This document is an excerpt from the EUR-Lex website
Document 32025R0299
Commission Delegated Regulation (EU) 2025/299 of 31 October 2024 supplementing Regulation (EU) 2023/1114 of the European Parliament and of the Council on markets in crypto-assets with regard to regulatory technical standards on continuity and regularity in the performance of crypto-asset services
Regulamento Delegado (UE) 2025/299 da Comissão, de 31 de outubro de 2024, que complementa o Regulamento (UE) 2023/1114 do Parlamento Europeu e do Conselho relativo aos mercados de criptoativos no que respeita às normas técnicas de regulamentação sobre a continuidade e a regularidade da prestação dos serviços de criptoativos
Regulamento Delegado (UE) 2025/299 da Comissão, de 31 de outubro de 2024, que complementa o Regulamento (UE) 2023/1114 do Parlamento Europeu e do Conselho relativo aos mercados de criptoativos no que respeita às normas técnicas de regulamentação sobre a continuidade e a regularidade da prestação dos serviços de criptoativos
C/2024/7523
JO L, 2025/299, 13.2.2025, ELI: http://data.europa.eu/eli/reg_del/2025/299/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
Jornal Oficial |
PT Série L |
|
2025/299 |
13.2.2025 |
REGULAMENTO DELEGADO (UE) 2025/299 DA COMISSÃO
de 31 de outubro de 2024
que complementa o Regulamento (UE) 2023/1114 do Parlamento Europeu e do Conselho relativo aos mercados de criptoativos no que respeita às normas técnicas de regulamentação sobre a continuidade e a regularidade da prestação dos serviços de criptoativos
(Texto relevante para efeitos do EEE)
A COMISSÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia,
Tendo em conta o Regulamento (UE) 2023/1114 do Parlamento Europeu e do Conselho, de 31 de maio de 2023, relativo aos mercados de criptoativos e que altera os Regulamentos (UE) n.o 1093/2010 e (UE) n.o 1095/2010 e as Diretivas 2013/36/UE e (UE) 2019/1937 (1), nomeadamente o artigo 68.o, n.o 10, terceiro parágrafo,
Considerando o seguinte:
|
(1) |
Os artigos 11.o e 12.o do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho (2) preveem requisitos relacionados com a resposta e recuperação, as políticas e procedimentos de salvaguarda e os procedimentos e métodos de reposição e recuperação dos sistemas de TIC das entidades financeiras, incluindo os prestadores de serviços de criptoativos. O Regulamento Delegado (UE) 2024/1774 da Comissão (3) especifica mais pormenorizadamente os componentes da política de continuidade das atividades no domínio das TIC, os testes dos planos de continuidade das atividades no domínio das TIC e ainda os componentes dos planos de resposta e recuperação das TIC no âmbito das entidades financeiras, incluindo os prestadores de serviços de criptoativos. O presente regulamento complementa as disposições do Regulamento Delegado (UE) 2024/1774 no que respeita à continuidade e regularidade da prestação dos serviços de criptoativos. |
|
(2) |
Na prestação dos seus serviços, os prestadores de serviços de criptoativos podem utilizar um registo distribuído sobre o qual não têm controlo, incluindo um registo distribuído sem autorização. Nesse caso, podem não ter a possibilidade de assegurar a regularidade e continuidade dos seus serviços quando ocorrerem perturbações causadas por problemas inerentes ao funcionamento desses registos distribuídos. A fim de atenuar uma volatilidade do mercado que possa ter um impacto negativo nos clientes afetados por essas perturbações, os prestadores de serviços de criptoativos deverão incluir na sua política de continuidade das atividades medidas destinadas a uma comunicação atempada com os clientes e outras partes interessadas externas. Essa comunicação deverá incluir informações essenciais e atempadas aos clientes sobre essas perturbações, incluindo atualizações contínuas do estado, até que a perturbação seja resolvida e os serviços sejam retomados. Caso o prestador de serviços de criptoativos não disponha facilmente de informações sobre o estado do registo distribuído sem autorização responsável por uma perturbação do serviço, esse prestador de serviços de criptoativos deverá comunicar atualizações aos clientes e a outras partes interessadas, incluindo as autoridades competentes, com base nos melhores esforços, para assegurar que os clientes e as partes interessadas disponham de informações tão completas quanto possível sobre essas perturbações. |
|
(3) |
A fim de evitar encargos administrativos desproporcionados para as pequenas e médias empresas, bem como para as empresas em fase de arranque, os prestadores de serviços de criptoativos devem ter em conta, na sua política de continuidade das atividades, a escala, natureza e gama dos serviços que prestam. Tal significa que os prestadores de serviços de criptoativos deverão determinar os seus requisitos específicos de continuidade das atividades com base numa autoavaliação sólida, baseada numa série de critérios que lhes permitam aplicar uma política de continuidade das atividades proporcionada ao impacto dos seus serviços no mercado. A autoavaliação também deverá ter em conta outras circunstâncias, além das enumeradas no anexo, que possam ter impacto no prestador de serviços de criptoativos. |
|
(4) |
O presente regulamento tem por base os projetos de normas técnicas de regulamentação apresentados à Comissão pela Autoridade Europeia dos Valores Mobiliários e dos Mercados. |
|
(5) |
A Autoridade Europeia dos Valores Mobiliários e dos Mercados realizou consultas públicas abertas sobre os projetos de normas técnicas de regulamentação que servem de base ao presente regulamento, analisou os potenciais custos e benefícios associados e solicitou o parecer do Grupo de Interessados do Setor dos Valores Mobiliários e dos Mercados instituído nos termos do artigo 37.o do Regulamento (UE) n.o 1095/2010 do Parlamento Europeu e do Conselho (4), |
ADOTOU O PRESENTE REGULAMENTO:
Artigo 1.o
Definições
Para efeitos do presente regulamento, entende-se por:
|
a) |
«Função crítica ou importante», uma função crítica ou importante na aceção do artigo 3.o, ponto 22, do Regulamento (UE) 2022/2554; |
|
b) |
«Registo distribuído sem autorização», um tipo específico de registo distribuído sobre o qual nenhuma entidade exerce o controlo total e em que os nós da rede DLT podem ser criados por qualquer pessoa que cumpra os requisitos técnicos e os protocolos desse registo distribuído. |
Artigo 2.o
Disposições organizacionais para a continuidade das atividades
1. A política de continuidade das atividades a que se refere o artigo 68.o, n.o 7, do Regulamento (UE) 2023/1114, é constituída por planos, procedimentos e medidas.
2. O órgão de administração dos prestadores de serviços de criptoativos, no exercício das suas funções a que se refere o artigo 68.o, n.o 6, do Regulamento (UE) 2023/1114, estabelece e aprova os planos, procedimentos e medidas que constituem a política de continuidade das atividades. O órgão de administração do prestador de serviços de criptoativos é responsável pela aplicação da política de continuidade das atividades, bem como pela revisão da sua eficácia pelo menos uma vez por ano.
3. Os prestadores de serviços de criptoativos devem assegurar que quaisquer alterações da política de continuidade das atividades sejam transmitidas a todo o pessoal interno pertinente através de canais de comunicação eficazes.
Artigo 3.o
Política de continuidade das atividades
1. A política de continuidade das atividades a que se refere o artigo 68.o, n.o 7, do Regulamento (UE) 2023/1114 deve assegurar que os prestadores de serviços de criptoativos forneçam uma resposta adequada a incidentes perturbadores ou a problemas de prestação relacionados com os sistemas críticos para o exercício das suas funções operacionais e deve ser estabelecida num suporte duradouro.
2. Os prestadores de serviços de criptoativos devem incluir na sua política de continuidade das atividades todos os seguintes elementos:
|
a) |
Uma especificação do âmbito da política de continuidade das atividades, incluindo as suas limitações e exclusões, abrangido pelos planos, procedimentos e medidas de continuidade das atividades; |
|
b) |
Uma descrição dos critérios para ativar os planos de continuidade das atividades, incluindo procedimentos de escalonamento até ao nível do órgão de administração; |
|
c) |
Disposições sobre a governação e organização do prestador de serviços de criptoativos, incluindo as funções e responsabilidades do respetivo pessoal, assegurando a disponibilidade de recursos suficientes para uma aplicação eficaz da política; |
|
d) |
Disposições que assegurem a coerência entre os planos de continuidade das atividades e planos de continuidade no domínio das TIC e os planos de resposta e recuperação no domínio das TIC a que se referem os artigos 24.o e 26.o do Regulamento Delegado (UE) 2024/1774. |
Artigo 4.o
Planos de continuidade das atividades
1. Ao aplicarem a política de continuidade das atividades a que se refere o artigo 68.o, n.o 7, do Regulamento (UE) 2023/1114, os prestadores de serviços de criptoativos devem criar planos de continuidade das atividades. Os planos de continuidade das atividades estabelecem os procedimentos necessários para proteger e, se necessário, restabelecer:
|
a) |
A confidencialidade, integridade e disponibilidade dos dados dos clientes; |
|
b) |
A disponibilidade das funções operacionais, dos processos de apoio e dos ativos de informação dos prestadores de serviços de criptoativos. |
2. Os planos de continuidade das atividades devem incluir os seguintes elementos:
|
a) |
Um conjunto de possíveis cenários desfavoráveis relacionados com o funcionamento de funções críticas ou importantes, incluindo a indisponibilidade de funções operacionais, de pessoal, de espaços de trabalho, de fornecedores externos ou de centros de dados ou a perda ou alteração de dados ou documentos críticos; |
|
b) |
Os procedimentos e as políticas a seguir em caso de incidente perturbador, incluindo:
|
|
c) |
Os procedimentos e políticas de deslocalização das funções operacionais utilizados para prestar serviços de criptoativos a partir de um local de salvaguarda; |
|
d) |
A salvaguarda dos dados comerciais críticos, incluindo informações atualizadas sobre os contactos necessários para assegurar a comunicação dentro do prestador de serviços de criptoativos e entre o prestador de serviços de criptoativos e os seus clientes; |
|
e) |
Procedimentos para a comunicação atempada com os clientes e outras partes interessadas externas, incluindo as autoridades competentes. |
3. Em caso de perturbação que envolva um registo distribuído sem autorização utilizado pelo prestador de serviços de criptoativos na prestação dos seus serviços, as comunicações referidas no n.o 2, alínea e), devem incluir as seguintes informações:
|
a) |
Quando se prevê que os serviços sejam retomados; |
|
b) |
As razões e o impacto do incidente perturbador; |
|
c) |
Quaisquer riscos relativos aos fundos e criptoativos dos clientes detidos em seu nome; |
|
d) |
Medidas que o serviço de criptoativos tenciona tomar em resposta à perturbação de um registo distribuído sem autorização. |
Caso essas informações não estejam facilmente disponíveis para o prestador de serviços de criptoativos, o prestador de serviços de criptoativos deve comunicar atualizações no que respeita às informações referidas no primeiro parágrafo aos clientes e às partes interessadas, incluindo as autoridades competentes, com base nos melhores esforços.
4. Os planos de continuidade das atividades devem conter procedimentos para fazer face a eventuais perturbações de funções críticas ou importantes subcontratadas, nomeadamente quando essas funções críticas ou importantes ficarem indisponíveis.
Artigo 5.o
Testes periódicos dos planos de continuidade das atividades
1. Os prestadores de serviços de criptoativos devem testar o funcionamento dos planos de continuidade das atividades a que se refere o artigo 4.o com base em cenários realistas. Esses testes devem verificar a capacidade do prestador de serviços de criptoativos para recuperar de incidentes perturbadores e retomar os serviços em conformidade com o artigo 4.o, n.o 2, alínea b).
2. Os prestadores de serviços de criptoativos devem testar anualmente os planos de continuidade das atividades tendo em conta:
|
a) |
Os resultados dos testes a que se refere o n.o 1; |
|
b) |
As informações mais recentes sobre ameaças; |
|
c) |
Ensinamentos retirados de acontecimentos anteriores; |
|
d) |
Se for caso disso, quaisquer alterações dos objetivos de recuperação, incluindo os objetivos em matéria de tempo e ponto de recuperação a que se refere o artigo 4.o, n.o 2, alínea b); |
|
e) |
Alterações das funções da empresa. |
3. Os prestadores de serviços de criptoativos devem documentar por escrito os resultados da atividade de teste e apresentá-los ao seu órgão de administração e às unidades operacionais envolvidas nos planos de continuidade das atividades.
4. Os prestadores de serviços de criptoativos devem assegurar que os testes dos planos de continuidade das atividades não interferem na prestação normal dos seus serviços.
Artigo 6.o
Complexidade e considerações relativas ao risco
1. Ao criarem a política de continuidade das atividades, incluindo os planos, procedimentos e medidas, os prestadores de serviços de criptoativos devem ter em conta os elementos de maior complexidade ou risco, incluindo:
|
a) |
O tipo e a gama de serviços de criptoativos oferecidos; |
|
b) |
A medida em que os serviços do prestador de serviços de criptoativos dependem de um registo distribuído sem autorização; |
|
c) |
O potencial impacto de quaisquer perturbações na continuidade das atividades do prestador de serviços de criptoativos e na disponibilidade dos seus serviços. |
2. Para efeitos do n.o 1, os prestadores de serviços de criptoativos devem realizar anualmente uma autoavaliação da escala, natureza e gama dos seus serviços. Os prestadores de serviços de criptoativos devem basear essa autoavaliação nos critérios estabelecidos no anexo e em quaisquer outros critérios que considerem pertinentes.
Artigo 7.o
Entrada em vigor
O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.
Feito em Bruxelas, em 31 de outubro de 2024.
Pela Comissão
A Presidente
Ursula VON DER LEYEN
(1) JO L 150 de 9.6.2023, p. 40, ELI: http://data.europa.eu/eli/reg/2023/1114/oj.
(2) Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativo à resiliência operacional digital do setor financeiro e que altera os Regulamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 e (UE) 2016/1011 (JO L 333 de 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj).
(3) Regulamento Delegado (UE) 2024/1774 da Comissão, de 13 de março de 2024, que complementa o Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho no que respeita às normas técnicas de regulamentação que especificam as ferramentas, métodos, processos e políticas de gestão do risco associado às TIC e ao quadro simplificado de gestão do risco associado às TIC (OJ L, 2024/1774, 25.6.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1774/oj).
(4) Regulamento (UE) n.o 1095/2010 do Parlamento Europeu e do Conselho, de 24 de novembro de 2010, que cria uma Autoridade Europeia de Supervisão (Autoridade Europeia dos Valores Mobiliários e dos Mercados), altera a Decisão n.o 716/2009/CE e revoga a Decisão 2009/77/CE da Comissão (JO L 331 de 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
ANEXO
CRITÉRIOS APLICÁVEIS À AUTOAVALIAÇÃO PELOS PRESTADORES DE SERVIÇOS DE CRIPTOATIVOS
|
a) |
A natureza do prestador de serviços de criptoativos, com base nos seguintes elementos:
|
|
b) |
A escala, avaliando o impacto do prestador de serviços de criptoativos no funcionamento ordenado dos mercados com base nos seguintes elementos, se aplicável:
|
|
c) |
A complexidade, avaliando os seguintes elementos, se for caso disso:
|
Para efeitos da alínea b), subalíneas iii) a viii), o prestador de serviços de criptoativos deve utilizar, para a autoavaliação, a média diária ao longo de um período de referência de um ano.
ELI: http://data.europa.eu/eli/reg_del/2025/299/oj
ISSN 1977-0774 (electronic edition)