32022L2556

EUR-Lex

Access to European Union law

This document is an excerpt from the EUR-Lex website

EUROPA
EUR-Lex home
Smernica - 2022/2556 - EN - EUR-Lex

Help

Search tips

Need more search options? Use the Advanced search

Document 32022L2556

Smernica Európskeho parlamentu a Rady (EÚ) 2022/2556 zo 14. decembra 2022, ktorou sa menia smernice 2009/65/ES, 2009/138/ES, 2011/61/EÚ, 2013/36/EÚ, 2014/59/EÚ, 2014/65/EÚ, (EÚ) 2015/2366 a (EÚ) 2016/2341, pokiaľ ide o digitálnu prevádzkovú odolnosť finančného sektora (Text s významom pre EHP)

PE/42/2022/REV/1

Ú. v. EÚ L 333, 27.12.2022, p. 153–163 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/dir/2022/2556/oj

HTML

PDF

Official Journal

27.12.2022

Úradný vestník Európskej únie

L 333/153

SMERNICA EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2022/2556

zo 14. decembra 2022,

ktorou sa menia smernice 2009/65/ES, 2009/138/ES, 2011/61/EÚ, 2013/36/EÚ, 2014/59/EÚ, 2014/65/EÚ, (EÚ) 2015/2366 a (EÚ) 2016/2341, pokiaľ ide o digitálnu prevádzkovú odolnosť finančného sektora

(Text s významom pre EHP)

EURÓPSKY PARLAMENT A RADA EURÓPSKEJ ÚNIE,

so zreteľom na Zmluvu o fungovaní Európskej únie, a najmä na jej článok 53 ods. 1 a článok 114,

so zreteľom na návrh Európskej komisie,

po postúpení návrhu legislatívneho aktu národným parlamentom,

so zreteľom na stanovisko Európskej centrálnej banky (1),

so zreteľom na stanovisko Európskeho hospodárskeho a sociálneho výboru (2),

konajúc v súlade s riadnym legislatívnym postupom (3),

keďže:

(1)

Únia musí primerane a komplexne riešiť digitálne riziká, ktorým sú vystavené všetky finančné subjekty v dôsledku toho, že pri poskytovaní a využívaní finančných služieb v zvýšenej miere používajú informačné a komunikačné technológie (IKT), a prispieť tak k realizácii potenciálu digitálnych financií pokiaľ ide o podporu inovácií a hospodárskej súťaže v bezpečnom digitálnom prostredí.

(2)

Finančné subjekty sa pri svojej každodennej činnosti vo veľkej miere spoliehajú na používanie digitálnych technológií. Je preto mimoriadne dôležité zabezpečiť prevádzkovú odolnosť ich digitálnych operácií voči IKT riziku. Táto potreba sa stala ešte naliehavejšou z dôvodu rastu prelomových technológií na trhu, najmä technológií, ktoré umožňujú elektronické prevádzanie a uchovávanie digitálneho vyjadrenia hodnoty alebo práv s použitím technológie distribuovanej databázy transakcií alebo podobnej technológie (kryptoaktíva), ako aj z dôvodu rastu trhu so službami súvisiacimi s týmito aktívami.

(3)

Požiadavky týkajúce sa riadenia IKT rizika vo finančnom sektore sa na úrovni Únie v súčasnosti stanovujú v smerniciach Európskeho parlamentu a Rady 2009/65/ES (4), 2009/138/ES (5), 2011/61/EÚ (6), 2013/36/EÚ (7), 2014/59/EÚ (8), 2014/65/EÚ (9), (EÚ) 2015/2366 (10) a (EÚ) 2016/2341 (11).

Uvedené požiadavky sa medzi sebou líšia a sú niekedy neúplné. V niektorých prípadoch sa IKT riziko rieši len nepriamo ako súčasť operačného rizika, a v ostatných prípadoch sa nerieši vôbec. Tieto záležitosti sú napravené prijatím nariadenia Európskeho parlamentu a Rady (EÚ) 2022/2554 (12). Uvedené smernice by sa preto mali zmeniť, aby sa zabezpečila konzistentnosť s uvedeným nariadením. V tejto smernici sa stanovuje súbor zmien, ktoré sú potrebné na zabezpečenie právnej zrozumiteľnosti a konzistentnosti v súvislosti s uplatňovaním rôznych požiadaviek na digitálnu prevádzkovú odolnosť finančnými subjektmi, ktorým bolo udelené povolenie a nad ktorými sa vykonáva dohľad v súlade s uvedenými smernicami, pričom ide o požiadavky, ktoré sú nevyhnutné na vykonávanie ich činností a poskytovanie služieb, čím sa zaručí hladké fungovanie vnútorného trhu. Je potrebné zabezpečiť primeranosť týchto požiadaviek vzhľadom na vývoj na trhu a zároveň podporovať proporcionalitu, najmä pokiaľ ide o veľkosť finančných subjektov a osobitné režimy, ktorým podliehajú, s cieľom znížiť náklady na dodržiavanie predpisov.

(4)

Pokiaľ ide o oblasť bankových služieb, v smernici 2013/36/EÚ sa v súčasnosti uvádzajú len všeobecné vnútorné pravidlá riadenia a ustanovenia o operačnom riziku, ktoré obsahujú požiadavky na plány pre nepredvídané udalosti a plány na zabezpečenie kontinuity obchodných činností, ktoré nepriamo slúžia ako základ pre riešenie problematiky riadenia IKT rizika. Aby sa však IKT riziko riešilo výslovne a jasne, požiadavky na plány pre nepredvídané udalosti a plány na zabezpečenie kontinuity činností by sa mali zmeniť tak, aby zahŕňali plány na zabezpečenie kontinuity činností a plány reakcie a obnovy aj pre IKT riziko, a to v súlade s požiadavkami stanovenými v nariadení (EÚ) 2022/2554. Okrem toho IKT riziko je len nepriamo zahrnuté, ako súčasť operačného rizika, do postupu preskúmania a hodnotenia orgánmi dohľadu (SREP), ktorý vykonávajú príslušné orgány a kritériá na jeho posúdenie sú v súčasnosti vymedzené v Usmerneniach pre posudzovanie rizika súvisiaceho s informačnými a komunikačnými technológiami v rámci postupu preskúmania a hodnotenia orgánmi dohľadu (SREP), ktoré vydal európsky orgán dohľadu (Európsky orgán pre bankovníctvo) (ďalej len „EBA“) zriadený nariadením Európskeho parlamentu a Rady (EÚ) č. 1093/2010 (13). S cieľom zabezpečiť právnu zrozumiteľnosť a zaistiť, aby orgány bankového dohľadu účinne identifikovali IKT riziko a monitorovali jeho riadenie finančnými subjektmi v súlade s novým rámcom pre digitálnu prevádzkovú odolnosť, by sa mal rozsah postupu preskúmania a hodnotenia orgánmi dohľadu zmeniť tak, aby výslovne odkazoval na požiadavky stanovené v nariadení (EÚ) 2022/2554 a vzťahoval sa najmä na riziká zistené na základe oznámení o závažných incidentoch súvisiacich s IKT a na základe výsledkov testov digitálnej prevádzkovej odolnosti, ktoré finančné subjekty vykonávajú v súlade s uvedeným nariadením.

(5)

Digitálna prevádzková odolnosť je základnou podmienkou toho, aby sa v prípade riešenia krízovej situácie finančného subjektu zachovali jeho zásadné funkcie a hlavné oblasti obchodnej činnosti, a tým aby sa zabránilo narušeniu reálnej ekonomiky a finančného systému. Závažné prevádzkové incidenty môžu oslabovať schopnosť finančného subjektu pokračovať v činnosti a môžu ohroziť ciele riešenia krízovej situácie. V prípade riešenia krízovej situácie majú pre zabezpečenie prevádzkovej kontinuity a poskytnutie potrebných údajov zásadný význam aj určité zmluvné dojednania o využívaní IKT služieb. V záujme zosúladenia s cieľmi rámca Únie pre prevádzkovú odolnosť by sa smernica 2014/59/EÚ mala zodpovedajúcim spôsobom zmeniť s cieľom zabezpečiť, aby sa informácie o prevádzkovej odolnosti zohľadňovali v kontexte plánovania riešenia krízovej situácie a posudzovania riešiteľnosti krízovej situácie finančných subjektov.

(6)

V smernici 2014/65/EÚ sa stanovujú prísnejšie pravidlá v oblasti IKT rizika pre investičné spoločnosti a obchodné miesta, ktoré vykonávajú algoritmické obchodovanie. Menej podrobné požiadavky sa vzťahujú na služby vykazovania údajov a na archívy obchodných údajov. Smernica 2014/65/EÚ obsahuje takisto len obmedzené odkazy na opatrenia na kontrolu a ochranu systémov spracovania informácií a na používanie vhodných systémov, zdrojov a postupov na zabezpečenie kontinuity a regulárnosti služieb súvisiacich s podnikaním. Uvedená smernica by sa mala ďalej zosúladiť s nariadením (EÚ) 2022/2554, pokiaľ ide o kontinuitu a regulárnosť poskytovania investičných služieb a vykonávania investičných činností, prevádzkovú odolnosť, kapacitu obchodných systémov a účinnosť opatrení na zabezpečenie kontinuity činností a riadenia rizík.

(7)

V smernici (EÚ) 2015/2366 sa stanovujú osobitné pravidlá týkajúce sa bezpečnostných kontrol IKT a zmierňujúcich prvkov na účely udelenia povolenia na poskytovanie platobných služieb. Uvedené pravidlá udeľovania povolení by sa mali zmeniť s cieľom zosúladiť ich s nariadením (EÚ) 2022/2554. Okrem toho s cieľom znížiť administratívne zaťaženie a vyhnúť sa zložitosti a duplicitným požiadavkám na oznamovanie by sa pravidlá oznamovania incidentov stanovené v uvedenej smernici mali prestať uplatňovať na poskytovateľov platobných služieb, ktorí sú regulovaní podľa uvedenej smernice a na ktorých sa vzťahuje aj nariadenie (EÚ) 2022/2554, čím by sa týmto poskytovateľom platobných služieb umožnilo využívať jednotný, plne harmonizovaný mechanizmus oznamovania incidentov, pokiaľ ide o všetky prevádzkové alebo bezpečnostné incidenty súvisiace s platbami, bez ohľadu na to, či takéto incidenty súvisia s IKT.

(8)

Smernice 2009/138/ES a (EÚ) 2016/2341 čiastočne zachytávajú IKT riziko v rámci svojich všeobecných ustanovení o správe a riadení rizík, pričom určité požiadavky sa majú špecifikovať prostredníctvom delegovaných aktov, či už s osobitnými odkazmi na IKT riziko, alebo bez nich. Podobne sa na správcov alternatívnych investičných fondov, ktorí podliehajú smernici 2011/61/EÚ a na správcovské spoločnosti, ktoré podliehajú smernici 2009/65/ES, vzťahujú len veľmi všeobecné pravidlá. Uvedené smernice by sa preto mali zosúladiť s požiadavkami stanovenými v nariadení (EÚ) 2022/2554, pokiaľ ide o riadenie systémov a nástrojov IKT.

(9)

Ďalšie požiadavky na IKT riziko už boli v mnohých prípadoch stanovené v delegovaných a vykonávacích aktoch prijatých na základe návrhu regulačných technických predpisov a návrhu vykonávacích technických predpisov vypracovaných príslušným európskym orgánom dohľadu. Keďže ustanovenia nariadenia (EÚ) 2022/2554 predstavujú právny rámec pre IKT riziko vo finančnom sektore, určité splnomocnenia na prijatie delegovaných a vykonávacích aktov v smerniciach 2009/65/ES, 2009/138/ES, 2011/61/EÚ a 2014/65/EÚ by sa mali zmeniť s cieľom odstrániť ustanovenia o IKT riziku z rozsahu pôsobnosti uvedených splnomocnení.

(10)	S cieľom zabezpečiť jednotné vykonávanie nového rámca pre digitálnu prevádzkovú odolnosť finančného sektora, členské štáty by mali uplatňovať ustanovenia vnútroštátneho práva, ktorými sa transponuje táto smernica, od dátumu začatia uplatňovania nariadenia (EÚ) 2022/2554.

(11)

Smernice 2009/65/ES, 2009/138/ES, 2011/61/EÚ, 2013/36/EÚ, 2014/59/EÚ, 2014/65/EÚ, (EÚ) 2015/2366 a (EÚ) 2016/2341 boli prijaté na základe článku 53 ods. 1 alebo článku 114 Zmluvy o fungovaní Európskej únie (ďalej len „ZFEÚ“) alebo oboch. Zmeny v tejto smernici boli zahrnuté do jediného aktu vzhľadom na prepojenosť predmetu úpravy a cieľov zmien. V dôsledku toho by sa táto smernica mala prijať na základe článku 53 ods. 1 aj článku 114 ZFEÚ.

(12)

Keďže ciele tejto smernice nie je možné uspokojivo dosiahnuť na úrovni členských štátov, pretože si vyžadujú harmonizáciu požiadaviek, ktoré sú už obsiahnuté v smerniciach, ale z dôvodov rozsahu aj účinkov danej činnosti ich možno lepšie dosiahnuť na úrovni Únie, môže Únia prijať opatrenia v súlade so zásadou subsidiarity podľa článku 5 Zmluvy o Európskej únii. V súlade so zásadou proporcionality podľa uvedeného článku táto smernica neprekračuje rámec nevyhnutný na dosiahnutie týchto cieľov.

(13)

V súlade so spoločným politickým vyhlásením členských štátov a Komisie z 28. septembra 2011 o vysvetľujúcich dokumentoch (14) sa členské štáty zaviazali, že v odôvodnených prípadoch k svojim oznámeniam o transpozičných opatreniach pripoja jeden alebo viacero dokumentov vysvetľujúcich vzťah medzi prvkami smernice a zodpovedajúcimi časťami vnútroštátnych transpozičných nástrojov. Pokiaľ ide o túto smernicu, zákonodarca považuje predloženie takýchto dokumentov za opodstatnené,

PRIJALI TÚTO SMERNICU:

Článok 1

Zmeny smernice 2009/65/ES

Článok 12 smernice 2009/65/ES sa mení takto:

V odseku 1 druhom pododseku sa písmeno a) nahrádza takto:

„a)

mala riadne administratívne a účtovné postupy, opatrenia kontroly a ochrany pre elektronické spracovanie údajov vrátane pokiaľ ide o siete a informačné systémy, ktoré sú zriadené a spravované v súlade s nariadením Európskeho parlamentu a Rady (EÚ) 2022/2554 (*1), ako aj primerané mechanizmy vnútornej kontroly, ktoré zahŕňajú najmä pravidlá pre osobné transakcie jej zamestnancov alebo pre držbu alebo riadenie investícií do finančných nástrojov s cieľom investovať na vlastný účet a ktoré zabezpečujú minimálne to, aby sa každá transakcia, na ktorej sa PKIPCP zúčastňuje, mohla zrekonštruovať podľa svojho pôvodu, strán transakcie, povahy, času a miesta, na ktorom sa uskutočnila, a aby sa aktíva PKIPCP riadených správcovskou spoločnosťou investovali v súlade s pravidlami alebo zakladajúcimi dokumentmi fondu a platnými právnymi predpismi;

(*1) Nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2554 zo 14. decembra 2022 o digitálnej prevádzkovej odolnosti finančného sektora a o zmene nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014, (EÚ) č. 909/2014 a (EÚ) 2016/1011 (Ú. v. EÚ L 333, 27.12.2022, s. 1).“ "

Odsek 3 sa nahrádza takto:

„3. Bez toho, aby bol dotknutý článok 116, Komisia prijme prostredníctvom delegovaných aktov v súlade s článkom 112a opatrenia, v ktorých uvedie:

a)	postupy a opatrenia uvedené v odseku 1 druhom pododseku písm. a) iné než postupy a mechanizmy, ktoré sa týkajú sietí a informačných systémov;

b)	štruktúry a organizačné požiadavky na minimalizáciu konfliktov záujmov uvedených v odseku 1 druhom pododseku písm. b).“

Článok 2

Zmeny smernice 2009/138/ES

Smernica 2009/138/ES sa mení takto:

V článku 41 sa odsek 4 nahrádza takto:

„4. Poisťovne a zaisťovne musia prijať všetky náležité opatrenia na zabezpečenie kontinuity a regulárnosti pri výkone svojich činností vrátane vypracovania plánov pre nepredvídané udalosti. Na tento účel podnik využíva vhodné a primerané systémy, zdroje a postupy, a najmä zriadi a spravuje siete a informačné systémy v súlade s nariadením Európskeho parlamentu a Rady (EÚ) 2022/2554 (*2).

(*2) Nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2554 zo 14. decembra 2022 o digitálnej prevádzkovej odolnosti finančného sektora a o zmene nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014, (EÚ) č. 909/2014 a (EÚ) 2016/1011 (Ú. v. EÚ L 333, 27. 12.2022, s. 1).“ "

V článku 50 ods. 1 sa písmená a) a b) nahrádzajú takto:

„a)	prvky systémov uvedených v článku 41, článku 44, najmä v oblastiach uvedených v článku 44 ods. 2, a článkoch 46 a 47 iné ako prvky týkajúce sa riadenia rizika v oblasti informačných a komunikačných technológií;

b)	funkcie uvedené v článkoch 44, 46, 47 a 48 iné ako funkcie súvisiace s riadením rizík v oblasti informačných a komunikačných technológií.“

Článok 3

Zmeny smernice 2011/61/EÚ

Článok 18 smernice 2011/61/EÚ sa nahrádza takto:

„Článok 18

Všeobecné zásady

1. Členské štáty vyžadujú, aby správcovia AIF vždy používali primerané a vhodné ľudské a technické zdroje, ktoré sú potrebné na náležitú správu AIF.

Príslušné orgány domovského členského štátu správcu AIF aj s prihliadnutím na povahu AIF, ktoré správca AIF spravuje, vyžadujú najmä to, aby správca AIF mal riadne administratívne a účtovné postupy, opatrenia kontroly a ochrany pre elektronické spracovanie údajov, vrátane vzhľadom na siete a informačné systémy zriadené a spravované v súlade s nariadením Európskeho parlamentu a Rady (EÚ) 2022/2554 (*3), ako aj primerané mechanizmy vnútornej kontroly, ktoré zahŕňajú najmä pravidlá pre osobné transakcie jeho zamestnancov alebo pre držbu alebo riadenie investícií s cieľom investovať na vlastný účet a ktoré zabezpečujú minimálne to, aby sa každá transakcia, na ktorej sa AIF zúčastňuje, mohla zrekonštruovať podľa svojho pôvodu, strán transakcie, povahy, času a miesta, na ktorom sa uskutočnila, a aby sa aktíva AIF spravovaných správcom AIF investovali v súlade s pravidlami alebo zakladajúcimi dokumentmi AIF a platnými právnymi predpismi.

2. Komisia prijme prostredníctvom delegovaných aktov v súlade s článkom 56 a za podmienok stanovených v článkoch 57 a 58 opatrenia, v ktorých upresní postupy a mechanizmy uvedené v odseku 1 tohto článku iné než postupy a mechanizmy, ktoré sa týkajú sietí a informačných systémov.

Článok 4

Zmeny smernice 2013/36/EÚ

Smernica 2013/36/EÚ sa mení takto:

V článku 65 ods. 3 písm. a) sa bod vi) nahrádza takto:

„vi)	tretie strany, ktoré pre subjekty uvedené v bodoch i) až iv) externe vykonávajú funkcie alebo činnosti, vrátane poskytovateľov služieb IKT, ktorí sú treťou stranou, uvedených v kapitole V nariadenia Európskeho parlamentu a Rady (EÚ) 2022/2554 (*4);

(*4) Nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2554 zo 14. decembra 2022 o digitálnej prevádzkovej odolnosti finančného sektora a o zmene nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014, (EÚ) č. 909/2014 a (EÚ) 2016/1011 (Ú. v. EÚ L 333, 27.12.2022, s. 1).“ "

V článku 74 ods. 1 sa prvý pododsek nahrádza takto:

„Inštitúcie musia mať dôkladné mechanizmy v oblasti riadenia, ktoré zahŕňajú jasnú organizačnú štruktúru s riadne definovanými, transparentnými a konzistentnými líniami zodpovednosti, účinné postupy na identifikáciu, riadenie, monitorovanie a vykazovanie rizík, ktorým sú alebo by mohli byť vystavené, primerané mechanizmy vnútornej kontroly vrátane riadnych administratívnych a účtovných postupov, sietí a informačných systémov, ktoré sú zriadené a spravované v súlade s nariadením (EÚ) 2022/2554, ako aj politiky a postupy odmeňovania, ktoré sú v súlade s riadnym a účinným riadením rizík a podporujú ho.“

V článku 85 sa odsek 2 nahrádza takto:

„2. Príslušné orgány zabezpečia, aby inštitúcie mali primerané politiky a plány pre nepredvídané udalosti a plány na zabezpečenie kontinuity činností vrátane politík a plánov kontinuity činností v oblasti IKT a plánov reakcie a obnovy v oblasti IKT pre technológiu, ktorú používajú na oznamovanie informácií, a aby tieto plány boli vypracované, riadené a testované v súlade s článkom 11 nariadenia (EÚ) 2022/2554, s cieľom umožniť inštitúciám, aby v prípade vážneho narušenia činnosti mohli naďalej fungovať a aby obmedzili straty, ktoré v dôsledku takéhoto narušenia vznikli.“

V článku 97 ods. 1 sa dopĺňa toto písmeno:

„d)	riziká zistené testovaním digitálnej prevádzkovej odolnosti v súlade s kapitolou IV nariadenia (EÚ) 2022/2554;“

Článok 5

Zmeny smernice 2014/59/EÚ

Smernica 2014/59/EÚ sa mení takto:

Článok 10 sa mení takto:

v odseku 7 sa písmeno c) nahrádza takto:

„c)	ukážku toho, ako by sa zásadné funkcie a hlavné oblasti obchodnej činnosti mohli v potrebnom rozsahu právne a ekonomicky oddeliť od ostatných funkcií, aby sa zabezpečila kontinuita a digitálna prevádzková odolnosť v prípade zlyhania inštitúcie“;

v odseku 7 sa písmeno q) nahrádza takto:

„q)	opis základných činností a systémov na zachovanie nepretržitého fungovania prevádzkových procesov inštitúcie vrátane sietí a informačných systémov uvedených v nariadení Európskeho parlamentu a Rady (EÚ) 2022/2554 (*5);

(*5) Nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2554 zo 14. decembra 2022 o digitálnej prevádzkovej odolnosti finančného sektora a o zmene nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014, (EÚ) č. 909/2014 a (EÚ) 2016/1011 (Ú. v. EÚ L 333, 27.12.2022, s. 1).“;"

c)	v odseku 9 sa dopĺňa tento pododsek: „EBA v súlade s článkom 10 nariadenia (EÚ) č. 1093/2010 preskúma a v prípade potreby aktualizuje regulačné technické predpisy, aby sa okrem iného zohľadnili ustanovenia kapitoly II nariadenia (EÚ) 2022/2554.“

Príloha sa mení takto:

v oddiele A sa bod 16 nahrádza takto:

„16.	mechanizmy a opatrenia potrebné na zachovanie nepretržitého fungovania prevádzkových procesov inštitúcie vrátane sietí a informačných systémov, ktoré sú zriadené a spravované v súlade s nariadením (EÚ) 2022/2554;“;

oddiel B sa mení takto:

bod 14 sa nahrádza takto:

„14.

identifikácia vlastníkov systémov uvedených v bode 13, s nimi súvisiacich dohôd o úrovni poskytovaných služieb a všetkých softvérov a systémov alebo licencií vrátane priradenia k ich právnickým osobám, kritickým operáciám a hlavným oblastiam obchodnej činnosti, ako aj identifikácia kritických externých poskytovateľov IKT služieb vymedzených v článku 3 bode 23 nariadenia (EÚ) 2022/2554;“;

ii)

vkladá sa tento bod:

„14a.

výsledky testovania digitálnej prevádzkovej odolnosti inštitúcií podľa nariadenia (EÚ) 2022/2554;“;

oddiel C sa mení takto:

bod 4 sa nahrádza takto:

„4.	rozsah, v ktorom sú dohody o službách vrátane zmluvných dojednaní o využívaní IKT služieb, ktoré inštitúcia uzatvorila, spoľahlivé a plne vymáhateľné v prípade riešenia krízovej situácie inštitúcie;“;

ii)

vkladá sa tento bod:

„4a.

digitálna prevádzková odolnosť sietí a informačných systémov, ktoré podporujú zásadné funkcie a hlavné oblasti obchodnej činnosti inštitúcie, s prihliadnutím na oznámenia o závažných incidentoch súvisiacich s IKT a na výsledky testovania digitálnej prevádzkovej odolnosti podľa nariadenia (EÚ) 2022/2554.“

Článok 6

Zmeny smernice 2014/65/EÚ

Smernica 2014/65/EÚ sa mení takto:

Článok 16 sa mení takto:

odsek 4 sa nahrádza takto:

„4. Investičná spoločnosť musí prijať všetky náležité opatrenia na zabezpečenie kontinuity a regulárnosti pri výkone investičných služieb a činností. Na tento účel investičná spoločnosť využíva vhodné a primerané systémy vrátane systémov informačných a komunikačných technológií (IKT) zriadených a spravovaných v súlade s článkom 7 nariadenia Európskeho parlamentu a Rady (EÚ) 2022/2554 (*6), ako aj vhodné a primerané zdroje a postupy.

(*6) Nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2554 zo 14. decembra 2022 o digitálnej prevádzkovej odolnosti finančného sektora a o zmene nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014, (EÚ) č. 909/2014 a (EÚ) 2016/1011 (Ú. v. EÚ L 333, 27.12.2022, s. 1).“;"

v odseku 5 sa druhý a tretí pododsek nahrádzajú takto:

„Investičná spoločnosť musí mať spoľahlivé administratívne a účtovné postupy, mechanizmy vnútornej kontroly a účinné postupy na posudzovanie rizík.

Bez toho, aby bola dotknutá možnosť príslušných orgánov požadovať prístup ku komunikácii v súlade s touto smernicou a nariadením (EÚ) č. 600/2014, investičná spoločnosť musí mať zavedené spoľahlivé bezpečnostné mechanizmy, ktorými sa v súlade s požiadavkami uvedenými v nariadení (EÚ) 2022/2554 zaistí bezpečnosť a overenie prostriedkov na prenos informácií, minimalizuje sa riziko poškodenia údajov a neoprávneného prístupu a predíde sa úniku informácií, pričom sa vždy zachová dôvernosť údajov.“

Článok 17 sa mení takto:

odsek 1 sa nahrádza takto:

„1. Investičná spoločnosť, ktorá sa zapája do algoritmického obchodovania, musí mať zavedené účinné systémy a opatrenia na kontrolu rizík vhodné na činnosť, ktorú vykonáva, s cieľom zabezpečiť, aby jej systémy obchodovania boli odolné a mali dostatočnú kapacitu v súlade s požiadavkami uvedenými v kapitole II nariadenia (EÚ) 2022/2554, aby podliehali primeraným prahovým hodnotám obchodovania a limitom a bránili zasielaniu chybných pokynov alebo tomu, aby systém inak fungoval spôsobom, ktorý môže viesť alebo prispieť k narušeniu trhu.

Takáto spoločnosť musí mať tiež zavedené účinné systémy a opatrenia na kontrolu rizík v snahe zabezpečiť, aby sa systémy obchodovania nemohli použiť na žiadny účel, ktorý je v rozpore s nariadením (EÚ) č. 596/2014 alebo s pravidlami obchodného miesta, s ktorým je spojená.

Investičná spoločnosť musí mať zavedené účinné opatrenia na zabezpečenie kontinuity činností, aby zvládla akékoľvek zlyhania jej systémov obchodovania, vrátane politiky a plánov kontinuity činností v oblasti IKT a plánov reakcie a obnovy vypracovaných v súlade s článkom 11 nariadenia (EÚ) 2022/2554 a musí zabezpečiť, aby jej systémy boli plne testované a riadne monitorované, aby spĺňali všeobecné požiadavky stanovené v tomto odseku a akékoľvek osobitné požiadavky stanovené v kapitolách II a IV nariadenia (EÚ) 2022/2554.“;

v odseku 7 sa písmeno a) nahrádza takto:

„a)

podrobností týkajúcich sa organizačných požiadaviek stanovených v odsekoch 1 až 6 iných než v súvislosti s riadením IKT rizika, ktoré sa majú uložiť investičným spoločnostiam, ktoré poskytujú rôzne investičné služby, investičné činnosti a vedľajšie služby alebo ich kombinácie, pričom špecifikácie vo vzťahu k organizačným požiadavkám uvedené v odseku 5 stanovujú osobitné požiadavky pre priamy prístup na trh a pre sponzorovaný prístup tak, aby sa zabezpečilo, že kontroly vykonávané pri sponzorovanom prístupe sú prinajmenšom rovnocenné s tými kontrolami, ktoré platia pre priamy prístup na trh;“

V článku 47 sa odsek 1 mení takto:

písmeno b) sa nahrádza takto:

„b)	bol primerane vybavený na riadenie rizík, ktorým je vystavený, vrátane riadenia IKT rizika podľa kapitoly II nariadenia (EÚ) 2022/2554, zaviedol vhodné opatrenia a systémy na identifikáciu závažných rizík ohrozujúcich jeho prevádzku a zaviedol účinné opatrenia na zmiernenie týchto rizík.“;

b)	písmeno c) sa vypúšťa.

Článok 48 sa mení takto:

odsek 1 sa nahrádza takto:

„1. Členské štáty vyžadujú, aby si regulované trhy vytvorili a udržiavali prevádzkovú odolnosť v súlade s požiadavkami uvedenými v kapitole II nariadenia (EÚ) 2022/2554 s cieľom zabezpečiť, aby ich systémy obchodovania boli odolné, mali dostatočné kapacity na zvládnutie prudko zvýšeného objemu pokynov a správ, dokázali zaručiť riadne obchodovanie v podmienkach veľmi napätého trhu, boli úplne otestované na zabezpečenie splnenia týchto podmienok a podliehali účinným opatreniam na zaistenie kontinuity činností vrátane politiky a plánov kontinuity činností v oblasti IKT a plánov reakcie a obnovy v oblasti IKT vypracovaných v súlade s článkom 11 nariadenia (EÚ) 2022/2554, s cieľom zabezpečiť kontinuitu svojich služieb, ak dôjde k akémukoľvek zlyhaniu ich systémov obchodovania.“;

odsek 6 sa nahrádza takto:

„6. Členské štáty vyžadujú, aby regulovaný trh mal zavedené účinné systémy, postupy a opatrenia vrátane stanovenia povinnosti, aby členovia alebo účastníci vykonávali vhodné testovanie algoritmov, a vytvorenia podmienok, ktoré takéto testovanie v súlade s požiadavkami stanovenými v kapitolách II a IV nariadenia (EÚ) 2022/2554 umožnia, s cieľom zabezpečiť, aby systémy algoritmického obchodovania nemohli viesť alebo prispieť k narušovaniu podmienok obchodovania na danom trhu, a zvládnuť akékoľvek narušenie podmienok obchodovania, ktoré vyplýva z takýchto systémov algoritmického obchodovania, vrátane systémov na obmedzenie podielu nevykonaných pokynov na transakciách, ktoré môže do systému vkladať člen alebo účastník, aby bolo možné spomaliť tok pokynov, ak hrozí dosiahnutie úplnej kapacity systému, a obmedziť a presadiť minimálnu veľkosť tiku, ktorý možno vykonať na trhu.“;

odsek 12 sa mení takto:

písmeno a) sa nahrádza takto:

„a)	požiadavky na zabezpečenie odolnosti a primeranej kapacity systémov obchodovania regulovaných trhov s výnimkou požiadaviek týkajúcich sa digitálnej prevádzkovej odolnosti;“;

ii)

písmeno g) sa nahrádza takto:

„g)

požiadavky na zaručenie primeraného testovania algoritmov iného než testovanie digitálnej prevádzkovej odolnosti s cieľom zabezpečiť, aby systémy algoritmického obchodovania vrátane systémov vysokofrekvenčného algoritmického obchodovania nemohli viesť alebo prispieť k narušovaniu podmienok obchodovania na danom trhu.“

Článok 7

Zmeny smernice (EÚ) 2015/2366

Smernica (EÚ) 2015/2366 sa mení takto:

V článku 3 sa písmeno j nahrádza takto:

„j)

služby zabezpečované poskytovateľmi technických služieb, ktorí podporujú poskytovanie platobných služieb bez toho, aby v ktorejkoľvek fáze mali v držbe finančné prostriedky určené na prevod, vrátane spracovania a uchovávania údajov, ochrany zverených prostriedkov a služieb ochrany súkromia, autentifikácie údajov a totožnosti, zabezpečovania informačných a komunikačných technológií (IKT) a komunikačných sietí, zabezpečovania a údržby terminálov a zariadení používaných pri platobných službách, s výnimkou platobných iniciačných služieb a služieb informovania o účte;“

Článok 5 ods. 1 sa mení takto:

prvý pododsek sa mení takto:

písmeno e) sa nahrádza takto:

„e)

s opisom mechanizmov riadenia a vnútornej kontroly žiadateľa vrátane administratívnych postupov, postupov riadenia rizík a účtovných postupov, ako aj mechanizmov pre využívanie IKT služieb v súlade s nariadením Európskeho parlamentu a Rady (EÚ) 2022/2554 (*7), ktorý preukazuje, že tieto mechanizmy riadenia a vnútornej kontroly sú primerané, riadne, správne a vhodné;

(*7) Nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2554 zo 14. decembra 2022 o digitálnej prevádzkovej odolnosti finančného sektora a o zmene nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014, (EÚ) č. 909/2014 a (EÚ) 2016/1011 (Ú. v. EÚ L 333, 27.12.2022, s. 1).“;"

ii)

písmeno f) sa nahrádza takto:

„f)

s opisom zavedeného postupu na monitorovanie, riešenie a sledovanie bezpečnostného incidentu a sťažností zákazníkov týkajúcich sa bezpečnosti, a to vrátane mechanizmu podávania správ o incidente, ktorý zahŕňa oznamovacie povinnosti platobnej inštitúcie stanovené v kapitole III nariadenia (EÚ) 2022/2554;“;

iii)

písmeno h) sa nahrádza takto:

„h)

s opisom mechanizmov na zabezpečenie kontinuity činností vrátane jasnej identifikácie kritických operácií, účinných politík a plánov kontinuity činností v oblasti IKT a plánov reakcie a obnovy v oblasti IKT a postupu na pravidelné testovanie a skúmanie vhodnosti a efektívnosti takýchto plánov v súlade s nariadením (EÚ) 2022/2554;“;

tretí pododsek sa nahrádza takto:

„Opatrenia týkajúce sa bezpečnostnej kontroly a zmiernenia rizík uvedené prvom pododseku písm. j) obsahujú informácie o tom, ako sa nimi zabezpečuje vysoká úroveň digitálnej prevádzkovej odolnosti v súlade s kapitolou II nariadenia (EÚ) 2022/2554 najmä vo vzťahu k technickej bezpečnosti a ochrane údajov, a to aj vo vzťahu k softvéru a IKT systémom, ktoré používa žiadateľ alebo podniky, ktoré pre neho externe vykonávajú celú činnosť alebo jej časť. Uvedené opatrenia zahŕňajú aj bezpečnostné opatrenia stanovené v článku 95 ods. 1 tejto smernice. V uvedených opatreniach sa zohľadňujú usmernenia orgánu EBA o bezpečnostných opatreniach uvedené v článku 95 ods. 3 tejto smernice, ak sú zavedené.“

V článku 19 ods. 6 sa druhý pododsek nahrádza takto:

„Externé vykonávanie činností sa nesmie v prípade významných prevádzkových úloh vrátane IKT systémov uskutočniť spôsobom, ktorým by sa podstatne narušila kvalita vnútornej kontroly platobnej inštitúcie a schopnosť príslušných orgánov monitorovať a vysledovať dodržiavanie všetkých povinností stanovených v tejto smernici zo strany platobnej inštitúcie.“

V článku 95 ods. 1 sa dopĺňa tento pododsek:

„Povinnosťou uvedenou v prvom pododseku nie je dotknuté uplatňovanie kapitoly II nariadenia (EÚ) 2022/2554 na:

a)	poskytovateľov platobných služieb uvedených v článku 1 ods. 1 písm. a), b) a d) tejto smernice,

b)	poskytovateľov služieb informovania o účte uvedených v článku 33 ods. 1 tejto smernice,

c)	platobné inštitúcie vyňaté podľa článku 32 ods. 1 tejto smernice a

d)	inštitúcie elektronického peňažníctva, na ktoré sa vzťahuje výnimka uvedená v článku 9 ods. 1 smernice 2009/110/ES;“

V článku 96 sa dopĺňa tento odsek:

„7. Členské štáty zabezpečia, aby sa odseky 1 až 5 tohto článku neuplatňovali na:

a)	poskytovateľov platobných služieb uvedených v článku 1 ods. 1 písm. a), b) a d) tejto smernice,

b)	poskytovateľov služieb informovania o účte uvedených v článku 33 ods. 1 tejto smernice,

c)	platobné inštitúcie vyňaté podľa článku 32 ods. 1 tejto smernice a

d)	inštitúcie elektronického peňažníctva, na ktoré sa vzťahuje výnimka uvedená v článku 9 ods. 1 smernice 2009/110/ES.“

6.	V článku 98 sa odsek 5 nahrádza takto: „5. EBA v súlade s článkom 10 nariadenia (EÚ) č. 1093/2010 pravidelne preskúmava a v prípade potreby aktualizuje regulačné technické predpisy, aby sa okrem iného zohľadnili inovácie a technologický vývoj a ustanovenia kapitoly II nariadenia (EÚ) 2022/2554.“

Článok 8

Zmeny smernice (EÚ) 2016/2341

Článok 21 ods. 5 smernice (EÚ) 2016/2341 sa nahrádza takto:

„5. Členské štáty zabezpečia, aby IZDZ prijali primerané kroky na zabezpečenie kontinuity a regulárnosti výkonu svojich činností vrátane vypracovania záložných plánov. Na uvedený účel IZDZ využíva vhodné a primerané systémy, zdroje a postupy a v príslušných prípadoch najmä zriadi a spravuje siete a informačné systémy v súlade s nariadením Európskeho parlamentu a Rady (EÚ) 2022/2554 (*8)

Článok 9

Transpozícia

1. Členské štáty prijmú a uverejnia do 17. januára 2025 opatrenia potrebné na dosiahnutie súladu s touto smernicou Bezodkladne o tom informujú Komisiu.

Tieto opatrenia uplatňujú od 17. januára 2025.

Členské štáty uvedú priamo v prijatých opatreniach alebo pri ich úradnom uverejnení odkaz na túto smernicu. Podrobnosti o odkaze upravia členské štáty.

2. Členské štáty oznámia Komisii znenie hlavných opatrení vnútroštátneho práva, ktoré prijmú v oblasti pôsobnosti tejto smernice.

Článok 10

Nadobudnutie účinnosti

Táto smernica nadobúda účinnosť dvadsiatym dňom po jej uverejnení v Úradnom vestníku Európskej únie.

Článok 11

Adresáti

Táto smernica je určená členským štátom.

V Štrasburgu 14. decembra 2022

Za Európsky parlament

predsedníčka

R. METSOLA

Za Radu

predseda

M. BEK

(1) Ú. v. EÚ C 343, 26.8.2021, s. 1.

(2) Ú. v. EÚ C 155, 30.4.2021, s. 38.

(3) Pozícia Európskeho parlamentu z 10. novembra 2022 (zatiaľ neuverejnená v úradnom vestníku) a rozhodnutie Rady z 28. novembra 2022.

(4) Smernica Európskeho parlamentu a Rady 2009/65/ES z 13. júla 2009 o koordinácii zákonov, iných právnych predpisov a správnych opatrení týkajúcich sa podnikov kolektívneho investovania do prevoditeľných cenných papierov (PKIPCP) (Ú. v. EÚ L 302, 17.11.2009, s. 32).

(5) Smernica Európskeho parlamentu a Rady 2009/138/ES z 25. novembra 2009 o začatí a vykonávaní poistenia a zaistenia (Solventnosť II) (Ú. v. EÚ L 335, 17.12.2009, s. 1).

(6) Smernica Európskeho parlamentu a Rady 2011/61/EÚ z 8. júna 2011 o správcoch alternatívnych investičných fondov a o zmene a doplnení smerníc 2003/41/ES a 2009/65/ES a nariadení (ES) č. 1060/2009 a (EÚ) č. 1095/2010 (Ú. v. EÚ L 174, 1.7.2011, s. 1).

(7) Smernica Európskeho parlamentu a Rady 2013/36/EÚ z 26. júna 2013 o prístupe k činnosti úverových inštitúcií a prudenciálnom dohľade nad úverovými inštitúciami, o zmene smernice 2002/87/ES a o zrušení smerníc 2006/48/ES a 2006/49/ES (Ú. v. EÚ L 176, 27.6.2013, s. 338).

(8) Smernica Európskeho parlamentu a Rady 2014/59/EÚ z 15. mája 2014, ktorou sa stanovuje rámec pre ozdravenie a riešenie krízových situácií úverových inštitúcií a investičných spoločností a ktorou sa mení smernica Rady 82/891/EHS a smernice Európskeho parlamentu a Rady 2001/24/ES, 2002/47/ES, 2004/25/ES, 2005/56/ES, 2007/36/ES, 2011/35/EÚ, 2012/30/EÚ a 2013/36/EÚ a nariadenia Európskeho parlamentu a Rady (EÚ) č. 1093/2010 a (EÚ) č. 648/2012 (Ú. v. EÚ L 173, 12.6.2014, s. 190).

(9) Smernica Európskeho parlamentu a Rady 2014/65/EÚ z 15. mája 2014 o trhoch s finančnými nástrojmi, ktorou sa mení smernica 2002/92/ES a smernica 2011/61/EÚ (Ú. v. EÚ L 173, 12.6.2014, s. 349).

(10) Smernica Európskeho parlamentu a Rady (EÚ) 2015/2366 z 25. novembra 2015 o platobných službách na vnútornom trhu, ktorou sa menia smernice 2002/65/ES, 2009/110/ES a 2013/36/EÚ a nariadenie (EÚ) č. 1093/2010, a ktorou sa zrušuje smernica 2007/64/ES (Ú. v. EÚ L 337, 23.12.2015, s. 35).

(11) Smernica Európskeho parlamentu a Rady (EÚ) 2016/2341 zo 14. decembra 2016 o činnostiach inštitúcií zamestnaneckého dôchodkového zabezpečenia (IZDZ) a o dohľade nad nimi (Ú. v. EÚ L 354, 23.12.2016, s. 37).

(12) Nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2554 zo 14. decembra 2022 o digitálnej prevádzkovej odolnosti finančného sektora a o zmene nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014, (EÚ) č. 909/2014 a (EÚ) 2016/1011 (Pozri stranu 1 tohto úradného vestníka).

(13) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 1093/2010 z 24. novembra 2010, ktorým sa zriaďuje Európsky orgán dohľadu (Európsky orgán pre bankovníctvo) a ktorým sa mení a dopĺňa rozhodnutie č. 716/2009/ES a zrušuje rozhodnutie Komisie 2009/78/ES (Ú. v. EÚ L 331, 15.12.2010, s. 12).

(14) Ú. v. EÚ C 369, 17.12.2011, s. 14.

Top

Choose the experimental features you want to try