COMISIA EUROPEANĂ
Bruxelles, 24.9.2020
COM(2020) 596 final
2020/0268(COD)
Propunere de
DIRECTIVĂ A PARLAMENTULUI EUROPEAN ȘI A CONSILIULUI
de modificare a Directivelor 2006/43/CE, 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 și (UE) 2016/2341
(Text cu relevanță pentru SEE)
{SEC(2020) 309 final} - {SWD(2020) 203 final} - {SWD(2020) 204 final}
EXPUNERE DE MOTIVE
1.CONTEXTUL PROPUNERII
·Temeiurile și obiectivele propunerii
Prezenta propunere face parte dintr-un pachet de măsuri menite să faciliteze și să sprijine în continuare potențialul finanțelor digitale în ceea ce privește inovarea și concurența, concomitent cu reducerea riscurilor. Propunerea reflectă prioritățile Comisiei de a pregăti Europa pentru era digitală și de a construi o economie capabilă să facă față provocărilor viitorului și aflată în serviciul cetățenilor. Pachetul privind finanțele digitale include o nouă strategie privind finanțele digitale pentru sectorul financiar al UE 1 , care urmărește să asigure faptul că UE îmbrățișează revoluția digitală și că este, datorită firmelor inovatoare din Europa, în fruntea acesteia, punând beneficiile finanțelor digitale la dispoziția consumatorilor și a întreprinderilor europene. În plus față de prezenta propunere, pachetul include și o propunere de regulament privind piețele criptoactivelor 2 , o propunere de regulament privind un regimpilot pentru infrastructurile pieței bazate pe tehnologia registrelor distribuite („distributed ledger technology”, DLT) 3 și o propunere de regulament privind reziliența operațională digitală pentru sectorul financiar 4 .
Motivele și obiectivele celor două seturi de măsuri legislative au fost stabilite în expunerile de motive ale propunerii de regulament privind un regim-pilot pentru infrastructurile pieței bazate pe tehnologia registrelor distribuite, ale propunerii de regulament privind piețele criptoactivelor și, respectiv, ale propunerii de regulament privind reziliența operațională digitală, și se aplică și în acest caz. Motivele specifice ale prezentei propuneri de directivă se referă la faptul că, pentru a oferi securitate juridică în ceea ce privește criptoactivele și pentru a atinge obiectivele de consolidare a rezilienței operaționale digitale, trebuie să se stabilească o exceptare temporară pentru sistemele multilaterale de tranzacționare și să se modifice sau să se clarifice anumite dispoziții din directivele existente ale UE privind serviciile financiare.
·Coerența cu dispozițiile deja existente în domeniul de politică vizat
Prezenta propunere, similară propunerilor de regulament pe care le însoțește, face parte dintro activitate mai amplă aflată în curs de desfășurare la nivel european și internațional, care vizează (i) consolidarea securității cibernetice în domeniul serviciilor financiare și abordarea riscurilor operaționale mai ample și (ii) furnizarea unui cadru juridic al UE clar, proporționat și favorabil pentru furnizorii de servicii de criptoactive.
·Coerența cu alte domenii de politică a Uniunii
După cum a afirmat președinta von der Leyen în orientările sale politice 5 și după cum s-a stabilit în comunicarea intitulată „Conturarea viitorului digital al Europei” 6 , este esențial ca Europa să valorifice toate oportunitățile erei digitale și să își consolideze capacitatea industrială și de inovare, fără a se transgresa însă limitele siguranței și ale eticii.
În ceea ce privește criptoactivele, prezenta propunere este strâns legată de politicile mai ample ale Comisiei privind tehnologia blockchain, întrucât criptoactivele, ca principală aplicație a tehnologiilor blockchain, sunt legate în mod indisolubil de promovarea tehnologiei blockchain în întreaga Europă.
În ceea ce privește reziliența operațională, strategia europeană privind datele 7 stabilește patru piloni – protecția datelor, drepturile fundamentale, siguranța și securitatea cibernetică – drept condiții prealabile esențiale pentru o societate bazată pe utilizarea datelor. Un cadru legislativ care consolidează reziliența operațională digitală a entităților financiare ale Uniunii este în concordanță cu aceste obiective de politică. Propunerea ar sprijini, de asemenea, politicile care vizează redresarea în urma crizei provocate de pandemia de coronavirus, întrucât ar asigura faptul că utilizarea tot mai intensă a finanțării digitale merge mână în mână cu reziliența operațională. Ambele propuneri răspund, de asemenea, invitațiilor din partea Forumului la nivel înalt privind uniunea piețelor de capital (UPC) de a stabili norme clare pentru utilizarea criptoactivelor (recomandarea 7) și de a institui noi norme privind reziliența cibernetică (recomandarea 10) 8 .
2. TEMEI JURIDIC, SUBSIDIARITATE ȘI PROPORȚIONALITATE
·Temeiul juridic
Prezenta propunere de directivă se întemeiază pe articolul 53 alineatul (1) și pe articolul 114 din TFUE.
·Subsidiaritatea (în cazul competențelor neexclusive)
A se vedea expunerile de motive ale propunerilor de regulament privind piețele criptoactivelor, regimul temporar privind infrastructurile pieței bazate pe tehnologia registrelor distribuite și reziliența operațională digitală.
·Proporționalitatea
A se vedea expunerile de motive ale propunerilor de regulament privind piețele criptoactivelor, regimul temporar privind infrastructurile pieței bazate pe tehnologia registrelor distribuite și reziliența operațională digitală.
·Alegerea instrumentului
Prezenta propunere de directivă însoțește propunerile de regulament privind piețele criptoactivelor, regimul temporar privind infrastructurile pieței bazate pe tehnologia registrelor distribuite și reziliența operațională digitală. Regulamentele respective stabilesc principalele norme care reglementează (i) furnizorii de servicii de criptoactive, (ii) condițiile care reglementează regimul-pilot pentru infrastructurile pieței bazate pe tehnologia registrelor distribuite și (iii) gestionarea riscurilor TIC, raportarea incidentelor, testarea și supravegherea. Pentru a atinge obiectivele stabilite în regulamentele respective, este, de asemenea, necesar să se stabilească o exceptare temporară pentru sistemele multilaterale de tranzacționare și să se modifice mai multe directive ale Parlamentului European și ale Consiliului adoptate în temeiul articolului 53 alineatul (1) și al articolului 114 din TFUE. Prin urmare, pentru modificarea acestor directive este necesară o propunere de directivă.
3.REZULTATE ALE EVALUĂRILOR EX POST, CONSULTĂRILOR PĂRȚILOR INTERESATE ȘI EVALUĂRII IMPACTULUI
·Evaluările ex post/verificarea adecvării legislației existente
A se vedea expunerile de motive ale propunerilor de regulament privind piețele criptoactivelor, regimul temporar privind infrastructurile pieței bazate pe tehnologia registrelor distribuite și reziliența operațională digitală.
·Consultările părților interesate
A se vedea expunerile de motive ale propunerilor de regulament privind piețele criptoactivelor, regimul temporar privind infrastructurile pieței bazate pe tehnologia registrelor distribuite și reziliența operațională digitală.
·Obținerea și utilizarea expertizei
A se vedea expunerile de motive ale propunerilor de regulament privind piețele criptoactivelor, regimul temporar privind infrastructurile pieței bazate pe tehnologia registrelor distribuite și reziliența operațională digitală.
·Evaluarea impactului
A se vedea expunerile de motive ale propunerilor de regulament privind piețele criptoactivelor, regimul temporar privind infrastructurile pieței bazate pe tehnologia registrelor distribuite și reziliența operațională digitală.
·Adecvarea reglementărilor și simplificarea
A se vedea expunerile de motive ale propunerilor de regulament privind piețele criptoactivelor, regimul temporar privind infrastructurile pieței bazate pe tehnologia registrelor distribuite și reziliența operațională digitală.
·Drepturile fundamentale
A se vedea expunerile de motive ale propunerilor de regulament privind piețele criptoactivelor, regimul temporar privind infrastructurile pieței bazate pe tehnologia registrelor distribuite și reziliența operațională digitală.
4.IMPLICAȚII BUGETARE
A se vedea expunerile de motive ale propunerilor de regulament privind piețele criptoactivelor, regimul temporar privind infrastructurile pieței bazate pe tehnologia registrelor distribuite și reziliența operațională digitală.
5.ELEMENTE DIVERSE
·Planurile de implementare și mecanismele de monitorizare, evaluare și raportare
A se vedea expunerile de motive ale propunerilor de regulament privind piețele criptoactivelor, regimul temporar privind infrastructurile pieței bazate pe tehnologia registrelor distribuite și reziliența operațională digitală.
·Explicații detaliate cu privire la prevederile specifice ale propunerii
Toate articolele se referă la propunerea de regulament privind reziliența operațională digitală și o completează. Acestea modifică diferitele cerințe privind riscul operațional sau gestionarea riscurilor prevăzute în Directivele 2006/43/CE, 2009/65/CE, 2009/138/UE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 și (UE) 2016/2341 ale Parlamentului European și ale Consiliului, introducând referințe încrucișate precise în dispozițiile respective și, asigurând, astfel, claritatea juridică. Mai exact:
–Articolele 2-4, articolul 6 și articolul 8 modifică Directiva 2009/65/CE de coordonare a actelor cu putere de lege și a actelor administrative privind organismele de plasament colectiv în valori mobiliare (OPCVM) 9 , Directiva 2009/138/CE privind accesul la activitate și desfășurarea activității de asigurare și de reasigurare (Solvabilitate II) 10 , Directiva 2011/61/UE privind administratorii fondurilor de investiții alternative (DAFIA) 11 , Directiva 2014/56/UE privind auditul legal al situațiilor financiare anuale și al situațiilor financiare consolidate 12 și Directiva (UE) 2016/2341 privind activitățile și supravegherea instituțiilor pentru furnizarea de pensii ocupaționale (IORP) 13 cu scopul introducerii în fiecare dintre aceste directive a unor referințe încrucișate la Regulamentul (UE) 2021/xx [DORA] privind gestionarea de către aceste entități financiare a sistemelor și instrumentelor TIC care ar trebui să se realizeze în conformitate cu dispozițiile respectivului regulament.
–Articolul 5 modifică cerințele din Directiva 2013/36/UE (Directiva privind cerințele de capital, CRD) 14 privind planurile de intervenție și de asigurare a continuității activității pentru a include planuri de asigurare a continuității activității și planuri de recuperare în caz de dezastru în ceea ce privește TIC elaborate în conformitate cu dispozițiile prevăzute în Regulamentul (UE) 2021/xx [DORA].
–Articolul 6 modifică Directiva 2014/65/UE privind piețele instrumentelor financiare (MIFID2) prin adăugarea de referințe încrucișate la Regulamentul (UE) 2021/xx [DORA] și prin modificarea dispozițiilor referitoare la continuitatea și la regularitatea serviciilor și a activităților de investiții, la reziliența și capacitatea suficientă a sistemelor de tranzacționare, la mecanismele eficace de asigurare a continuității activității și la gestionarea riscurilor.
–Articolul 7 modifică Directiva (UE) 2015/2366 privind serviciile de plată în cadrul pieței interne (DSP2) 15 și, mai precis, normele de autorizare, prin introducerea unei referințe încrucișate la Regulamentul (UE) 2021/xx [DORA]. În plus, normele privind notificarea incidentelor prevăzute în directiva respectivă ar trebui să excludă notificarea incidentelor asociate TIC, pe care Regulamentul (UE) 2021/xx [DORA] o armonizează complet.
Articolul 6 alineatul (1) contribuie suplimentar la clarificarea tratamentului juridic al criptoactivelor calificate drept instrumente financiare. Acest lucru se realizează prin modificarea definiției unui „instrument financiar” din Directiva 2014/65/UE privind piețele instrumentelor financiare, pentru a clarifica dincolo de orice îndoială de ordin juridic că aceste instrumente pot fi emise prin intermediul unei tehnologii a registrelor distribuite.
Articolul 6 alineatul (4) completează propunerea de regulament privind un regim-pilot pentru infrastructurile pieței bazate pe tehnologia registrelor distribuite prin exceptarea temporară a infrastructurilor pieței bazate pe tehnologia registrelor distribuite de la aplicarea anumitor dispoziții din Directiva 2014/65/UE pentru a le permite să dezvolte soluții pentru tranzacționarea și decontarea tranzacțiilor cu criptoactive care s-ar califica drept instrumente financiare.
2020/0268 (COD)
Propunere de
DIRECTIVĂ A PARLAMENTULUI EUROPEAN ȘI A CONSILIULUI
de modificare a Directivelor 2006/43/CE, 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 și (UE) 2016/2341
(Text cu relevanță pentru SEE)
PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,
având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 53 alineatul (1) și articolul 114,
având în vedere propunerea Comisiei Europene,
după transmiterea proiectului de act legislativ parlamentelor naționale,
având în vedere avizul Băncii Centrale Europene 16 ,
având în vedere avizul Comitetului Economic și Social European 17 ,
hotărând în conformitate cu procedura legislativă ordinară,
întrucât:
(1)Uniunea trebuie să abordeze în mod adecvat și cuprinzător riscurile digitale pentru toate entitățile financiare care rezultă dintr-o utilizare sporită a tehnologiei informației și comunicațiilor (TIC) în furnizarea și consumul de servicii financiare.
(2)Operatorii din sectorul financiar depind în mare măsură de utilizarea tehnologiilor digitale în activitatea lor de zi cu zi și, prin urmare, este extrem de important să se asigure reziliența operațională a operațiunilor lor digitale împotriva riscurilor TIC. Această necesitate a devenit și mai stringentă ca urmare a creșterii pieței tehnologiilor inovatoare, în special a tehnologiilor inovatoare care permit transferul și stocarea electronică a reprezentărilor digitale ale valorii sau ale drepturilor, utilizând un registru distribuit sau o tehnologie similară („criptoactive”), și a serviciilor asociate acestor active.
(3)La nivelul Uniunii, cerințele privind riscul TIC pentru sectorul financiar sunt prevăzute în prezent în Directivele 2006/43/CE 18 , 2009/66/CE 19 , 2009/138/CE 20 , 2011/61/UE 21 , 2013/36/UE 22 , 2014/65/UE 23 , (UE) 2015/2366 24 , (UE) 2016/2341 25 ale Parlamentului European și ale Consiliului; aceste cerințe sunt diverse și, uneori, incomplete. În unele cazuri, riscul TIC a fost abordat doar în mod implicit ca parte a riscului operațional, în timp ce în altele nu a fost abordat deloc. Acest lucru ar trebui remediat prin alinierea Regulamentului (UE) xx/20xx al Parlamentului European și al Consiliului 26 [DORA] și a actelor respective. Prezenta directivă prezintă un set de modificări care par a fi necesare pentru a asigura claritatea și consecvența juridică în ceea ce privește diferitele cerințe în materie de reziliență operațională digitală care li se aplică entităților financiare autorizate și supravegheate în conformitate cu directivele respective și care sunt necesare în exercitarea activităților lor, garantând astfel buna funcționare a pieței interne.
(4)În domeniul serviciilor bancare, Directiva 2013/36/UE cu privire la accesul la activitatea instituțiilor de credit și supravegherea prudențială a instituțiilor de credit și a firmelor de investiții stabilește în prezent doar norme generale de guvernanță internă și dispoziții privind riscul operațional care conțin cerințe referitoare la planurile de intervenție și de asigurare a continuității activității care servesc în mod implicit drept bază pentru gestionarea riscurilor TIC. Cu toate acestea, pentru a se asigura că riscul TIC este abordat în mod explicit, cerințele pentru planurile de intervenție și de asigurare a continuității activității ar trebui modificate pentru a include planuri de asigurare a continuității activității și de recuperare în caz de dezastru și pentru riscul TIC, în conformitate cu cerințele stabilite în Regulamentul (UE) 2021/xx [DORA].
(5)Directiva 2014/65/UE privind piețele instrumentelor financiare stabilește norme mai stricte în materie de TIC pentru firmele de investiții și locurile de tranzacționare numai în cazul tranzacționării algoritmice. În cazul serviciilor de raportare a datelor și al registrelor centrale de tranzacții se aplică cerințe mai puțin detaliate. De asemenea, directiva conține doar trimiteri limitate la măsurile de control și de protecție pentru sistemele de prelucrare a informațiilor și la utilizarea unor sisteme, resurse și proceduri adecvate pentru a asigura continuitatea și regularitatea serviciilor destinate întreprinderilor. Directiva respectivă ar trebui aliniată cu Regulamentul (UE) 2021/xx [DORA] în ceea ce privește continuitatea și regularitatea desfășurării serviciilor și activităților de investiții, reziliența operațională, capacitatea sistemelor de tranzacționare și eficacitatea mecanismelor de asigurare a continuității activității și a gestionării riscurilor.
(6)În prezent, definiția unui „instrument financiar” din Directiva 2014/65/UE nu include în mod explicit instrumentele financiare emise cu ajutorul unei clase de tehnologii care sprijină înregistrarea distribuită a datelor criptate [tehnologia registrelor distribuite (distributed ledger technology - DLT)]. Pentru a se asigura că astfel de instrumente financiare pot fi tranzacționate pe piață în temeiul cadrului juridic actual, definiția din Directiva 2014/65/UE ar trebui să fie modificată pentru a include și instrumentele respective.
(7)În special, pentru a permite dezvoltarea criptoactivelor care s-ar califica drept instrumente financiare și DLT, menținând în același timp un nivel ridicat de stabilitate financiară, de integritate a pieței, de transparență și de protecție a investitorilor, ar fi benefic să se creeze un regim temporar pentru infrastructurile pieței bazate pe DLT. Acest cadru juridic temporar ar trebui să autorizeze autoritățile competente să permită temporar infrastructurilor pieței bazate pe tehnologia registrelor distribuite să funcționeze în temeiul unui set alternativ de cerințe cu privire la accesul la acestea, în comparație cu cerințele care ar fi fost aplicabile în alte condiții în temeiul legislației Uniunii privind serviciile financiare, care le-ar putea împiedica să dezvolte soluții pentru tranzacționarea și decontarea tranzacțiilor cu criptoactive care s-ar califica drept instrumente financiare. Acest cadru juridic ar trebui să fie temporar, pentru a le permite autorităților europene de supraveghere (AES) și autorităților naționale competente să câștige experiență cu privire la oportunitățile și riscurile specifice create de criptoactivele tranzacționate în cadrul infrastructurilor respective. Prin urmare, prezenta directivă însoțește Regulamentul [privind un regim-pilot pentru infrastructurile pieței bazate pe tehnologia registrelor distribuite] prin sprijinirea acestui nou cadru de reglementare al Uniunii privind infrastructurile pieței bazate pe DLT, cu o exceptare precis orientată de la dispozițiile specifice ale legislației Uniunii din domeniul serviciilor financiare care se aplică activităților și serviciilor legate de instrumentele financiare, astfel cum sunt definite la articolul 4 alineatul (1) punctul 15 din Directiva 2014/65/UE, care altfel nu ar oferi flexibilitatea maximă necesară atunci când se introduc soluții în etapele de tranzacționare și post-tranzacționare ale tranzacțiilor care implică criptoactive.
(8)Un sistem multilateral de tranzacționare bazat pe DLT ar trebui să fie un sistem multilateral, exploatat de o firmă de investiții sau de un operator de piață autorizat în temeiul Directivei 2014/65/UE, care a primit o autorizație specifică în temeiul Regulamentului (UE) xx/20xx al Parlamentului European și al Consiliului 27 [Propunere de regulament privind un regim-pilot pentru infrastructurile pieței bazate pe tehnologia registrelor distribuite]. Sistemele multilaterale de tranzacționare bazate pe DLT ar trebui să facă obiectul tuturor cerințelor aplicabile unui sistem multilateral de tranzacționare în temeiul directivei respective, cu excepția cazului în care li s-ar acorda o exceptare de către autoritatea națională competentă în conformitate cu prezenta directivă. O potențială barieră normativă pentru dezvoltarea unui sistem multilateral de tranzacționare pentru valorile mobiliare emise prin intermediul DLT ar putea fi obligația de a utiliza un intermediar prevăzută în Directiva 2014/65/UE. Un sistem multilateral de tranzacționare tradițional poate accepta ca membri și participanți doar firme de investiții, instituții de credit și alte persoane care au un nivel suficient al capacității de tranzacționare și al competențelor și care dispun de mecanisme și resurse organizaționale adecvate. Un sistem multilateral de tranzacționare bazat pe DLT ar trebui să poată solicita o derogare de la o astfel de obligație, astfel încât să le poată oferi investitorilor de retail acces ușor la locul de tranzacționare, cu condiția existenței unor garanții adecvate în ceea ce privește protecția investitorilor.
(9)Directiva (UE) 2015/2366 privind serviciile de plată stabilește norme specifice privind controalele de securitate TIC și elementele de atenuare a riscurilor în scopul autorizării pentru prestarea de servicii de plată. Aceste norme de autorizare ar trebui modificate în vederea alinierii lor la Regulamentul (UE) 2021/xx [DORA]. În plus, normele privind notificarea incidentelor prevăzute în directiva respectivă nu ar trebui să se aplice notificărilor incidentelor asociate TIC pe care Regulamentul (UE) 2021/xx [DORA] le armonizează complet.
(10)Directiva 2009/138/CE privind accesul la activitate și desfășurarea activității de asigurare și de reasigurare și Directiva (UE) 2016/2341 privind activitățile și supravegherea instituțiilor pentru furnizarea de pensii ocupaționale acoperă parțial riscul TIC în cadrul dispozițiilor lor generale privind guvernanța și gestionarea riscurilor, urmând ca anumite cerințe să fie precizate prin regulamente delegate, cu sau fără trimiteri specifice la riscul TIC. Chiar și dispozițiile mai puțin specifice li se aplică auditorilor statutari și firmelor de audit, întrucât Directiva 2014/56/UE a Parlamentului European și a Consiliului 28 conține doar dispoziții generale privind organizarea internă. În mod similar, doar normele foarte generale li se aplică administratorilor de fonduri de investiții alternative și societăților de administrare care fac obiectul Directivelor 2011/61/UE și 2009/65/CE. Prin urmare, aceste directive ar trebui să fie aliniate cu cerințele prevăzute în Regulamentul (UE) 2021/xx [DORA] în ceea ce privește gestionarea sistemelor și a instrumentelor TIC.
(11)În multe cazuri, cerințele TIC suplimentare au fost deja stabilite în actele delegate și de punere în aplicare, care au fost adoptate pe baza proiectelor de standarde tehnice de reglementare și de punere în aplicare elaborate de către AES competentă. Pentru a oferi claritate juridică cu privire la faptul că temeiul juridic al dispozițiilor privind riscurile TIC decurge, de acum înainte, exclusiv din Regulamentul (UE) 2021/xx [DORA], delegările de competențe prevăzute în directivele menționate ar trebui să fie modificate, explicându-se că dispozițiile privind riscul TIC nu intră în sfera respectivelor delegări.
(12)Pentru a se asigura o aplicare consecventă și simultană a Regulamentului xx/20xx [DORA] și a prezentei directive, care împreună constituie noul cadru privind reziliența operațională digitală pentru sectorul financiar, statele membre ar trebui să aplice dispozițiile legislației naționale de transpunere a prezentei directive de la data aplicării regulamentului respectiv.
(13)Directivele 2006/43/CE, 2009/66/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 și (UE) 2016/2341 au fost adoptate în temeiul articolului 53 alineatul (1) și al articolului 114 din Tratatul privind funcționarea Uniunii Europene. Modificările prezentei directive ar trebui să fie incluse într-un act unic, având în vedere interconectarea dintre obiectul și obiectivele modificărilor, iar actul unic în cauză ar trebui adoptat atât în temeiul articolului 53 alineatul (1), cât și al articolului 114 din Tratatul privind funcționarea Uniunii Europene.
(14)Întrucât obiectivele prezentei directive nu pot fi realizate în mod satisfăcător de către statele membre, deoarece presupun armonizarea prin actualizări și modificări a cerințelor deja cuprinse în directive, dar, având în vedere amploarea sau efectele acțiunii, pot fi realizate mai bine la nivelul Uniunii, aceasta poate adopta măsuri, în conformitate cu principiul subsidiarității, astfel cum este prevăzut la articolul 5 din Tratatul privind Uniunea Europeană. În conformitate cu principiul proporționalității, astfel cum este definit la articolul menționat, prezentul regulament nu depășește ceea ce este necesar pentru realizarea obiectivelor menționate.
(15)În conformitate cu Declarația politică comună din 28 septembrie 2011 a statelor membre și a Comisiei privind documentele explicative 29 , statele membre s-au angajat ca, în cazuri justificate, să transmită alături de notificarea măsurilor lor de transpunere și unul sau mai multe documente care să explice relația dintre componentele unei directive și părțile corespunzătoare din instrumentele naționale de transpunere. În ceea ce privește prezenta directivă, legiuitorul consideră că transmiterea unor astfel de documente este justificată,
ADOPTĂ PREZENTA DIRECTIVĂ:
Articolul 1
Modificări ale Directivei 2006/43/CE
La articolul 24a alineatul (1) din Directiva 2006/43/CE, litera (b) se înlocuiește cu următorul text:
„(b) un auditor statutar sau o firmă de audit aplică proceduri administrative și contabile robuste, mecanisme interne de control de calitate, proceduri eficace de evaluare a riscurilor, precum și un control real și măsuri de protecție pentru a-și gestiona sistemele și instrumentele TIC în conformitate cu articolul 6 din Regulamentul (UE) 2021/xx [DORA] al Parlamentului European și al Consiliului*.
___________________________________
*[titlul complet] (JO L […], […], p. […]).”.
Articolul 2
Modificări ale Directivei 2009/65/CE
Articolul 12 din Directiva 2009/65/CE se modifică după cum urmează:
(1) La alineatul (1) al doilea paragraf, litera (a) se înlocuiește cu următorul text:
„(a) să aibă o bună organizare administrativă și contabilă și dispozitive de control și de securitate în domeniul prelucrării electronice a datelor, inclusiv sisteme de tehnologie a informației și comunicațiilor instituite și gestionate în conformitate cu articolul 6 din Regulamentul (UE) 2021/xx al Parlamentului European și al Consiliului* [DORA], precum și mecanisme adecvate de control intern, incluzând norme privind tranzacțiile personale ale angajaților săi sau deținerea și administrarea investițiilor în instrumente financiare cu scopul de a investi pe cont propriu și garantând, cel puțin, că fiecare tranzacție în care este implicat OPCVM-ul poate fi reconstituită în ceea ce privește originea sa, părțile la ea, natura sa, precum și momentul și locul în care a fost efectuată și că activele OPCVM-ului administrate de societatea de administrare sunt investite în conformitate cu regulile fondului sau în conformitate cu documentele constitutive și dispozițiile legale în vigoare;
________________________________
*[titlul complet] (JO L […], […], p. […]).”;
(2) alineatul (3) se înlocuiește cu următorul text:
„(3) Fără a aduce atingere articolului 116, Comisia adoptă, prin intermediul actelor delegate în conformitate cu articolul 112a, măsuri în care precizează:
(a) procedurile și mecanismele menționate la alineatul (1) al doilea paragraf litera (a), altele decât cele legate de gestionarea riscului asociat tehnologiei informației și comunicațiilor;
(b) structurile și cerințele organizatorice pentru reducerea la minimum a conflictelor de interese menționate la alineatul (1) al doilea paragraf litera (b). ”.
Articolul 3
Modificare a Directivei 2009/138/CE
Directiva 2009/138/CE se modifică după cum urmează:
(1)La articolul 41, alineatul (4) se înlocuiește cu următorul text:
„(4) Întreprinderile de asigurare și de reasigurare adoptă măsuri rezonabile pentru a asigura continuitatea și regularitatea în desfășurarea activităților lor, inclusiv prin elaborarea unor planuri pentru situații neprevăzute. În acest scop, întreprinderile utilizează sisteme, resurse și proceduri adecvate și proporționate, instituie sisteme de tehnologie a informației și comunicațiilor și le administrează în conformitate cu articolul 6 din Regulamentul (UE) 2021/xx al Parlamentului European și al Consiliului* [DORA].”;
____________________________
* [titlul complet] (JO L […], […], p. […]).
(2)La articolul 50 alineatul (1), literele (a) și (b) se înlocuiesc cu următorul text:
„(a) elementele sistemelor prevăzute la articolele 41, 44, 46 și 47, altele decât elementele privind gestionarea riscului asociat tehnologiei informației și comunicațiilor, precum și domeniile enumerate la articolul 44 alineatul (2);”;
(b) funcțiile prevăzute la articolele 44, 46, 47 și 48, altele decât funcțiile legate de gestionarea riscului asociat tehnologiei informației și comunicațiilor.”.
Articolul 4
Modificarea Directivei 2011/61/UE
Articolul 18 din Directiva 2011/61/UE se înlocuiește cu următorul text:
„Articolul 18
Principii generale
(1) Statele membre solicită ca AFIA să utilizeze în orice moment resursele umane și tehnice adecvate și corespunzătoare necesare pentru buna administrare a FIA.
Autoritățile competente din statul membru de origine al AFIA, ținând seama, de asemenea, de natura FIA administrat de AFIA, solicită în special ca AFIA să aibă proceduri administrative și contabile solide și dispozitive de control și de protecție pentru gestionarea sistemelor de tehnologie a informației și comunicațiilor impuse de articolul 6 din [Regulamentul (UE) 2021/xx al Parlamentului European și al Consiliului* [DORA]], precum și mecanisme adecvate de control intern, incluzând, în special, norme privind tranzacțiile personale ale angajaților săi sau deținerea ori administrarea investițiilor cu scopul de a investi pe cont propriu și garantând, cel puțin, că fiecare tranzacție în care sunt implicate FIA poate fi reconstituită în ceea ce privește originea sa, părțile la aceasta, natura sa, precum și momentul și locul în care a fost efectuată și că activele FIA administrate de AFIA sunt investite în conformitate cu regulile sau actul constitutiv ale FIA și dispozițiile legale în vigoare.
(2) Comisia adoptă prin intermediul unor acte delegate, în conformitate cu articolul 56 și în condițiile prevăzute la articolele 57 și 58, măsuri care stabilesc procedurile și dispozitivele menționate la alineatul (1), altele decât pentru sistemele de tehnologie a informației și comunicațiilor.
_________________________________
*[titlul complet] (JO L […], […], p. […]).”.
Articolul 5
Modificarea Directivei 2013/36/UE
La articolul 85 din Directiva 2013/36/UE, alineatul (2) se înlocuiește cu următorul text:
„(2) Autoritățile competente se asigură că instituțiile dispun de planuri de intervenție și de asigurare a continuității activității, inclusiv de planuri de asigurare a continuității activității și de recuperare în caz de dezastru pentru tehnologia pe care o utilizează pentru comunicarea informațiilor („tehnologia comunicării informațiilor”) elaborate în conformitate cu articolul 6 din Regulamentul (UE) 2021/xx al Parlamentului European și al Consiliului [DORA]*, care să le permită să își continue activitatea în caz de întrerupere gravă a activității și să limiteze pierderile suportate ca urmare a unei astfel de întreruperi.
* [titlul complet] (JO L […], […], p. […]).”
Articolul 6
Modificări ale Directivei 2014/65/UE
Directiva 2014/65/UE se modifică după cum urmează:
(1)La articolul 4 alineatul (1), punctul 15 se înlocuiește cu următorul text:
„«instrumente financiare» înseamnă instrumentele menționate în anexa I secțiunea C, inclusiv instrumentele de acest tip care sunt emise prin intermediul tehnologiei registrelor distribuite;”;
(2)Articolul 16 se modifică după cum urmează:
(a)alineatul (4) se înlocuiește cu următorul text:
„(4) O firmă de investiții adoptă măsuri rezonabile pentru a garanta continuitatea și regularitatea în furnizarea serviciilor de investiții și în exercitarea activităților de investiții. În acest scop, ea utilizează sisteme adecvate și proporționate, inclusiv sisteme de tehnologie a informației și comunicațiilor („TIC”) instituite și gestionate în conformitate cu articolul 6 din Regulamentul (UE) 2021/xx al Parlamentului European și al Consiliului* [DORA], precum și resurse și proceduri adecvate și proporționate.”;
(b)la alineatul (5), paragraful al doilea și paragraful al treilea se înlocuiesc cu următorul text:
„O firmă de investiții dispune de proceduri contabile și administrative sigure, de mecanisme de control intern și de proceduri eficace de evaluare a riscurilor.
Fără a aduce atingere capacității autorităților competente de a cere accesul la comunicările realizate conform prezentei directive și Regulamentului (UE) nr. 600/2014, o firmă de investiții instituie mecanisme de securitate solide destinate să garanteze, în conformitate cu cerințele prevăzute în Regulamentul (UE) 2021/xx al Parlamentului European și al Consiliului* [DORA], securitatea și autentificarea mijloacelor de transmitere a informațiilor, să reducă la minimum riscul de corupere a datelor și de acces neautorizat și să prevină scurgerile de informații, menținând în permanență confidențialitatea datelor.”;
(3)Articolul 17 se modifică după cum urmează:
(a)alineatul (1) se înlocuiește cu următorul text:
„(1) O firmă de investiții care utilizează tranzacționarea algoritmică dispune de sisteme eficace și de mecanisme de control al riscului adecvate activităților pe care le desfășoară pentru a avea garanția că sistemele sale de tranzacționare sunt reziliente, au capacitate suficientă, în conformitate cu cerințele prevăzute în capitolul II din Regulamentul (UE) 2021/xx al Parlamentului European și al Consiliului* [DORA], și funcționează pe baza unor praguri și limite adecvate pentru a preveni transmiterea unor ordine eronate sau o funcționare necorespunzătoare a sistemelor care poate genera perturbații ale pieței sau poate contribui la apariția acestora.
O astfel de societate trebuie, de asemenea, să dispună de sisteme eficace și de mecanisme de control al riscului pentru a garanta că sistemele de tranzacționare nu pot fi utilizate în scopuri care contravin Regulamentului (UE) nr. 596/2014 sau regulilor locului de tranzacționare la care este conectată firma respectivă.
Firma de investiții dispune de mecanisme eficace de asigurare a continuității activităților pentru a putea face față oricărei disfuncții a sistemului său de tranzacționare, inclusiv de planuri de asigurare a continuității activității și de recuperare în caz de dezastru pentru tehnologia informației și comunicațiilor elaborate în conformitate cu articolul 6 din Regulamentul (UE) 2021/xx [DORA], și se asigură că sistemele sale sunt suficient testate și monitorizate corespunzător pentru a răspunde cerințelor generale prevăzute la prezentul alineat și oricăror cerințe specifice prevăzute în capitolele II și IV din Regulamentul (UE) 2021/xx [DORA].”;
(b) la alineatul (7), litera (a) se înlocuiește cu următorul text:
„(a) detaliile privind cerințele organizatorice detaliate prevăzute la alineatele (1)-(6), altele decât cele legate de gestionarea riscului TIC, care trebuie impuse firmelor de investiții ce oferă diferite servicii de investiții, activități de investiții, servicii auxiliare sau o combinație a acestora, atunci când specificațiile referitoare la cerințele organizaționale menționate la alineatul (5) stabilesc cerințele specifice privind accesul direct la piață și privind accesul sponsorizat într-un mod care să garanteze că controalele aplicate accesului sponsorizat sunt cel puțin echivalente cu cele aplicate accesului direct la piață;”;
(4)La articolul 19 se adaugă următorul alineat:
„(3) Cu toate acestea, în cazul în care firma de investiții sau operatorul de piață exploatează un sistem multilateral de tranzacționare bazat pe tehnologia registrelor distribuite („sistem multilateral de tranzacționare bazat pe DLT”), astfel cum este definit la articolul 2 alineatul (3) din Regulamentul nr. xx/20xx [Propunere de regulament privind un regim-pilot pentru infrastructurile pieței bazate pe tehnologia registrelor distribuite], autoritatea competentă poate permite ca, în temeiul regulilor sale de reglementare a accesului menționate la articolul 18 alineatul (3) și pentru o perioadă de maximum patru ani, firma de investiții sau operatorul de piață să admită persoane fizice ca membri sau participanți la sistemul multilateral de tranzacționare bazat pe tehnologia registrelor distribuite, cu condiția ca persoanele respective să îndeplinească următoarele cerințe:
(a)să aibă o bună reputație, competență și onorabilitate; și
(b)să aibă un nivel suficient de aptitudini, de competențe și de experiență în materie de tranzacționare, inclusiv cunoștințe privind tranzacționarea și funcționarea tehnologiei registrelor distribuite („DLT”).
În cazul în care o autoritate competentă acordă exceptarea prevăzută la primul paragraf, aceasta poate impune măsuri suplimentare de protecție a investitorilor pentru a asigura protecția persoanelor fizice admise ca membri sau participanți la sistemul multilateral de tranzacționare bazat pe DLT. Măsurile în cauză sunt proporționale cu profilul de risc al participanților sau al membrilor.”
(5)la articolul 47, alineatul (1) se modifică după cum urmează:
(a) litera (b) se înlocuiește cu următorul text:
„(b) să fie dotată în mod corespunzător pentru gestionarea riscurilor la care este expusă, inclusiv pentru gestionarea riscurilor la adresa sistemelor și instrumentelor TIC în conformitate cu articolul 6 din Regulamentul (UE) 2021/xx [DORA]*, să instituie măsuri și sisteme adecvate pentru identificarea tuturor riscurilor semnificative care îi pot compromite funcționarea și să aplice măsuri eficace de diminuare a riscurilor respective.”;
(b) litera (c) se elimină;
(6)Articolul 48 se modifică după cum urmează:
(a)alineatul (1) se înlocuiește cu următorul text:
„(1) Statele membre impun ca o piață reglementată să își consolideze reziliența operațională în conformitate cu cerințele stabilite în capitolul II din Regulamentul (UE) 2021/xx [DORA] pentru a asigura faptul că sistemele sale de tranzacționare sunt reziliente, că au suficientă capacitate pentru a face față volumului maxim de ordine și de mesaje, că pot asigura o tranzacționare ordonată în condiții de tensiuni majore pe piață, că sunt pe deplin testate pentru a asigura întrunirea acestor condiții și că fac obiectul unor măsuri eficace de asigurare a continuității activității, pentru a asigura continuitatea serviciilor în cazul în care survine o defecțiune a sistemelor sale de tranzacționare.”;
(b)alineatul (6) se înlocuiește cu următorul text:
„(6) Statele membre impun ca o piață reglementată să aibă instituite sisteme, proceduri și mecanisme eficace, inclusiv o cerință pentru membri sau participanți de a realiza teste adecvate ale algoritmilor și asigurarea cadrului pentru facilitarea acestor teste, în conformitate cu cerințele stabilite în capitolele II și IV din Regulamentul (UE) 2021/xx [DORA], pentru a se asigura că sistemele de tranzacționare algoritmică nu pot crea sau contribui la condiții de tranzacționare de natură să perturbe stabilitatea pieței și pentru a gestiona orice condiții de tranzacționare de natură să perturbe stabilitatea pieței care sunt generate de astfel de sisteme de tranzacționare algoritmică, inclusiv sisteme de limitare a raportului ordinelor neexecutate față de tranzacțiile care pot fi introduse în sistem de un membru sau de un participant, pentru a putea încetini fluxul ordinelor dacă există riscul de atingere a capacității maxime a sistemului său și pentru a limita și a impune pasul de cotare minim care poate fi executat pe piață.”;
(c)alineatul (12) se modifică după cum urmează:
(i) litera (a) se înlocuiește cu următorul text:
„(a) cerințele pentru a asigura faptul că sistemele de tranzacționare ale piețelor reglementate sunt reziliente și au o capacitate adecvată, cu excepția cerințelor legate de reziliența operațională digitală;
(ii) litera (g) se înlocuiește cu următorul text:
„(g) cerințele pentru a asigura testarea adecvată a algoritmilor, exceptând testarea rezilienței operaționale digitale, cu scopul de a garanta că sistemele de tranzacționare algoritmică sau de tranzacționare algoritmică de mare frecvență nu pot crea sau contribui la crearea unor condiții de tranzacționare de natură să perturbe stabilitatea pieței.”.
Articolul 7
Modificarea Directivei (UE) 2015/2366
Directiva (UE) 2015/2366 se modifică după cum urmează:
(7)La articolul 5 alineatul (1) al treilea paragraf, prima teză se înlocuiește cu următorul text:
„Măsurile de control al securității și de atenuare a riscurilor menționate la litera (j) a primului paragraf trebuie să precizeze modul în care asigură un nivel ridicat de securitate tehnică și de protecție a datelor, inclusiv în ceea ce privește software-ul și sistemele IT utilizate de solicitant sau de întreprinderile cărora le externalizează toate operațiunile sale sau o parte din acestea, în conformitate cu capitolul II din Regulamentul (UE) 2021/xx al Parlamentului European și al Consiliului * [DORA]. Printre măsurile respective se numără, de asemenea, măsurile de securitate prevăzute la articolul 95 alineatul (1). Măsurile respective țin seama de orientările ABE privind măsurile de securitate menționate la articolul 95 alineatul (3) odată ce acestea sunt adoptate.”; ____________________________
* [titlul complet] (JO L […], […], p. […]).
(8)Articolul 95 se modifică după cum urmează:
(a)alineatul (1) se înlocuiește cu următorul text:
„(1) Statele membre se asigură că prestatorii de servicii de plată stabilesc un cadru cu măsuri de atenuare și mecanisme de control adecvate pentru a gestiona riscurile operaționale și de securitate, legate de serviciile de plată pe care le furnizează și, ca parte a acestui cadru, prestatorii de servicii de plată instituie și mențin proceduri eficace de gestionare a incidentelor, inclusiv pentru detectarea și clasificarea incidentelor operaționale și de securitate majore, abordând în același timp riscurile la adresa tehnologiei informației și comunicațiilor în conformitate cu capitolul II din Regulamentul (UE) 2021/xx [DORA].”;
(b)alineatul (4) se elimină;
(c)alineatul (5) se înlocuiește cu următorul text:
„(5) ABE promovează cooperarea, inclusiv schimbul de informații, în domeniul combaterii riscurilor operaționale asociate cu serviciile de plată, între autoritățile competente și între autoritățile competente și BCE.”;
(9)Articolul 96 se modifică după cum urmează:
(a)alineatul (1) se înlocuiește cu următorul text:
„(1) În cazul unui incident operațional sau de securitate major care nu este un incident legat de TIC, astfel cum este definit la articolul 3 alineatul (6) din Regulamentul (UE) xx/20xx [DORA], prestatorul de servicii de plată notifică, fără întârzieri nejustificate, autoritatea competentă a statului său membru de origine.”;
(b)alineatul (5) se elimină;
(10)La articolul 98, alineatul (5) se înlocuiește cu următorul text:
„(5) În conformitate cu articolul 10 din Regulamentul (UE) nr. 1093/2010, ABE examinează și, după caz, actualizează în mod periodic standardele tehnice de reglementare în scopul, printre altele, de a ține seama de inovare și de evoluțiile tehnologice, precum și de dispozițiile capitolului II din Regulamentul (UE) 2021/xx [DORA].”.
Articolul 8
Modificare adusă Directivei (UE) 2016/2341
La articolul 21 alineatul (5) din Directiva (UE) 2016/2341, a doua teză se înlocuiește cu următorul text:
„În acest scop, IORP utilizează sisteme, resurse și proceduri adecvate și proporționale, instituie sisteme și instrumente TIC și le gestionează în conformitate cu articolul 6 din Regulamentul (UE) 2021/xx al Parlamentului European și al Consiliului* [DORA].
_________________________________
*[titlul complet] (JO L […], […], p. […]).”.
Articolul 9
Transpunerea
(1)Statele membre adoptă și publică, până la [un an de la data adoptării], actele cu putere de lege și actele administrative necesare pentru a se conforma prezentei directive. Statele membre comunică de îndată Comisiei textul acestor acte.
Statele membre aplică aceste acte începând cu [data intrării în vigoare a Regulamentului DORA/data aplicării sale, dacă este diferită].
Atunci când statele membre adoptă aceste acte, ele conțin o trimitere la prezenta directivă sau sunt însoțite de o astfel de trimitere la data publicării lor oficiale. Statele membre stabilesc modalitatea de efectuare a acestei trimiteri.
2.Statele membre comunică Comisiei textul principalelor dispoziții de drept intern pe care le adoptă în domeniul reglementat de prezenta directivă.
Articolul 10
Intrarea în vigoare
Prezenta directivă intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Articolul 11
Destinatari
Prezenta directivă se adresează statelor membre.
Adoptată la Bruxelles,
Pentru Parlamentul European, Pentru Consiliu,
Președintele Președintele