī jebkādus citus pakalpojumus, kuri nav kriptoaktīvu pakalpojumi un kurus paziņojošā vienība plāno sniegt;

e)	to, vai paziņojošā vienība plāno publiski piedāvāt kriptoaktīvus vai vēlas saņemt pielaidi kriptoaktīvu tirdzniecībai, un, ja tā ir, attiecīgos kriptoaktīvu veidus;

f)	sarakstu ar Savienības un trešo valstu jurisdikcijām, kurās paziņojošā vienība plāno sniegt kriptoaktīvu pakalpojumus, arī informāciju par paredzēto klientu skaitu sadalījumā pa ģeogrāfiskajiem apgabaliem;

g)	to iespējamo klientu veidus, uz kuriem vērsti paziņojošās vienības kriptoaktīvu pakalpojumi;

aprakstu par klientu piekļuves līdzekļiem paziņojošās vienības kriptoaktīvu pakalpojumiem, ietverot visu turpmāk minēto:

katras tādas tīmekļvietnes vai citas IKT balstītas lietotnes domēna nosaukumu, ar kuru starpniecību paziņojošā vienība sniegs kriptoaktīvu pakalpojumus, un informāciju par to, kurās valodās būs pieejama tīmekļvietne vai cita IKT balstīta lietotne, kriptoaktīvu pakalpojumu veidus, kam varēs piekļūt, izmantojot minēto tīmekļvietni vai citu IKT balstītu lietotni, un attiecīgā gadījumā informāciju, no kurām dalībvalstīm būs pieejama tīmekļvietne vai cita IKT balstīta lietotne;

ii)	jebkuras tādas IKT balstītas lietotnes nosaukumu, kas klientiem pieejama, lai piekļūtu kriptoaktīvu pakalpojumiem, valodas, kurās minētā IKT balstītā lietotne ir pieejama, un kriptoaktīvu pakalpojumus, kam var piekļūt, izmantojot minēto IKT balstīto lietotni;

plānotās kriptoaktīvu pakalpojumu tirgvedības un veicināšanas darbības un pasākumus, ietverot:

i)	visus tirgvedības līdzekļus, kas izmantojami katram pakalpojumam;

ii)	paziņojošās vienības paredzētos identifikācijas līdzekļus;

iii)	informāciju par to klientu kategoriju, kam attiecīgais pakalpojums paredzēts;

iv)	kriptoaktīvu veidus;

v)	valodas, kas tiks izmantotas tirgvedības un reklāmas pasākumos;

j)	sīki izstrādātu aprakstu par plānotajiem kriptoaktīvu pakalpojumiem piešķirtajiem cilvēkresursiem, finanšu resursiem un IKT resursiem un to ģeogrāfisko atrašanās vietu;

paziņojošās vienības ārpakalpojumu politiku un tās pielāgošanu kriptoaktīvu pakalpojumiem, kā arī sīki izstrādātu aprakstu par paziņojošās vienības plānotajiem ārpakalpojumu līgumiem, arī grupas iekšējiem līgumiem, un skaidrojumu, kā paziņojošā vienība ievēros Regulas (ES) 2023/1114 73. pantu, arī informāciju par funkciju vai personu, kas atbild par ārpakalpojumiem, cilvēkresursiem un IKT resursiem, kuri piešķirti ārpakalpojumā nodoto funkciju, pakalpojumu vai darbību kontrolei saskaņā ar saistītajiem līgumiem, un par riska novērtējumu saistībā ar ārpakalpojumiem;

l)	to vienību sarakstu, kuras sniegs ārpakalpojumus kriptoaktīvu pakalpojumu sniegšanai, to ģeogrāfisko atrašanās vietu un attiecīgos ārpakalpojumā nodotos pakalpojumus;

prognožu uzskaites plānu, arī stresa scenārijus individuālā un – attiecīgā gadījumā – konsolidētā grupas un subkonsolidētā līmenī saskaņā ar Direktīvu 2013/34/ES, ņemot vērā visus grupas iekšējos aizdevumus, ko piešķīrusi vai piešķirs paziņojošā vienība un kas piešķirti vai tiks piešķirti paziņojošajai vienībai;

n)	jebkādu kriptoaktīvu apmaiņu pret naudas līdzekļiem un citas kriptoaktīvu darbības, ko paziņojošā vienība plāno veikt, arī izmantojot decentralizētas finanšu lietotnes, ar kurām paziņojošā vienība plāno mijiedarboties savā vārdā.

2. Ja paziņojošā vienība plāno klientu vārdā sniegt kriptoaktīvu rīkojumu pieņemšanas un nosūtīšanas pakalpojumu, tā kompetentajai iestādei iesniedz paredzēto procedūru apraksta kopiju un aprakstu par pasākumiem, kas nodrošina atbilstību Regulas (ES) 2023/1114 80. pantam.

3. Ja paziņojošā vienība plāno sniegt kriptoaktīvu izvietošanas pakalpojumu, tā kompetentajai iestādei iesniedz to procedūru kopiju, ar kurām identificē, novērš, pārvalda un atklāj interešu konfliktus, un aprakstu par pasākumiem, kas ieviesti, lai nodrošinātu atbilstību Regulas (ES) 2023/1114 79. pantam un Komisijas deleģētajai regulai, ar ko nosaka tehniskos standartus un ko pieņem, ievērojot Regulas (ES) 2023/1114 72. panta 5. punktu.

2. pants

Darbības nepārtrauktības plāns

1. Regulas (ES) 2023/1114 60. panta 7. punkta b) apakšpunkta iii) punkta izpildei paziņojošā vienība kompetentajai iestādei iesniedz sīki izstrādātu aprakstu par darbības nepārtrauktības plānu, arī par pasākumiem, kas jāveic, lai nodrošinātu vienības kriptoaktīvu pakalpojumu sniegšanas nepārtrauktību un regularitāti.

2. Šā panta 1. punktā minētajā aprakstā iekļauj:

a)	informāciju, kas liecina, ka izstrādātais darbības nepārtrauktības plāns ir atbilstīgs un ka ir ieviesti pasākumi, lai uzturētu un periodiski pārbaudītu minēto plānu;

b)	attiecībā uz kritiski svarīgām vai nozīmīgām funkcijām, ko nodrošina trešās personas pakalpojumu sniedzēji, – informāciju par to, kā tiek nodrošināta darbības nepārtrauktība, ja šādu funkciju izpildes kvalitāte pasliktinās līdz nepieņemamam līmenim vai tās nedarbojas;

c)	informāciju par to, kā tiek nodrošināta darbības nepārtrauktība svarīgas personas nāves gadījumā, un attiecīgā gadījumā par politiskajiem riskiem pakalpojumu sniedzēja jurisdikcijās.

3. pants

Nelikumīgi iegūtu līdzekļu legalizēšanas un teroristu finansēšanas atklāšana un novēršana

Regulas (ES) 2023/1114 60. panta 7. punkta b) apakšpunkta i) un ii) punkta izpildei paziņojošā vienība kompetentajai iestādei sniedz informāciju par saviem iekšējās kontroles mehānismiem, rīcībpolitiku un procedūrām, ar ko nodrošina atbilstību valsts tiesību aktiem, ar kuriem transponē Direktīvu (ES) 2015/849, un par riska novērtēšanas sistēmu ar nelikumīgi iegūtu līdzekļu legalizāciju un teroristu finansēšanu saistītu risku pārvaldībai, ietverot:

paziņojošās vienības novērtējumu par nelikumīgi iegūtu līdzekļu legalizēšanas un teroristu finansēšanas raksturīgajiem un atlikušajiem riskiem, kas saistīti ar tās kriptoaktīvu pakalpojumu sniegšanu, arī par riskiem, kas saistīti ar:

i)	paziņojošās vienības klientu bāzi;

ii)	sniegtajiem pakalpojumiem;

iii)	izmantotajiem izplatīšanas kanāliem;

iv)	darbības ģeogrāfiskajiem apgabaliem;

informāciju par pasākumiem, ko paziņojošā vienība ir ieviesusi vai ieviesīs, lai novērstu apzinātos riskus un ievērotu piemērojamās nelikumīgi iegūtu līdzekļu legalizācijas un terorisma finansēšanas novēršanas prasības, ietverot paziņojošās vienības riska novērtēšanas procesu, rīcībpolitiku un procedūras klienta uzticamības pārbaudes prasību izpildei un rīcībpolitiku un procedūras aizdomīgu darījumu vai darbību atklāšanai un ziņošanai par tām;

sīku informāciju par to, kā iekšējās kontroles mehānismi, rīcībpolitika un procedūras ir piemēroti un samērīgi ar nelikumīgi iegūtu līdzekļu legalizēšanas un teroristu finansēšanas mērogu, būtību, raksturīgo risku, arī sniegto kriptoaktīvu pakalpojumu klāstu un darījumdarbības modeļa sarežģītību, un to, kā paziņojošā vienība nodrošina atbilstību Direktīvai (ES) 2015/849 un Eiropas Parlamenta un Padomes Regulai (ES) 2023/1113 (7);

d)	tās personas identitāti, kura atbildīga par paziņojošās vienības atbilstību nelikumīgi iegūtu līdzekļu legalizācijas un terorisma finansēšanas novēršanas prasībām, ietverot pierādījumus par minētās personas prasmēm un pieredzi;

informāciju par pasākumiem, cilvēkresursiem un finanšu resursiem, kas paredzēti, lai, pamatojoties uz ikgadējām norādēm, nodrošinātu, ka paziņojošās vienības darbinieki ir pienācīgi apmācīti nelikumīgi iegūtu līdzekļu legalizēšanas un terorisma finansēšanas novēršanas jautājumos un par konkrētiem ar kriptoaktīviem saistītiem riskiem;

f)	paziņojošās vienības nelikumīgi iegūtu līdzekļu legalizācijas un terorisma apkarošanas rīcībpolitikas, procedūru un sistēmu kopiju;

g)	kopsavilkumu, kurā izklāstītas izmaiņas, kas paziņojošās vienības nelikumīgi iegūtu līdzekļu legalizācijas novēršanas un terorisma apkarošanas procedūrās un sistēmās ir veiktas saistībā ar plānotajiem kriptoaktīvu pakalpojumiem;

h)	iekšējās kontroles mehānismu, sistēmu un procedūru piemērotības un efektivitātes novērtēšanas biežumu, arī par šādu novērtējumu atbildīgās personas vai funkcijas identitāti.

4. pants

IKT sistēmas un saistītie drošības pasākumi

Regulas (ES) 2023/1114 60. panta 7. punkta c) apakšpunkta izpildei paziņojošā vienība kompetentajai iestādei sniedz šādu informāciju:

attiecīgā gadījumā izmantoto IKT sistēmu, SVT infrastruktūras un drošības pasākumu tehnisko dokumentāciju, arī aprakstu par pasākumiem un izvietotajiem IKT un cilvēkresursiem, kas izveidoti, lai nodrošinātu atbilstību Eiropas Parlamenta un Padomes Regulai (ES) 2022/2554 (8), ietverot:

aprakstu par to, kā paziņojošā vienība savā vispārējā riska pārvaldības sistēmā nodrošina stabilu, visaptverošu un labi dokumentētu IKT riska pārvaldības sistēmu, arī sīki izstrādātu aprakstu par IKT sistēmām, protokoliem un rīkiem un par to, kā paziņojošās vienības procedūras, rīcībpolitika un sistēmas aizsargās datu drošību, integritāti, pieejamību, autentiskumu un konfidencialitāti saskaņā ar Regulu (ES) 2022/2554 un (ES) 2016/679;

ii)

to IKT pakalpojumu identifikāciju, ar kuriem atbalsta kritiski svarīgas vai svarīgas funkcijas, ko izstrādājusi vai uztur paziņojošā vienība, kā arī pakalpojumus, kurus sniedz trešās personas pakalpojumu sniedzēji, šādu līgumu aprakstu un skaidrojumu par minēto līgumi atbilstību Regulas (ES) 2023/1114 73. pantam un Regulas (ES) 2022/2554 V nodaļai;

iii)	aprakstu par paziņojošās vienības procedūrām, rīcībpolitiku, pasākumiem un sistēmām drošības un incidentu pārvaldībai;

ja pieejams – apraksts par kiberdrošības revīziju, ko veicis trešā persona kiberdrošības revidents, kuram ir pietiekama pieredze saskaņā ar Komisijas deleģēto regulu, ar ko nosaka tehniskos standartus, ievērojot Regulas (ES) 2022/2554 26. panta 11. punkta ceturto daļu, optimālā gadījumā ietverot šādas revīzijas vai testus, kurus veikušas ārējas neatkarīgas puses:

i)	attiecībā uz organizācijas kiberdrošību, fizisko drošību un drošu programmatūras izstrādes dzīves cikla kārtību;

ii)	neaizsargātības novērtējumus un tīkla drošības novērtējumus;

iii)	tādu IKT aktīvu konfigurācijas pārskatīšanu, kas atbalsta kritiski svarīgas un svarīgas funkcijas, kas noteiktas Regulas (ES) 2022/2554 3. panta 22. punktā;

iv)

ielaušanās testus IKT aktīviem, kas atbalsta kritiski svarīgas un svarīgas funkcijas, atbilstīgi Regulas (ES) 2022/2554 3. panta 17. punktā noteiktajam – saskaņā ar visām šādām revīzijas testa pieejām:

melnā kaste – revidentam nav citas informācijas kā tikai IP adreses un URL, kas saistīti ar revidēto mērķi; pirms šā posma parasti tiek atklāta informācija un identificēts mērķis, veicot vaicājumus domēnu nosaukumu sistēmas (DNS) pakalpojumos, skenējot atvērtās pieslēgvietas, atklājot filtrēšanas iekārtas;

2)	pelēkās kastes posms – revidentiem ir informācijas sistēmas standarta lietotāja zināšanas (likumīga autentifikācija, “standarta” darbstacija); identifikatori var piederēt pie dažādiem lietotāju profiliem, lai pārbaudītu dažādus privilēģiju līmeņus;

3)	baltās kastes posms – pirms analīzes sākšanas revidenti saņem pēc iespējas vairāk tehniskās informācijas (arhitektūra, pirmkods, tālruņa kontakti, identifikatori u. c.), kā arī piekļuvi tehniskajiem kontaktiem, kas saistīti ar mērķi;

v)	ja pieteikuma iesniedzējs izmanto un/vai izstrādā viedlīgumus, to kiberdrošības pirmkoda pārskatīšanu;

c)	IKT sistēmu veikto revīziju, ja tādas ir, aprakstu, arī izmantotās SVT infrastruktūras un drošības pasākumu aprakstu;

d)	šā punkta a) un b) apakšpunktā minētās attiecīgās informācijas aprakstu vienkāršā valodā.

5. pants

Klientu kriptoaktīvu un naudas līdzekļu nošķiršana un glabāšana

1. Regulas (ES) 2023/1114 60. panta 7. punkta d) apakšpunkta izpildei paziņojošā vienība, kas plāno turēt klientiem piederošus kriptoaktīvus vai līdzekļus piekļuvei šādiem kriptoaktīviem vai klientu naudas līdzekļus, kas nav e-naudas žetoni, sniedz kompetentajai iestādei sīki izstrādātu aprakstu par savām procedūrām klientu kriptoaktīvu un naudas līdzekļu nošķiršanai, ietverot:

informāciju par paziņojošās vienības procedūrām, ar kurām nodrošina, ka:

i)	klientu naudas līdzekļus neizmanto paši savā labā;

ii)	klientiem piederošus kriptoaktīvus neizmanto paši savā labā;

iii)	maki, kuros ir klientu kriptoaktīvi, atšķiras no pašas paziņojošās vienības makiem;

b)	sīki izstrādātu aprakstu par kriptogrāfisko atslēgu apstiprināšanas sistēmu un kriptogrāfisko atslēgu, arī vairāku parakstu maku, aizsardzību;

c)	informāciju par paziņojošās vienības procedūrām, ar kurām nošķir klientu kriptoaktīvus, arī no citu klientu kriptoaktīviem, ja maki, kas satur vairāk nekā viena klienta kriptoaktīvus, tiek turēti vispārējos kontos;

aprakstu par procedūru, ar ko nodrošina, ka klientu naudas līdzekļi, kas nav e-naudas žetoni, tiek noguldīti centrālā bankā vai kredītiestādē līdz tās darbdienas beigām, kas seko dienai, kurā tie saņemti, un tiek turēti kontā, kas ir atsevišķi identificējams no kontiem, kurus izmanto paziņojošajai vienībai piederošu naudas līdzekļu turēšanai;

ja paziņojošā vienība neplāno noguldīt līdzekļus attiecīgajā centrālajā bankā – informāciju par faktoriem, kurus paziņojošā vienība ņem vērā, lai izvēlētos kredītiestādes, kurās noguldīt klientu naudas līdzekļus, ietverot paziņojošās vienības diversifikācijas politiku, ja tāda ir pieejama, un to kredītiestāžu izvēles pārskatīšanas biežumu, kurās tiek noguldīti klientu naudas līdzekļi;

informāciju par paziņojošās vienības procedūrām, ar kurām nodrošina, ka klienti tiek informēti skaidrā, kodolīgā un vienkāršā valodā par paziņojošās vienības sistēmu, rīcībpolitikas un procedūru galvenajiem aspektiem, ar kuriem nodrošina atbilstību Regulas (ES) 2023/1114 70. panta 1., 2. un 3. punktam.

2. Saskaņā ar Regulas (ES) 2023/1114 70. panta 5. punktu kriptoaktīvu pakalpojumu sniedzēji, kas ir elektroniskās naudas iestādes vai kredītiestādes, sniedz tikai šā panta 1. punktā noteikto informāciju.

6. pants

Glabāšanas un pārvaldīšanas politika

Regulas (ES) 2023/1114 60. panta 7. punkta e) apakšpunkta izpildei paziņojošā vienība kompetentajai iestādei sniedz šādu informāciju:

aprakstu par pasākumiem, kas saistīti ar klientiem piedāvāto glabāšanas veidu, paziņojošās vienības standarta vienošanās par kriptoaktīvu glabāšanu un pārvaldīšanu klientu vārdā kopiju saskaņā ar Regulas (ES) 2023/1114 75. panta 1. punktu un tās glabāšanas politikas kopsavilkuma kopiju, kura klientiem darīta pieejama saskaņā ar minētās regulas 75. panta 3. punkta trešo daļu;

paziņojošās vienības glabāšanas un pārvaldīšanas politiku, arī aprakstu par identificētajiem darbības un IKT risku avotiem kriptoaktīvu drošai glabāšanai un kontrolei vai par līdzekļiem piekļuvei klientu kriptoaktīviem, kā arī:

i)	rīcībpolitiku, procedūras un aprakstu par pasākumiem, ar kuriem nodrošina atbilstību Regulas (ES) 2023/1114 75. panta 8. punktam;

ii)	rīcībpolitiku, procedūras un aprakstu par sistēmām un kontrolēm darbības un IKT risku pārvaldībai, arī gadījumos, kad kriptoaktīvu glabāšana un pārvaldīšana klientu vārdā tiek nodota ārpakalpojumā trešai personai;

iii)	rīcībpolitiku un procedūras, kas attiecas uz sistēmām, ar kurām nodrošina, ka klienti izmanto ar kriptoaktīviem saistītās tiesības, un to aprakstu;

iv)	rīcībpolitiku un procedūras, kas attiecas uz sistēmām, kuras nodrošina kriptoaktīvu atgriešanu vai piekļuves līdzekļus klientiem, un to aprakstu;

c)	informāciju par to, kā tiek identificēti kriptoaktīvi un līdzekļi piekļuvei klientu kriptoaktīviem;

d)	informāciju par pasākumiem, ar ko līdz minimumam samazina kriptoaktīvu zuduma risku vai līdzekļu piekļuvei kriptoaktīviem zuduma risku;

ja kriptoaktīvu pakalpojumu sniedzējs kriptoaktīvu glabāšanas un pārvaldīšanas nodrošināšanu klientu vārdā ir deleģējis trešai personai:

i)	informāciju par jebkuras trešās personas identitāti, kas nodrošina kriptoaktīvu glabāšanas un pārvaldīšanas pakalpojumu, un tās statusu saskaņā ar Regulas (ES) 2023/1114 59. vai 60. pantu;

ii)	aprakstu par visām funkcijām, kas saistītas ar kriptoaktīvu pakalpojumu sniedzēja deleģēto kriptoaktīvu glabāšanu un pārvaldīšanu, attiecīgi visu delegātu un pastarpināti deleģēto personu sarakstu un informāciju par jebkādiem interešu konfliktiem, kas varētu rasties šādas deleģēšanas rezultātā;

iii)	aprakstu par to, kā paziņojošā vienība plāno uzraudzīt deleģēšanu vai pastarpināti deleģētās pilnvaras.

7. pants

Tirdzniecības platformas darbības noteikumi un tirgus ļaunprātīgas izmantošanas atklāšana

1. Regulas (ES) 2023/1114 60. panta 7. punkta f) apakšpunkta izpildei paziņojošā vienība, kas plāno uzturēt kriptoaktīvu tirdzniecības platformu, sniedz kompetentajai iestādei šādu informāciju:

a)	noteikumus par kriptoaktīvu pielaidi tirdzniecībai;

b)	apstiprināšanas procesu kriptoaktīvu pielaidei tirdzniecībai, ietverot klienta uzticamības pārbaudi, kas veikta saskaņā ar Direktīvu (ES) 2015/849;

c)	to kriptoaktīvu kategoriju sarakstu, kuras netiks pielaistas tirdzniecībai, un šādas izslēgšanas iemeslus;

d)	rīcībpolitiku, procedūras un maksas par pielaidi tirdzniecībai, attiecīgā gadījumā pievieno aprakstu par dalību, atlaidēm un saistītajiem nosacījumiem;

e)	noteikumus, kas reglamentē rīkojumu izpildi, ietverot visas atcelšanas procedūras attiecībā uz izpildītajiem rīkojumiem un šādas informācijas izpaušanu tirgus dalībniekiem;

f)	metodes, kas ieviestas, lai novērtētu kriptoaktīvu piemērotību saskaņā ar Regulas (ES) 2023/1114 76. panta 2. punktu;

g)	sistēmas, procedūras un pasākumus, kas ieviesti, lai nodrošinātu atbilstību Regulas (ES) 2023/1114 76. panta 7. punktam;

veidu, kādā tiek publiskotas visas solītās un prasītās cenas, tirdzniecības interešu dziļumu par cenām, kas tiek reklamētas attiecībā uz kriptoaktīviem to tirdzniecības platformā, un tādu darījumu cenu, apjomu un laiku, kas izpildīti attiecībā uz kriptoaktīviem, kuri tiek tirgoti to tirdzniecības platformā, saskaņā ar Regulas (ES) 2023/1114 76. panta 9. un 10. punktu;

i)	maksu struktūras un pamatojumu, kā minētās struktūras atbilst Regulas (ES) 2023/1114 76. panta 13. punktam;

j)	sistēmas, procedūras un pasākumus, kas ieviesti, lai datus par visiem rīkojumiem glabātu kompetentās iestādes rīcībā, vai mehānismu, ar kuru nodrošina, ka kompetentajai iestādei ir piekļuve rīkojumu reģistram un jebkurai citai tirdzniecības sistēmai;

attiecībā uz norēķiniem par darījumiem:

i)	vai galīgais norēķins par darījumiem ir iniciēts, izmantojot sadalīto virsgrāmatu vai to neizmantojot;

ii)	laikposmu, kurā iniciēts kriptoaktīvu darījumu galīgais norēķins;

iii)	veidu, kādā pārbauda naudas līdzekļu un kriptoaktīvu pieejamību;

iv)	veidu, kādā apstiprina attiecīgo darījumu informāciju;

v)	pasākumus, kas paredzēti, lai ierobežotu norēķinu neizpildi;

vi)	brīdi, kad norēķins ir galīgs, un brīdi, kad galīgais norēķins ir iniciēts pēc darījuma izpildes;

l)	procedūras un sistēmas, kas ieviestas, lai atklātu un novērstu tirgus ļaunprātīgu izmantošanu, arī informāciju par paziņojumiem kompetentajai iestādei par iespējamiem tirgus ļaunprātīgas izmantošanas gadījumiem.

2. Paziņojošās vienības, kas plāno uzturēt kriptoaktīvu tirdzniecības platformu, iesniedz kompetentajai iestādei tirdzniecības platformas darbības noteikumu kopiju un apraksta kopiju par visām procedūrām tirgus ļaunprātīgas izmantošanas atklāšanai un novēršanai.

8. pants

Kriptoaktīvu apmaiņa pret naudas līdzekļiem vai citiem kriptoaktīviem

Regulas (ES) 2023/1114 60. panta 7. punkta g) apakšpunkta izpildei paziņojošā vienība, kas plāno kriptoaktīvus apmainīt pret naudas līdzekļiem vai citiem kriptoaktīviem, sniedz kompetentajai iestādei šādu informāciju:

a)	aprakstu par tirdzniecības politiku, kas izstrādāta saskaņā ar Regulas (ES) 2023/1114 77. panta 1. punktu;

b)	metodi to kriptoaktīvu cenas noteikšanai, kurus paziņojošā vienība ierosina apmainīt pret naudas līdzekļiem vai citiem kriptoaktīviem saskaņā ar Regulas (ES) 2023/1114 77. panta 2. punktu, ietverot skaidrojumu par to, kā kriptoaktīvu apjoms un tirgus svārstīgums ietekmē cenu noteikšanas mehānismu.

9. pants

Izpildes politika

Regulas (ES) 2023/1114 60. panta 7. punkta h) apakšpunkta nolūkos paziņojošā vienība, kas plāno izpildīt kriptoaktīvu rīkojumus klientu vārdā, iesniedz kompetentajai iestādei savu izpildes politiku, ietverot šādu informāciju:

a)	pasākumus, kas nodrošina, ka klients pirms rīkojuma izpildes ir devis piekrišanu izpildes politikai;

b)	to kriptoaktīvu tirdzniecības platformu sarakstu, uz kurām paziņojošā vienība pamatosies rīkojumu izpildē, un izpildes politikā iekļauto izpildes vietu novērtēšanas kritērijus saskaņā ar Regulas (ES) 2023/1114 78. panta 6. punktu;

c)	informāciju par tirdzniecības platformām, kuras paziņojošā vienība plāno izmantot katram kriptoaktīvu veidam, un apstiprinājumu, ka paziņojošā vienība nesaņems nekādu atlīdzību, atlaidi vai nemonetāru labumu apmaiņā pret saņemto rīkojumu novirzīšanu uz konkrētu kriptoaktīvu tirdzniecības platformu;

d)	skaidrojumu, kā izpildē tiek ņemta vērā cena, izmaksas, ātrums, izpildes un norēķinu iespējamība, kriptoaktīvu apjoms, būtība, glabāšanas nosacījumi vai jebkādi citi būtiski faktori, kas tiek uzskatīti par daļu no visiem nepieciešamajiem pasākumiem, lai klients iegūtu vislabāko iespējamo rezultātu;

e)	attiecīgā gadījumā – pasākumus klientu informēšanai par to, ka paziņojošā vienība izpildīs rīkojumus ārpus tirdzniecības platformas, un skaidrojumu, kā paziņojošā vienība pirms šādu rīkojumu izpildes saņems sava klienta iepriekšēju skaidru piekrišanu;

skaidrojumu, kā klients tiek brīdināts, ka jebkādi īpaši klienta norādījumi var liegt paziņojošajai vienībai veikt nepieciešamās darbības saskaņā ar pasākumiem, ko paziņojošā vienība ir ieviesusi un īstenojusi savā izpildes politikā, lai iegūtu labāko iespējamo rezultātu minēto rīkojumu izpildei saistībā ar elementiem, uz kuriem attiecas minētie norādījumi;

g)	tirdzniecības vietu atlases procesu, izmantotās izpildes stratēģijas, pasākumus, kas izmantoti, lai analizētu izpildes kvalitāti, un skaidrojumu, kā paziņojošā vienība uzrauga un pārbauda, vai attiecībā uz klientiem ir iegūti vislabākie iespējamie rezultāti;

h)	pasākumus, ar kuriem novērš iespēju paziņojošās vienības darbiniekiem ļaunprātīgi izmantot jebkādu informāciju par klientu rīkojumiem;

i)	pasākumus un procedūras, kurus izmantojot paziņojošā vienība izpaudīs klientiem informāciju par savu rīkojumu izpildes politiku un informēs tos par jebkādām būtiskām izmaiņām savā rīkojumu izpildes politikā;

j)	kārtību, kādā kompetentajai iestādei pēc minētās kompetentās iestādes pieprasījuma pierāda atbilstību Regulas (ES) 2023/1114 78. pantam.

10. pants

Konsultāciju sniegšana par kriptoaktīviem vai kriptoaktīvu portfeļa pārvaldība

Regulas (ES) 2023/1114 60. panta 7. punkta i) apakšpunkta izpildei paziņojošā vienība, kas plāno sniegt konsultācijas par kriptoaktīviem vai veikt kriptoaktīvu portfeļa pārvaldību, sniedz kompetentajai iestādei šādu informāciju:

sīki izstrādātu aprakstu par pasākumiem, ko paziņojošā vienība ieviesusi, lai nodrošinātu atbilstību Regulas (ES) 2023/1114 81. panta 7. punktam, arī:

i)	mehānismus, ar kuriem kontrolē, novērtē un efektīvi uztur to fizisko personu zināšanas un kompetenci, kas sniedz konsultācijas par kriptoaktīviem vai pārvalda kriptoaktīvu portfeļus;

ii)

pasākumus, kas nodrošina, ka fiziskās personas, kas iesaistītas konsultāciju sniegšanā vai portfeļa pārvaldībā, zina, saprot un piemēro paziņojošās vienības iekšējo rīcībpolitiku un procedūras, kuras izveidotas, lai nodrošinātu atbilstību Regulai (ES) 2023/1114, jo īpaši tās 81. panta 1. punktam un Direktīvai (ES) 2015/849;

iii)	cilvēkresursu un finanšu resursu apjomu, ko paziņojošā vienība plāno katru gadu veltīt to darbinieku profesionālajai attīstībai un mācībām, kuri sniedz konsultācijas par kriptoaktīviem vai pārvalda kriptoaktīvu portfeli;

mehānismus, ar kuriem kontrolē un novērtē, vai fiziskām personām, kas sniedz konsultācijas paziņojošās vienības vārdā, ir nepieciešamās zināšanas un kompetence, saskaņā ar valsts tiesību aktos izmantoto kritēriju Regulas (ES) 2023/1114 81. panta 1. punktā minētās piemērotības novērtēšanai, kā arī mehānismus, ar kuriem nodrošina šādas piemērotības uzturēšanu.

11. pants

Pārvešanas pakalpojumi

Regulas (ES) 2023/1114 60. panta 7. punkta k) apakšpunkta izpildei paziņojošā vienība, kas plāno sniegt kriptoaktīvu pārvešanas pakalpojumus klientu vārdā, sniedz kompetentajai iestādei šādu informāciju:

a)	ziņas par kriptoaktīvu veidiem, attiecībā uz kuriem paziņojošā vienība plāno sniegt pārvešanas pakalpojumus;

sīki izstrādātu aprakstu par pasākumiem, ko paziņojošā vienība ieviesusi, lai izpildītu Regulas (ES) 2023/1114 82. panta prasības, arī sīku informāciju par paziņojošās vienības pasākumiem un izmantotajiem IKT un cilvēkresursiem, ar kuriem nekavējoties, efektīvi un rūpīgi novērst riskus kriptoaktīvu pārvešanas pakalpojumu sniegšanas laikā klientu vārdā, ņemot vērā iespējamās darbības kļūmes un kiberdrošības riskus;

c)	ja pieejams – paziņojošās vienības apdrošināšanas polises aprakstu, ietverot apdrošināšanas segumu attiecībā uz kaitējumu klienta kriptoaktīviem, kurš var izrietēt no kiberdrošības riskiem;

d)	pasākumus, ar kuriem nodrošina, ka klienti ir pienācīgi informēti par b) apakšpunktā minētajiem pasākumiem.

12. pants

Stāšanās spēkā

Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.

Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.

Briselē, 2024. gada 31. oktobrī

Komisijas vārdā –

priekšsēdētāja

Ursula VON DER LEYEN

(1) OV L 150, 9.6.2023., 40. lpp., ELI: http://data.europa.eu/eli/reg/2023/1114/oj.

(2) Eiropas Parlamenta un Padomes Direktīva (ES) 2015/849 (2015. gada 20. maijs) par to, lai nepieļautu finanšu sistēmas izmantošanu nelikumīgi iegūtu līdzekļu legalizēšanai vai teroristu finansēšanai, un ar ko groza Eiropas Parlamenta un Padomes Regulu (ES) Nr. 648/2012 un atceļ Eiropas Parlamenta un Padomes Direktīvu 2005/60/EK un Komisijas Direktīvu 2006/70/EK (OV L 141, 5.6.2015., 73. lpp., ELI: http://data.europa.eu/eli/dir/2015/849/oj).

(3) Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV L 119, 4.5.2016., 1. lpp., ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(4) Eiropas Parlamenta un Padomes Regula (ES) Nr. 1095/2010 (2010. gada 24. novembris), ar ko izveido Eiropas Uzraudzības iestādi (Eiropas Vērtspapīru un tirgu iestādi), groza Lēmumu Nr. 716/2009/EK un atceļ Komisijas Lēmumu 2009/77/EK (OV L 331, 15.12.2010., 84. lpp. ELI: http://data.europa.eu/eli/reg/2010/1095/oj).

(5) Eiropas Parlamenta un Padomes Regula (ES) 2018/1725 (2018. gada 23. oktobris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK (OV L 295, 21.11.2018., 39. lpp., ELI http://data.europa.eu/eli/reg/2018/1725/oj).

(6) Eiropas Parlamenta un Padomes Direktīva 2013/34/ES (2013. gada 26. jūnijs) par noteiktu veidu uzņēmumu gada finanšu pārskatiem, konsolidētajiem finanšu pārskatiem un saistītiem ziņojumiem, ar ko groza Eiropas Parlamenta un Padomes Direktīvu 2006/43/EK un atceļ Padomes Direktīvas 78/660/EEK un 83/349/EEK (OV L 182, 29.6.2013., 19. lpp., ELI: http://data.europa.eu/eli/dir/2013/34/oj).

(7) Eiropas Parlamenta un Padomes Regula (ES) 2023/1113 (2023. gada 31. maijs) par līdzekļu un konkrētu kriptoaktīvu pārvedumiem pievienoto informāciju un ar ko groza Direktīvu (ES) 2015/849 (OV L 150, 9.6.2023., 1. lpp., ELI: http://data.europa.eu/eli/reg/2023/1113/oj).

(8) Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 (2022. gada 14. decembris) par finanšu nozares digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011 (OV L 333, 27.12.2022., 1. lpp., ELI: http://data.europa.eu/eli/reg/2022/2554/oj).