(1)

Uniunea trebuie să abordeze în mod adecvat și cuprinzător riscurile digitale pentru toate entitățile financiare care rezultă dintr-o utilizare sporită a tehnologiei informației și comunicațiilor (TIC) în furnizarea și consumul de servicii financiare, contribuind astfel la realizarea potențialului finanțelor digitale în ceea ce privește stimularea inovării și promovarea concurenței într-un mediu digital sigur.

(2)

Entitățile financiare depind în mare măsură de utilizarea tehnologiilor digitale în activitatea lor de zi cu zi. Prin urmare, este extrem de important să se asigure reziliența operațională a operațiunilor lor digitale împotriva riscurilor TIC. Această necesitate a devenit și mai stringentă ca urmare a creșterii tehnologiilor inovatoare de pe piață, în special a tehnologiilor care permit transferul și stocarea electronică a reprezentărilor digitale ale valorii sau ale drepturilor, utilizând un registru distribuit sau o tehnologie similară (criptoactive), și a serviciilor asociate acestor active.

(3)

La nivelul Uniunii, cerințele privind gestionarea riscurilor TIC pentru sectorul financiar sunt prevăzute în prezent în Directivele 2009/65/CE (4), 2009/138/CE (5), 2011/61/UE (6), 2013/36/UE (7), 2014/59/UE (8), 2014/65/UE (9), (UE) 2015/2366 (10) și (UE) 2016/2341 (11) ale Parlamentului European și ale Consiliului.

Respectivele cerințe sunt diverse și, uneori, incomplete. În unele cazuri, riscurile TIC au fost abordate doar în mod implicit ca parte a riscurilor operaționale, în timp ce în alte cazuri nu au fost abordate deloc. Aceste aspecte ar trebui să fie remediate prin adoptarea Regulamentului (UE) 2022/2554 al Parlamentului European și al Consiliului (12). Prin urmare, respectivele directive ar trebui să fie modificate, pentru a se asigura consecvența cu respectivul regulament. Prezenta directivă conține un set de modificări care sunt necesare pentru a asigura claritatea și consecvența juridică în ceea ce privește diferitele cerințe în materie de reziliență operațională digitală pe care entitățile financiare autorizate și supravegheate le aplică în conformitate cu directivele respective și care sunt necesare pentru exercitarea activităților lor și în furnizarea de servicii, garantând astfel buna funcționare a pieței interne. Este necesar să se asigure caracterul adecvat al cerințelor respective în raport cu evoluțiile pieței, încurajând în același timp proporționalitatea, în special în ceea ce privește dimensiunea entităților financiare și regimurile specifice care se aplică acestora, cu scopul de a reduce costurile de conformitate.

(4)

În domeniul serviciilor bancare, Directiva 2013/36/UE stabilește în prezent doar norme generale de guvernanță internă și dispoziții privind riscurile operaționale care conțin cerințe referitoare la planurile de intervenție și de continuitate a activității care servesc în mod implicit drept bază pentru abordarea riscurilor TIC. Cu toate acestea, pentru a aborda riscurile TIC în mod explicit și clar, cerințele privind planurile de intervenție și de continuitate a activității ar trebui să fie modificate pentru a include și planuri de continuitate a activității, precum și planuri de răspuns și de recuperare referitoare la riscurile TIC, în conformitate cu cerințele stabilite în Regulamentul (UE) 2022/2554. În plus, riscurile TIC sunt incluse doar implicit, ca parte a riscurilor operaționale, în procesul de supraveghere și evaluare (SREP), efectuat de autoritățile competente, iar criteriile de evaluare a acestora sunt definite în prezent în Ghidul privind evaluarea riscurilor asociate TIC în cadrul procesului de supraveghere și evaluare (SREP), publicat de Autoritatea europeană de supraveghere (Autoritatea Bancară Europeană,ABE), instituită prin Regulamentul (UE) nr. 1093/2010 al Parlamentului European și al Consiliului (13). Pentru a asigura claritate juridică și faptul că autoritățile de supraveghere bancară identifică în mod eficace riscurile TIC și monitorizează gestionarea acestora de către entitățile financiare în conformitate cu noul cadru privind reziliența operațională digitală, domeniul de aplicare al SREP ar trebui să fie de asemenea modificat pentru a trimite explicit la cerințele din Regulamentul (UE) 2022/2554 și pentru a acoperi în special riscurile evidențiate de rapoartele privind incidentele majore legate de TIC și de rezultatele testelor de reziliență operațională digitală efectuate de entități financiare în conformitate cu regulamentul menționat.

(5)

Reziliența operațională digitală este esențială pentru menținerea funcțiilor critice și a liniilor de activitate esențiale ale unei entități financiare în caz de rezoluție, evitându-se astfel perturbarea economiei reale și a sistemului financiar. Incidentele operaționale majore pot afecta capacitatea unei entități financiare de a continua să funcționeze și pot pune în pericol obiectivele de rezoluție. Anumite acorduri contractuale privind utilizarea serviciilor TIC sunt esențiale pentru a asigura continuitatea operațională și pentru a furniza datele necesare în caz de rezoluție. Pentru a se alinia la obiectivele cadrului Uniunii pentru reziliența operațională, Directiva 2014/59/UE ar trebui modificată în consecință pentru a garanta că informațiile privind reziliența operațională sunt luate în considerare în contextul planificării rezoluției și al evaluării posibilității de rezoluție a entităților financiare.

(6)

Directiva 2014/65/UE stabilește norme mai stricte în materie de riscuri TIC pentru firmele de investiții și locurile de tranzacționare care sunt implicate în tranzacționări algoritmice. În cazul serviciilor de raportare a datelor și al registrelor centrale de tranzacții se aplică cerințe mai puțin detaliate. De asemenea, Directiva 2014/65/UE conține doar trimiteri limitate la măsurile de control și de protecție pentru sistemele de prelucrare a informațiilor și la utilizarea unor sisteme, resurse și proceduri adecvate pentru a asigura continuitatea și regularitatea serviciilor destinate întreprinderilor. În plus, directiva respectivă ar trebui aliniată cu Regulamentul (UE) 2022/2554 în ceea ce privește continuitatea și regularitatea furnizării serviciilor de investiții și în desfășurarea activităților de investiții, reziliența operațională, capacitatea sistemelor de tranzacționare și eficacitatea mecanismelor de asigurare a continuității activității și a gestionării riscurilor.

(7)

Directiva (UE) 2015/2366 stabilește norme specifice privind controalele de securitate și elementele de atenuare a riscurilor TIC în scopul obținerii unei autorizări pentru prestarea de servicii de plată. Respectivele norme de autorizare ar trebui să fie modificate în vederea alinierii lor la Regulamentul (UE) 2022/2554. În plus, pentru a reduce sarcina administrativă și pentru a evita complexitatea și suprapunerea cerințelor de raportare, normele privind raportarea incidentelor prevăzute în directiva respectivă ar trebui să înceteze să se aplice prestatorilor de servicii de plată care sunt reglementați în temeiul directivei respective și care fac simultan obiectul Regulamentului (UE) 2022/2554, pentru a permite respectivilor prestatori de servicii de plată să beneficieze de un mecanism unic, pe deplin armonizat de raportare a incidentelor în ceea ce privește toate incidentele operaționale sau de securitate legate de plăți, indiferent dacă astfel de incidente sunt legate de TIC sau nu.

(8)

Directiva 2009/138/CE și Directiva (UE) 2016/2341 acoperă parțial riscurile TIC în cadrul dispozițiilor lor generale privind guvernanța și gestionarea riscurilor, urmând ca anumite cerințe să fie precizate prin acte delegate, cu sau fără trimiteri specifice la riscurile TIC. În mod similar, administratorilor de fonduri de investiții alternative care fac obiectul Directivei 2011/61/UE și societăților de administrare care fac obiectul Directivei 2009/65/CE li se aplică doar norme foarte generale. Prin urmare, directivele menționate ar trebui să fie aliniate cu cerințele prevăzute în Regulamentul (UE) 2022/2554 în ceea ce privește gestionarea sistemelor și a instrumentelor TIC.

(9)

În multe cazuri, cerințe suplimentare privind riscurile TIC au fost deja stabilite în acte delegate și de punere în aplicare, adoptate pe baza proiectelor de standarde tehnice de reglementare și pe baza proiectelor de standarde tehnice de punere în aplicare elaborate de către autoritatea europeană de supraveghere competentă. Întrucât dispozițiile Regulamentului (UE) 2022/2554 constituie, de acum înainte, cadrul juridic privind riscurile TIC în sectorul financiar, anumite delegări de competențe pentru adoptarea actelor delegate și a actelor de punere în aplicare prevăzute în Directivele 2009/65/CE, 2009/138/CE, 2011/61/UE și 2014/65/UE ar trebui să fie modificate pentru a elimina dispozițiile privind riscurile TIC din domeniul de aplicare al respectivelor delegări de competențe.

(10)

Pentru a se asigura o punere în aplicare coerentă a noului cadru privind reziliența operațională digitală pentru sectorul financiar, statele membre ar trebui să aplice dispozițiile de drept intern care transpun prezenta directivă de la data aplicării Regulamentului (UE) 2022/2554.

(11)

Directivele 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 și (UE) 2016/2341 au fost adoptate în temeiul articolului 53 alineatul (1) sau al articolului 114 din Tratatul privind funcționarea Uniunii Europene (TFUE), sau al ambelor articole. Modificările din prezenta directivă au fost incluse într-un act legislativ unic, având în vedere interconectarea dintre obiectul și obiectivele modificărilor. Prin urmare, prezenta directivă ar trebui să fie adoptată atât în temeiul articolului 53 alineatul (1), cât și al articolului 114 din TFUE.

(12)

Întrucât obiectivele prezentei directive nu pot fi realizate în mod satisfăcător de către statele membre, deoarece presupun armonizarea cerințelor deja cuprinse în directive, dar, având în vedere amploarea și efectele acțiunii, pot fi realizate mai bine la nivelul Uniunii, aceasta poate adopta măsuri, în conformitate cu principiul subsidiarității, astfel cum este prevăzut la articolul 5 din Tratatul privind Uniunea Europeană. În conformitate cu principiul proporționalității, astfel cum este prevăzut la articolul respectiv, prezenta directivă nu depășește ceea ce este necesar pentru atingerea obiectivelor respective.

(13)

În conformitate cu Declarația politică comună din 28 septembrie 2011 a statelor membre și a Comisiei privind documentele explicative (14), statele membre s-au angajat ca, în cazuri justificate, să transmită alături de notificarea măsurilor lor de transpunere și unul sau mai multe documente care să explice relația dintre componentele unei directive și părțile corespunzătoare din instrumentele naționale de transpunere. În ceea ce privește prezenta directivă, legiuitorul consideră că este justificată transmiterea unor astfel de documente,