COMISSÃO EUROPEIA
Bruxelas, 24.9.2020
COM(2020) 596 final
2020/0268(COD)
Proposta de
DIRETIVA DO PARLAMENTO EUROPEU E DO CONSELHO
amending Directives 2006/43/EC, 2009/65/EC, 2009/138/EU, 2011/61/EU, EU/2013/36, 2014/65/EU, (EU) 2015/2366 and EU/2016/2341
(Texto relevante para efeitos do EEE)
{SEC(2020) 309 final} - {SWD(2020) 203 final} - {SWD(2020) 204 final}
EXPOSIÇÃO DE MOTIVOS
1.CONTEXTO DA PROPOSTA
·Razões e objetivos da proposta
A presente proposta integra um pacote medidas destinadas a fomentar e apoiar ainda mais o potencial do financiamento digital em termos de inovação e concorrência, atenuando simultaneamente os riscos inerentes. É coerente com as prioridades da Comissão no sentido de preparar a Europa para a era digital e criar uma economia pronta para o futuro, que sirva as pessoas. O pacote de financiamento digital inclui uma nova estratégia em matéria de financiamento digital para o setor financeiro da UE 1 , que visa assegurar que a UE acolhe a revolução digital, impulsionando-a com empresas europeias inovadoras na vanguarda e disponibilizando os benefícios do financiamento digital aos consumidores e empresas europeus. Para além da presente proposta, o pacote inclui também uma proposta de regulamento relativo aos mercados de criptoativos 2 , uma proposta de regulamento relativo a um regime-piloto para as infraestruturas de mercado baseadas na tecnologia de registo distribuído (DLT) 3 e uma proposta de regulamento relativo à resiliência operacional digital do setor financeiro 4 .
Os motivos e objetivos de ambos os conjuntos de medidas foram respetivamente determinados na exposição de motivos da proposta de regulamento relativo a um regime-piloto de infraestruturas de mercado baseadas na tecnologia de registo distribuído, da proposta de regulamento relativo aos mercados de criptoativos e da proposta de regulamento relativo à resiliência operacional digital, e são igualmente aplicáveis no quadro da presente proposta. A justificação específica da presente proposta de diretiva reside na necessidade de estabelecer uma isenção temporária para os sistemas de negociação multilateral e alterar ou esclarecer determinadas disposições nas diretivas existentes referentes aos serviços financeiros a nível da UE, por forma a proporcionar segurança jurídica no que se refere aos criptoativos e a atingir os objetivos de reforço da resiliência operacional digital.
·Coerência com as disposições em vigor no mesmo domínio de intervenção
A presente proposta, tal como as propostas de regulamento que acompanha, faz parte de um trabalho em curso mais abrangente a nível europeu e internacional que visa: i) reforçar a cibersegurança nos serviços financeiros e dar resposta aos riscos operacionais num sentido mais alargado e ii) proporcionar um quadro jurídico claro, proporcionado e adequado ao nível da UE para os prestadores de serviços de criptoativos.
·Coerência com as outras políticas da União
Conforme mencionado pela presidente von der Leyen nas suas orientações políticas 5 – e indicado na Comunicação «Construir o futuro digital da Europa 6 –, é crucial que a Europa colha todos os benefícios da era digital e reforce a sua capacidade industrial e de inovação, dentro de limites seguros e éticos.
No que se refere aos criptoativos, a presente proposta está intimamente ligada a políticas mais abrangentes da Comissão sobre a tecnologia das cadeias de blocos, uma vez que os criptoativos, que constituem a principal aplicação dessas tecnologias, estão indissociavelmente ligados à promoção da tecnologia das cadeias de blocos em toda a Europa.
Relativamente à resiliência operacional, a estratégia europeia para os dados 7 define quatro pilares – a proteção de dados, os direitos fundamentais, a segurança e a cibersegurança –, indispensáveis para uma sociedade capacitada pela utilização dos dados. Um quadro legislativo que reforçe a resiliência operacional digital das entidades financeiras da União é coerente com estes objetivos políticos. A proposta apoiaria igualmente as políticas que visam a recuperação após o coronavírus, uma vez que asseguraria a resiliência operacional num contexto de aumento da dependência do financiamento digital. Ambas as propostas respondem igualmente aos pedidos do Fórum de Alto Nível sobre a UMC para que sejam estabelecidas regras claras de utilização dos criptoativos (recomendação 7) e implementadas novas regras relativas à ciber-resiliência (recomendação 10) 8 .
2. BASE JURÍDICA, SUBSIDIARIEDADE E PROPORCIONALIDADE
·Base jurídica
A presente proposta de diretiva baseia-se no artigo 53.º, n.º 1, e no artigo 114.º do TFUE.
·Subsidiariedade (no caso de competência não exclusiva)
Ver a exposição de motivos das propostas de regulamentos relativos aos mercados de criptoativos, ao regime temporário de infraestruturas de mercado baseadas na tecnologia de registo distribuído e à resiliência operacional digital.
·Proporcionalidade
Ver a exposição de motivos das propostas de regulamentos relativos aos mercados de criptoativos, ao regime temporário de infraestruturas de mercado baseadas na tecnologia de registo distribuído; e à resiliência operacional digital.
·Escolha do instrumento
A presente proposta de diretiva acompanha as propostas de regulamentos relativos aos mercados de criptoativos; ao regime temporário sobre as infraestruturas de mercado baseadas na tecnologia de registo distribuído; e à resiliência operacional digital. Esses regulamentos estabelecem as principais regras que regem: i) os prestadores de serviços de criptoativos, ii) as condições aplicáveis ao regime-piloto de infraestruturas de mercado baseadas na tecnologia de registo distribuído; e iii) as principais regras aplicáveis à gestão do risco associado às TIC, à comunicação de incidentes, aos testes e à fiscalização. Com vista a atingir os objetivos determinados nesses regulamentos, é igualmente necessário estabelecer uma isenção temporária para os sistemas de negociação multilateral e alterar várias diretivas do Parlamento Europeu e do Conselho adotadas com base no artigo 53.º, n.º 1, e no artigo 114.º do TFUE. A presente proposta de diretiva é, por conseguinte, necessária para alterar essas diretivas.
3.RESULTADOS DAS AVALIAÇÕES EX POST, DAS CONSULTAS DAS PARTES INTERESSADAS E DAS AVALIAÇÕES DE IMPACTO
·Avaliações ex post/balanços de qualidade da legislação existente
Ver a exposição de motivos das propostas de regulamentos relativos aos mercados de criptoativos, ao regime temporário de infraestruturas de mercado baseadas na tecnologia de registo distribuído; e à resiliência operacional digital.
·Consulta das partes interessadas
Ver a exposição de motivos das propostas de regulamentos relativos aos mercados de criptoativos, ao regime temporário de infraestruturas de mercado baseadas na tecnologia de registo distribuído; e à resiliência operacional digital.
·Obtenção e utilização de competências especializadas
Ver a exposição de motivos das propostas de regulamentos relativos aos mercados de criptoativos, ao regime temporário de infraestruturas de mercado baseadas na tecnologia de registo distribuído; e à resiliência operacional digital.
·Avaliação de impacto
Ver a exposição de motivos das propostas de regulamentos relativos aos mercados de criptoativos, ao regime temporário de infraestruturas de mercado baseadas na tecnologia de registo distribuído; e à resiliência operacional digital.
·Adequação da regulamentação e simplificação
Ver a exposição de motivos das propostas de regulamentos relativos aos mercados de criptoativos, ao regime temporário de infraestruturas de mercado baseadas na tecnologia de registo distribuído; e à resiliência operacional digital.
·Direitos fundamentais
Ver a exposição de motivos das propostas de regulamentos relativos aos mercados de criptoativos, ao regime temporário de infraestruturas de mercado baseadas na tecnologia de registo distribuído; e à resiliência operacional digital.
4.INCIDÊNCIA ORÇAMENTAL
Ver a exposição de motivos das propostas de regulamentos relativos aos mercados de criptoativos, ao regime temporário de infraestruturas de mercado baseadas na tecnologia de registo distribuído e à resiliência operacional digital.
5.OUTROS ELEMENTOS
·Planos de execução e acompanhamento, avaliação e prestação de informações
Ver a exposição de motivos das propostas de regulamentos relativos aos mercados de criptoativos, ao regime temporário de infraestruturas de mercado baseadas na tecnologia de registo distribuído; e à resiliência operacional digital.
·Explicação pormenorizada das disposições específicas da proposta
Todos os artigos estão relacionados com e complementam a proposta de regulamento relativo à resiliência operacional digital. Alteram também os vários requisitos referentes ao risco operacional ou à gestão do risco previstos na Diretivas 2006/43/CE, 2009/65/CE, 2009/138/UE, 2011/61/UE, UE/2013/36, 2014/65/UE, (UE) 2015/2366 e UE/2016/2341 do Parlamento Europeu e do Conselho, introduzindo referências cruzadas precisas nessas disposições e, por conseguinte, aumentando a clareza jurídica. Mais especificamente:
–Os artigos 2.º a 4.º, 6.º e 8.º alteram a Diretiva 2009/65/CE que coordena as disposições legislativas, regulamentares e administrativas respeitantes a alguns organismos de investimento coletivo em valores mobiliários (OICVM) 9 ; a Diretiva 2009/138/EC relativa ao acesso à atividade de seguros e resseguros e ao seu exercício (Solvência II) 10 , a Diretiva 2011/61/UE relativa aos gestores de fundos de investimento alternativos (DGFIA) 11 , a Diretiva 2014/56/UE relativa à revisão legal das contas anuais e consolidadas 12 e a Diretiva UE/2016/2341 relativa às atividades e à supervisão das instituições de realização de planos de pensões profissionais (IRPPP) 13 , com o intuito de introduzir em cada uma dessas diretivas as referências cruzadas específicas ao Regulamento (UE) 2021/xx [DORA] relativamente à gestão dos sistemas e ferramentas TIC destas entidades financeiras exigidas em conformidade com as disposições desse regulamento.
–O artigo 5.º altera os requisitos da Diretiva 2013/36/UE (Diretiva Requisitos de Fundos Próprios (CRD)) 14 referentes aos planos de contingência e continuidade da atividade com vista a incluir os planos de continuidade e de recuperação das TIC em caso de catástrofe em conformidade com as disposições previstas no Regulamento (UE) 2021/xx [DORA];
–O artigo 6.º altera a Diretiva 2014/65/UE relativa aos mercados de instrumentos financeiros (MIFID2) incluindo referências cruzadas ao Regulamento (UE) 2021/xx [DORA] e alterando as disposições relativas à continuidade e regularidade no desempenho de serviços e atividades de investimento, à resiliência e capacidade suficiente dos sistemas de negociação, a mecanismos eficazes de continuidade das atividades e à gestão do risco;
–O artigo 7.º altera a Diretiva (UE) 2015/2366 relativa aos serviços de pagamento no mercado interno (PSD2) 15 e mais concretamente as regras de autorização mediante a introdução de referências cruzadas ao Regulamento (UE) 2021/xx [DORA]. Além disso, as regras de comunicação de incidentes previstas nessa diretiva devem excluir a comunicação de incidentes relacionados com as TIC que o Regulamento (UE) 2021/xx [DORA] harmoniza totalmente;
O artigo 6.º, primeiro parágrafo, contribui adicionalmente para o esclarecimento do tratamento jurídico dos criptoativos que possam ser considerados instrumentos financeiros. Para o efeito, altera a definição de um «instrumento financeiro» constante da Diretiva 2014/65/UE relativa aos mercados de instrumentos financeiros com vista a esclarecer, sem qualquer sombra de dúvida jurídica, que esses instrumentos podem ser emitidos utilizando a tecnologia de registo distribuído.
O artigo 6.º, quarto parágrafo, complementa a proposta de regulamento relativo a um regime-piloto para as infraestruturas de mercado baseadas na tecnologia de registo distribuído, dispensando temporariamente as infraestruturas de mercado baseadas nessa tecnologia de determinadas disposições na Diretiva 2014/65/UE, com o objetivo de lhes permitir desenvolver soluções para a negociação e liquidação de transações com criptoativos que sejam considerados instrumentos financeiros.
2020/0268 (COD)
Proposta de
DIRETIVA DO PARLAMENTO EUROPEU E DO CONSELHO
que altera as Diretivas 2006/43/CE, 2009/65/CE, 2009/138/UE, 2011/61/UE, UE/2013/36, 2014/65/UE, (UE) 2015/2366 e UE/2016/2341
(Texto relevante para efeitos do EEE)
O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 53.º, n.º 1, e o artigo 114.º,
Tendo em conta a proposta da Comissão Europeia,
Após transmissão do projeto de ato legislativo aos parlamentos nacionais,
Tendo em conta o parecer do Banco Central Europeu 16 ,
Tendo em conta o parecer do Comité Económico e Social Europeu 17 ,
Deliberando de acordo com o processo legislativo ordinário,
Considerando o seguinte:
(1)A União necessita de atender, de forma adequada e exaustiva, aos riscos digitais para todas as entidades financeiras decorrentes de uma maior utilização das tecnologias de informação e comunicação (TIC) na prestação e utilização de serviços financeiros.
(2)Os operadores do setor financeiro dependem fortemente da utilização das tecnologias digitais nas suas atividades diárias, pelo que será extremamente importante assegurar a resiliência operacional das suas operações digitais contra os riscos associados às TIC. Esta necessidade tornou-se ainda mais urgente devido ao crescimento no mercado de tecnologias inovadoras, que permitem em especial que as representações digitais de valor ou direitos sejam transferidas e armazenadas eletronicamente através da utilização de tecnologia de registo distribuído ou semelhante («criptoativos»), e de serviços relacionados com esses ativos.
(3)Ao nível da União, os requisitos relacionados com o risco associado às TIC no setor financeiro estão atualmente dispersos nas Diretivas 2006/43/CE 18 , 2009/66/CE 19 , 2009/138/CE 20 , 2011/61/CE 21 , UE/2013/36 22 , 2014/65/UE 23 , (UE) 2015/2366 24 , (UE) 2016/2341 25 do Parlamento Europeu e do Conselho , sendo por outro lado diversificados e por vezes incompletos. Em alguns casos, o risco associado às TIC apenas foi abordado implicitamente, como parte do risco operacional, enquanto noutros nem sequer foi abordado. Esta situação deve ser corrigida através da harmonização do Regulamento (UE) xx/20xx do Parlamento Europeu e do Conselho 26 [DORA] com esses atos. A presente diretiva apresenta um conjunto de alterações que se afiguram necessárias para proporcionar clareza e coerência jurídica no que se refere à aplicação pelas entidades financeiras autorizadas e supervisionadas em conformidade com essas diretivas de vários requisitos relativos à resiliência operacional digital necessários para o exercício das suas atividades, garantindo assim o bom funcionamento do mercado interno.
(4)No setor dos serviços bancários, a Diretiva 2013/36/UE relativa ao acesso à atividade das instituições de crédito e à supervisão prudencial das instituições de crédito e empresas de investimento atualmente apenas estabelece regras de governação internas e disposições referentes ao risco operacional gerais, que contêm requisitos relativos aos planos de contingência e continuidade da atividade que servem implicitamente de base para a gestão do risco associado às TIC. No entanto, por forma a garantir explicitamente essa resposta, os requisitos relativos aos planos de contingência e continuidade da atividade devem ser alterados de modo a incluir planos desse tipo em caso de catástrofe também no que se refere ao risco associado às TIC, em conformidade com os requisitos estabelecidos no Regulamento (UE) 2021/xx [DORA].
(5)A Diretiva 2014/65/UE relativa aos mercados de instrumentos financeiros só determina regras mais rigorosas no domínio das TIC para as empresas de investimento e plataformas de negociação quando estas executam negociação algorítmica. Os serviços de comunicação de dados e os repositórios de transações são objeto de requisitos menos pormenorizados. Adicionalmente, essa diretiva apenas contém referências limitadas a medidas de controlo e salvaguarda a nível dos sistemas de processamento de informações e à utilização de sistemas, recursos e procedimentos apropriados com vista a assegurar a continuidade e regularidade dos serviços empresariais. A diretiva em questão deve ser harmonizada com o Regulamento (UE) 2021/xx [DORA] no que diz respeito à continuidade e regularidade no desempenho de serviços e atividades de investimento, à resiliência operacional, à capacidade dos sistemas de negociação e à eficácia dos mecanismos de continuidade das atividades e de gestão do risco.
(6)Atualmente, a definição de «instrumento financeiro» constante da Diretiva 2014/65/UE não inclui explicitamente os instrumentos financeiros emitidos com recurso a uma classe de tecnologias que suporta o registo distribuído de dados encriptados (tecnologia de registo distribuído, «DLT»). Com o intuito de garantir que esses instrumentos financeiros possam ser comercializados no mercado ao abrigo do atual quadro jurídico, a definição da Diretiva 2014/65/UE deve ser alterada por forma a incluir os mesmos.
(7)Mais concretamente, para permitir o desenvolvimento de criptoativos que sejam considerados instrumentos financeiros e da DLT, preservando simultaneamente um elevado nível de estabilidade financeira, integridade do mercado, transparência e proteção dos investidores, seria benéfico criar um regime temporário para as infraestruturas de mercado baseadas na DLT. O quadro jurídico temporário em questão deverá permitir que as autoridades competentes autorizem temporariamente as infraestruturas de mercado baseadas na DLT a operarem ao abrigo de um conjunto alternativo de requisitos no que diz respeito ao acesso às mesmas, em comparação com outros requisitos aplicáveis nos termos da legislação da União em matéria de serviços financeiros que possam impedi-las de desenvolver soluções para a negociação e liquidação de transações com criptoativos que sejam considerados instrumentos financeiros. Este quadro jurídico deve ser temporário, por forma a permitir que as Autoridades Europeias de Supervisão (AES) e as autoridades competentes nacionais adquiram experiência sobre as oportunidades e riscos específicos criados pelos criptoativos negociados nessas infraestruturas. A presente diretiva acompanha consequentemente o Regulamento [relativo a um regime-piloto de infraestruturas de mercado baseadas na tecnologia de registo distribuído] apoiando este novo quadro regulamentar da União referente às infraestruturas de mercado baseadas na DLT com uma isenção específica de determinadas disposições da legislação da União em matéria de serviços financeiros aplicáveis às atividades e aos serviços relacionados com instrumentos financeiros na aceção do artigo 4.º, n.º 1, ponto 15, da Diretiva 2014/65/UE que, de outro modo, não ofereceriam toda a flexibilidade exigida para o desenvolvimento de soluções para as fases de negociação e pós-negociação nas transações com criptoativos.
(8)Um sistema de negociação multilateral baseado na DLT deve ser um sistema multilateral, operado por uma empresa de investimento ou um operador de mercado nos termos da Diretiva 2014/65/UE, que recebeu uma autorização específica ao abrigo do Regulamento (UE) n.º xx/20xx do Parlamento Europeu e do Conselho 27 [Proposta de regulamento relativo a um regime-piloto de infraestruturas de mercado baseadas na DLT]. Os sistemas de negociação multilateral baseados na DLT devem estar sujeitos a todos os requisitos aplicáveis a um sistema de negociação multilateral nos termos da diretiva em questão, exceto se lhes for concedida uma isenção pela autoridade competente nacional em conformidade com a referida diretiva. Uma possível barreira regulamentar ao desenvolvimento de um sistema de negociação multilateral para valores mobiliários emitidos através de uma DLT pode ser a obrigação de intermediação estabelecida na Diretiva 2014/65/UE. Um sistema de negociação multilateral tradicional só pode admitir como membros e participantes empresas de investimento, instituições de crédito ou outras pessoas com um nível suficiente de capacidade e competência de negociação e que possuam recursos e mecanismos organizativos adequados. Um sistema de negociação multilateral baseado na DLT deve poder solicitar uma derrogação a tal obrigação por forma a proporcionar aos investidores não profissionais um acesso fácil à plataforma de negociação, desde que tenham sido implementadas salvaguardas adequadas em termos de proteção dos investidores.
(9)A Diretiva (UE) 2015/2366 relativa aos serviços de pagamento estabelece regras específicas no que se refere aos controlos da segurança das TIC e aos elementos de mitigação para efeitos de autorização para a prestação de serviços de pagamento. Essas regras de autorização devem ser alteradas para se alinharem com o Regulamento (UE) 2021/xx [DORA]. Além disso, as regras de comunicação de incidentes previstas nessa diretiva não devem ser aplicáveis às comunicações de incidentes relacionados com as TIC que o Regulamento (UE) 2021/xx [DORA] harmoniza totalmente.
(10)A Diretiva 2009/138/CE relativa ao acesso à atividade de seguros e resseguros e ao seu exercício e a Diretiva UE/2016/2341 relativa às atividades e à supervisão das instituições de realização de planos de pensões profissionais têm parcialmente em conta o risco associado às TIC nas suas disposições gerais referentes à governação e à gestão de riscos, deixando determinados requisitos a especificar através de regulamentos delegados com ou sem referências específicas ao risco associado às TIC. As disposições aplicáveis aos revisores oficiais de contas e às sociedades de revisores oficiais de contas ainda são menos específicas, uma vez que a Diretiva 2014/56/UE do Parlamento Europeu e do Conselho 28 apenas contém disposições gerais referentes à organização interna. Analogamente, apenas são aplicáveis aos gestores de fundos de investimento alternativos e sociedades gestoras regras muito gerais, nos termos das Diretivas 2011/61/UE e 2009/65/CE. Estas diretivas devem portanto ser alinhadas com os requisitos definidos no Regulamento (UE) 2021/xx [DORA] no que se refere à gestão dos sistemas e ferramentas TIC.
(11)Em muitos casos, já foram estabelecidos requisitos adicionais no domínio das TIC em atos delegados e de execução que foram adotados com base em projetos de normas técnicas de regulamentação e normas técnicas de execução desenvolvidos pela AES competente. Com vista a proporcionar segurança jurídica sobre o facto de que a base jurídica das disposições relativas ao risco associado às TIC deverá a partir de agora derivar, exclusivamente do Regulamento (UE) 2021/xx [DORA], as habilitações previstas nestas diretivas devem ser alteradas para explicitar que as disposições referentes ao risco associado às TIC não são abrangidas por essas habilitações.
(12)Com o intuito de assegurar uma aplicação consistente e simultânea do Regulamento n.º xx/20xx [DORA] e da presente diretiva, que juntamente constituem o novo quadro referente à resiliência operacional digital do setor financeiro, os Estados-Membros devem aplicar as disposições da legislação nacional que transpõem a presente diretiva a partir da data de aplicação desse regulamento.
(13)As Diretivas 2006/43/CE, 2009/66/CE, 2009/138/CE, 2011/61/CE, UE/2013/36, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 foram adotadas com base no artigo 53.º, n.º 1, e no artigo 114.º do Tratado sobre o Funcionamento da União Europeia. As alterações da presente diretiva devem ser incluídas num único ato devido à interligação do objeto e dos objetivos das alterações, e este único ato deve ser adotado com base no artigo 53.º, n.º 1, e no artigo 114.º do Tratado sobre o Funcionamento da União Europeia.
(14)Atendendo a que os objetivos da presente diretiva não podem ser suficientemente alcançados pelos Estados-Membros, uma vez que implicam a harmonização através de atualizações e alterações de requisitos já contidos nas diretivas, mas podem, devido à dimensão e aos efeitos da ação, ser mais bem alcançados ao nível da União, a União pode tomar medidas em conformidade com o princípio da subsidiariedade consagrado no artigo 5.º do Tratado da União Europeia. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, o presente regulamento não excede o necessário para alcançar esses objetivos.
(15)De acordo com a declaração política conjunta dos Estados-Membros e da Comissão, de 28 de setembro de 2011, sobre os documentos explicativos 29 , os Estados-Membros assumiram o compromisso de fazer acompanhar a notificação das suas medidas de transposição, nos casos em que tal se justifique, de um ou mais documentos que expliquem a relação entre os componentes de uma diretiva e as partes correspondentes dos instrumentos nacionais de transposição. No que respeita à presente diretiva, o legislador considera que a transmissão desses documentos se justifica,
ADOTARAM A PRESENTE DIRETIVA:
Artigo 1.º
Alterações à Diretiva 2006/43/CE
No artigo 24.º-A, n.º 1, da Diretiva 2006/43/CE, a alínea b) passa a ter a seguinte redação:
«b) Os revisores oficiais de contas ou as sociedades de revisores oficiais de contas aplicam procedimentos administrativos e contabilísticos corretos, mecanismos de controlo interno de qualidade, procedimentos eficazes para a avaliação do risco e dispositivos eficazes de controlo e salvaguarda com vista a gerir os seus sistemas e ferramentas TIC, de acordo com o artigo 6.º do Regulamento (UE) 2021/xx [DORA] do Parlamento Europeu e do Conselho*.
___________________________________
* [título completo] (JO L […], […], p. […]).».
Artigo 2.º
Alterações à Diretiva 2009/65/CE
O artigo 12.º da Diretiva 2009/65/CE é alterado do seguinte modo:
(1)No n.º 1, segundo parágrafo, a alínea a) passa a ter a seguinte redação:
«a) Possua uma boa organização administrativa e contabilística e disponha de mecanismos de controlo e salvaguarda em matéria de tratamento eletrónico dos dados, incluindo sistemas de tecnologias da informação e comunicação criados e geridos em conformidade com o artigo 6.º do Regulamento (UE) 2021/xx do Parlamento Europeu e do Conselho*, bem como de procedimentos de controlo interno adequados, incluindo regras relativas às transações pessoais dos seus empregados ou à detenção e gestão de investimentos em instrumentos financeiros para investirem por conta própria e que garantam, pelo menos, que cada transação que envolva um OICVM possa ser reconstituída quanto à sua origem, às partes nela envolvidas, à sua natureza e ao momento e local em que foi efetuada, e que os ativos dos OICVM geridos pela sociedade gestora sejam investidos de acordo com o regulamento de gestão ou com os documentos constitutivos do fundo e com a legislação em vigor;
________________________________
* [título completo] (JO L […], […], p. […]).»;
(2)O n.º 3 passa a ter a seguinte redação:
«3. Sem prejuízo do artigo 116.º, a Comissão aprova, através de atos delegados nos termos do artigo 112.º -A, medidas destinadas a especificar:
a) Os procedimentos e regras referidos no n.º 1, segundo parágrafo, alínea a), com exceção dos relacionados com a gestão do risco associado às tecnologias da informação e da comunicação;
b) As estruturas e requisitos organizativos necessários para minimizar os conflitos de interesses referidos no n.º 1, segundo parágrafo, alínea b).»;
Artigo 3.º
Alteração à Diretiva 2009/138/CE
A Diretiva 2009/138/CE é alterada do seguinte modo:
(1)No artigo 41.º, o n.º 4 passa a ter a seguinte redação:
«4. As empresas de seguros e de resseguros devem tomar medidas razoáveis para assegurar a continuidade e a regularidade do exercício das suas atividades, incluindo o desenvolvimento de planos de contingência. Para esse efeito, empregam sistemas, recursos e procedimentos adequados e proporcionados e criam sistemas de tecnologias da informação e da comunicação geridos em conformidade com o artigo 6.º do Regulamento (UE) 2021/xx do Parlamento Europeu e do Conselho* [DORA].»;
____________________________
* [título completo] (JO L […], […], p. […]).
(2)No artigo 50.º, n.º 1, as alíneas a) e b) passam a ter a seguinte redação:
«a) Os elementos dos sistemas referidos nos artigos 41.º, 44.º, 46.º e 47.º, com a exceção dos elementos relativos à gestão do risco associado às tecnologias da informação e da comunicação, e as áreas referidas no artigo 44.º, n.º 2;»;
b) As funções referidas nos artigos 44.º, 46.º, 47.º e 48.º; com a exceção das funções relacionadas com a gestão do risco associado às tecnologias da informação e da comunicação.».
Artigo 4.º
Alterações à Diretiva 2011/61/CE
O artigo 18.º da Diretiva 2011/61/CE passa a ter a seguinte redação:
«Artigo 18.º
Princípios gerais
1. Os Estados-Membros devem exigir que os GFIA apliquem, a todo o tempo, os recursos humanos e técnicos adequados e apropriados que sejam necessários para a boa gestão dos FIA.
Em especial, e tendo também em conta a natureza dos FIA geridos pelo GFIA, as autoridades competentes do Estado‑Membro de origem do GFIA devem exigir que este utilize procedimentos administrativos e contabilísticos sãos e disponha de mecanismos de controlo e salvaguarda em matéria de gestão dos sistemas de tecnologias de informação e comunicação exigidos pelo artigo 6.º do [Regulamento (UE) 2021/xx do Parlamento Europeu e do Conselho* [DORA], bem como de procedimentos de controlo interno adequados, incluindo, em especial, regras relativas às transações pessoais dos seus empregados ou à detenção ou gestão de investimentos para investir por conta própria, e que assegurem, pelo menos, que cada transação que envolva os FIA possa ser reconstituída quanto à sua origem, às partes nela envolvidas, à sua natureza e ao momento e local em que foi efetuada, e que os ativos dos FIA geridos pelo GFIA sejam investidos de acordo com o regulamento de gestão ou com os instrumentos constitutivos dos FIA e com a legislação em vigor.
2. A Comissão adota, por meio de atos delegados nos termos do artigo 56.º e nas condições previstas nos artigos 57.º e 58.º, medidas para especificar os procedimentos e mecanismos a que se refere o n.º 1, com a exceção dos que se referem aos sistemas de tecnologias da informação e comunicação.
_________________________________
* [título completo] (JO L […], […], p. […]).».
Artigo 5.º
Alteração à Diretiva 2013/36/UE
No artigo 85.º da Diretiva 2013/36/UE, o n.º 2 passa a ter a seguinte redação:
«2. As autoridades competentes garantem que as instituições tenham planos de contingência e de continuidade da atividade, incluindo planos de continuidade da atividade e de recuperação na sequência de catástrofes para a tecnologia que utilizam na comunicação de informações (“tecnologia da informação e comunicação”) estabelecidos em conformidade com o artigo 6.º do Regulamento (UE) 2021/xx do Parlamento Europeu e do Conselho [DORA]*, a fim de assegurar a sua capacidade para continuarem a operar na eventualidade de uma perturbação grave da sua atividade da atividade e limitar as perdas incorridas decorrentes dessa perturbação.
* [título completo] (JO L […], […], p. […]).»
Artigo 6.º
Alterações à Diretiva 2014/65/UE
A Diretiva 2014/65/UE é alterada do seguinte modo:
(1)No artigo 4.º, n.º 1, o ponto 15 passa a ter a seguinte redação:
«Instrumento financeiro»: qualquer dos instrumentos especificados no Anexo I, Secção C, incluindo os instrumentos emitidos através da tecnologia de registo distribuído;»;
(2)O artigo 16.º é alterado do seguinte modo:
(a)O n.º 4 passa a ter a seguinte redação:
«4. As empresas de investimento tomam medidas razoáveis para assegurar a continuidade e a regularidade da execução dos serviços e atividades de investimento. Para esse efeito, a empresa de investimento emprega sistemas adequados e proporcionados, incluindo sistemas de tecnologias da informação e comunicação (“TIC”) criados e geridos em conformidade com o artigo 6.º do Regulamento (UE) 2021/xx do Parlamento Europeu e do Conselho* [DORA], bem como recursos e procedimentos adequados e proporcionados.»;
(b)No n.º 5, os segundo e terceiro parágrafos passam a ter a seguinte redação:
«As empresas de investimento aplicam procedimentos administrativos e contabilísticos sãos, mecanismos de controlo de interno e procedimentos eficazes para a avaliação do risco.
Sem prejuízo da capacidade das autoridades competentes para exigir o acesso às comunicações, nos termos da presente diretiva e do Regulamento (UE) n.º 600/2014, as empresas de investimento devem aplicar mecanismos de segurança sólidos para garantir, de acordo com os requisitos definidos no Regulamento (UE) 2021/xx do Parlamento Europeu e do Conselho* [DORA], a segurança e a autenticação dos meios de transferência das informações, minimizar o risco de corrupção dos dados e de acesso não autorizado e para evitar fugas de informação, mantendo a confidencialidade dos dados em todos os momentos.»;
(3)O artigo 17.º é alterado do seguinte modo:
(a)O n.º 1 passa a ter a seguinte redação:
«1. Uma empresa de investimento que desenvolva negociação algorítmica dispõe de sistemas e controlos de risco eficazes e adequados às atividades que desenvolve para assegurar que os seus sistemas de negociação têm a resistência e a capacidade suficiente, em conformidade com os requisitos definidos no capítulo II do Regulamento (UE) 2021/xx [DORA], estão sujeitos a limiares e limites de negociação adequados e impedem o envio de ordens erradas ou impedem o sistema de funcionar de modo que possa de outra forma criar ou contribuir para uma perturbação do mercado.
Essas empresas dispõem também de sistemas e controlos de risco eficazes, a fim de assegurar que os sistemas de negociação não possam ser utilizados para qualquer objetivo contrário ao disposto no Regulamento (UE) n.º 596/2014 ou às regras de uma plataforma de negociação a que estejam ligadas.
A empresa de investimento dispõe ainda de planos de continuidade das atividades eficazes para fazer face a qualquer falha dos seus sistemas de negociação, incluindo planos de continuidade da atividade e de recuperação na sequência de catástrofes para a tecnologia da informação e comunicação estabelecidos em conformidade com o artigo 6.º do Regulamento (UE) 2021/xx [DORA], e assegurar que os seus sistemas estão plenamente testados e são devidamente monitorizados, por forma a garantir a satisfação dos requisitos gerais constantes do presente número e de quaisquer requisitos específicos definidos nos capítulos II e IV do Regulamento (UE) 2021/xx [DORA].»;
(b) No n.º 7, a alínea a) passa a ter a seguinte redação:
«a) Os requisitos pormenorizados em matéria de organização estabelecidos nos n.os 1 a 6, com a exceção dos requisitos relacionados com a gestão do risco associado às TIC, que devem ser impostos às empresas de investimento que prestam diferentes serviços de investimento, atividades de investimento e serviços auxiliares, ou combinações dos mesmos, pelo que as especificações relativas aos requisitos em matéria de organização estabelecidos no n.º 5 definem os requisitos específicos para o acesso direto ao mercado e para o acesso patrocinado, de modo a assegurar que os controlos aplicados ao acesso patrocinado sejam pelo menos equivalentes aos aplicados ao acesso direto ao mercado;»;
(4)Ao artigo 19.º é aditado o seguinte número:
«3. No entanto, sempre que a empresa de investimento ou o operador de mercado opere um sistema de negociação multilateral baseado na tecnologia de registo distribuído (“sistema de negociação multilateral DLT”), conforme definido no artigo 2.º, n.º 3, do Regulamento n.º xx/20xx [proposta de regulamento relativo a um regime-piloto para as infraestruturas de mercado DLT], a autoridade competente pode autorizar que, ao abrigo das suas regras que regulam o acesso tal como referido no artigo 18.º, n.º 3, e por um período máximo de quatro anos, a empresa de investimento ou o operador de mercado admita que pessoas singulares acedam ao sistema de negociação multilateral DLT enquanto membros ou participantes, desde que essas pessoas cumpram os seguintes requisitos:
(a)Possuam idoneidade suficiente; e
(b)Possuam um nível suficiente de capacidade, competência e experiência de negociação, incluindo conhecimentos no domínio da negociação e do funcionamento da tecnologia de registo distribuído (“DLT”).
Sempre que uma autoridade competente conceda a isenção referida no primeiro parágrafo, pode aplicar medidas adicionais em matéria de proteção dos investidores para a proteção de pessoas singulares admitidas enquanto membros ou participantes a aceder ao sistema de negociação multilateral DLT. Essas medidas devem ser proporcionadas ao perfil de risco dos participantes ou membros.»
(5)No artigo 47.º, o n.º 1 é alterado do seguinte modo:
(a)A alínea b) passa a ter a seguinte redação:
«b) Esteja dotado dos meios necessários para gerir os riscos a que está exposto, incluindo a gestão dos riscos associados aos sistemas e ferramentas TIC de acordo com o artigo 6.º do Regulamento (UE) 2021/xx [DORA]*, a implementação de mecanismos e sistemas adequados para identificar todos os riscos significativos para o seu funcionamento e a instituição de medidas eficazes para mitigar esses riscos.»;
(b) É suprimida a alínea c);
(6)O artigo 48.º é alterado do seguinte modo:
(a)O n.º 1 passa a ter a seguinte redação:
«1. Os Estados-Membros exigem que os mercados regulamentados estabeleçam a sua resiliência operacional em conformidade com os requisitos estabelecidos no capítulo II do Regulamento (UE) 2021/xx [DORA] para garantir que os seus sistemas de negociação são resilientes, têm capacidade suficiente para lidar com picos de ordens e grandes volumes de mensagens, são capazes de assegurar a negociação ordenada em condições de forte tensão no mercado, estão plenamente testados para garantir o cumprimento dessas condições e são regidos por mecanismos de continuidade das atividades eficazes que assegurem a manutenção dos seus serviços caso se verifique uma falha dos seus sistemas de negociação.»;
(b)O n.º 6 passa a ter a seguinte redação:
«6. Os Estados-Membros exigem que os mercados regulamentados disponham de sistemas, procedimentos e mecanismos eficazes, incluindo a exigência de que os membros ou participantes realizem os testes apropriados aos algoritmos e proporcionem a criação de ambientes que facilitem a realização de tais testes, de acordo com os requisitos estabelecidos nos capítulos II e IV do Regulamento (UE) 2021/xx [DORA], para assegurar que os sistemas de negociação algorítmica não criam nem contribuem para a perturbação da negociação no mercado e para gerir quaisquer perturbações que afetem a negociação decorrentes desses sistemas de negociação algorítmica, incluindo sistemas que limitem o rácio de ordens não executadas face às transações que podem ser introduzidas no sistema por um membro ou participante, a fim de poder abrandar o fluxo de ordens se se verificar o risco de ser atingida a capacidade máxima do sistema, e de limitar e fazer cumprir a variação mínima das ofertas de preço (tick) que pode ser executada no mercado.»;
(c)O n.º 12 é alterado do seguinte modo:
i) A alínea a) passa a ter a seguinte redação:
«a) Os requisitos para assegurar que os sistemas de negociação dos mercados regulamentados sejam resilientes e tenham a capacidade adequada, com a exceção dos requisitos relacionados com a resiliência operacional digital;»;
ii) A alínea g) passa a ter a seguinte redação:
«g) Os requisitos para garantir a realização de testes apropriados aos algoritmos, com a exceção dos testes de resiliência operacional digital, a fim de assegurar que os sistemas de negociação algorítmica, incluindo os sistemas de negociação algorítmica de alta frequência, não sejam passíveis de criar ou de contribuir para perturbações do processo de negociação no mercado.»;
Artigo 7.º
Alterações à Diretiva (UE) 2015/2366
A Diretiva (UE) 2015/2366 é alterada do seguinte modo:
(7)No artigo 5.º, n.º 1, terceiro parágrafo, a primeira frase passa a ter a seguinte redação:
«A descrição das medidas de controlo da segurança e de redução dos riscos a que se refere o primeiro parágrafo, alínea j), indica a forma como essas medidas garantem um elevado nível de segurança técnica e de proteção dos dados, inclusive a nível dos programas e dos sistemas informáticos utilizados pelas instituições requerentes ou pelas empresas a que essas instituições externalizem a totalidade ou parte das suas operações, em conformidade com o capítulo II do Regulamento (UE) 2021/xx do Parlamento Europeu e do Conselho * [DORA]. Essas medidas incluem igualmente as medidas de segurança previstas no artigo 95.º, n.º 1. Essas medidas têm em conta as orientações da EBA sobre medidas de segurança a que se refere o artigo 95.º, n.º 3, uma vez elaboradas.»; ____________________________
* [título completo] (JO L […], […], p. […]).
(8)O artigo 95.º é alterado do seguinte modo:
(a)O n.º 1 passa a ter a seguinte redação:
«1. Os Estados-Membros asseguram que os prestadores de serviços de pagamento estabeleçam um quadro com medidas de mitigação e mecanismos de controlo adequados para gerir os riscos operacionais e de segurança relacionados com os serviços de pagamento que prestam e, como parte desse quadro, os prestadores de serviços de pagamento estabelecem e mantêm procedimentos eficazes de gestão de incidentes, inclusive para a deteção e classificação de incidentes operacionais e de segurança de caráter severo, dando igualmente resposta aos riscos associados à tecnologia da informação e comunicação de acordo com o capítulo II do Regulamento (UE) 2021/xx [DORA].»;
(b)É suprimido o n.º 4;
(c)O n.º 5 passa a ter a seguinte redação:
«5. A EBA promove a cooperação, incluindo a troca de informações, no domínio dos riscos operacionais associados aos serviços de pagamento, entre as autoridades competentes, e entre as autoridades competentes e o BCE.»;
(9)O artigo 96.º é alterado do seguinte modo:
(a)O n.º 1 passa a ter a seguinte redação:
«1. No caso de um incidente operacional ou de segurança de caráter severo que não seja um incidente relacionado com as TIC conforme definido no artigo 3.º, n.º 6, do Regulamento (UE) n.º xx/20xx [DORA], os prestadores de serviços de pagamento notificam sem demora indevida a autoridade competente do seu Estado-Membro de origem.»;
(b)É suprimido o n.º 5;
(10)No artigo 98.º, o n.º 5 passa a ter a seguinte redação:
«5. Nos termos do artigo 10.º do Regulamento (UE) n.º 1093/2010, a EBA revê e, se necessário, atualiza periodicamente as normas técnicas de regulamentação a fim de ter em conta, nomeadamente, a inovação e a evolução tecnológica e as disposições do capítulo II do Regulamento (UE) 2021/xx [DORA].».
Artigo 8.º
Alteração à Diretiva (UE) 2016/2341
No artigo 21.º, n.º 5, do Regulamento (CE) n.º 2016/2341, o segundo período passa a ter a seguinte redação:
«Para esse efeito, as IRPPP devem utilizar sistemas, recursos e procedimentos adequados e proporcionados e criar sistemas e ferramentas TIC geridos em conformidade com o artigo 6.º do Regulamento (UE) 2021/xx do Parlamento Europeu e do Conselho* [DORA].
_________________________________
* [título completo] (JO L […], […], p. […]).».
Artigo 9.º
Transposição
1.Os Estados-Membros devem adotar e publicar, até [um ano após a adoção], as disposições legislativas, regulamentares e administrativas necessárias para dar cumprimento à presente diretiva. Os Estados-Membros devem comunicar imediatamente à Comissão o texto dessas disposições.
Os Estados-Membros devem aplicar essas disposições a partir de [data de entrada em vigor do DORA/sua data de aplicação, se diferente].
As disposições adotadas pelos Estados-Membros devem fazer referência à presente diretiva ou ser acompanhadas dessa referência aquando da sua publicação oficial. As modalidades desta referência são estabelecidas pelos Estados-Membros.
2.Os Estados-Membros devem comunicar à Comissão o texto das principais disposições de direito interno que adotarem no domínio abrangido pela presente diretiva.
Artigo 10.º
Entrada em vigor
A presente diretiva entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
Artigo 11.º
Destinatários
Os destinatários da presente diretiva são os Estados-Membros.
Feito em Bruxelas, em
Pelo Parlamento Europeu Pelo Conselho
O Presidente O Presidente