Digitálna prevádzková odolnosť finančného sektora

HLAVNÉ BODY

Rozsah pôsobnosti

Nariadenie sa vzťahuje na:

• úverové, platobné inštitúcie, inštitúcie elektronického peňažníctva a dôchodkového poistenia zamestnancov,
• poskytovateľov služieb informovania o účte, kryptoaktív, vykazovania údajov, hromadného financovania a tretie strany IKT,
• investičné spoločnosti, alternatívne investičné fondy, správcovské spoločnosti, ratingové agentúry a správcov kritických referenčných hodnôt,
• archívy obchodných a sekuritizačných údajov, centrálnych depozitárov cenných papierov, centrálne protistrany a obchodné miesta,
• poisťovne, sprostredkovateľov poistenia a zaisťovne.

Riadenie IKT rizika

Finančné subjekty iné ako mikropodniky:

• zavedú opatrenia vnútornej správy a riadenia a kontroly, ktorými sa zabezpečí účinné a obozretné riadenie IKT rizika,
• zabezpečia, aby ich riadiaci orgán vymedzoval a schvaľoval všetky príslušné opatrenia, vykonával nad nimi dozor a zodpovedal za ne,
• zavedú spoľahlivý, komplexný a dobre zdokumentovaný rámec riadenia IKT rizika s potrebnými stratégiami, politikami, postupmi, protokolmi a nástrojmi s cieľom reagovať rýchlo a účinne,
• používajú a udržiavajú aktualizované IKT systémy, protokoly a nástroje, ktoré sú vhodné, spoľahlivé, technologicky odolné a majú dostatočnú kapacitu,
• identifikujú, klasifikujú a primerane dokumentujú všetky obchodné funkcie, úlohy a povinnosti podporované IKT a preskúmavajú rizikové scenáre,
• nepretržite monitorujú bezpečnosť a prevádzku IKT systémov a nástrojov s cieľom minimalizovať vplyv IKT rizika,
• rýchlo odhaľujú anomálie a identifikujú potenciálne zlyhanie,
• zavedú komplexnú politiku kontinuity činností v oblasti IKT s vhodnými plánmi, postupmi a mechanizmami,
• vypracúvajú a dokumentujú politiky zálohovania a postupy reštaurovania a obnovy,
• nasadzujú zdroje a zamestnancov na hodnotenie citlivých miest a kybernetických hrozieb, incidentov týkajúcich sa IKT, najmä kybernetických útokov, a analyzujú ich potenciálny vplyv na digitálnu prevádzkovú odolnosť subjektu,
• vypracujú krízové komunikačné plán s cieľom oznámiť klientom, protistranám a verejnosti aspoň závažné incidenty súvisiace s IKT alebo zraniteľné miesta.

Riadenie, klasifikácia a nahlasovanie súvisiace s IKT

Finančné subjekty:

• vymedzia, zavedú a vykonávajú opatrenia s cieľom odhaľovať, riadiť a oznamovať incidenty súvisiace s IKT,
• klasifikujú incidenty a stanovujú ich vplyv s použitím kritérií, ako je počet ovplyvnených klientov a protistrán, trvanie, geografické rozloženie a straty údajov,
• nahlasujú závažné incidenty súvisiace s IKT svojmu určenému príslušnému orgánu, ktorý hlásenia postúpi vyššiemu orgánu, ako je Európska centrálna banka alebo Európsky orgán pre bankovníctvo.

Testovanie digitálnej prevádzkovej odolnosti

Finančné subjekty okrem mikropodnikov:

• zriadia, udržiavajú a preskúmavajú spoľahlivý a komplexný program testovania digitálnej prevádzkovej odolnosti vybavený potrebnými posúdeniami, testami, metodikami, postupmi a nástrojmi,
• vykonávajú minimálne každé tri roky penetračné testovanie na základe rizikového profilu s prihliadnutím na prevádzkové okolnosti, pričom používajú len testovacie subjekty, ktoré sú certifikované, majú potrebné odborné znalosti a majú poistenie zodpovednosti za škodu spôsobenú pri výkone povolania.

Riadenie externého IKT rizika

Finančné subjekty:

• riadia externé IKT riziko ako integrálnu súčasť celkového IKT rizika,
• majú uzavreté zmluvné dojednania o využívaní IKT služieb na vykonávanie svojich obchodných činností v plnom súlade s príslušnými právnymi predpismi,
• zohľadňujú povahu, rozsah, zložitosť a význam závislostí súvisiacich s IKT a všetky potenciálne riziká,
• zvážia prínosy a náklady alternatívnych riešení pri identifikácii a posudzovaní súvisiacich rizík,
• zahrnú do zmluvy práva a povinnosti každej strany a dohodu o poskytovaní služieb.

Rámec dozoru nad kritickými externými poskytovateľmi IKT služieb

Rámec:

• poveruje európske orgány dohľadu (orgány ESA), aby:
• • určili na základe jasných kritérií externých poskytovateľov IKT služieb, ktorí sú pre finančné subjekty kritickí,
  • vymenovali za hlavný orgán dozoru pre každého kritického externého poskytovateľa IKT služieb európsky orgán dohľadu zodpovedný za dotknutý finančný subjekt,
• zriaďuje fórum pre dozor s cieľom:
• • rokovať o relevantnom vývoji v oblasti IKT rizika a zraniteľných miest a podporovať konzistentný prístup pri monitorovaní na úrovni EÚ,
  • každoročne vyhodnocovať činnosti dohľadu, podporovať kroky na zvýšenie digitálnej prevádzkovej odolnosti a presadzovať najlepšie postupy,
  • predkladať komplexné referenčné hodnoty týkajúce sa kritických externých poskytovateľov IKT služieb,
• poveruje hlavný orgán dozoru:
• • byť hlavným kontaktným bodom pre kritických externých poskytovateľov IKT služieb,
  • posúdiť, či má každý kritický poskytovateľ zavedené komplexné, spoľahlivé a účinné pravidlá, postupy, mechanizmy a dojednania,
  • požadovať všetky príslušné informácie a dokumentáciu, vykonávať vyšetrovania a kontroly (aj v krajinách mimo EÚ), určovať nápravné opatrenia a vydávať odporúčania,
• umožňuje Európskemu orgánu pre bankovníctvo, Európskemu orgánu pre poisťovníctvo a dôchodkové poistenie zamestnancov a Európskemu orgánu pre cenné papiere a trhy spolupracovať s regulačnými orgánmi a orgánmi dohľadu z krajín mimo EÚ v oblasti externého IKT rizika,
• vyžaduje, aby orgány ESA každých päť rokov predkladali Európskemu parlamentu, Rade Európskej únie a Európskej komisii dôvernú správu o svojich vzťahoch s orgánmi mimo EÚ.

Kritériá na určenie kritických poskytovateľov

Podľa delegovaného nariadenia (EÚ) 2024/1502 môžu byť externí poskytovatelia IKT služieb označení za kritických a po dvojkrokovom posúdení podliehať priamemu dohľadu orgánov ESA.

• Krok 1 – kvantitatívne kritériá

Poskytovateľ musí spĺňať merateľné prahové hodnoty, ako napríklad:

• počet finančných subjektov alebo podiel ich celkových aktív, ktoré závisia od služieb poskytovateľa,
• či slúži systémovým inštitúciám (globálne systémovo významné inštitúcie (G-SII) alebo iné systémovo významné inštitúcie (O-SII)),
• či možno jeho služby nahradiť alebo či by prechod k inému poskytovateľovi bol náročný alebo nákladný.

• Krok 2 – kvalitatívne kritériá

Poskytovatelia, ktorí spĺňajú krok 1, sa potom posudzujú na základe širších hľadísk vrátane:

• potenciálneho systémového vplyvu v prípade prerušenia ich služieb,
• stupňa vzájomnej závislosti medzi finančnými subjektmi, ktoré využívajú toho istého poskytovateľa,
• kritickosti podporovaných funkcií,
• závislosti od spoločných subdodávateľov.

Poskytovateľ je určený ako kritický len vtedy, ak spĺňa kritériá podľa oboch krokov.

Dojednania o výmene informácií

Finančné subjekty si môžu medzi sebou vymieňať informácie a spravodajské informácie o kybernetických hrozbách, pokiaľ sa výmena:

• zameriava na posilňovanie digitálnej prevádzkovej odolnosti,
• uskutočňuje v rámci dôveryhodných skupín,
• chráni obchodné tajomstvo a osobné údaje a rešpektuje pravidlá politiky hospodárskej súťaže.

Sankcie a nápravné opatrenia

Príslušné orgány:

• majú všetky potrebné právomoci v oblasti dohľadu, vyšetrovania a ukladania sankcií na vykonávanie svojich povinností,
• ukladajú a uverejňujú na svojich webových sídlach administratívne sankcie a nápravné opatrenia, ktoré sú určené vnútroštátnym právom.

Európske orgány dohľadu navrhujú regulačné technické normy pre nástroje riadenia IKT rizika, klasifikáciu a oznamovanie incidentov súvisiacich s IKT a vykonávanie činností dozoru.

Komisia:

• má právomoc prijímať delegované akty,
• do 17. januára 2028 predloží Parlamentu a Rade preskúmanie nariadenia po konzultácii s orgánmi USA a Európskym výborom pre systémové riziká.

Nariadením sa mení nariadenie (ES) č. 1060/2009, nariadenia (EÚ) č. 648/2012, 909/2014 a 600/2014 a nariadenie (EÚ) 2016/1011.