(1)

Unija mora ustrezno in celovito obravnavati digitalna tveganja za vse finančne subjekte, ki izhajajo iz povečane uporabe informacijske in komunikacijske tehnologije (IKT) pri zagotavljanju in uporabi finančnih storitev, in tako prispevati k uresničevanju potenciala digitalnih financ, kar zadeva spodbujanje inovacij in konkurence v varnem digitalnem okolju.

(2)

Finančni subjekti so pri vsakodnevnem poslovanju močno odvisni od uporabe digitalnih tehnologij. Zato je izredno pomembno zagotoviti operativno odpornost njihovih digitalnih dejavnosti na tveganja na področju IKT. Ta potreba je še toliko nujnejša zaradi rasti prelomnih tehnologij na trgu, zlasti tehnologij, ki omogočajo elektronski prenos in shranjevanje digitalnih predstavitev vrednosti ali pravic z uporabo tehnologije razpršene evidence ali podobne tehnologije (t. i. kriptosredstev), in za storitve, povezane s temi sredstvi.

(3)

Na ravni Unije so zahteve glede upravljanja tveganja na področju IKT v finančnem sektorju trenutno določene v direktivah 2009/65/ES (4), 2009/138/ES (5), 2011/61/EU (6), 2013/36/EU (7), 2014/59/EU (8), 2014/65/EU (9), (EU) 2015/2366 (10) in (EU) 2016/2341 (11) Evropskega parlamenta in Sveta.

Te zahteve so raznolike in občasno nepopolne. V nekaterih primerih je bilo tveganje na področju IKT obravnavano le posredno kot del operativnega tveganja, v drugih pa sploh ni bilo obravnavano. To se odpravlja s sprejetjem Uredbe (EU) 2022/2554 Evropskega parlamenta in Sveta (12). Navedene direktive bi zato bilo treba spremeniti, da se zagotovi skladnost z navedeno uredbo. Ta direktiva uvaja vrsto sprememb, ki so potrebne za zagotovitev pravne jasnosti in doslednosti v zvezi z uporabo različnih zahtev glede digitalne operativne odpornosti, potrebnih za opravljanje dejavnosti in zagotavljanje storitev finančnih subjektov, ki imajo dovoljenje in so nadzorovani v skladu z navedenimi direktivami, s čimer se bo zagotovilo nemoteno delovanje notranjega trga. Zagotoviti je treba ustreznost teh zahtev glede na razvoj trga, hkrati pa spodbujati sorazmernost, zlasti v zvezi z velikostjo finančnih subjektov in posebnimi ureditvami zanje, da bi se zmanjšali stroški zagotavljanja skladnosti.

(4)

Direktiva 2013/36/EU na področju bančnih storitev trenutno določa le splošna pravila notranjega upravljanja in določbe o operativnem tveganju, ki vsebujejo zahteve za krizne načrte in načrte neprekinjenega poslovanja, ki se implicitno uporabljajo kot podlaga za obravnavo tveganj na področju IKT. Vendar bi bilo treba za zagotovitev izrecne in jasne obravnave tveganja na področju IKT spremeniti zahteve za krizne načrte in načrte neprekinjenega poslovanja, da bodo vključevale tudi načrte neprekinjenega poslovanja ter načrte odzivanja in okrevanja v zvezi s tveganjem na področju IKT v skladu z zahtevami iz Uredbe (EU) 2022/2554. Poleg tega je tveganje na področju IKT samo posredno, kot del operativnega tveganja, vključeno v proces nadzorniškega pregledovanja in ovrednotenja, ki ga izvajajo pristojni organi, merila za njegovo oceno pa so trenutno opredeljena v Smernicah o oceni tveganja, povezanega z IKT, v skladu s procesom nadzorniškega pregledovanja in vrednotenja (SREP), ki jih je izdal evropski nadzorni organ (Evropski bančni organ), ustanovljen z Uredbo (EU) št. 1093/2010 Evropskega parlamenta in Sveta (13). Za zagotovitev pravne jasnosti in da bančni nadzorniki učinkovito prepoznavajo tveganja na področju IKT in spremljajo njihovo upravljanje s strani finančnih subjektov v skladu z novim okvirom za digitalno operativno odpornost, bi bilo treba spremeniti tudi obseg SREP, da bi se izrecno vključile zahteve iz Uredbe (EU) 2022/2554 in zajela zlasti tveganja, ki so jih razkrila poročila o večjih incidentih, povezanih z IKT, in rezultati testiranja digitalne operativne odpornosti, ki jih finančni subjekti izvajajo v skladu z navedeno uredbo.

(5)

Digitalna operativna odpornost je bistvena za ohranitev kritičnih funkcij in glavnih poslovnih področij finančnega subjekta v primeru njegovega reševanja ter s tem za preprečitev motenj v realnem sektorju in finančnem sistemu. Večji operativni incidenti lahko omejijo sposobnost finančnega subjekta za nadaljnje poslovanje in lahko ogrozijo cilje reševanja. Določeni pogodbeni dogovori o uporabi storitev IKT so bistveni za zagotovitev neprekinjenega delovanja in potrebnih podatkov v primeru reševanja. Za uskladitev s cilji okvira Unije za operativno odpornost bi bilo treba Direktivo 2014/59/EU ustrezno spremeniti, da bi zagotovili, da se informacije v zvezi z operativno odpornostjo upoštevajo pri načrtovanju reševanja in oceni rešljivosti finančnih subjektov.

(6)

Direktiva 2014/65/EU določa strožja pravila na področju IKT za investicijska podjetja in mesta trgovanja, ki se ukvarjajo z algoritemskim trgovanjem. Za storitve sporočanja podatkov in repozitorije sklenjenih poslov se uporabljajo manj podrobne zahteve. Poleg tega Direktiva 2014/65/EU vsebuje le omejena sklicevanja na nadzorne in zaščitne ureditve za sisteme obdelovanja informacij ter na uporabo ustreznih sistemov, virov in postopkov za zagotavljanje kontinuitete in pravilnosti opravljanja poslovnih dejavnosti. Navedeno direktivo bi bilo treba uskladiti z Uredbo (EU) 2022/2554, glede kontinuitete in pravilnosti pri zagotavljanju investicijskih storitev in opravljanju investicijskih poslov, operativno odpornost, zmogljivost sistemov trgovanja ter učinkovitost ureditev neprekinjenega poslovanja in upravljanja tveganj.

(7)

Direktiva (EU) 2015/2366 določa posebna pravila o varnostnih ukrepih za nadzor nad tveganji na področju IKT in njihovo zmanjšanje za namene pridobitve dovoljenja za opravljanje plačilnih storitev. Ta pravila glede izdaje dovoljenja bi bilo treba spremeniti, da se uskladijo z Uredbo (EU) 2022/2554. Poleg tega bi se morala, da bi zmanjšali upravno breme ter preprečili zapletenost in podvajanje zahtev glede poročanja, pravila o poročanju o incidentih iz navedene direktive prenehati uporabljati za ponudnike plačilnih storitev, ki jih ureja navedena direktiva in za katere velja tudi Uredba (EU) 2022/2554, kar bi tem ponudnikom plačilnih storitev, omogočilo, da izkoristijo enoten in popolnoma usklajen mehanizem za poročanje o incidentih v zvezi z vsemi operativnimi ali varnostnimi incidenti povezanimi s plačili, ne glede na to, ali so ti incidenti povezani z IKT ali ne.

(8)

Direktivi 2009/138/ES in (EU) 2016/2341 delno zajemata tveganje na področju IKT v splošnih določbah o upravljanju in obvladovanju tveganj, nekatere zahteve pa naj bi se določile z delegiranimi akti, pri čemer je tveganje na področju IKT konkretno omenjeno ali pa ne. Podobno se za upravitelje alternativnih investicijskih skladov, za katere velja Direktiva 2011/61/EU in družb za upravljanje, za katere velja Direktiva 2009/65/ES, uporabljajo le zelo splošna pravila. Zato bi bilo treba navedeni direktivi uskladiti z zahtevami iz Uredbe (EU) 2022/2554 v zvezi z upravljanjem sistemov in orodij IKT.

(9)

V številnih primerih so bile dodatne zahteve glede tveganj na področju IKT že določene v delegiranih in izvedbenih aktih, sprejetih na podlagi osnutkov regulativnih in izvedbenih tehničnih standardov, ki jih je pripravil pristojni evropski nadzorni organ. Ker pravna podlaga za določbe o tveganju na področju IKT v finančnem sektorju odslej izhaja iz Uredbe (EU) 2022/2554, bi bilo treba določena pooblastila za sprejemanje delegiranih in izvedbenih aktov iz direktiv 2009/65/ES, 2009/138/ES, 2011/61/EU in 2014/65/EU spremeniti, tako da bi določbe o tveganju na področju IKT odstranili iz področja uporabe teh pooblastil.

(10)

Za zagotovitev doslednega izvajanja novega okvirja o digitalni operativni odpornosti v finančnem sektorju, bi morale države članice določbe nacionalnega prava, s katerimi se prenaša ta direktiva, uporabljati od datuma začetka uporabe Uredbe (EU) 2022/2554.

(11)

Direktive 2009/65/ES, 2009/138/ES, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 in (EU) 2016/2341 so bile sprejete na podlagi člena 53(1) ali člena 114 Pogodbe o delovanju Evropske unije (PDEU) ali obeh členov. Spremembe v tej direktivi so zaradi medsebojne povezanosti predmeta urejanja in ciljev sprememb vključene v en sam zakonodajni akt. To direktivo bi bilo zaradi tega treba sprejeti na podlagi obeh členov, člena 53(1) in člena 114 PDEU.

(12)

Ker ciljev te direktive države članice ne morejo zadovoljivo doseči, saj vključujejo uskladitev zahtev, ki so že vsebovane v direktivah, temveč se zaradi obsega ali učinkov ukrepa lažje dosežejo na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji. V skladu z načelom sorazmernosti iz navedenega člena ta direktiva ne presega tistega, kar je potrebno za doseganje navedenih ciljev.

(13)

V skladu s Skupno politično izjavo držav članic in Komisije z dne 28. septembra 2011 o obrazložitvenih dokumentih (14) se države članice zavezujejo, da bodo v upravičenih primerih obvestilu o ukrepih za prenos priložile enega ali več dokumentov, v katerih se pojasni razmerje med elementi direktive in ustreznimi deli nacionalnih instrumentov za prenos. Zakonodajalec meni, da je posredovanje takšnih dokumentov v primeru te direktive upravičeno –