This document is an excerpt from the EUR-Lex website
Document 02022R2554-20221227
Consolidated text: Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1011 (Text cu relevanță pentru SEE)
Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1011 (Text cu relevanță pentru SEE)
02022R2554 — RO — 27.12.2022 — 000.004
Acest document are doar scop informativ și nu produce efecte juridice. Instituțiile Uniunii nu își asumă răspunderea pentru conținutul său. Versiunile autentice ale actelor relevante, inclusiv preambulul acestora, sunt cele publicate în Jurnalul Oficial al Uniunii Europene și disponibile pe site-ul EUR-Lex. Aceste texte oficiale pot fi consultate accesând linkurile integrate în prezentul document.
|
REGULAMENTUL (UE) 2022/2554 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1011 (Text cu relevanță pentru SEE) (JO L 333 27.12.2022, p. 1) |
Rectificat prin:
REGULAMENTUL (UE) 2022/2554 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI
din 14 decembrie 2022
privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1011
(Text cu relevanță pentru SEE)
CAPITOLUL I
Dispoziții generale
Articolul 1
Obiectul
Pentru a atinge un nivel comun ridicat de reziliență operațională digitală, prezentul regulament stabilește cerințe uniforme privind securitatea rețelelor și a sistemelor informatice care sprijină procesele operaționale ale entităților financiare, după cum urmează:
cerințe aplicabile entităților financiare în legătură cu:
gestionarea riscurilor legate de tehnologia informației și comunicațiilor (TIC);
raportarea incidentelor majore legate de TIC și notificarea, în mod voluntar, a amenințărilor cibernetice semnificative către autoritățile competente;
raportarea de către entitățile financiare menționate la articolul 2 alineatul (1) literele (a)-(d) către autoritățile competente a incidentelor operaționale sau de securitate majore legate de plăți;
testarea rezilienței operaționale digitale;
schimbul de informații și de date operative cu privire la amenințările cibernetice și vulnerabilități;
măsuri pentru buna gestionare a riscurilor TIC generate de părți terțe;
cerințe în legătură cu acordurile contractuale încheiate între furnizorii terți de servicii TIC și entitățile financiare;
reguli privind instituirea și desfășurarea cadrului de supraveghere pentru furnizorii terți esențiali de servicii TIC, atunci când furnizează servicii entităților financiare;
reguli privind cooperarea între autoritățile competente și norme privind supravegherea și asigurarea conformității de către autoritățile competente în legătură cu toate aspectele vizate de prezentul regulament.
Articolul 2
Domeniul de aplicare
Fără a aduce atingere alineatelor (3) și (4), prezentul regulament se aplică următoarelor entități:
instituțiile de credit;
instituțiile de plată, inclusiv instituțiile de plată exceptate în temeiul Directivei (UE) 2015/2366;
prestatorii de servicii de informare cu privire la conturi;
instituțiile emitente de monedă electronică, inclusiv instituțiile emitente de monedă electronică exceptate în temeiul Directivei 2009/110/CE;
firmele de investiții;
prestatorii de servicii de criptoactive autorizați în temeiul unui regulament al Parlamentului European și al Consiliului privind piețele criptoactivelor și de modificare a Regulamentelor (UE) nr. 1093/2010 și (UE) nr. 1095/2010 și a Directivelor 2013/36/UE și (UE) 2019/1937 (denumit în continuare „Regulamentul privind piețele criptoactivelor”) și emitenții de tokenuri raportate la active;
depozitarii centrali de titluri de valoare;
contrapărțile centrale;
locurile de tranzacționare;
registrele centrale de tranzacții;
administratorii de fonduri de investiții alternative;
societățile de administrare;
furnizorii de servicii de raportare a datelor;
întreprinderile de asigurare și de reasigurare;
intermediarii de asigurări, intermediarii de reasigurări și intermediarii de asigurări auxiliare;
instituțiile pentru furnizarea de pensii ocupaționale;
agențiile de rating de credit;
administratorii de indici de referință critici;
furnizorii de servicii de finanțare participativă;
registrele centrale de securitizări;
furnizorii terți de servicii TIC.
Prezentul regulament nu se aplică următoarelor entități:
administratorii de fonduri de investiții alternative, astfel cum sunt menționați la articolul 3 alineatul (2) din Directiva 2011/61/UE;
întreprinderile de asigurare și de reasigurare, astfel cum sunt menționate la articolul 4 din Directiva 2009/138/CE;
instituțiile pentru furnizarea de pensii ocupaționale care gestionează sisteme de pensii care împreună nu au mai mult de 15 membri în total;
persoanele fizice sau juridice exceptate în temeiul articolelor 2 și 3 din Directiva 2014/65/UE;
intermediarii de asigurări, intermediarii de reasigurări și intermediarii de asigurări auxiliare care sunt microîntreprinderi sau întreprinderi mici sau mijlocii;
oficiile poștale care efectuează operațiuni de virament, astfel cum sunt menționate la articolul 2 alineatul (5) punctul 3 din Directiva 2013/36/UE.
Articolul 3
Definiții
În sensul prezentului regulament, se aplică următoarele definiții:
„reziliență operațională digitală” înseamnă capacitatea unei entități financiare de a construi, a asigura și a reevalua integritatea și fiabilitatea sa operațională, prin asigurarea, în mod direct sau indirect, utilizând servicii oferite de furnizori terți de servicii TIC, a întregii game de capacități legate de TIC care sunt necesare pentru a aborda securitatea rețelelor și a sistemelor informatice utilizate de o entitate financiară și care sprijină furnizarea continuă de servicii financiare și calitatea acestora, inclusiv pe întreaga durată a perturbărilor;
„rețea și sistem informatic” înseamnă rețea și sistem informatic astfel cum sunt definite la articolul 6 punctul 1 din Directiva (UE) 2022/2555;
„sistem TIC moștenit” înseamnă un sistem TIC ajuns la sfârșitul ciclului său de viață care nu este adecvat pentru a fi modernizat sau reparat, din motive tehnologice sau comerciale, sau pentru care furnizorul său ori un furnizor terț de servicii TIC nu mai oferă asistență, dar care încă este în uz și sprijină funcțiile entității financiare;
„securitatea rețelelor și a sistemelor informatice” înseamnă securitatea rețelelor și a sistemelor informatice astfel cum sunt definite la articolul 6 punctul 2 din Directiva (UE) 2022/2555;
„risc TIC” înseamnă orice circumstanță care poate fi identificată în mod rezonabil în legătură cu utilizarea rețelelor și a sistemelor informatice care, dacă se materializează, poate compromite securitatea rețelelor și a sistemelor informatice, a oricărui instrument sau proces dependent de tehnologie, a operațiilor și a proceselor sau a furnizării serviciilor prin crearea de efecte negative în mediul digital sau fizic;
„activ informațional” înseamnă o colecție de informații, materială sau imaterială, care merită protejată;
„activ TIC” înseamnă un activ software sau hardware din rețelele și sistemele informatice utilizate de entitatea financiară;
„incident legat de TIC” înseamnă un eveniment unic sau o serie de evenimente conexe neplanificate de entitatea financiară care compromit securitatea rețelelor și a sistemelor informatice și care au un impact negativ asupra disponibilității, autenticității, integrității sau confidențialității datelor sau asupra serviciilor furnizate de entitatea financiară;
„incident operațional sau de securitate legat de plăți” înseamnă un eveniment unic sau o serie de evenimente conexe neplanificate de entitățile financiare menționate la articolul 2 alineatul (1) literele (a)-(d), legate sau nu de TIC, care au un impact negativ asupra disponibilității, autenticității, integrității sau confidențialității datelor legate de plăți sau asupra serviciilor legate de plăți furnizate de entitatea financiară;
„incident major legat de TIC” înseamnă un incident legat de TIC care are un impact negativ puternic asupra rețelelor și sistemelor informatice care sprijină funcțiile critice sau importante ale entității financiare;
„incident major operațional sau de securitate legat de plăți” înseamnă un incident operațional sau de securitate legat de plăți care are un efect negativ puternic asupra serviciilor legate de plăți furnizate;
„amenințare cibernetică” înseamnă amenințare cibernetică astfel cum este definită la articolul 2 punctul 8 din Regulamentul (UE) 2019/881;
„amenințare cibernetică semnificativă” înseamnă o amenințare cibernetică ale cărei caracteristici tehnice indică faptul că ar putea avea ca rezultat un incident major legat de TIC sau un incident major operațional sau de securitate legat de plăți;
„atac cibernetic” înseamnă un incident rău-intenționat legat de TIC, cauzat prin intermediul unei tentative comise de un factor perturbator care generează amenințări de a distruge, a expune, a modifica, a dezactiva, a fura sau a obține acces neautorizat la un activ ori a utiliza în mod neautorizat un activ;
„date operative privind amenințările” înseamnă informații care au fost agregate, transformate, analizate, interpretate sau îmbogățite pentru a oferi contextul necesar procesului decizional și pentru a face posibilă o înțelegere adecvată și suficientă cu scopul de a atenua impactul unui incident legat de TIC sau al unei amenințări cibernetice, inclusiv detaliile tehnice ale unui atac cibernetic, persoanele responsabile de atac, modul de operare și motivațiile acestora;
„vulnerabilitate” înseamnă un punct slab, o sensibilitate sau un defect al unui activ, sistem, proces sau control care poate fi exploatat;
„teste de penetrare bazate pe amenințări (TLPT)” înseamnă un cadru care imită tacticile, tehnicile și procedurile utilizate de actorii din viața reală care generează amenințări, percepute ca reprezentând o amenințare cibernetică autentică, și care asigură o testare controlată, personalizată, bazată pe date operative (de tipul „echipa roșie”) a sistemelor critice de producție în timp real ale entității financiare;
„risc TIC generat de părți terțe” înseamnă un risc TIC care poate apărea pentru o entitate financiară în legătură cu utilizarea, de către aceasta, a serviciilor TIC oferite de furnizori terți de servicii TIC sau de subcontractanți ai acestora din urmă, inclusiv prin acorduri de externalizare;
„furnizor terț de servicii TIC” înseamnă o întreprindere care furnizează servicii TIC;
„furnizor de servicii TIC intragrup” înseamnă o întreprindere care face parte dintr-un grup financiar și care oferă servicii predominant TIC exclusiv entităților financiare din același grup ori entităților financiare care țin de același sistem instituțional de protecție, inclusiv societăților-mamă ale acestora, filialelor și sucursalelor sau altor entități care sunt în proprietate comună ori sub control comun;
„servicii TIC” înseamnă servicii digitale și de date furnizate prin intermediul sistemelor TIC către unul sau mai mulți utilizatori interni sau externi în mod continuu, inclusiv hardware ca serviciu și servicii hardware, care includ furnizarea de asistență tehnică prin actualizări de software sau firmware din partea furnizorului de hardware, cu excepția serviciilor de telefonie analogică tradiționale;
„funcție critică sau importantă” înseamnă o funcție a cărei întrerupere ar afecta în mod semnificativ performanța financiară a unei entități financiare sau soliditatea ori continuitatea serviciilor și activităților sale sau a cărei întrerupere, deficiență sau eșuare în executare ar afecta în mod semnificativ respectarea în continuare, de către o entitate financiară, a condițiilor și obligațiilor aferente autorizației sale sau a altor obligații care îi revin în temeiul dreptului aplicabil în domeniul serviciilor financiare;
„furnizor terț esențial de servicii TIC” înseamnă un furnizor terț de servicii TIC desemnat drept esențial în conformitate cu articolul 31;
„furnizor terț de servicii TIC stabilit într-o țară terță” înseamnă un furnizor terț de servicii TIC care este o persoană juridică stabilită într-o țară terță și care a încheiat un acord contractual cu o entitate financiară pentru furnizarea de servicii TIC;
„filială” înseamnă o filială în sensul articolului 2 punctul 10 și al articolului 22 din Directiva 2013/34/UE;
„grup” înseamnă un grup în sensul articolului 2 punctul 11 din Directiva 2013/34/UE;
„societate-mamă” înseamnă o societate-mamă în sensul articolului 2 punctul 9 și al articolului 22 din Directiva 2013/34/UE;
„subcontractant TIC stabilit într-o țară terță” înseamnă un subcontractant TIC care este o persoană juridică stabilită într-o țară terță și care a încheiat un acord contractual fie cu un furnizor terț de servicii TIC, fie cu un furnizor terț de servicii TIC stabilit într-o țară terță;
„risc de concentrare a serviciilor TIC” înseamnă o expunere la furnizori terți esențiali de servicii TIC individuali sau multipli relaționați, care creează un grad de dependență față de astfel de furnizori, astfel încât indisponibilitatea, intrarea în dificultate sau alt tip de deficiență a acestor furnizori poate pune în pericol capacitatea unei entități financiare de a oferi funcții critice sau importante ori ar putea genera alte tipuri de efecte negative pentru aceasta, inclusiv pierderi mari sau poate pune în pericol stabilitatea financiară a Uniunii în ansamblu;
„organ de conducere” înseamnă un organ de conducere astfel cum este definit la articolul 4 alineatul (1) punctul 36 din Directiva 2014/65/UE, la articolul 3 alineatul (1) punctul 7 din Directiva 2013/36/UE, la articolul 2 alineatul (1) litera (s) din Directiva 2009/65/CE a Parlamentului European și al Consiliului ( 1 ), la articolul 2 alineatul (1) punctul 45 din Regulamentul (UE) nr. 909/2014, la articolul 3 alineatul (1) punctul 20 din Regulamentul (UE) 2016/1011 și în dispozițiile relevante din Regulamentul privind piețele criptoactivelor, sau persoanele echivalente care conduc efectiv entitatea sau dețin funcții-cheie în conformitate cu dreptul Uniunii sau cu dreptul intern relevant;
„instituție de credit” înseamnă o instituție de credit astfel cum este definită la articolul 4 alineatul (1) punctul 1 din Regulamentul (UE) nr. 575/2013 al Parlamentului European și al Consiliului ( 2 );
„instituție de credit exceptată în temeiul Directivei 2013/36/UE” înseamnă o entitate astfel cum este menționată la articolul 2 alineatul (5) punctele 4-23 din Directiva 2013/36/UE;
„firmă de investiții” înseamnă o firmă de investiții astfel cum este definită la articolul 4 alineatul (1) punctul 1 din Directiva 2014/65/UE;
„firmă de investiții mică și neinterconectată” înseamnă o firmă de investiții care îndeplinește condițiile prevăzute la articolul 12 alineatul (1) din Regulamentul (UE) 2019/2033 al Parlamentului European și al Consiliului ( 3 );
„instituție de plată” înseamnă o instituție de plată astfel cum este definită la articolul 4 punctul 4 din Directiva (UE) 2015/2366;
„instituție de plată exceptată în temeiul Directivei (UE) 2015/2366” înseamnă o instituție de plată exceptată în temeiul articolului 32 alineatul (1) din Directiva (UE) 2015/2366;
„prestator de servicii de informare cu privire la conturi” înseamnă un prestator de servicii de informare cu privire la conturi astfel cum este menționat la articolul 33 alineatul (1) din Directiva (UE) 2015/2366;
„instituție emitentă de monedă electronică” înseamnă o instituție emitentă de monedă electronică astfel cum este definită la articolul 2 punctul 1 din Directiva 2009/110/CE;
„instituție emitentă de monedă electronică exceptată în temeiul Directivei 2009/110/CE” înseamnă o instituție emitentă de monedă electronică care beneficiază de o exceptare astfel cum se menționează la articolul 9 alineatul (1) din Directiva 2009/110/CE;
„contraparte centrală” înseamnă o contraparte centrală astfel cum este definită la articolul 2 punctul 1 din Regulamentul (UE) nr. 648/2012;
„registru central de tranzacții” înseamnă un registru central de tranzacții astfel cum este definit la articolul 2 punctul 2 din Regulamentul (UE) nr. 648/2012;
„depozitar central de titluri de valoare” înseamnă un depozitar central de titluri de valoare astfel cum este definit la articolul 2 alineatul (1) punctul 1 din Regulamentul (UE) nr. 909/2014;
„loc de tranzacționare” înseamnă un loc de tranzacționare astfel cum este definit la articolul 4 alineatul (1) punctul 24 din Directiva 2014/65/UE;
„administrator de fonduri de investiții alternative” înseamnă un administrator de fonduri de investiții alternative astfel cum este definit la articolul 4 alineatul (1) litera (b) din Directiva 2011/61/UE;
„societate de administrare” înseamnă o societate de administrare astfel cum este definită la articolul 2 alineatul (1) litera (b) din Directiva 2009/65/CE;
„furnizor de servicii de raportare a datelor” înseamnă un furnizor de servicii de raportare a datelor în sensul Regulamentului (UE) nr. 600/2014, astfel cum se menționează la articolul 2 alineatul (1) punctele 34-36;
„întreprindere de asigurare” înseamnă o întreprindere de asigurare astfel cum este definită la articolul 13 punctul 1 din Directiva 2009/138/CE;
„întreprindere de reasigurare” înseamnă o întreprindere de reasigurare astfel cum este definită la articolul 13 punctul 4 din Directiva 2009/138/CE;
„intermediar de asigurări” înseamnă un intermediar de asigurări astfel cum este definit la articolul 2 alineatul (1) punctul 3 din Directiva (UE) 2016/97 a Parlamentului European și a Consiliului ( 4 );
„intermediar de asigurări auxiliare” înseamnă un intermediar de asigurări auxiliare astfel cum este definit la articolul 2 alineatul (1) punctul 4 din Directiva (UE) 2016/97;
„intermediar de reasigurări” înseamnă un intermediar de reasigurări astfel cum este definit la articolul 2 alineatul (1) punctul 5 din Directiva (UE) 2016/97;
„instituție pentru furnizarea de pensii ocupaționale” înseamnă o instituție pentru furnizarea de pensii ocupaționale astfel cum este definită la articolul 6 punctul 1 din Directiva (UE) 2016/2341;
„instituție mică pentru furnizarea de pensii ocupaționale” înseamnă o instituție pentru furnizarea de pensii ocupaționale care gestionează scheme de pensii care împreună au mai puțin de 100 de membri în total;
„agenție de rating de credit” înseamnă o agenție de rating de credit astfel cum este definită la articolul 3 alineatul (1) litera (b) din Regulamentul (CE) nr. 1060/2009;
„furnizor de servicii de criptoactive” înseamnă un furnizor de servicii de criptoactive astfel cum este definit în dispozițiile relevante din Regulamentul privind piețele criptoactivelor;
„emitent de tokenuri raportate la active” înseamnă un emitent de tokenuri raportate la active astfel cum sunt definite în dispozițiile relevante din Regulamentul privind piețele criptoactivelor;
„administrator de indici de referință critici” înseamnă un administrator de indici de referință critici astfel cum sunt definiți la articolul 3 alineatul (1) punctul 25 din Regulamentul (UE) 2016/1011;
„furnizor de servicii de finanțare participativă” înseamnă un furnizor de servicii de finanțare participativă astfel cum este definit la articolul 2 alineatul (1) litera (e) din Regulamentul (UE) 2020/1503 al Parlamentului European și al Consiliului ( 5 );
„registru central de securitizări” înseamnă un registru central de securitizări astfel cum este definit la articolul 2 punctul 23 din Regulamentul (UE) 2017/2402 al Parlamentului European și al Consiliului ( 6 );
„microîntreprindere” înseamnă o entitate financiară, alta decât un loc de tranzacționare, o contraparte centrală, un registru central de tranzacții sau un depozitar central de titluri de valoare, care are mai puțin de 10 angajați și o cifră de afaceri anuală și/sau un bilanț anual total care nu depășește 2 milioane EUR;
„supraveghetor principal” înseamnă autoritatea europeană de supraveghere desemnată în conformitate cu articolul 31 alineatul (1) litera (b) din prezentul regulament;
„Comitetul comun” înseamnă comitetul menționat la articolul 54 din Regulamentele (UE) nr. 1093/2010, (UE) nr. 1094/2010 și (UE) nr. 1095/2010;
„întreprindere mică” înseamnă o entitate financiară care are cel puțin 10 angajați, dar mai puțin de 50 de angajați, și o cifră de afaceri anuală și/sau un bilanț anual total care depășește 2 milioane EUR, dar nu depășește 10 milioane EUR;
„întreprindere mijlocie” înseamnă o entitate financiară care nu este o întreprindere mică și care are mai puțin de 250 de angajați și o cifră de afaceri anuală care nu depășește 50 de milioane EUR și/sau un bilanț anual care nu depășește 43 de milioane EUR;
„autoritate publică” înseamnă orice entitate guvernamentală sau altă entitate a administrației publice, inclusiv băncile centrale naționale.
Articolul 4
Principiul proporționalității
CAPITOLUL II
Gestionarea riscurilor TIC
Articolul 5
Guvernanță și organizare
În scopul aplicării primului paragraf, organul de conducere:
poartă responsabilitatea finală pentru gestionarea riscurilor TIC ale entității financiare;
stabilește politici menite să asigure menținerea unor standarde ridicate de disponibilitate, autenticitate, integritate și confidențialitate a datelor;
stabilește roluri și responsabilități clare pentru toate funcțiile legate de TIC și instituie mecanisme de guvernanță adecvate pentru a asigura comunicarea, cooperarea și coordonarea eficace și în timp util între aceste funcții;
poartă responsabilitatea generală pentru stabilirea și aprobarea strategiei privind reziliența operațională digitală, astfel cum este menționată la articolul 6 alineatul (8), inclusiv pentru determinarea nivelul adecvat de toleranță la risc pentru riscurile TIC în cazul entității financiare, astfel cum este menționată la articolul 6 alineatul (8) litera (b);
aprobă, supraveghează și verifică periodic punerea în aplicare a politicii de continuitate a activității TIC și a planurilor de răspuns și de recuperare în domeniul TIC ale entității financiare, menționate la articolul 11 alineatul (1) și, respectiv, alineatul (3), care pot fi adoptate sub forma unei politici specifice dedicate care să facă parte integrantă din politica generală de continuitate a activității și planul general de răspuns și de recuperare ale entității financiare;
aprobă și verifică periodic planurile de audit intern TIC și auditurile TIC ale entității financiare, precum și modificările semnificative aduse acestora;
alocă și verifică periodic bugetul adecvat pentru a răspunde nevoilor de reziliență operațională digitală ale entității financiare în ceea ce privește toate tipurile de resurse, inclusiv programe de conștientizare cu privire la securitatea TIC și cursuri de formare în domeniul rezilienței operaționale digitale relevante menționate la articolul 13 alineatul (6), precum și competențe TIC pentru toți membrii personalului;
aprobă și verifică periodic politica entității financiare cu privire la acordurile privind utilizarea serviciilor TIC furnizate de furnizori terți de servicii TIC;
instituie, la nivel corporativ, canale de raportare care să îi permită să fie informat în mod corespunzător cu privire la:
acordurile încheiate cu furnizorii terți de servicii TIC privind utilizarea serviciilor TIC;
orice modificări semnificative planificate relevante privind furnizorii terți de servicii TIC;
impactul potențial al unor astfel de modificări asupra funcțiilor critice sau importante care fac obiectul acordurilor respective, inclusiv un rezumat al analizei de risc pentru a evalua impactul modificărilor respective, și cel puțin incidentele majore legate de TIC și impactul acestora, precum și cu privire la măsurile de răspuns, de recuperare și corective.
Articolul 6
Cadrul de gestionare a riscurilor TIC
Cadrul de gestionare a riscurilor TIC include o strategie privind reziliența operațională digitală, care stabilește modul de punere în aplicare a cadrului. În acest scop, strategia privind reziliența operațională digitală include metode de abordare a riscurilor TIC și de realizare a obiectivelor TIC specifice, prin:
explicarea modului în care cadrul de gestionare a riscurilor TIC sprijină strategia de afaceri și obiectivele entității financiare;
stabilirea nivelului de toleranță la risc pentru riscurile TIC, în conformitate cu apetitul pentru risc al entității financiare, și analizarea toleranței la impact pentru perturbările TIC;
stabilirea unor obiective clare privind securitatea informațiilor, inclusiv indicatori-cheie de performanță și indicatori-cheie de risc;
explicarea arhitecturii TIC de referință și a oricăror modificări necesare pentru atingerea obiectivelor specifice de activitate;
prezentarea diferitelor mecanisme instituite pentru a detecta incidentele legate de TIC, a preveni impactul acestora și a asigura protecție împotriva acestora;
evidențierea situației actuale a rezilienței operaționale digitale pe baza numărului de incidente majore legate de TIC raportate și a eficacității măsurilor preventive;
implementarea testării rezilienței operaționale digitale, în conformitate cu capitolul IV din prezentul regulament;
conturarea unei strategii de comunicare în cazul producerii unor incidente legate de TIC cu privire la care este necesară informarea în conformitate cu articolul 14.
Articolul 7
Sisteme, protocoale și instrumente TIC
Pentru a aborda și a gestiona riscurile TIC, entitățile financiare utilizează și mențin sisteme, protocoale și instrumente TIC actualizate care sunt:
adecvate magnitudinii operațiunilor care sprijină desfășurarea activităților lor, în conformitate cu principiul proporționalității astfel cum este menționat la articolul 4;
fiabile;
dotate cu suficientă capacitate de a prelucra cu precizie datele necesare pentru desfășurarea activităților și furnizarea serviciilor în timp util, precum și pentru a face față volumelor ridicate de ordine, mesaje sau tranzacții, după caz, inclusiv în cazul introducerii unor noi tehnologii;
reziliente din punct de vedere tehnologic pentru a face față în mod adecvat nevoilor suplimentare de prelucrare a informațiilor, calitate necesară în condiții de criză a pieței sau în alte situații adverse.
Articolul 8
Identificare
Articolul 9
Protecție și prevenire
În vederea realizării obiectivelor menționate la alineatul (2), entitățile financiare utilizează soluții și procese TIC care sunt adecvate în conformitate cu articolul 4. Respectivele soluții și procese TIC:
asigură securitatea mijloacelor de transfer al datelor;
reduc la minimum riscul de corupere sau de pierdere a datelor, de acces neautorizat și de defecțiuni tehnice care pot împiedica derularea activităților;
previn lipsa disponibilității, deteriorarea autenticității și a integrității, încălcarea confidențialității și pierderea datelor;
asigură protecția datelor împotriva riscurilor care decurg din gestionarea datelor, inclusiv gestionarea deficitară, precum și împotriva riscurilor legate de prelucrare și a erorii umane.
Ca parte a cadrului de gestionare a riscurilor TIC menționat la articolul 6 alineatul (1), entitățile financiare:
elaborează și documentează o politică de securitate a informațiilor care definește norme de protecție a disponibilității, autenticității, integrității și confidențialității datelor, a activelor informaționale și a activelor TIC, inclusiv a celor ale clienților lor, după caz;
stabilesc, urmând o abordare bazată pe riscuri, o structură de gestionare solidă a rețelei și a infrastructurii care utilizează tehnici, metode și protocoale adecvate ce pot include punerea în aplicare a unor mecanisme automatizate pentru a izola activele informaționale afectate în cazul unor atacuri cibernetice;
pun în aplicare politici care limitează accesul fizic sau logic la activele informaționale și activele TIC la ceea ce este necesar exclusiv pentru funcții și activități legitime și aprobate și stabilesc în acest scop un set de politici, proceduri și controale care să vizeze drepturile de acces și o bună administrare a acestora;
pun în aplicare politici și protocoale pentru mecanisme solide de autentificare, bazate pe standarde relevante și sisteme de control specifice, precum și măsuri de protecție a cheilor criptografice, prin care datele sunt criptate în funcție de rezultatele proceselor aprobate de clasificare a datelor și de evaluare a riscurilor TIC;
pun în aplicare politici, proceduri și controale documentate pentru gestionarea modificărilor la nivelul TIC, inclusiv modificări la nivelul componentelor software, hardware, firmware, parametrii sistemelor sau de securitate, care sunt fondate pe o abordare bazată pe evaluarea riscurilor și fac parte integrantă din procesul general de gestionare a modificărilor din cadrul entității financiare, pentru a se asigura că toate modificările aduse sistemelor TIC sunt înregistrate, testate, evaluate, aprobate, puse în aplicare și verificate în mod controlat;
dispun de politici documentate adecvate și cuprinzătoare pentru corecții și actualizări.
În scopul aplicării literei (b) de la primul paragraf, entitățile financiare concep infrastructura de conectare a rețelei într-un mod care permite întreruperea sau segmentarea instantanee a acesteia, pentru a reduce la minimum și a preveni contagiunea, în special în cazul proceselor financiare interconectate.
În scopul aplicării literei (e) de la primul paragraf, procesul de gestionare a modificărilor la nivelul TIC este aprobat de liniile de management corespunzătoare și dispune de protocoale specifice.
Articolul 10
Detectare
Toate mecanismele de detectare menționate la primul paragraf sunt testate cu regularitate în conformitate cu articolul 25.
Articolul 11
Răspuns și recuperare
Entitățile financiare pun în aplicare politica de continuitate a activității TIC prin măsuri, planuri, proceduri și mecanisme specifice, adecvate și documentate care vizează:
asigurarea continuității funcțiilor critice sau importante ale entității financiare;
un răspuns rapid, adecvat și eficace la toate incidentele legate de TIC și soluționarea tuturor acestor incidente, într-un mod care să limiteze daunele și să acorde prioritate reluării activităților și acțiunilor de recuperare;
activarea fără întârziere a unor planuri specifice care permit aplicarea unor măsuri, procese și tehnologii de limitare adecvate pentru fiecare tip de incident legat de TIC și previn producerea unor daune suplimentare, precum și a unor proceduri de răspuns și de recuperare adaptate, stabilite în conformitate cu articolul 12;
estimarea efectelor, a daunelor și a pierderilor preliminare;
stabilirea unor măsuri de comunicare și de gestionare a crizelor care să asigure faptul că informațiile actualizate sunt transmise tuturor membrilor personalului intern relevant și părților interesate externe relevante, în conformitate cu articolul 14, și raportarea către autoritățile competente, în conformitate cu articolul 19.
Ca parte a gestionării lor cuprinzătoare a riscurilor TIC, entitățile financiare:
testează planurile de continuitate a activității TIC și planurile de răspuns și de recuperare în domeniul TIC în legătură cu sistemele TIC care sprijină toate funcțiile cel puțin o dată pe an, precum și în caz de eventuale modificări substanțiale ale sistemelor TIC care sprijină funcții critice sau importante;
testează planurile de comunicare în situații de criză instituite în conformitate cu articolul 14.
În scopul aplicării literei (a) de la primul paragraf, entitățile financiare altele decât microîntreprinderile includ în planurile de testare scenarii de atacuri cibernetice și transferuri între infrastructura TIC primară și capacitățile redundante, copiile de rezervă și instalațiile redundante necesare pentru a îndeplini obligațiile prevăzute la articolul 12.
Entitățile financiare își revizuiesc periodic politica de continuitate a activității TIC și planurile de răspuns și de recuperare în domeniul TIC, ținând seama de rezultatele testelor efectuate în conformitate cu primul paragraf, precum și de recomandările care decurg din evaluările de audit sau procesele de supraveghere.
Articolul 12
Politici și proceduri privind copiile de rezervă și proceduri și metode de restaurare și recuperare
Pentru a asigura restaurarea sistemelor TIC și a datelor cu o perioadă de indisponibilitate minimă și o perturbare și o pierdere limitate, ca parte a cadrului lor de gestionare a riscurilor TIC, entitățile financiare elaborează și documentează:
politici și proceduri privind copiile de rezervă care precizează sfera de acoperire a datelor care fac obiectul copierii de rezervă, precum și frecvența minimă a copierii de rezervă, pe baza caracterului critic al informațiilor sau al nivelului de confidențialitate al datelor;
proceduri și metode de restaurare și recuperare.
În cazul contrapărților centrale, planurile de recuperare permit recuperarea tuturor tranzacțiilor în momentul perturbării, pentru a permite contrapărții centrale să continue să opereze în condiții de siguranță și să finalizeze decontarea la data stabilită.
În plus, furnizorii de servicii de raportare a datelor mențin resurse adecvate și dispun de instalații pentru copii de rezervă și de restaurare, cu scopul de a-și oferi și a-și menține serviciile viabile în orice moment.
Unitatea de prelucrare secundară:
este situată la o distanță geografică față de unitatea de prelucrare principală pentru a se asigura că are un profil de risc distinct și pentru a preveni afectarea acesteia de către evenimentul care a afectat unitatea de prelucrare principală;
este capabilă să asigure continuitatea funcțiilor critice sau importante în mod identic cu unitatea de prelucrare principală sau să furnizeze serviciile la nivelul necesar pentru a se asigura că entitatea financiară își desfășoară operațiunile critice în conformitate cu obiectivele de recuperare;
este imediat accesibilă personalului entității financiare pentru a asigura continuitatea funcțiilor critice sau importante în cazul în care unitatea de prelucrare principală a devenit indisponibilă.
Articolul 13
Învățăminte și perspective de dezvoltare
Entitățile financiare, altele decât microîntreprinderile, comunică autorităților competente, la cerere, modificările care au fost operate în urma verificărilor ulterioare incidentelor legate de TIC, astfel cum sunt menționate la primul paragraf.
Verificările ulterioare incidentelor legate de TIC menționate la primul paragraf stabilesc dacă procedurile instituite au fost urmate și dacă măsurile luate au fost eficace, inclusiv în ceea ce privește următoarele:
promptitudinea reacției la alertele de securitate și determinarea impactului și a gravității incidentelor legate de TIC;
calitatea și rapiditatea efectuării unei analize judiciare, acolo unde se consideră necesar;
eficacitatea activării nivelurilor succesive de intervenție (incident escalation) în caz de incidente în cadrul entității financiare;
eficacitatea comunicării interne și externe.
Articolul 14
Comunicare
Articolul 15
Armonizarea suplimentară a instrumentelor, metodelor, proceselor și politicilor de gestionare a riscurilor TIC
AES elaborează, prin intermediul Comitetului comun, în consultare cu Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA), proiecte comune de standarde tehnice de reglementare în următoarele scopuri:
pentru a aduce precizări suplimentare privind elementele necesare a fi incluse în politicile, procedurile, protocoalele și instrumentele de securitate TIC menționate la articolul 9 alineatul (2), în scopul asigurării securității rețelelor, al asigurării unor garanții adecvate împotriva intruziunilor și a utilizării necorespunzătoare a datelor, al menținerii disponibilității, autenticității, integrității și confidențialității datelor, inclusiv tehnici criptografice, și al garantării unei transmiteri exacte și rapide a datelor fără perturbări majore și fără întârzieri nejustificate;
pentru a aduce precizări suplimentare privind componentele controalelor drepturilor de gestionare a accesului menționate la articolul 9 alineatul (4) litera (c) și politica privind resursele umane aferentă, precizând drepturile de acces, procedurile de acordare și de revocare a drepturilor, monitorizarea comportamentului anormal în ceea ce privește riscurile TIC prin intermediul unor indicatori adecvați, inclusiv pentru modelele de utilizare a rețelei, orele, activitatea IT și dispozitivele necunoscute;
pentru a aduce precizări suplimentare privind mecanismele menționate la articolul 10 alineatul (1) care permit detectarea rapidă a activităților anormale și criteriile menționate la articolul 10 alineatul (2) care declanșează procesele de detectare și de răspuns la incidentele legate de TIC;
pentru a aduce precizări suplimentare privind componentele politicii de continuitate a activității TIC, menționată la articolul 11 alineatul (1);
pentru a aduce precizări suplimentare privind testarea planurilor de continuitate a activității TIC menționate la articolul 11 alineatul (6), pentru a asigura faptul că o astfel de testare ține seama în mod corespunzător de scenariile în care calitatea furnizării unei funcții critice sau importante se deteriorează până la un nivel inacceptabil sau eșuează, precum și că ia în considerare în mod corespunzător impactul potențial al insolvenței sau al altor disfuncționalități ale oricărui furnizor terț de servicii TIC relevant și, dacă este cazul, riscurile politice din jurisdicțiile furnizorilor respectivi;
pentru a aduce precizări suplimentare privind componentele planurilor de răspuns și de recuperare în domeniul TIC menționate la articolul 11 alineatul (3);
pentru a aduce precizări suplimentare privind conținutul și formatul raportului referitor la revizuirea cadrului de gestionare a riscurilor TIC menționat la articolul 6 alineatul (5).
Atunci când elaborează proiectele respective de standarde tehnice de reglementare, AES iau în considerare dimensiunea și profilul general de risc al entității financiare, precum și natura, amploarea și complexitatea serviciilor, activităților și operațiunilor sale, ținând seama în mod corespunzător de orice caracteristică specifică care decurge din natura distinctă a activităților din diferite sectoare de servicii financiare.
AES transmit Comisiei aceste proiecte de standarde tehnice de reglementare până la 17 ianuarie 2024.
Se deleagă Comisiei competența de a completa prezentul regulament prin adoptarea standardelor tehnice de reglementare menționate la primul paragraf, în conformitate cu articolele 10-14 din Regulamentele (UE) nr. 1093/2010, (UE) nr. 1094/2010 și (UE) nr. 1095/2010.
Articolul 16
Cadrul simplificat de gestionare a riscurilor TIC
Fără a aduce atingere primului paragraf, entitățile menționate la primul paragraf:
instituie și mențin un cadru solid și documentat de gestionare a riscurilor TIC care detaliază mecanismele și măsurile care vizează o gestionare rapidă, eficientă și cuprinzătoare a riscurilor TIC, inclusiv pentru protecția componentelor și infrastructurilor fizice relevante;
monitorizează în permanență securitatea și funcționarea tuturor sistemelor TIC;
reduc la minimum impactul riscurilor TIC prin utilizarea unor sisteme, protocoale și instrumente TIC solide, reziliente și actualizate care sunt adecvate pentru a sprijini desfășurarea activităților lor și furnizarea serviciilor și protejează în mod adecvat disponibilitatea, autenticitatea, integritatea și confidențialitatea datelor din rețele și sistemele informatice;
permit identificarea și detectarea rapidă a surselor de riscuri TIC și a anomaliilor din rețele și sistemele informatice, precum și gestionarea rapidă a incidentelor legate de TIC;
identifică principalele dependențe față de furnizorii terți de servicii TIC;
asigură continuitatea funcțiilor critice sau importante, prin planuri de continuitate a activității și măsuri de răspuns și de recuperare, care includ, cel puțin, măsuri privind copii de rezervă și restaurarea;
testează cu regularitate planurile și măsurile menționate la litera (f), precum și eficacitatea controalelor puse în aplicare în conformitate cu literele (a) și (c);
implementează, după caz, concluziile operaționale relevante rezultate din testele menționate la litera (g) și din analiza ulterioară incidentului în procesul de evaluare a riscurilor TIC și elaborează, în funcție de nevoi și de profilul de risc TIC, programe de conștientizare cu privire la securitatea TIC și cursuri de formare în domeniul rezilienței operaționale digitale destinate personalului și conducerii.
AES elaborează, prin intermediul Comitetului comun, în consultare cu ENISA, proiecte comune de standarde tehnice de reglementare în următoarele scopuri:
pentru a aduce precizări suplimentare privind elementele care trebuie incluse în cadrul de gestionare a riscurilor TIC menționat la alineatul (1) al doilea paragraf litera (a);
pentru a aduce precizări suplimentare privind elementele legate de sistemele, protocoalele și instrumentele destinate reducerii la minimum a impactului riscurilor TIC menționate la alineatul (1) al doilea paragraf litera (c), în scopul asigurării securității rețelelor, al asigurării unor garanții adecvate împotriva intruziunilor și a utilizării necorespunzătoare a datelor și al menținerii disponibilității, autenticității, integrității și confidențialității datelor;
pentru a aduce precizări suplimentare privind componentele planurilor de continuitate a activității TIC menționate la alineatul (1) al doilea paragraf litera (f);
pentru a aduce precizări suplimentare privind normele referitoare la testarea planurilor de continuitate a activității și pentru a asigura eficacitatea controalelor menționate la alineatul (1) al doilea paragraf litera (g), precum și pentru a garanta faptul că o astfel de testare ține seama în mod corespunzător de scenariile în care calitatea furnizării unei funcții critice sau importante se deteriorează până la un nivel inacceptabil sau eșuează;
pentru a aduce precizări suplimentare privind conținutul și formatul raportului referitor la revizuirea cadrului de gestionare a riscurilor TIC menționat la alineatul (2).
Atunci când elaborează proiectele respective de standarde tehnice de reglementare, AES iau în considerare dimensiunea și profilul general de risc al entității financiare, precum și natura, amploarea și complexitatea serviciilor, activităților și operațiunilor sale.
AES transmit Comisiei aceste proiecte de standarde tehnice de reglementare până la 17 ianuarie 2024.
Se deleagă Comisiei competența de a completa prezentul regulament prin adoptarea standardelor tehnice de reglementare menționate la primul paragraf, în conformitate cu articolele 10-14 din Regulamentele (UE) nr. 1093/2010, (UE) nr. 1094/2010 și (UE) nr. 1095/2010.
CAPITOLUL III
Gestionarea, clasificarea și raportarea incidentelor legate de TIC
Articolul 17
Procesul de gestionare a incidentelor legate de TIC
Procesul de gestionare a incidentelor legate de TIC menționat la alineatul (1):
instituie indicatori de avertizare timpurie;
stabilește proceduri pentru identificarea, urmărirea, înregistrarea, indicarea categoriei și clasificarea incidentelor legate de TIC în funcție de prioritatea și de gravitatea lor și în funcție de caracterul critic al serviciilor afectate, în conformitate cu criteriile stabilite la articolul 18 alineatul (1);
alocă roluri și responsabilități care trebuie activate pentru diferite tipuri și scenarii de incidente legate de TIC;
stabilește planuri pentru comunicarea cu personalul, cu părțile interesate externe și cu mass-media, în conformitate cu articolul 14, și pentru notificarea clienților, proceduri interne de activare a nivelurilor succesive de intervenție (escalation), inclusiv în cazul unor plângeri din partea clienților legate de TIC, precum și pentru furnizarea de informații entităților financiare care acționează în calitate de contrapărți, după caz;
asigură că cel puțin incidentele majore legate de TIC sunt raportate conducerii superioare relevante și informează organul de conducere cu privire la cel puțin incidentele majore legate de TIC, explicând impactul, răspunsul și controalele suplimentare care urmează să fie instituite ca urmare a unor astfel de incidente legate de TIC;
stabilește proceduri de răspuns la incidentele legate de TIC în vederea atenuării efectelor și a asigurării faptului că serviciile devin operaționale și sigure în timp util.
Articolul 18
Clasificarea incidentelor legate de TIC și a amenințărilor cibernetice
Entitățile financiare clasifică incidentele legate de TIC și determină impactul acestora pe baza următoarelor criterii:
numărul și/sau relevanța clienților sau a contrapărților financiare afectate și, după caz, cuantumul și numărul tranzacțiilor afectate de incidentul legat de TIC, precum și eventualul impact al incidentului legat de TIC asupra reputației;
durata incidentului legat de TIC, inclusiv perioada de indisponibilitate a serviciului;
întinderea geografică în ceea ce privește zonele afectate de incidentul legat de TIC, în special în cazul în care acesta afectează mai mult de două state membre;
pierderile de date pe care le implică incidentul legat de TIC, în ceea ce privește disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor;
caracterul critic al serviciilor afectate, inclusiv al tranzacțiilor și operațiunilor entității financiare;
impactul economic, în special costurile și pierderile directe și indirecte, ale incidentului legat de TIC, în termeni atât absoluți, cât și relativi.
AES elaborează, prin intermediul Comitetului comun și în consultare cu BCE și ENISA, proiecte comune de standarde tehnice de reglementare pentru a aduce precizări suplimentare privind următoarele:
criteriile menționate la alineatul (1), inclusiv pragurile de semnificație pentru determinarea incidentelor majore legate de TIC sau, după caz, a incidentelor majore operaționale sau de securitate legate de plăți care fac obiectul obligației de raportare prevăzute la articolul 19 alineatul (1);
criteriile care trebuie aplicate de autoritățile competente în scopul evaluării relevanței incidentelor majore legate de TIC sau, după caz, a incidentelor majore operaționale sau de securitate legate de plăți, pentru autoritățile competente relevante ale altor state membre, precum și detaliile rapoartelor referitoare la incidentele majore legate de TIC sau, după caz, incidentele majore operaționale sau de securitate legate de plăți care trebuie să fie comunicate altor autorități competente în temeiul articolului 19 alineatele (6) și (7);
criteriile prevăzute la alineatul (2) de la prezentul articol, inclusiv pragurile înalte de semnificație pentru determinarea amenințărilor cibernetice semnificative.
AES transmit Comisiei aceste proiecte comune de standarde tehnice de reglementare până la 17 ianuarie 2024.
Se deleagă Comisiei competența de a completa prezentul regulament prin adoptarea standardelor tehnice de reglementare menționate la alineatul (3), în conformitate cu articolele 10-14 din Regulamentele (UE) nr. 1093/2010, (UE) nr. 1094/2010 și (UE) nr. 1095/2010.
Articolul 19
Raportarea incidentelor majore legate de TIC și notificarea voluntară a amenințărilor cibernetice semnificative
În cazul în care o entitate financiară face obiectul supravegherii de către mai mult de o autoritate națională competentă astfel cum este menționată la articolul 46, statele membre desemnează o autoritate competentă unică drept autoritate competentă relevantă responsabilă cu îndeplinirea funcțiilor și a sarcinilor prevăzute la prezentul articol.
Instituțiile de credit clasificate drept semnificative, în conformitate cu articolul 6 alineatul (4) din Regulamentul (UE) nr. 1024/2013, prezintă un raport referitor la incidentele majore legate de TIC autorității naționale competente relevante desemnate în conformitate cu articolul 4 din Directiva 2013/36/UE, care transmite imediat raportul respectiv către BCE.
În sensul primului paragraf, după colectarea și analizarea tuturor informațiilor relevante, entitățile financiare efectuează notificarea inițială și elaborează rapoartele menționate la alineatul (4) de la prezentul articol, utilizând modelele menționate la articolul 20, și le transmit autorității competente. În cazul în care o imposibilitate tehnică împiedică transmiterea notificării inițiale utilizând modelul, entitățile financiare informează autoritatea competentă cu privire la aceasta prin mijloace alternative.
Notificarea inițială și rapoartele menționate la alineatul (4) includ toate informațiile necesare autorității competente pentru a determina semnificația incidentului major legat de TIC și a evalua posibilele efecte transfrontaliere.
Fără a aduce atingere raportării prevăzute la primul paragraf de către entitățile financiare către autoritatea competentă relevantă, statele membre pot stabili în plus ca unele entități financiare sau toate aceste entități să transmită, de asemenea, notificarea inițială și fiecare raport menționat la alineatul (4) de la prezentul articol, folosind modelele menționate la articolul 20, autorităților competente sau echipelor de intervenție în caz de incidente de securitate informatică (echipe CSIRT) desemnate sau instituite în conformitate cu Directiva (UE) 2022/2555.
Instituțiile de credit clasificate drept semnificative, în conformitate cu articolul 6 alineatul (4) din Regulamentul (UE) nr. 1024/2013, pot notifica, în mod voluntar, amenințările cibernetice semnificative către autoritatea națională competentă relevantă, desemnată în conformitate cu articolul 4 din Directiva 2013/36/UE, care transmite imediat notificarea către BCE.
Statele membre pot stabili că entitățile financiare care fac în mod voluntar o notificare în conformitate cu primul paragraf pot transmite, de asemenea, notificarea respectivă către echipele CSIRT desemnate sau instituite în conformitate cu Directiva (UE) 2022/2555.
În cazul unei amenințări cibernetice semnificative, entitățile financiare își informează, după caz, clienții care ar putea fi afectați cu privire la eventualele măsuri de protecție adecvate pe care aceștia din urmă ar putea dori să le ia.
Până la termenele care urmează să fie stabilite în conformitate cu articolul 20 primul paragraf litera (a) punctul (ii), entitățile financiare transmit autorității competente relevante următoarele:
o notificare inițială;
un raport intermediar după notificarea inițială menționată la litera (a) de îndată ce starea incidentului inițial s-a schimbat în mod semnificativ sau gestionarea incidentului major legat de TIC s-a schimbat pe baza noilor informații disponibile, urmat, după caz, de notificări actualizate de fiecare dată când este disponibilă o actualizare relevantă a stării, precum și la cererea specifică a autorității competente;
un raport final, atunci când analiza cauzelor principale a fost finalizată, indiferent dacă măsurile de atenuare au fost sau nu deja puse în aplicare, precum și atunci când cifrele efective ale impactului sunt disponibile pentru a înlocui estimările.
La primirea notificării inițiale și a fiecărui raport menționat la alineatul (4), autoritatea competentă furnizează, în timp util, detalii privind incidentul major legat de TIC următorilor destinatari, pe baza, după caz, a competențelor lor respective:
ABE, ESMA sau EIOPA;
BCE, în cazul entităților financiare menționate la articolul 2 alineatul (1) literele (a), (b) și (d);
autoritățile competente, punctele unice de contact sau echipele CSIRT desemnate sau instituite în conformitate cu Directiva (UE) 2022/2555;
autoritățile de rezoluție, astfel cum sunt menționate la articolul 3 din Directiva 2014/59/UE, și Comitetul unic de rezoluție (SRB) în ceea ce privește entitățile menționate la articolul 7 alineatul (2) din Regulamentul (UE) nr. 806/2014 al Parlamentului European și al Consiliului ( 7 ), precum și în ceea ce privește entitățile și grupurile menționate la articolul 7 alineatul (4) litera (b) și alineatul (5) din Regulamentul (UE) nr. 806/2014 dacă aceste detalii se referă la incidente care prezintă un risc pentru asigurarea funcțiilor critice în sensul articolului 2 alineatul (1) punctul 35 din Directiva 2014/59/UE; și
alte autorități publice relevante în temeiul dreptului intern.
Articolul 20
Armonizarea conținutului rapoartelor și a modelelor de rapoarte
AES, prin intermediul Comitetului comun și în consultare cu ENISA și BCE, elaborează:
proiecte comune de standarde tehnice de reglementare având ca scop următoarele:
stabilirea conținutului rapoartelor în cazul incidentelor majore legate de TIC, cu scopul de a reflecta criteriile prevăzute la articolul 18 alineatul (1) și de a include elemente suplimentare, precum detalii pentru a stabili dacă rapoartele sunt relevante pentru alte state membre și dacă incidentele constituie incidente majore operaționale sau de securitate legate de plăți;
stabilirea termenelor pentru notificarea inițială și pentru fiecare raport menționat la articolul 19 alineatul (4);
stabilirea conținutului notificării privind amenințările cibernetice semnificative.
Atunci când elaborează proiectele respective de standarde tehnice de reglementare, AES iau în considerare dimensiunea și profilul general de risc al entității financiare, precum și natura, amploarea și complexitatea serviciilor, activităților și operațiunilor sale, în special pentru a se asigura că, în sensul literei (a) punctul (ii) de la prezentul paragraf, existența unor termene diferite poate reflecta, după caz, particularitățile sectoarelor financiare, fără a aduce atingere menținerii unei abordări coerente a raportării incidentelor legate de TIC în temeiul prezentului regulament și al Directivei (UE) 2022/2555. AES furnizează, după caz, justificări atunci când se abat de la abordările adoptate în contextul directivei respective;
proiecte comune de standarde tehnice de punere în aplicare având ca scop stabilirea formularelor, modelelor și procedurilor standard pentru raportarea de către entitățile financiare a unui incident major legat de TIC și notificarea de către acestea a unei amenințări cibernetice semnificative.
AES transmit Comisiei proiectele comune de standarde tehnice de reglementare menționate la primul paragraf litera (a) și proiectele comune de standarde tehnice de punere în aplicare menționate la primul paragraf litera (b), până la 17 iulie 2024.
Se deleagă Comisiei competența de a completa prezentul regulament prin adoptarea standardelor tehnice de reglementare comune menționate la primul paragraf litera (a), în conformitate cu articolele 10-14 din Regulamentele (UE) nr. 1093/2010, (UE) nr. 1094/2010 și (UE) nr. 1095/2010.
Se conferă Comisiei competența de a adopta standardele tehnice de punere în aplicare comune menționate la primul paragraf litera (b), în conformitate cu articolul 15 din Regulamentele (UE) nr. 1093/2010, (UE) nr. 1094/2010 și (UE) nr. 1095/2010.
Articolul 21
Centralizarea raportării incidentelor majore legate de TIC
Raportul comun menționat la alineatul (1) cuprinde cel puțin următoarele elemente:
condițiile prealabile pentru instituirea unei platforme unice la nivelul UE;
beneficiile, limitările și riscurile, inclusiv riscurile asociate concentrării ridicate a informațiilor sensibile;
capacitatea necesară pentru a asigura interoperabilitatea cu alte sisteme de raportare relevante;
elemente ale gestionării operaționale;
condițiile de participare;
modalitățile tehnice de accesare a platformei unice la nivelul UE de către entitățile financiare și autoritățile naționale competente;
o evaluare preliminară a costurilor suportate cu instituirea platformei operaționale care sprijină platforma unică la nivelul UE, inclusiv expertiza necesară.
Articolul 22
Feedback privind supravegherea
AES emit avertismente și elaborează statistici la nivel înalt pentru a sprijini evaluările privind amenințările și vulnerabilitățile din perspectiva TIC.
Articolul 23
Incidente operaționale sau de securitate legate de plăți care vizează instituții de credit, instituții de plată, prestatori de servicii de informare cu privire la conturi și instituții emitente de monedă electronică
Cerințele prevăzute în prezentul capitol se aplică, de asemenea, incidentelor operaționale sau de securitate legate de plăți și incidentelor operaționale sau de securitate majore legate de plăți, atunci când acestea vizează instituții de credit, instituții de plată, prestatori de servicii de informare cu privire la conturi și instituții emitente de monedă electronică.
CAPITOLUL IV
Testarea rezilienței operaționale digitale
Articolul 24
Cerințe generale pentru efectuarea testării rezilienței operaționale digitale
Articolul 25
Testarea instrumentelor și sistemelor TIC
Articolul 26
Testarea avansată a instrumentelor, sistemelor și proceselor TIC cu ajutorul TLPT
Entitățile financiare identifică toate sistemele, procesele și tehnologiile TIC subiacente relevante care sprijină funcțiile critice sau importante și serviciile TIC, inclusiv pe cele care sprijină funcțiile critice sau importante care au fost externalizate sau contractate unor furnizori terți de servicii TIC.
Entitățile financiare evaluează ce funcții critice sau importante trebuie să fie acoperite de TLPT. Rezultatul acestei evaluări determină sfera de aplicare exactă a TLPT și este validat de autoritățile competente.
Testarea grupată respectivă acoperă gama relevantă de servicii TIC care sprijină funcțiile critice sau importante contractate de către entitățile financiare respectivului furnizor terț de servicii TIC. Testarea grupată este considerată TLPT efectuată de entitățile financiare care participă la testarea grupată.
Numărul entităților financiare care participă la testarea grupată este calibrat în mod corespunzător, ținând seama de complexitatea și de tipurile serviciilor implicate.
Fără a aduce atingere unei astfel de adeverințe, entitățile financiare rămân în orice moment pe deplin responsabile pentru impactul testelor menționate la alineatul (4).
Instituțiile de credit care sunt clasificate drept semnificative în conformitate cu articolul 6 alineatul (4) din Regulamentul (UE) nr. 1024/2013, utilizează numai entități externe de testare în conformitate cu articolul 27 alineatul (1) literele (a)-(e).
Autoritățile competente identifică entitățile financiare care sunt obligate să efectueze TLPT ținând seama de criteriile prevăzute la articolul 4 alineatul (2), pe baza unei evaluări a următoarelor elemente:
factorii legați de impact, în special măsura în care serviciile furnizate și activitățile întreprinse de entitatea financiară au impact asupra sectorului financiar;
posibile preocupări legate de stabilitatea financiară, inclusiv caracterul sistemic al entității financiare la nivelul Uniunii sau la nivel național, după caz;
profilul de risc TIC specific, nivelul de maturitate a entității financiare din perspectiva TIC sau caracteristicile tehnologice implicate.
AES elaborează, în acord cu BCE, proiecte comune de standarde tehnice de reglementare în conformitate cu cadrul TIBER–EU pentru a aduce precizări suplimentare privind:
criteriile utilizate în scopul aplicării alineatului (8) al doilea paragraf;
cerințele și standardele care reglementează utilizarea entităților interne de testare;
cerințele privind:
sfera de aplicare a TLPT menționată la alineatul (2);
metodologia de testare și abordarea de urmat pentru fiecare fază specifică a procesului de testare;
rezultatele, încheierea și etapele procesului de remediere aferente testării;
tipul de cooperare în materie de supraveghere și alt tip de cooperare relevant care sunt necesare pentru punerea în aplicare a TLPT și pentru facilitarea recunoașterii reciproce a testării respective, în contextul entităților financiare care operează în mai multe state membre, pentru a permite un nivel adecvat de implicare din perspectiva supravegherii și o aplicare flexibilă, astfel încât să se țină seama de specificitățile subsectoarelor financiare sau ale piețelor financiare locale.
Atunci când elaborează proiectele respective de standarde tehnice de reglementare, AES țin seama în mod corespunzător de orice caracteristică specifică care decurge din natura distinctă a activităților din diferite sectoare de servicii financiare.
AES transmit Comisiei aceste proiecte de standarde tehnice de reglementare până la 17 iulie 2024.
Se deleagă Comisiei competența de a completa prezentul regulament prin adoptarea standardelor tehnice de reglementare menționate la primul paragraf, în conformitate cu articolele 10-14 din Regulamentele (UE) nr. 1093/2010, (UE) nr. 1094/2010 și (UE) nr. 1095/2010.
Articolul 27
Cerințe pentru entitățile de testare în ceea ce privește efectuarea TLPT
Entitățile financiare utilizează, în scopul efectuării TLPT, numai entități de testare care:
sunt cele mai adecvate și de cea mai înaltă reputație;
dețin capacități tehnice și organizatorice și demonstrează expertiză specifică în ceea ce privește datele operative privind amenințările, testele de penetrare și testarea de tipul „echipa roșie”;
sunt certificate de un organism de acreditare dintr-un stat membru sau aderă la coduri de conduită sau cadre etice formale;
oferă o asigurare independentă sau un raport de audit în ceea ce privește gestionarea solidă a riscurilor asociate cu efectuarea TLPT, inclusiv protecția corespunzătoare a informațiilor confidențiale ale entității financiare și măsurile reparatorii pentru riscurile legate de activitățile entității financiare;
sunt acoperite în mod corespunzător și în totalitate de asigurările de răspundere civilă profesională relevante, inclusiv împotriva riscurilor de abatere și neglijență.
În cazul utilizării entităților interne de testare, entitățile financiare se asigură că, în plus față de cerințele de la alineatul (1), se respectă toate condițiile următoare:
utilizarea a fost aprobată de autoritatea competentă relevantă sau de autoritatea publică unică desemnată în conformitate cu articolul 26 alineatele (9) și (10);
autoritatea competentă relevantă a verificat că entitatea financiară are suficiente resurse alocate și s-a asigurat că sunt evitate conflictele de interese pe parcursul fazelor de proiectare și execuție ale testului; și
furnizorul de date operative privind amenințările este extern entității financiare.
CAPITOLUL V
Gestionarea riscurilor TIC generate de părți terțe
Articolul 28
Principii generale
Entitățile financiare gestionează riscurile TIC generate de părți terțe ca parte integrantă a riscurilor TIC în cadrul lor de gestionare a riscurilor TIC astfel cum este menționat la articolul 6 alineatul (1) și în conformitate cu următoarele principii:
entitățile financiare care au instituit acorduri contractuale pentru utilizarea serviciilor TIC în scopul desfășurării operațiunilor lor rămân în orice moment pe deplin responsabile de respectarea și de îndeplinirea tuturor obligațiilor care decurg din prezentul regulament și din dreptul aplicabil în domeniul serviciilor financiare;
gestionarea de către entitățile financiare a riscurilor TIC generate de părți terțe este pusă în aplicare din perspectiva principiului proporționalității, luând în considerare:
natura, amploarea, complexitatea și importanța dependențelor legate de TIC;
riscurile care decurg din acordurile contractuale privind utilizarea serviciilor TIC încheiate cu furnizori terți de servicii TIC, ținând seama de caracterul critic sau importanța serviciului, procesului sau funcției respective, precum și de impactul potențial asupra continuității și disponibilității serviciilor și activităților financiare, la nivel individual și la nivel de grup.
Acordurile contractuale menționate la primul paragraf sunt documentate în mod corespunzător, făcându-se distincția între cele care acoperă servicii TIC de sprijinire a funcțiilor critice sau importante și cele care nu le acoperă.
Entitățile financiare raportează cel puțin o dată pe an autorităților competente cu privire la numărul de noi acorduri privind utilizarea serviciilor TIC, categoriile de furnizori terți de servicii TIC, tipurile de acorduri contractuale și serviciile și funcțiile TIC care sunt oferite.
Entitățile financiare pun la dispoziția autorității competente, la cererea acesteia, registrul complet de informații sau, după caz, secțiuni specifice din acesta, împreună cu orice informații considerate necesare pentru a permite supravegherea eficace a entității financiare.
Entitățile financiare informează autoritatea competentă în timp util cu privire la orice acord contractual planificat privind utilizarea unor servicii TIC care sprijină funcții critice sau importante, precum și atunci când o funcție a devenit critică sau importantă.
Înainte de a încheia un acord contractual privind utilizarea serviciilor TIC, entitățile financiare:
evaluează dacă acordul contractual vizează utilizarea unor servicii TIC care sprijină o funcție critică sau importantă;
evaluează dacă sunt îndeplinite condițiile pentru contractare din perspectiva supravegherii;
identifică și evaluează toate riscurile relevante legate de acordul contractual, inclusiv posibilitatea ca un astfel de acord contractual să contribuie la consolidarea riscului de concentrare a serviciilor TIC, astfel cum este menționat la articolul 29;
efectuează toate diligențele necesare cu privire la potențialii furnizori terți de servicii TIC și se asigură, pe parcursul proceselor de selecție și evaluare, că furnizorul terț de servicii TIC este adecvat;
identifică și evaluează conflictele de interese pe care acordul contractual le poate cauza.
În cazul în care acordurile contractuale încheiate cu furnizori terți de servicii TIC privind utilizarea unor servicii TIC prezintă o complexitate tehnică ridicată, entitatea financiară verifică dacă auditorii, atât cei interni, cât și cei externi, sau un grup de auditori, dețin competențele și cunoștințele corespunzătoare pentru a efectua în mod eficace auditurile și evaluările relevante.
Entitățile financiare se asigură că acordurile contractuale privind utilizarea serviciilor TIC pot fi reziliate în oricare dintre următoarele circumstanțe:
încălcarea semnificativă de către furnizorul terț de servicii TIC a actelor cu putere de lege, a reglementărilor sau a clauzelor contractuale aplicabile;
circumstanțe identificate pe parcursul monitorizării riscurilor TIC generate de părți terțe care sunt considerate capabile să modifice îndeplinirea funcțiilor oferite prin acordul contractual, inclusiv modificările semnificative care afectează acordul sau situația furnizorului terț de servicii TIC;
deficiențe demonstrate ale furnizorului terț de servicii TIC legate de gestionarea sa generală a riscurilor TIC și, în special, legate de modul în care asigură disponibilitatea, autenticitatea, integritatea și confidențialitatea datelor, fie date cu caracter personal sau date sensibile din alt punct de vedere, ori a datelor fără caracter personal;
în cazul în care autoritatea competentă nu mai poate supraveghea în mod eficace entitatea financiară ca urmare a condițiilor acordului contractual respectiv sau a unor circumstanțe legate de acesta.
Entitățile financiare se asigură că pot să se retragă din acordurile contractuale fără:
perturbarea activităților lor comerciale;
limitarea respectării cerințelor în materie de reglementare;
afectarea continuității și calității serviciilor furnizate către clienți.
Planurile de ieșire trebuie să fie cuprinzătoare, documentate și, în conformitate cu criteriile stabilite la articolul 4 alineatul (2), trebuie să fie testate în mod suficient și revizuite periodic.
Entitățile financiare identifică soluții alternative și dezvoltă planuri de tranziție care să le permită să elimine serviciile TIC contractate și datele relevante de la furnizorul terț de servicii TIC și să le transfere în condiții de siguranță și în integralitatea lor către furnizori alternativi sau să le reintegreze în sistemul propriu.
Entitățile financiare instituie măsuri adecvate pentru situații neprevăzute astfel încât să păstreze continuitatea activității în cazul apariției situațiilor menționate la primul paragraf.
Se conferă Comisiei competența de a adopta standardele tehnice de punere în aplicare menționate la primul paragraf în conformitate cu articolul 15 din Regulamentele (UE) nr. 1093/2010, (UE) nr. 1094/2010 și (UE) nr. 1095/2010.
Atunci când elaborează proiectele respective de standarde tehnice de reglementare, AES iau în considerare dimensiunea și profilul general de risc al entității financiare, precum și natura, amploarea și complexitatea serviciilor, activităților și operațiunilor sale. AES transmit Comisiei aceste proiecte de standarde tehnice de reglementare până la 17 ianuarie 2024.
Se deleagă Comisiei competența de a completa prezentul regulament prin adoptarea standardelor tehnice de reglementare menționate la primul paragraf, în conformitate cu articolele 10-14 din Regulamentele (UE) nr. 1093/2010, (UE) nr. 1094/2010 și (UE) nr. 1095/2010.
Articolul 29
Evaluarea preliminară a riscului de concentrare a serviciilor TIC
La identificarea și evaluarea riscurilor menționate la articolul 28 alineatul (4) litera (c), entitățile financiare iau în considerare, de asemenea, dacă încheierea preconizată a unui acord contractual în legătură cu servicii TIC care sprijină funcții critice sau importante ar conduce la oricare dintre următoarele situații:
stabilirea unei relații contractuale cu un furnizor terț de servicii TIC care nu este ușor de înlocuit; sau
instituirea unor acorduri contractuale multiple cu privire la furnizarea de servicii TIC care sprijină funcții critice sau importante cu același furnizor terț de servicii TIC sau cu furnizori terți de servicii TIC strâns conectați.
Entitățile financiare evaluează beneficiile și costurile soluțiilor alternative, cum ar fi utilizarea unor furnizori terți de servicii TIC diferiți, luând în considerare dacă și în ce mod soluțiile avute în vedere corespund nevoilor și obiectivelor operaționale stabilite în strategia lor privind reziliența digitală.
În cazul în care acordurile contractuale privesc servicii TIC care sprijină funcții critice sau importante, entitățile financiare iau în considerare în mod corespunzător dispozițiile din legislația privind insolvența care s-ar aplica în eventualitatea falimentului furnizorului terț de servicii TIC, precum și orice constrângere care ar putea apărea în legătură cu recuperarea urgentă a datelor entității financiare.
Atunci când acordurile contractuale privind utilizarea serviciilor TIC care sprijină funcții critice sau importante sunt încheiate cu un furnizor terț de servicii TIC stabilit într-o țară terță, entitățile financiare iau în considerare, în afară de aspectele menționate la al doilea paragraf, și conformitatea cu normele Uniunii privind protecția datelor și asigurarea efectivă a respectării legii în respectiva țară terță.
Atunci când acordurile contractuale privind utilizarea serviciilor TIC care sprijină funcții critice sau importante prevăd subcontractarea, entitățile financiare evaluează dacă și în ce mod lanțurile de subcontractare potențial lungi sau complexe pot avea un impact asupra capacității lor de a monitoriza pe deplin funcțiile contractate și asupra capacității autorității competente de a supraveghea efectiv entitatea financiară din acest punct de vedere.
Articolul 30
Dispoziții contractuale esențiale
Acordurile contractuale privind utilizarea serviciilor TIC includ cel puțin următoarele elemente:
o descriere clară și completă a tuturor funcțiilor și serviciilor TIC care urmează să fie furnizate de furnizorul terț de servicii TIC, indicând dacă este permisă subcontractarea unui serviciu TIC care sprijină o funcție critică sau importantă sau părți semnificative ale acesteia și, în caz afirmativ, condițiile aplicabile acestei subcontractări;
locurile, și anume regiunile sau țările, în care urmează să fie furnizate funcțiile și serviciile TIC contractate sau subcontractate și în care urmează să fie prelucrate datele, inclusiv locul stabilit pentru stocare, precum și cerința ca furnizorul terț de servicii TIC să informeze în prealabil entitatea financiară în cazul în care are în vedere modificarea acestor locuri;
dispoziții privind disponibilitatea, autenticitatea, integritatea și confidențialitatea în ceea ce privește protecția datelor, inclusiv a datelor cu caracter personal;
dispoziții privind asigurarea accesului, a recuperării și a returnării într-un format ușor accesibil a datelor cu caracter personal și a celor fără caracter personal prelucrate de entitatea financiară în caz de insolvență, de rezoluție sau de încetare a activității furnizorului terț de servicii TIC sau în cazul încetării acordurilor contractuale;
descrieri la nivelul serviciilor, inclusiv actualizări și revizuiri ale acestora;
obligația furnizorului terț de servicii TIC de a oferi asistență entității financiare fără costuri suplimentare sau la un cost stabilit ex ante, atunci când survine un incident TIC care este legat de serviciul TIC furnizat entității financiare;
obligația furnizorului terț de servicii TIC de a coopera pe deplin cu autoritățile competente și cu autoritățile de rezoluție ale entității financiare, inclusiv cu persoanele numite de acestea;
drepturile de încetare și perioadele minime de preaviz aferente pentru încetarea acordurilor contractuale, în conformitate cu așteptările autorităților competente și ale autorităților de rezoluție;
condițiile pentru participarea furnizorilor terți de servicii TIC la programele de conștientizare cu privire la securitatea TIC ale entităților financiare și la cursurile de formare în domeniul rezilienței operaționale digitale în conformitate cu articolul 13 alineatul (6).
Acordurile contractuale privind utilizarea serviciilor TIC care sprijină funcții critice sau importante includ, în plus față de elementele menționate la alineatul (2), cel puțin următoarele:
descrieri complete la nivelul serviciilor, inclusiv actualizări și revizuiri ale acestora, cu obiective cantitative și calitative precise privind performanța în limitele nivelurilor convenite ale serviciilor, pentru a permite monitorizarea eficace de către entitatea financiară a serviciilor TIC și adoptarea unor măsuri corective adecvate, fără întârzieri nejustificate, atunci când nu sunt asigurate nivelurile convenite ale serviciilor;
perioade de preaviz și obligații de raportare către entitatea financiară pentru furnizorul terț de servicii TIC, inclusiv notificarea oricărei evoluții care ar putea avea un impact semnificativ asupra capacității furnizorului terț de servicii TIC de a furniza în mod eficace serviciile TIC în sprijinul funcțiilor critice sau importante, în concordanță cu nivelurile convenite ale serviciului;
cerințe ca furnizorul terț de servicii TIC să pună în aplicare și să testeze planuri pentru situații neprevăzute și să dispună de măsuri, instrumente și politici în materie de securitate a TIC care să asigure un nivel adecvat de securitate în ceea ce privește furnizarea serviciilor de către entitatea financiară, în concordanță cu cadrul său de reglementare;
obligația furnizorului terț de servicii TIC de a participa la TLPT ale entității financiare și de a coopera pe deplin în cadrul realizării acestora, astfel cum se menționează la articolele 26 și 27;
dreptul de a monitoriza, în permanență, performanța furnizorului terț de servicii TIC, care presupune următoarele:
drepturile nerestricționate de acces, de inspecție și de audit de către entitatea financiară sau o parte terță desemnată și de către autoritatea competentă, precum și dreptul de a produce copii ale documentelor relevante la fața locului, dacă acestea sunt esențiale pentru operațiunile furnizorului terț de servicii TIC, drepturi a căror exercitare efectivă nu este împiedicată sau limitată de alte acorduri contractuale sau politici de punere în aplicare;
dreptul de a conveni asupra unor niveluri de asigurare alternative în cazul în care sunt afectate drepturile altor clienți;
obligația furnizorului terț de servicii TIC de a coopera pe deplin în timpul inspecțiilor și auditurilor la fața locului efectuate de autoritățile competente, de supraveghetorul principal, de entitatea financiară sau de o parte terță desemnată; și
obligația de a transmite detalii privind domeniul de aplicare, procedurile care trebuie urmate și frecvența unor astfel de inspecții și audituri;
strategiile de ieșire, în special stabilirea unei perioade de tranziție adecvate obligatorii:
în cursul căreia furnizorul terț de servicii TIC va continua să furnizeze funcțiile sau serviciile TIC respective vizând să reducă riscul de perturbare în cadrul entității financiare sau să asigure rezoluția și restructurarea sa eficace;
care permite entității financiare să migreze către un alt furnizor terț de servicii TIC sau să treacă la soluții dezvoltate de aceasta pe plan intern, în conformitate cu complexitatea serviciului furnizat.
Prin derogare de la litera (e), furnizorul terț de servicii TIC și entitatea financiară care este o microîntreprindere pot conveni ca drepturile de acces, de inspecție și de audit ale entității financiare să poată fi delegate unui terț independent, numit de furnizorul terț de servicii TIC, și ca entitatea financiară să poată solicita în orice moment din partea terțului informații și asigurări cu privire la performanța furnizorului terț de servicii TIC.
Atunci când elaborează aceste proiecte de standarde tehnice de reglementare, AES țin seama de dimensiunea și de profilul general de risc al entității financiare, precum și de natura, amploarea și complexitatea serviciilor, activităților și operațiunilor sale.
AES transmit Comisiei aceste proiecte de standarde tehnice de reglementare până la 17 iulie 2024.
Se deleagă Comisiei competența de a completa prezentul regulament prin adoptarea standardelor tehnice de reglementare menționate la primul paragraf, în conformitate cu articolele 10-14 din Regulamentele (UE) nr. 1093/2010, (UE) nr. 1094/2010 și (UE) nr. 1095/2010.
Articolul 31
Desemnarea furnizorilor terți esențiali de servicii TIC
AES, prin intermediul Comitetului comun și la recomandarea Forumului de supraveghere instituit în temeiul articolului 32 alineatul (1):
desemnează furnizorii terți de servicii TIC care sunt esențiali pentru entitățile financiare, în urma unei evaluări care ține seama de criteriile menționate la alineatul (2);
desemnează drept supraveghetor principal pentru fiecare furnizor terț esențial de servicii TIC acea AES care este responsabilă, în conformitate cu Regulamentul (UE) nr. 1093/2010, (UE) nr. 1094/2010 sau (UE) nr. 1095/2010, de entitățile financiare care dețin împreună cea mai mare parte a activelor totale din valoarea activelor totale ale tuturor entităților financiare care utilizează serviciile furnizorului terț esențial de servicii TIC relevant, astfel cum reiese din suma bilanțurilor individuale ale entităților financiare respective.
Desemnarea prevăzută la alineatul (1) litera (a) se bazează pe toate criteriile următoare în ceea ce privește serviciile TIC furnizate de furnizorul terț de servicii TIC:
impactul sistemic asupra stabilității, continuității sau calității furnizării serviciilor financiare în situația în care furnizorul terț de servicii TIC relevant s-ar confrunta cu o defecțiune operațională la scară largă în ceea ce privește furnizarea serviciilor sale, ținând seama de numărul de entități financiare și de valoarea totală a activelor entităților financiare cărora furnizorul terț de servicii TIC relevant le oferă servicii;
caracterul sistemic sau importanța entităților financiare care se bazează pe furnizorul terț de servicii TIC relevant, evaluată în conformitate cu următorii parametri:
numărul de instituții de importanță sistemică globală (G-SII) sau de alte instituții de importanță sistemică (O-SII) care se bazează pe respectivul furnizor terț de servicii TIC;
interdependența dintre G-SII sau O-SII menționate la punctul (i) și alte entități financiare, inclusiv situațiile în care G-SII sau O-SII furnizează servicii de infrastructură financiară altor entități financiare;
dependența entităților financiare de serviciile furnizate de furnizorul terț de servicii TIC relevant în ceea ce privește funcțiile critice sau importante ale entităților financiare care implică, în ultimă instanță, același furnizor terț de servicii TIC, indiferent dacă entitățile financiare se bazează direct sau indirect pe aceste servicii, prin intermediul unor acorduri de subcontractare;
gradul de substituibilitate a furnizorului terț de servicii TIC, ținând seama de următorii parametri:
lipsa unor alternative reale, chiar și parțiale, având în vedere numărul limitat de furnizori terți de servicii TIC activi pe o anumită piață sau cota de piață deținută de furnizorul terț de servicii TIC relevant sau complexitatea tehnică ori gradul de sofisticare implicat, inclusiv în ceea ce privește orice tehnologie protejată, sau caracteristicile specifice ale modului de organizare sau ale activității furnizorului terț de servicii TIC;
dificultăți în ceea ce privește migrarea parțială sau integrală a datelor și a volumelor de lucru relevante de la furnizorul terț de servicii TIC relevant către un alt furnizor terț de servicii TIC, fie ca urmare a costurilor financiare semnificative, a timpului sau a altor resurse pe care le poate implica procesul de migrare, fie din cauza unor riscuri TIC sporite sau a altor riscuri operaționale la care poate fi expusă entitatea financiară prin intermediul unei astfel de migrări.
După ce a desemnat un furnizor terț de servicii TIC ca fiind esențial, AES, prin intermediul Comitetului comun, informează furnizorul terț de servicii TIC cu privire la această desemnare și cu privire la data de la care va începe să facă efectiv obiectul activităților de supraveghere. Data respectivă trebuie să fie la cel mult o lună de la momentul notificării. Furnizorul terț de servicii TIC informează entitățile financiare cărora le furnizează servicii cu privire la desemnarea sa drept esențial.
Desemnarea menționată la alineatul (1) litera (a) nu se aplică în ceea ce privește:
entitățile financiare care furnizează servicii TIC altor entități financiare;
furnizorii terți de servicii TIC care fac obiectul unor cadre de supraveghere instituite cu scopul de a sprijini misiunile menționate la articolul 127 alineatul (2) din Tratatul privind funcționarea Uniunii Europene;
furnizorii de servicii TIC intragrup;
furnizorii terți de servicii TIC care furnizează servicii TIC numai într-un stat membru unor entități financiare care își desfășoară activitatea numai în statul membru respectiv.
În scopul aplicării primului paragraf, furnizorul terț de servicii TIC transmite o cerere motivată către ABE, ESMA sau EIOPA care, prin intermediul Comitetului comun, decide dacă să desemneze respectivul furnizor terț de servicii TIC ca fiind esențial în conformitate cu alineatul (1) litera (a).
Decizia menționată la al doilea paragraf se adoptă și se notifică furnizorului terț de servicii TIC în termen de șase luni de la primirea cererii.
Articolul 32
Structura cadrului de supraveghere
Forumul de supraveghere discută periodic despre evoluțiile relevante cu privire la riscurile și vulnerabilitățile TIC și promovează o abordare consecventă în ceea ce privește monitorizarea riscurilor TIC generate de părți terțe la nivelul Uniunii.
Forumul de supraveghere este compus din:
președinții AES;
un reprezentant la nivel înalt provenind din personalul actual al autorității competente relevante menționate la articolul 46 din fiecare stat membru;
directorii executivi ai fiecărei AES și câte un reprezentant din partea Comisiei, CERS, BCE și ENISA, în calitate de observatori;
după caz, un reprezentant suplimentar al unei autorități competente menționate la articolul 46 din fiecare stat membru, în calitate de observator;
după caz, un reprezentant al autorităților competente desemnate sau instituite în conformitate cu Directiva (UE) 2022/2555 responsabile de supravegherea unei entități esențiale sau importante căreia i se aplică directiva respectivă și care a fost desemnată drept furnizor terț esențial de servicii TIC, în calitate de observator.
Forumul de supraveghere poate, după caz, să solicite avizul unor experți independenți numiți în conformitate cu alineatul (6).
AES publică pe site-ul lor lista reprezentanților la nivel înalt, provenind din personalul actual al autorității competente relevante, desemnați de statele membre.
Experții independenți sunt numiți pe baza cunoștințelor și experienței lor în materie de stabilitate financiară, reziliență operațională digitală și securitate TIC. Aceștia acționează independent și obiectiv în interesul exclusiv al Uniunii în ansamblul său și nu solicită și nu primesc instrucțiuni din partea instituțiilor sau a organelor Uniunii, din partea vreunui guvern al unui stat membru sau din partea vreunui alt organism public sau privat.
Articolul 33
Sarcinile supraveghetorului principal
Evaluarea menționată la primul paragraf se axează în principal pe serviciile TIC furnizate de furnizorul terț esențial de servicii TIC care sprijină funcțiile critice sau importante ale entităților financiare. Atunci când este necesar pentru a aborda toate riscurile relevante, evaluarea respectivă se extinde la serviciile TIC care sprijină alte funcții decât cele critice sau importante.
Evaluarea prevăzută la alineatul (2) cuprinde:
cerințele privind TIC pentru a asigura, în special, securitatea, disponibilitatea, continuitatea, scalabilitatea și calitatea serviciilor pe care furnizorul terț esențial de servicii TIC le furnizează entităților financiare, precum și capacitatea de a menține în permanență standarde înalte de disponibilitate, autenticitate, integritate sau confidențialitate a datelor;
securitatea fizică ce contribuie la asigurarea securității TIC, inclusiv securitatea sediilor, a instalațiilor, a centrelor de date;
procesele de gestionare a riscurilor, inclusiv politicile de gestionare a riscurilor TIC, politica de continuitate a activității TIC și planurile de răspuns și de recuperare în domeniul TIC;
mecanismele de guvernanță, inclusiv o structură organizatorică cu arii de responsabilitate și norme privind răspunderea clare, transparente și coerente, care permit gestionarea eficace a riscurilor TIC;
identificarea, monitorizarea și raportarea promptă a incidentelor semnificative legate de TIC către entitățile financiare, gestionarea și soluționarea acestor incidente, în special a atacurilor cibernetice;
mecanismele de portabilitate a datelor, de portabilitate a aplicațiilor și de interoperabilitate, care asigură exercitarea efectivă a drepturilor de încetare de către entitățile financiare;
testarea sistemelor, a infrastructurii și a controalelor TIC;
auditurile privind TIC;
utilizarea standardelor naționale și internaționale relevante aplicabile furnizării serviciilor sale TIC către entitățile financiare.
Înainte de adoptarea planului de supraveghere, supraveghetorul principal comunică proiectul planului de supraveghere furnizorului terț esențial de servicii TIC.
La primirea proiectului de plan de supraveghere, furnizorul terț esențial de servicii TIC poate prezenta, în termen de 15 zile calendaristice, o declarație motivată prin care să demonstreze impactul preconizat asupra clienților care sunt entități ce nu se încadrează în domeniul de aplicare al prezentului regulament și, după caz, să formuleze soluții pentru atenuarea riscurilor.
Articolul 34
Coordonarea operațională a supraveghetorilor principali
Articolul 35
Competențele supraveghetorului principal
În scopul îndeplinirii atribuțiilor care îi revin în temeiul prezentei secțiuni, supraveghetorul principal are următoarele competențe în ceea ce privește furnizorii terți esențiali de servicii TIC:
de a solicita toate informațiile și documentele relevante în conformitate cu articolul 37;
de a efectua investigații generale și inspecții în conformitate cu articolele 38 și, respectiv, 39;
de a solicita, după încheierea activităților de supraveghere, rapoarte în care se specifică acțiunile întreprinse sau măsurile de remediere care au fost puse în aplicare de furnizorii terți esențiali de servicii TIC în legătură cu recomandările menționate la litera (d) de la prezentul alineat;
de a emite recomandări privind domeniile menționate la articolul 33 alineatul (3), în special privind:
utilizarea unor cerințe sau procese specifice de securitate și calitate în domeniul TIC, în special în ceea ce privește introducerea de corecții, actualizări, criptări și alte măsuri de securitate pe care supraveghetorul principal le consideră relevante pentru asigurarea securității din perspectiva TIC a serviciilor furnizate entităților financiare;
utilizarea termenelor și condițiilor, inclusiv punerea în aplicare tehnică a acestora, potrivit cărora furnizorii terți esențiali de servicii TIC furnizează servicii TIC entităților financiare, pe care supraveghetorul principal le consideră relevante pentru prevenirea generării unor puncte unice de defecțiune sau a amplificării acestora sau pentru reducerea la minimum a impactului sistemic potențial la nivelul sectorului financiar al Uniunii în cazul unor riscuri de concentrare a serviciilor TIC;
orice subcontractare planificată, în cazul în care supraveghetorul principal consideră că subcontractarea în continuare, inclusiv acordurile de subcontractare pe care furnizorii terți esențiali de servicii TIC intenționează să le încheie cu furnizori terți de servicii TIC sau cu subcontractanți de servicii TIC stabiliți într-o țară terță, poate genera riscuri pentru furnizarea de servicii de către entitatea financiară sau riscuri pentru stabilitatea financiară, pe baza examinării informațiilor colectate în conformitate cu articolele 37 și 38;
abținerea de la încheierea unui nou acord de subcontractare, în cazul în care sunt îndeplinite următoarele condiții cumulative:
În scopul aplicării punctului (iv) de la prezenta literă, furnizorii terți de servicii TIC transmit informațiile privind subcontractarea supraveghetorului principal, utilizând modelul prevăzut la articolul 41 alineatul (1) litera (b).
Atunci când exercită competențele prevăzute la prezentul articol, supraveghetorul principal:
asigură o coordonare regulată în cadrul RSC și, în special, urmărește aplicarea unor abordări coerente, după caz, în ceea ce privește supravegherea furnizorilor terți esențiali de servicii TIC;
ține seama în mod corespunzător de cadrul instituit prin Directiva (UE) 2022/2555 și, atunci când este necesar, consultă autoritățile competente relevante desemnate sau instituite în conformitate cu directiva respectivă, pentru a evita suprapunerea măsurilor tehnice și organizatorice care s-ar putea aplica furnizorilor terți esențiali de servicii TIC în temeiul directivei respective;
urmărește să reducă la minimum, în măsura posibilului, riscul de perturbare a serviciilor furnizate de furnizori terți esențiali de servicii TIC unor clienți care sunt entități ce nu se încadrează în domeniul de aplicare al prezentului regulament.
Înainte de a emite recomandări în conformitate cu alineatul (1) litera (d), supraveghetorul principal îi oferă furnizorului terț de servicii TIC posibilitatea de a prezenta, în termen de 30 de zile calendaristice, informații relevante care să demonstreze impactul preconizat asupra clienților care sunt entități ce nu se încadrează în domeniul de aplicare al prezentului regulament și, după caz, să formuleze soluții pentru atenuarea riscurilor.
Cuantumul penalității cu titlu cominatoriu, calculat de la data prevăzută în decizia de impunere a penalității cu titlu cominatoriu, este de până la 1 % din cifra de afaceri zilnică medie globală a furnizorului terț esențial de servicii TIC din exercițiul financiar precedent. La stabilirea cuantumului penalității cu titlu cominatoriu, supraveghetorul principal ține seama de următoarele criterii referitoare la nerespectarea măsurilor prevăzute la alineatul (6):
gravitatea și durata neconformității;
dacă neconformitatea a fost săvârșită în mod intenționat sau din neglijență;
nivelul de cooperare al furnizorului terț de servicii TIC cu supraveghetorul principal.
În scopul aplicării primului paragraf, pentru a asigura o abordare coerentă, supraveghetorul principal efectuează consultări în cadrul RSC.
Dreptul la apărare al persoanelor care fac obiectul procedurii se respectă pe deplin pe durata acesteia. Furnizorul terț esențial de servicii TIC care face obiectul procedurii are dreptul de a avea acces la dosar, sub rezerva interesului legitim al altor persoane de a-și proteja secretele comerciale. Dreptul de acces la dosar nu se extinde și la informațiile confidențiale sau la documentele interne de lucru ale supraveghetorului principal.
Articolul 36
Exercitarea competențelor supraveghetorului principal în afara Uniunii
Atunci când obiectivele de supraveghere nu pot fi atinse prin intermediul interacțiunii cu filiala înființată potrivit dispozițiilor articolului 31 alineatul (12) sau prin exercitarea de activități de supraveghere la sedii situate în Uniune, supraveghetorul principal poate exercita competențele menționate la următoarele dispoziții, cu privire la orice sediu situat într-o țară terță care este deținut sau utilizat în orice mod în scopul furnizării de servicii către entități financiare din Uniune de către un furnizor terț esențial de servicii TIC, în legătură cu operațiunile, funcțiile sau serviciile sale comerciale, inclusiv orice birou, sediu, teren, clădire sau altă proprietate folosită cu scop administrativ, comercial sau operațional:
la articolul 35 alineatul (1) litera (a); și
la articolul 35 alineatul (1) litera (b), în conformitate cu articolul 38 alineatul (2) literele (a), (b) și (d) și articolul 39 alineatul (1) și alineatul (2) litera (a).
Competențele menționate la primul paragraf pot fi exercitate sub rezerva îndeplinirii tuturor condițiilor următoare:
supraveghetorul principal consideră că efectuarea unei inspecții într-o țară terță este necesară pentru a-i permite să își îndeplinească pe deplin și în mod eficace sarcinile care îi revin în temeiul prezentului regulament;
inspecția într-o țară terță este direct legată de furnizarea de servicii TIC unor entități financiare din Uniune;
furnizorul terț esențial de servicii TIC în cauză este de acord cu efectuarea unei inspecții într-o țară terță; și
autoritatea relevantă din țara terță în cauză a fost notificată oficial de supraveghetorul principal și nu a formulat nicio obiecție cu privire la aceasta.
Aceste acorduri de cooperare specifică cel puțin următoarele elemente:
procedurile privind coordonarea activităților de supraveghere desfășurate în temeiul prezentului regulament și orice monitorizare analoagă a riscurilor TIC generate de părți terțe în sectorul financiar efectuată de autoritatea relevantă din țara terță în cauză, inclusiv detaliile privind transmiterea acordului acesteia din urmă pentru a permite efectuarea, de către supraveghetorul principal și echipa desemnată de acesta, a investigațiilor generale și a inspecțiilor la fața locului menționate la alineatul (1) primul paragraf pe teritoriul aflat sub jurisdicția sa;
mecanismul de transmitere a oricăror informații relevante între ABE, ESMA sau EIOPA și autoritatea relevantă din țara terță în cauză, în special în legătură cu informațiile care pot fi solicitate de supraveghetorul principal în temeiul articolului 37;
mecanismele prin care se realizează notificarea promptă de către autoritatea relevantă din țara terță în cauză a ABE, ESMA sau EIOPA cu privire la cazurile în care se consideră că un furnizor terț de servicii TIC stabilit într-o țară terță și desemnat ca fiind esențial în conformitate cu articolul 31 alineatul (1) litera (a) a încălcat cerințele pe care este obligat să le respecte în temeiul dreptului aplicabil al țării terțe în cauză atunci când furnizează servicii unor instituții financiare din țara terță respectivă, precum și măsurile corective și sancțiunile aplicate;
transmiterea periodică de informații actualizate privind evoluțiile în materie de reglementare sau de supraveghere în ceea ce privește monitorizarea riscurilor TIC generate de părți terțe ale instituțiilor financiare din țara terță în cauză;
detaliile pentru a permite, dacă este necesar, participarea unui reprezentant al autorității competente din țara terță la inspecțiile efectuate de supraveghetorul principal și de echipa desemnată.
În cazul în care supraveghetorul principal nu este în măsură să desfășoare activitățile de supraveghere în afara Uniunii menționate la alineatele (1) și (2), supraveghetorul principal:
își exercită competențele prevăzute la articolul 35 pe baza tuturor faptelor și documentelor de care dispune;
documentează și explică orice consecință a imposibilității sale de a desfășura activitățile de supraveghere preconizate la care se referă prezentul articol.
Consecințele potențiale menționate la litera (b) de la prezentul alineat sunt luate în considerare în cadrul recomandărilor emise de supraveghetorul principal în temeiul articolului 35 alineatul (1) litera (d).
Articolul 37
Solicitarea de informații
Atunci când trimite o simplă solicitare de informații în temeiul alineatului (1), supraveghetorul principal:
face trimitere la prezentul articol ca temei juridic al solicitării sale;
menționează scopul solicitării;
specifică informațiile care sunt solicitate;
stabilește un termen pentru furnizarea informațiilor;
informează reprezentantul furnizorului terț esențial de servicii TIC de la care sunt solicitate informațiile cu privire la faptul că acesta nu este obligat să furnizeze informațiile, dar că, în cazul unui răspuns voluntar la solicitare, informațiile furnizate nu trebuie să fie incorecte sau să inducă în eroare.
Atunci când solicită printr-o decizie furnizarea de informații în temeiul alineatului (1), supraveghetorul principal:
face trimitere la prezentul articol ca temei juridic al solicitării sale;
menționează scopul solicitării;
specifică informațiile care sunt solicitate;
stabilește un termen pentru furnizarea informațiilor;
indică penalitățile cu titlu cominatoriu prevăzute la articolul 35 alineatul (6) în cazul în care informațiile solicitate sunt furnizate incomplet sau dacă aceste informații nu sunt furnizate în termenul menționat la litera (d) de la prezentul alineat;
indică dreptul de a contesta decizia în fața comisiei de apel a AES și de a solicita controlul legalității deciziei de către Curtea de Justiție a Uniunii Europene (denumită în continuare „Curtea de Justiție”), în conformitate cu articolele 60 și 61 din Regulamentele (UE) nr. 1093/2010, (UE) nr. 1094/2010 și (UE) nr. 1095/2010.
Articolul 38
Investigații generale
Supraveghetorul principal este abilitat:
să analizeze evidențele, datele, procedurile și orice alte materiale relevante pentru executarea atribuțiilor sale, indiferent de suportul pe care sunt stocate;
să facă sau să obțină copii certificate ale unor astfel de evidențe, date, documente care prevăd proceduri și ale oricăror alte materiale, precum și extrase din acestea;
să convoace reprezentanții furnizorului terț esențial de servicii TIC pentru explicații verbale sau scrise cu privire la fapte sau documente referitoare la obiectul și scopul investigației și să înregistreze răspunsurile;
să pună întrebări oricărei alte persoane fizice sau juridice care acceptă să i se pună întrebări în scopul colectării de informații referitoare la obiectul unei investigații;
să solicite înregistrări ale convorbirilor telefonice și ale traficului de date.
Autorizația respectivă indică, de asemenea, penalitățile cu titlu cominatoriu prevăzute la articolul 35 alineatul (6) aplicabile în cazul în care evidențele, datele, documentele care prevăd proceduri sau orice alte materiale solicitate sau răspunsurile la întrebările adresate reprezentanților furnizorului terț de servicii TIC nu sunt furnizate sau sunt incomplete.
Supraveghetorul principal comunică RSC toate informațiile primite în temeiul primului paragraf.
Articolul 39
Inspecții
În scopul exercitării competențelor menționate la primul paragraf, supraveghetorul principal consultă RSC.
Funcționarii și celelalte persoane autorizate de supraveghetorul principal să efectueze o inspecție la fața locului sunt abilitați:
să intre în orice astfel de sediu comercial, teren sau proprietate; și
să sigileze orice astfel de sediu comercial, registre sau evidențe, pe perioada inspecției și în măsura în care acest lucru este necesar pentru inspecție.
Funcționarii și celelalte persoane autorizate de supraveghetorul principal își exercită competențele pe baza prezentării unei autorizații scrise în care se specifică obiectul și scopul inspecției, precum și penalitățile cu titlu cominatoriu prevăzute la articolul 35 alineatul (6) în cazul în care reprezentanții furnizorilor terți esențiali de servicii TIC în cauză nu se supun inspecției.
Articolul 40
Supravegherea permanentă
Echipa de examinare comună menționată la alineatul (1) este formată din membri ai personalului:
AES;
autorităților competente relevante care supraveghează entitățile financiare cărora furnizorul terț esențial de servicii TIC le oferă servicii TIC;
autorității naționale competente menționate la articolul 32 alineatul (4) litera (e), pe bază de voluntariat;
unei autorități naționale competente din statul membru în care este stabilit furnizorul terț esențial de servicii TIC, pe bază de voluntariat.
Membrii echipei de examinare comună au cunoștințe de specialitate în domeniul TIC și în ceea ce privește riscurile operaționale. Echipa de examinare comună lucrează sub coordonarea unui membru desemnat al personalului supraveghetorului principal („coordonatorul supraveghetorului principal”).
În scopul executării activităților de supraveghere, supraveghetorul principal poate lua în considerare certificările relevante ale unei părți terțe și rapoartele de audit TIC intern sau extern ale unei părți terțe puse la dispoziție de furnizorul terț esențial de servicii TIC.
Articolul 41
Armonizarea condițiilor care permit desfășurarea activităților de supraveghere
AES elaborează, prin intermediul Comitetului comun, proiecte de standarde tehnice de reglementare pentru a preciza:
informațiile care trebuie furnizate de un furnizor terț de servicii TIC în cererea prin care solicită în mod voluntar să fie desemnați ca fiind esențiali în temeiul articolului 31 alineatul (11);
conținutul, structura și formatul informațiilor care trebuie transmise, comunicate sau raportate de furnizorii terți de servicii TIC în temeiul articolului 35 alineatul (1), inclusiv modelul pentru furnizarea informațiilor privind acordurile de subcontractare;
criteriile privind stabilirea componenței echipei de examinare comune, asigurând o participare echilibrată a membrilor personalului AES și a membrilor personalului autorităților competente relevante, precum și modul de desemnare, sarcinile și acordurile de lucru ale acestora;
detaliile evaluării efectuate de autoritățile competente cu privire la măsurile luate de furnizorii terți esențiali de servicii TIC pe baza recomandărilor supraveghetorului principal în conformitate cu articolul 42 alineatul (3).
Se deleagă Comisiei competența de a completa prezentul regulament prin adoptarea standardelor tehnice de reglementare menționate la alineatul (1), în conformitate cu procedura prevăzută la articolele 10-14 din Regulamentele (UE) nr. 1093/2010, (UE) nr. 1094/2010 și (UE) nr. 1095/2010.
Articolul 42
Acțiunile ulterioare întreprinse de autoritățile competente
Supraveghetorul principal informează furnizorul terț de servicii TIC cu privire la respectiva informare publică.
Atunci când gestionează riscuri TIC generate de părți terțe, entitățile financiare țin seama de riscurile menționate la primul paragraf.
La primirea rapoartelor menționate la articolul 35 alineatul (1) litera (c), autoritățile competente, atunci când iau o decizie în conformitate cu alineatul (6) de la prezentul articol, țin seama de tipul și de amploarea riscului care nu a fost contracarat de furnizorul terț esențial de servicii TIC, precum și de gravitatea neconformității, având în vedere următoarele criterii:
gravitatea și durata neconformității;
dacă neconformitatea a evidențiat deficiențe grave în ceea ce privește procedurile, sistemele de gestionare, gestionarea riscurilor și controalele interne ale furnizorului terț esențial de servicii TIC;
dacă prin neconformitate a fost facilitată sau ocazionată o infracțiune financiară sau dacă aceasta este imputabilă în alt mod neconformității;
dacă neconformitatea a fost intenționată sau este rezultatul unei neglijențe;
dacă suspendarea sau încetarea acordurilor contractuale dă naștere unui risc la adresa continuității activităților economice ale entității financiare în pofida eforturilor acesteia de a evita perturbarea furnizării serviciilor sale;
după caz, avizul autorităților competente desemnate sau instituite în conformitate cu Directiva (UE) 2022/2555 responsabile de supravegherea unei entități esențiale sau importante căreia i se aplică directiva respectivă și care a fost desemnată drept furnizor terț esențial de servicii TIC, aviz solicitat în mod voluntar în conformitate cu alineatul (5) de la prezentul articol.
Autoritățile competente le acordă entităților financiare perioada de timp necesară pentru a le permite să adapteze acordurile contractuale cu furnizorii terți esențiali de servicii TIC pentru a evita apariția unor efecte negative asupra rezilienței lor operaționale digitale și pentru a le permite să implementeze strategiile de ieșire și planurile de tranziție, astfel cum sunt menționate la articolul 28.
Furnizorii terți esențiali de servicii TIC vizați de deciziile prevăzute la alineatul (6) cooperează pe deplin cu entitățile financiare afectate, în special în contextul procesului de suspendare sau de încetare a acordurilor lor contractuale.
Articolul 43
Taxele de supraveghere
Cuantumul unei taxe percepute de la un furnizor terț esențial de servicii TIC acoperă toate costurile care decurg din efectuarea sarcinilor stabilite în prezenta secțiune și este proporțional cu cifra sa de afaceri.
Articolul 44
Cooperarea internațională
CAPITOLUL VI
Acorduri privind schimbul de informații
Articolul 45
Acorduri privind schimbul de informații referitoare la informații și date operative privind amenințările cibernetice
Entitățile financiare pot face schimb reciproc de informații și date operative privind amenințările cibernetice, inclusiv de indicatori de compromitere, tactici, tehnici și proceduri, alerte de securitate cibernetică și instrumente de configurare, în măsura în care aceste schimburi de informații și date operative:
vizează sporirea rezilienței operaționale digitale a entităților financiare, în special prin creșterea gradului de conștientizarea cu privire la amenințările cibernetice, limitarea sau împiedicarea capacității de propagare a amenințărilor cibernetice, sprijinirea capacităților de apărare, tehnicile de detectare a amenințărilor, strategiile de atenuare sau etapele proceselor de răspuns și de recuperare;
au loc în cadrul unor comunități de încredere ale entităților financiare;
sunt puse în aplicare prin intermediul unor acorduri privind schimbul de informații care protejează natura potențial sensibilă a informațiilor partajate și care sunt reglementate de norme de conduită care respectă pe deplin secretul comercial, protecția datelor cu caracter personal în conformitate cu Regulamentul (UE) 2016/679 și orientările privind politica în domeniul concurenței.
CAPITOLUL VII
Autoritățile competente
Articolul 46
Autoritățile competente
Fără a aduce atingere dispozițiilor privind cadrul de supraveghere pentru furnizorii terți esențiali de servicii TIC menționat în capitolul V secțiunea II din prezentul regulament, respectarea prezentului regulament este asigurată de următoarele autorități competente în conformitate cu prerogativele conferite prin actele juridice respective:
pentru instituțiile de credit și pentru instituțiile exceptate în temeiul Directivei 2013/36/UE, autoritatea competentă desemnată în conformitate cu articolul 4 din directiva respectivă, iar pentru instituțiile de credit clasificate ca fiind semnificative în conformitate cu articolul 6 alineatul (4) din Regulamentul (UE) nr. 1024/2013, BCE, în conformitate cu competențele și atribuțiile conferite prin regulamentul respectiv;
pentru instituțiile de plată, inclusiv instituțiile de plată exceptate în temeiul Directivei (UE) 2015/2366, instituțiile emitente de monedă electronică, inclusiv cele exceptate în temeiul Directivei 2009/110/CE, și prestatorii de servicii de informare cu privire la conturi menționați la articolul 33 alineatul (1) din Directiva (UE) 2015/2366, autoritatea competentă desemnată în conformitate cu articolul 22 din Directiva (UE) 2015/2366;
pentru firmele de investiții, autoritatea competentă desemnată în conformitate cu articolul 4 din Directiva (UE) 2019/2034 a Parlamentului European și a Consiliului ( 8 );
pentru furnizorii de servicii de criptoactive autorizați în temeiul Regulamentului privind piețele criptoactivelor și pentru emitenții de tokenuri raportate la active, autoritatea competentă desemnată în conformitate cu dispozițiile relevante din regulamentul respectiv;
pentru depozitarii centrali de titluri de valoare, autoritatea competentă desemnată în conformitate cu articolul 11 din Regulamentul (UE) nr. 909/2014;
pentru contrapărțile centrale, autoritatea competentă desemnată în conformitate cu articolul 22 din Regulamentul (UE) nr. 648/2012;
pentru locurile de tranzacționare și furnizorii de servicii de raportare a datelor, autoritatea competentă desemnată în conformitate cu articolul 67 din Directiva 2014/65/UE și autoritatea competentă definită la articolul 2 alineatul (1) punctul 18 din Regulamentul (UE) nr. 600/2014;
pentru registrele centrale de tranzacții, autoritatea competentă desemnată în conformitate cu articolul 22 din Regulamentul (UE) nr. 648/2012;
pentru administratorii de fonduri de investiții alternative, autoritatea competentă desemnată în conformitate cu articolul 44 din Directiva 2011/61/UE;
pentru societățile de administrare, autoritatea competentă desemnată în conformitate cu articolul 97 din Directiva 2009/65/CE;
pentru întreprinderile de asigurare și de reasigurare, autoritatea competentă desemnată în conformitate cu articolul 30 din Directiva 2009/138/CE;
pentru intermediarii de asigurări, intermediarii de reasigurări și intermediarii de asigurări auxiliare, autoritatea competentă desemnată în conformitate cu articolul 12 din Directiva (UE) 2016/97;
pentru instituțiile pentru furnizarea de pensii ocupaționale, autoritatea competentă desemnată în conformitate cu articolul 47 din Directiva (UE) 2016/2341;
pentru agențiile de rating de credit, autoritatea competentă desemnată în conformitate cu articolul 21 din Regulamentul (CE) nr. 1060/2009;
pentru administratorii de indici de referință critici, autoritatea competentă desemnată în conformitate cu articolele 40 și 41 din Regulamentul (UE) 2016/1011;
pentru furnizorii de servicii de finanțare participativă, autoritatea competentă desemnată în conformitate cu articolul 29 din Regulamentul (UE) 2020/1503;
pentru registrele centrale de securitizări, autoritatea competentă desemnată în conformitate cu articolul 10 și cu articolul 14 alineatul (1) din Regulamentul (UE) 2017/2402.
Articolul 47
Cooperarea cu structurile și autoritățile înființate prin Directiva (UE) 2022/2555
Articolul 48
Cooperarea între autorități
Articolul 49
Exerciții, comunicare și cooperare transsectoriale în domeniul financiar
Acestea pot elabora exerciții de gestionare a crizelor și pentru situații neprevăzute care implică scenarii de atacuri cibernetice, cu scopul de a dezvolta canale de comunicare și de a permite treptat un răspuns coordonat eficace la nivelul UE în cazul unui incident transfrontalier major legat de TIC sau al unei amenințări conexe cu un impact sistemic asupra sectorului financiar al Uniunii în ansamblu.
Exercițiile respective pot, după caz, să testeze și dependențele sectorului financiar de alte sectoare economice.
Articolul 50
Sancțiuni administrative și măsuri de remediere
Competențele menționate la alineatul (1) includ cel puțin următoarele:
competența de a avea acces la orice document sau date deținute sub orice formă pe care autoritatea competentă le consideră relevante pentru îndeplinirea sarcinilor sale și competența de a primi sau de a face o copie a acestora;
competența de a efectua inspecții la fața locului sau investigații, incluzând, printre altele, următoarele activități:
convocarea reprezentanților entităților financiare pentru explicații verbale sau scrise cu privire la fapte sau documente referitoare la obiectul și scopul investigației și înregistrarea răspunsurilor;
punerea de întrebări oricărei alte persoane fizice sau juridice care acceptă să i se pună întrebări în scopul colectării de informații referitoare la obiectul unei investigații;
competența de a solicita măsuri corective și de remediere pentru încălcările cerințelor prezentului regulament.
Aceste sancțiuni și măsuri sunt eficace, proporționale și disuasive.
Statele membre conferă autorităților competente competența de a aplica cel puțin următoarele sancțiuni administrative sau măsuri de remediere în cazul încălcării prezentului regulament:
emiterea unei dispoziții prin care i se cere persoanei fizice sau juridice să înceteze comportamentul care încalcă prezentul regulament și să se abțină de la repetarea comportamentului respectiv;
solicitarea încetării temporare sau permanente a oricărei practici sau a oricărui comportament în legătură cu care autoritatea competentă consideră că contravine dispozițiilor prezentului regulament și prevenirea repetării practicii sau a comportamentului în cauză;
adoptarea oricărui tip de măsură, inclusiv de natură pecuniară, pentru a asigura că entitățile financiare respectă în continuare cerințele legale;
solicitarea, în măsura în care dreptul intern permite acest lucru, a unor înregistrări existente ale schimburilor de date deținute de un operator de telecomunicații, atunci când există o suspiciune rezonabilă privind o încălcare a prezentului regulament și atunci când aceste înregistrări pot fi relevante pentru o investigație referitoare la încălcări ale prezentului regulament; și
emiterea unor anunțuri publice, inclusiv a unor declarații publice care indică identitatea persoanei fizice sau juridice și natura încălcării.
Articolul 51
Exercitarea competenței de a impune sancțiuni administrative și măsuri de remediere
Autoritățile competente își exercită competențele de a impune sancțiunile administrative și măsurile de remediere menționate la articolul 50 în conformitate cu cadrele lor juridice naționale, dacă este cazul, după cum urmează:
în mod direct;
în colaborare cu alte autorități;
sub responsabilitate proprie prin delegare către alte autorități; sau
prin sesizarea autorităților judiciare competente.
La stabilirea tipului și a nivelului unei sancțiuni administrative sau al unei măsuri de remediere care urmează să fie impuse în temeiul articolului 50, autoritățile competente iau în considerare măsura în care încălcarea este intenționată sau rezultă din neglijență și toate celelalte circumstanțe relevante, inclusiv, după caz, următoarele elemente:
importanța semnificativă, gravitatea și durata încălcării;
gradul de responsabilitate al persoanei fizice sau juridice responsabile de încălcare;
soliditatea financiară a persoanei fizice sau juridice responsabile;
importanța profiturilor obținute sau a pierderilor evitate de către persoana fizică sau juridică responsabilă, în măsura în care acestea pot fi determinate;
pierderile suferite de terți în urma respectivei încălcări, în măsura în care acestea pot fi determinate;
nivelul de cooperare cu autoritatea competentă a persoanei fizice sau juridice responsabile, fără a aduce atingere necesității de a asigura confiscarea profiturilor obținute sau a pierderilor evitate de persoana fizică sau juridică respectivă;
încălcările anterioare comise de persoana fizică sau juridică responsabilă.
Articolul 52
Sancțiuni penale
Articolul 53
Obligații de notificare
Statele membre notifică actele cu putere de lege și actele administrative de punere în aplicare a prezentului capitol, inclusiv orice dispoziții relevante de drept penal, Comisiei, ESMA, ABE și EIOPA până la 17 ianuarie 2025. Statele membre înștiințează fără întârzieri nejustificate Comisia, ESMA, ABE și EIOPA cu privire la orice modificare ulterioară a acestor acte.
Articolul 54
Publicarea sancțiunilor administrative
În cazul în care autoritatea competentă, în urma unei evaluări de la caz la caz, consideră că publicarea identității, în cazul persoanelor juridice, sau a identității și a datelor cu caracter personal, în cazul persoanelor fizice, ar fi disproporționată, comportând riscuri cu privire la protecția datelor cu caracter personal, ar pune în pericol stabilitatea piețelor financiare sau desfășurarea unei anchete penale în curs sau ar cauza, în măsura în care acestea pot fi determinate, prejudicii disproporționate persoanei implicate, aceasta adoptă una dintre următoarele soluții în ceea ce privește decizia de impunere a unei sancțiuni administrative:
amână publicarea sa până când toate motivele pentru nepublicare încetează;
publică decizia menținând anonimatul persoanei în cauză, în conformitate cu dreptul intern; sau
se abține de la publicarea acesteia, în cazul în care opțiunile prevăzute la literele (a) și (b) sunt considerate insuficiente pentru a garanta lipsa oricărui pericol pentru stabilitatea piețelor financiare sau în cazul în care o astfel de publicare nu ar fi proporțională cu clemența sancțiunii impuse.
Articolul 55
Secretul profesional
Articolul 56
Protecția datelor
CAPITOLUL VIII
Acte delegate
Articolul 57
Exercitarea delegării de competențe
CAPITOLUL IX
Dispoziții tranzitorii și finale
Articolul 58
Clauza de reexaminare
Până la 17 ianuarie 2028, după ce se consultă cu AES și CERS, după caz, Comisia efectuează o reexaminare și prezintă un raport Parlamentului European și Consiliului, însoțit, dacă este cazul, de o propunere legislativă. Reexaminarea include cel puțin următoarele aspecte:
criteriile pentru desemnarea furnizorilor terți esențiali de servicii TIC în conformitate cu articolul 31 alineatul (2);
caracterul voluntar al notificării amenințărilor cibernetice semnificative menționat la articolul 19;
regimul menționat la articolul 31 alineatul (12) și competențele supraveghetorului principal prevăzute la articolul 35 alineatul (1) litera (d) punctul (iv) prima liniuță, în vederea evaluării eficacității dispozițiilor respective în ceea ce privește asigurarea unei supravegheri eficace a furnizorilor terți esențiali de servicii TIC stabiliți într-o țară terță și necesitatea de a înființa o filială în Uniune.
În scopul aplicării primului paragraf de la prezenta literă, reexaminarea include o analiză a regimului menționat la articolul 31 alineatul (12), inclusiv a condițiilor de acces al entităților financiare din Uniune la servicii din țări terțe și a disponibilității unor astfel de servicii pe piața Uniunii, și ține seama de evoluția piețelor serviciilor care fac obiectul prezentului regulament, de experiența practică a entităților financiare și a supraveghetorilor financiari în ceea ce privește aplicarea și, respectiv, supravegherea regimului respectiv, precum și de orice evoluții relevante în materie de reglementare și de supraveghere care au loc la nivel internațional;
oportunitatea includerii în domeniul de aplicare al prezentului regulament a entităților financiare menționate la articolul 2 alineatul (3) litera (e) care recurg la sisteme de vânzări automatizate, ținând seama de evoluțiile viitoare ale pieței în ceea ce privește utilizarea unor astfel de sisteme;
funcționarea și eficacitatea RSC în ceea ce privește sprijinirea coerenței supravegherii și a eficienței schimbului de informații în interiorul cadrului de supraveghere.
Pe baza respectivului raport de reexaminare și după consultarea AES, BCE și CERS, Comisia poate prezenta, dacă este cazul și ca parte a propunerii legislative pe care o poate adopta în temeiul articolului 108 al doilea paragraf din Directiva (UE) 2015/2366, o propunere urmărind să asigure faptul că toți operatorii sistemelor de plată și entitățile implicate în activitățile de prelucrare a plăților fac obiectul unei supravegheri adecvate, ținând seama în același timp de supravegherea existentă din partea băncilor centrale.
Articolul 59
Modificarea Regulamentului (CE) nr. 1060/2009
Regulamentul (CE) nr. 1060/2009 se modifică după cum urmează:
În anexa I secțiunea A punctul 4, primul paragraf se înlocuiește cu următorul text:
„Agenția de rating de credit dispune de proceduri contabile și administrative sigure, de mecanisme de control intern, de tehnici eficiente de evaluare a riscurilor și de dispozitive eficiente de control și de salvgardare pentru gestionarea sistemelor TIC în conformitate cu Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului ( *1 ).
În anexa III, punctul 12 se înlocuiește cu următorul text:
Agenția de rating de credit încalcă articolul 6 alineatul (2), coroborat cu punctul 4 din anexa I secțiunea A, prin faptul că nu dispune de proceduri contabile sau administrative sigure, de mecanisme de control intern, de proceduri eficiente de evaluare a riscurilor sau de dispozitive eficiente de control și de salvgardare pentru gestionarea sistemelor TIC în conformitate cu Regulamentul (UE) 2022/2554 sau prin faptul că nu pune în aplicare sau nu menține proceduri decizionale ori structuri organizaționale în conformitate cu punctul respectiv.”
Articolul 60
Modificarea Regulamentului (UE) nr. 648/2012
Regulamentul (UE) nr. 648/2012 se modifică după cum urmează:
Articolul 26 se modifică după cum urmează:
alineatul (3) se înlocuiește cu următorul text:
alineatul (6) se elimină.
Articolul 34 se modifică după cum urmează:
alineatul (1) se înlocuiește cu următorul text:
la alineatul (3), primul paragraf se înlocuiește cu următorul text:
La articolul 56 alineatul (3), primul paragraf se înlocuiește cu următorul text:
La articolul 79, alineatele (1) și (2) se înlocuiesc cu următorul text:
La articolul 80, alineatul (1) se elimină.
În anexa I, secțiunea II se modifică după cum urmează:
literele (a) și (b) se înlocuiesc cu următorul text:
un registru central de tranzacții încalcă articolul 79 alineatul (1) dacă nu identifică sursele de risc operațional și nu reduce la minimum riscurile respective prin dezvoltarea unor sisteme, mijloace de control și proceduri adecvate, inclusiv sisteme TIC gestionate în conformitate cu Regulamentul (UE) 2022/2554;
un registru central de tranzacții încalcă articolul 79 alineatul (2) dacă nu prevede, nu aplică sau nu menține o politică adecvată de continuitate a activității și un plan adecvat de redresare în caz de dezastru instituite în conformitate cu Regulamentul (UE) 2022/2554, cu scopul de a asigura menținerea funcțiilor sale, reluarea rapidă a operațiunilor și îndeplinirea obligațiilor;”;
litera (c) se elimină.
Anexa III se modifică după cum urmează:
secțiunea II se modifică după cum urmează:
litera (c) se înlocuiește cu următorul text:
CPC de nivel 2 încalcă articolul 26 alineatul (3) dacă nu mențin sau nu utilizează o structură organizatorică care să asigure continuitatea și funcționarea corespunzătoare în cursul prestării serviciilor și al desfășurării activităților lor sau dacă nu utilizează sisteme, resurse sau proceduri adecvate și proporționale, inclusiv sisteme TIC gestionate în conformitate cu Regulamentul (UE) 2022/2554”;
litera (f) se elimină;
în secțiunea III, litera (a) se înlocuiește cu următorul text:
CPC de nivel 2 încalcă articolul 34 alineatul (1) dacă nu prevăd, aplică sau mențin o politică adecvată de continuitate a activității și un plan adecvat de răspuns și de recuperare instituite în conformitate cu Regulamentul (UE) 2022/2554, cu scopul de a asigura conservarea funcțiilor lor, reluarea rapidă a operațiunilor și îndeplinirea obligațiilor CPC, care să permită cel puțin reluarea tuturor tranzacțiilor aflate în curs în momentul întreruperii, astfel încât CPC să poată continua să funcționeze în condiții de certitudine și să efectueze decontarea la data stabilită;”.
Articolul 61
Modificarea Regulamentului (UE) nr. 909/2014
Articolul 45 din Regulamentul (UE) nr. 909/2014 se modifică după cum urmează:
Alineatul (1) se înlocuiește cu următorul text:
Alineatul (2) se elimină.
Alineatele (3) și (4) se înlocuiesc cu următorul text:
Alineatul (6) se înlocuiește cu următorul text:
La alineatul (7), primul paragraf se înlocuiește cu următorul text:
Articolul 62
Modificarea Regulamentului (UE) nr. 600/2014
Regulamentul (UE) nr. 600/2014 se modifică după cum urmează:
Articolul 27g se modifică după cum urmează:
alineatul (4) se înlocuiește cu următorul text:
APA respectă cerințele privind securitatea rețelelor și a sistemelor informatice prevăzute în Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului ( *4 ).
la alineatul (8), litera (c) se înlocuiește cu următorul text:
cerințele organizatorice concrete prevăzute la alineatele (3) și (5).”
Articolul 27h se modifică după cum urmează:
alineatul (5) se înlocuiește cu următorul text:
la alineatul (8), litera (e) se înlocuiește cu următorul text:
cerințele organizatorice concrete prevăzute la alineatul (4).”
Articolul 27i se modifică după cum urmează:
alineatul (3) se înlocuiește cu următorul text:
la alineatul (5), litera (b) se înlocuiește cu următorul text:
cerințele organizatorice concrete prevăzute la alineatele (2) și (4).”
Articolul 63
Modificarea Regulamentului (UE) 2016/1011
La articolul 6 din Regulamentul (UE) 2016/1011 se adaugă următorul alineat:
Pentru indicii de referință critici, administratorul dispune de proceduri administrative și contabile sigure, de mecanisme de control intern, de proceduri eficace de evaluare a riscurilor și de mecanisme eficiente de control și de salvgardare pentru gestionarea sistemelor TIC în conformitate cu Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului ( *5 ).
Articolul 64
Intrarea în vigoare și aplicarea
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Se aplică de la 17 ianuarie 2025.
Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.
( 1 ) Directiva 2009/65/CE a Parlamentului European și a Consiliului din 13 iulie 2009 de coordonare a actelor cu putere de lege și a actelor administrative privind organismele de plasament colectiv în valori mobiliare (OPCVM) (JO L 302, 17.11.2009, p. 32).
( 2 ) Regulamentul (UE) nr. 575/2013 al Parlamentului European și al Consiliului din 26 iunie 2013 privind cerințele prudențiale pentru instituțiile de credit și de modificare a Regulamentului (UE) nr. 648/2012 (JO L 176, 27.6.2013, p. 1).
( 3 ) Regulamentul (UE) 2019/2033 al Parlamentului European și al Consiliului din 27 noiembrie 2019 privind cerințele prudențiale ale firmelor de investiții și de modificare a Regulamentelor (UE) nr. 1093/2010, (UE) nr. 575/2013, (UE) nr. 600/2014 și (UE) nr. 806/2014 (JO L 314, 5.12.2019, p. 1).
( 4 ) Directiva (UE) 2016/97 a Parlamentului European și a Consiliului din 20 ianuarie 2016 privind distribuția de asigurări (JO L 26, 2.2.2016, p. 19).
( 5 ) Regulamentul (UE) 2020/1503 al Parlamentului European și al Consiliului din 7 octombrie 2020 privind furnizorii europeni de servicii de finanțare participativă pentru afaceri și de modificare a Regulamentului (UE) 2017/1129 și a Directivei (UE) 2019/1937 (JO L 347, 20.10.2020, p. 1).
( 6 ) Regulamentul (UE) 2017/2402 al Parlamentului European și al Consiliului din 12 decembrie 2017 de stabilire a unui cadru general privind securitizarea și de creare a unui cadru specific pentru o securitizare simplă, transparentă și standardizată, și de modificare a Directivelor 2009/65/CE, 2009/138/CE și 2011/61/UE, precum și a Regulamentelor (CE) nr. 1060/2009 și (UE) nr. 648/2012 (JO L 347, 28.12.2017, p. 35).
( 7 ) Regulamentul (UE) nr. 806/2014 al Parlamentului European și al Consiliului din 15 iulie 2014 de stabilire a unor norme uniforme și a unei proceduri uniforme de rezoluție a instituțiilor de credit și a anumitor firme de investiții în cadrul unui mecanism unic de rezoluție și al unui fond unic de rezoluție și de modificare a Regulamentului (UE) nr. 1093/2010 (JO L 225, 30.7.2014, p. 1).
( 8 ) Directiva (UE) 2019/2034 a Parlamentului European și a Consiliului din 27 noiembrie 2019 privind supravegherea prudențială a firmelor de investiții și de modificare a Directivelor 2002/87/CE, 2009/65/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE și 2014/65/UE (JO L 314, 5.12.2019, p. 64).
( 9 ) Directiva 2006/43/CE a Parlamentului European și a Consiliului din 17 mai 2006 privind auditul legal al conturilor anuale și al conturilor consolidate, de modificare a Directivelor 78/660/CEE și 83/349/CEE ale Consiliului și de abrogare a Directivei 84/253/CEE a Consiliului (JO L 157, 9.6.2006, p. 87).
( *1 ) Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1011 (JO L 333, 27.12.2022, p. 1).”
( *2 ) Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1011 (JO L 333, 27.12.2022, p. 1).”;
( *3 ) Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1011 (JO L 333, 27.12.2022, p. 1).”
( *4 ) Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1011 (JO L 333, 27.12.2022, p. 1).”;
( *5 ) Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1011 (JO L 333, 27.12.2022, p. 1).”