02022R2554 — SL — 27.12.2022 — 000.004
To besedilo je zgolj informativne narave in nima pravnega učinka. Institucije Unije za njegovo vsebino ne prevzemajo nobene odgovornosti. Verodostojne različice zadevnih aktov, vključno z uvodnimi izjavami, so objavljene v Uradnem listu Evropske unije. Na voljo so na portalu EUR-Lex. Uradna besedila so neposredno dostopna prek povezav v tem dokumentu
|
UREDBA (EU) 2022/2554 EVROPSKEGA PARLAMENTA IN SVETA z dne 14. decembra 2022 o digitalni operativni odpornosti za finančni sektor in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 (UL L 333 27.12.2022, str. 1) |
popravljena z:
UREDBA (EU) 2022/2554 EVROPSKEGA PARLAMENTA IN SVETA
z dne 14. decembra 2022
o digitalni operativni odpornosti za finančni sektor in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011
(Besedilo velja za EGP)
POGLAVJE I
Splošne določbe
Člen 1
Predmet urejanja
Za doseganje visoke skupne stopnje digitalne operativne odpornosti ta uredba določa enotne zahteve glede varnosti omrežnih in informacijskih sistemov, ki podpirajo poslovne procese finančnih subjektov, kot sledi:
zahteve, ki veljajo za finančne subjekte glede:
obvladovanja tveganj na področju informacijske in komunikacijske tehnologije (IKT);
poročanja pristojnim organom o večjih incidentih, povezanih z IKT, in prostovoljnega obveščanja pristojnih organov o pomembnih kibernetskih grožnjah;
poročanja finančnih subjektov iz člena 2(1), točke (a) do (d), pristojnim organom o večjih operativnih ali varnostnih incidentih, povezanih s plačili;
testiranja digitalne operativne odpornosti;
izmenjave informacij in obveščevalnih podatkov v zvezi s kibernetskimi grožnjami in ranljivostmi;
ukrepov za dobro obvladovanje tveganj tretjih strani na področju IKT;
zahteve v zvezi s pogodbenimi dogovori, sklenjenimi med tretjimi ponudniki storitev IKT in finančnimi subjekti;
pravila za vzpostavitev in izvajanje okvira nadzora za ključne tretje ponudnike storitev IKT, ko opravljajo storitve za finančne subjekte;
pravila o sodelovanju med pristojnimi organi in pravila o nadzoru in izvrševanju s strani pristojnih organov v zvezi z vsemi zadevami, zajetimi v tej uredbi.
Člen 2
Področje uporabe
Ta uredba se brez poseganja v odstavka 3 in 4 uporablja za naslednje subjekte:
kreditne institucije;
plačilne institucije, vključno s plačilnimi institucijami, izvzetimi na podlagi Direktive (EU) 2015/2366;
ponudnike storitev zagotavljanja informacij o računih;
institucije za izdajo elektronskega denarja, vključno z institucijami za izdajo elektronskega denarja, izvzetimi na podlagi Direktive 2009/110/ES;
investicijska podjetja;
ponudnike storitev v zvezi s kriptosredstvi, pooblaščene na podlagi uredbe Evropskega parlamenta in Sveta o trgih kriptosredstev ter spremembi uredb (EU) št. 1093/2010 in (EU) št. 1095/2010 ter direktiv 2013/36/EU in (EU) 2019/1937 (v nadaljnjem besedilu: uredba o trgih kriptosredstev) in izdajatelje žetonov, vezanih na sredstva;
centralne depotne družbe;
centralne nasprotne stranke;
mesta trgovanja;
repozitorije sklenjenih poslov;
upravitelje alternativnih investicijskih skladov;
družbe za upravljanje;
izvajalce storitev sporočanja podatkov;
zavarovalnice in pozavarovalnice;
zavarovalne posrednike, pozavarovalne posrednike in posrednike dopolnilnih zavarovanj;
institucije za poklicno pokojninsko zavarovanje;
bonitetne agencije;
upravljavce ključnih referenčnih vrednosti;
ponudnike storitev množičnega financiranja;
repozitorije listinjenja;
tretje ponudnike storitev IKT.
Ta uredba se ne uporablja za:
upravitelje alternativnih investicijskih skladov iz člena 3(2) Direktive 2011/61/EU;
zavarovalnice in pozavarovalnice iz člena 4 Direktive 2009/138/ES;
institucije za poklicno pokojninsko zavarovanje, ki upravljajo pokojninske načrte, ki skupaj nimajo več kot 15 članov;
fizične ali pravne osebe, izvzete na podlagi členov 2 in 3 Direktive 2014/65/EU;
zavarovalne posrednike, pozavarovalne posrednike in posrednike dopolnilnih zavarovanj, ki so mikropodjetja ali mala ali srednja podjetja;
poštne institucije, ki opravljajo storitev brezgotovinskega nakazovanja, iz člena 2(5), točka 3, Direktive 2013/36/EU.
Člen 3
Opredelitev pojmov
V tej uredbi se uporabljajo naslednje opredelitve pojmov:
„digitalna operativna odpornost“ pomeni sposobnost finančnega subjekta, da vzpostavi, zagotavlja in pregleduje svojo operativno celovitost in zanesljivost, tako da neposredno ali posredno z uporabo storitev tretjih ponudnikov storitev IKT zagotovi celoten sklop zmožnosti, povezanih z IKT, ki so potrebne za obravnavo varnosti omrežnih in informacijskih sistemov, ki jih uporablja finančni subjekt in ki omogočajo nadaljnje opravljanje in kakovost finančnih storitev, tudi v primeru motenj;
„omrežni in informacijski sistem“ pomeni omrežni in informacijski sistem, kot je opredeljen v členu 6, točka 1, Direktive (EU) 2022/2555;
„obstoječi sistem IKT“ pomeni sistem IKT, ki je dosegel konec življenjskega cikla (konec življenjske dobe), ki zaradi tehnoloških ali komercialnih razlogov ni primeren za nadgradnje ali popravke oziroma ga njegov ponudnik ali tretji ponudnik storitev IKT ne podpira več, vendar pa se še vedno uporablja in podpira funkcije finančnega subjekta;
„varnost omrežnih in informacijskih sistemov“ pomeni varnost omrežnih in informacijskih sistemov, kot je opredeljena v členu 6, točka 2, Direktive (EU) 2022/2555;
„tveganje na področju IKT“ pomeni vsako razumno določljivo okoliščino v zvezi z uporabo omrežnih in informacijskih sistemov, ki lahko, če se uresniči, ogrozi varnost omrežnih in informacijskih sistemov, vseh orodij ali postopkov, odvisnih od tehnologije, operacij in postopkov ali opravljanja storitev, tako da ima škodljive učinke v digitalnem ali fizičnem okolju;
„informacijsko sredstvo“ pomeni zbirko informacij, oprijemljivih ali neoprijemljivih, ki jih je vredno zavarovati;
„sredstvo IKT“ pomeni programsko ali strojno opremo v omrežnih in informacijskih sistemih, ki jih uporablja finančni subjekt;
„incident, povezan z IKT“ pomeni enkraten dogodek ali vrsto povezanih dogodkov, ki jih finančni subjekt ni predvidel ter ki ogrožajo varnost omrežnih in informacijskih sistemov in škodljivo vplivajo na razpoložljivost, avtentičnost, celovitost ali zaupnost podatkov ali na storitve, ki jih opravlja finančni subjekt;
„operativni ali varnostni incident, povezan s plačili“ pomeni enkraten dogodek ali vrsto povezanih dogodkov, ki jih finančni subjekti iz člena 2(1), točke (a) do (d), niso predvideli, ne glede na to, ali so povezani z IKT ali ne, in ki škodljivo vplivajo na razpoložljivost, avtentičnost, celovitost ali zaupnost podatkov, povezanih s plačili, ali na storitve, povezane s plačili, ki jih opravlja finančni subjekt;
„večji incident, povezan z IKT“ pomeni incident, povezan z IKT, ki ima velik škodljiv vpliv na omrežne in informacijske sisteme, ki podpirajo kritične ali pomembne funkcije finančnega subjekta;
„večji operativni ali varnostni incident, povezan s plačili“ pomeni operativni ali varnostni incident, povezan s plačili, ki ima velik škodljiv vpliv na opravljanje storitve, povezane s plačili;
„kibernetska grožnja“ pomeni kibernetsko grožnjo, kot je opredeljena v členu 2, točka 8, Uredbe (EU) 2019/881;
„pomembna kibernetska grožnja“ pomeni kibernetsko grožnjo, katere tehnične značilnosti kažejo na to, da bi lahko povzročila večji incident, povezan z IKT, ali večji operativni ali varnostni incident, povezan s plačili;
„kibernetski napad“ pomeni zlonamerni incident, povezan z IKT, ki ga povzroči akter grožnje, ko poskuša uničiti, razkriti, spremeniti, onemogočiti ali ukrasti sredstvo, pridobiti nepooblaščen dostop do njega ali ga nedovoljeno uporabiti;
„obveščevalni podatki o grožnjah“ pomeni informacije, ki so bile združene, preoblikovane, analizirane, razložene ali obogatene, da bi zagotovile potreben okvir za odločanje ter omogočile ustrezno in zadostno razumevanje, da bi se zmanjšal vpliv incidenta, povezanega z IKT, ali kibernetske grožnje, vključno s tehničnimi podrobnostmi kibernetskega napada ter podatki o odgovornih osebah za napad, njihovem načinu delovanja in motivih;
„ranljivost“ pomeni šibkost, dovzetnost ali napako sredstva, sistema, postopka ali nadzora, ki jo je mogoče izkoristiti;
„penetracijsko testiranje na podlagi analize groženj“ pomeni okvir, ki posnema taktike, tehnike in postopke dejanskih akterjev groženj, za katere se šteje, da predstavljajo resnično kibernetsko grožnjo, in ki zagotavlja nadzorovan, prilagojen in na podlagi obveščevalnih podatkov (rdeča ekipa) oblikovan test ključnih aktivnih produkcijskih sistemov finančnega subjekta;
„tveganje tretjih strani na področju IKT“ pomeni tveganje na področju IKT, ki lahko grozi finančnemu subjektu zaradi njegove uporabe storitev IKT, ki jih opravljajo tretji ponudniki storitev IKT ali njihovi podizvajalci, tudi z dogovori o zunanjem izvajanju;
„tretji ponudnik storitev IKT“ pomeni podjetje, ki opravlja storitve IKT;
„ponudnik storitev IKT znotraj skupine“ pomeni podjetje, ki je del finančne skupine in opravlja predvsem storitve IKT finančnim subjektom v isti skupini ali finančnim subjektom, ki spadajo v isto institucionalno shemo za zaščito vlog, vključno z obvladujočimi in odvisnimi podjetji, podružnicami ali drugimi subjekti, ki so pod skupnim lastništvom ali nadzorom;
„storitve IKT“ pomeni digitalne in podatkovne storitve, ki se prek sistemov IKT neprekinjeno opravljajo za enega ali več notranjih ali zunanjih uporabnikov, vključno s strojno opremo kot storitvijo in storitvami v zvezi s strojno opremo, kar vključuje zagotavljanje tehnične podpore s tem, da ponudnik strojne opreme posodablja programsko ali strojno programsko opremo, razen tradicionalnih analognih telefonskih storitev;
„kritična ali pomembna funkcija“ pomeni funkcijo, katere motnja bi bistveno škodovala finančni uspešnosti finančnega subjekta ali trdnosti ali neprekinjenosti njegovih storitev in dejavnosti, oziroma katere prekinjeno, pomanjkljivo ali neuspešno izvajanje bi bistveno oviralo finančni subjekt, da neprekinjeno izpolnjuje pogoje in obveznosti iz njegovega pooblastila ali druge obveznosti v skladu z veljavnim pravom o finančnih storitvah;
„ključni tretji ponudnik storitev IKT“ pomeni tretjega ponudnika storitev IKT, imenovanega kot ključnega v skladu s členom 31;
„tretji ponudnik storitev IKT s sedežem v tretji državi“ pomeni tretjega ponudnika storitev IKT, ki je pravna oseba s sedežem v tretji državi in ki je sklenil pogodbeni dogovor s finančnim subjektom za opravljanje storitev IKT;
„odvisno podjetje“ pomeni odvisno podjetje v smislu člena 2, točka 10, in člena 22 Direktive 2013/34/EU;
„skupina“ pomeni skupino, kot je opredeljena v členu 2, točka 11, Direktive 2013/34/EU;
„obvladujoče podjetje“ pomeni obvladujoče podjetje v smislu člena 2, točka 9, in člena 22 Direktive 2013/34/EU;
„podizvajalec storitev IKT s sedežem v tretji državi“ pomeni podizvajalca storitev IKT, ki je pravna oseba s sedežem v tretji državi in ki je sklenil pogodbeni dogovor bodisi s tretjim ponudnikom storitev IKT ali tretjim ponudnikom storitev IKT s sedežem v tretji državi;
„tveganje koncentracije na področju IKT“ pomeni izpostavljenost enemu ali več povezanim ključnim tretjim ponudnikom storitev IKT, ki ustvarja določeno stopnjo odvisnosti od takih ponudnikov, tako da lahko nedosegljivost, nezmožnost opravljanja storitev ali druga vrsta izpada takega ponudnika potencialno ogrozi sposobnost finančnega subjekta, da opravlja kritične ali pomembne funkcije, ali pa mu povzroči druge vrste škodljivih učinkov, vključno z velikimi izgubami, oziroma ogrozi finančno stabilnost Unije kot celote;
„upravljalni organ“ pomeni upravljalni organ, kot je opredeljen v členu 4(1), točka 36, Direktive 2014/65/EU, členu 3(1), točka 7, Direktive 2013/36/EU, členu 2(1), točka (s), Direktive 2009/65/ES Evropskega parlamenta in Sveta ( 1 ), členu 2(1), točka 45, Uredbe (EU) št. 909/2014, členu 3(1), točka 20, Uredbe (EU) 2016/1011, in v ustrezni določbi uredbe o trgih kriptosredstev ali enakovredne osebe, ki dejansko vodijo subjekt ali imajo kritične funkcije v skladu z ustreznim pravom Unije ali nacionalnim pravom;
„kreditna institucija“ pomeni kreditno institucijo, kot je opredeljena v členu 4(1), točka 1, Uredbe (EU) št. 575/2013 Evropskega parlamenta in Sveta ( 2 );
„institucija, izvzeta na podlagi Direktive 2013/36/EU“ pomeni subjekt iz člena 2(5), točke 4 do 23, Direktive 2013/36/EU;
„investicijsko podjetje“ pomeni investicijsko podjetje, kot je opredeljeno v členu 4(1), točka 1, Direktive 2014/65/EU;
„malo in nepovezano investicijsko podjetje“ pomeni investicijsko podjetje, ki izpolnjuje pogoje iz člena 12(1) Uredbe (EU) 2019/2033 Evropskega parlamenta in Sveta ( 3 );
„plačilna institucija“ pomeni plačilno institucijo, kot je opredeljena v členu 4, točka 4, Direktive (EU) 2015/2366;
„plačilna institucija, izvzeta na podlagi Direktive (EU) 2015/2366“ pomeni plačilno institucijo, ki je izvzeta na podlagi člena 32(1) Direktive (EU) 2015/2366;
„ponudnik storitev zagotavljanja informacij o računih“ pomeni ponudnika storitev zagotavljanja informacij o računih iz člena 33(1) Direktive (EU) 2015/2366;
„institucija za izdajo elektronskega denarja“ pomeni institucijo za izdajo elektronskega denarja, kot je opredeljena v členu 2, točka 1, Direktive 2009/110/ES Evropskega parlamenta in Sveta;
„institucija za izdajo elektronskega denarja, izvzeta na podlagi Direktive 2009/110/ES“ pomeni institucijo za izdajo elektronskega denarja, ki ji je bila odobrena opustitev iz člena 9(1) Direktive 2009/110/ES;
„centralna nasprotna stranka“ pomeni centralno nasprotno stranko, kot je opredeljena v členu 2, točka 1, Uredbe (EU) št. 648/2012;
„repozitorij sklenjenih poslov“ pomeni repozitorij sklenjenih poslov, kot je opredeljen v členu 2, točka 2, Uredbe (EU) št. 648/2012;
„centralna depotna družba“ pomeni centralno depotno družbo, kot je opredeljena v členu 2(1), točka 1, Uredbe (EU) št. 909/2014;
„mesto trgovanja“ pomeni mesto trgovanja, kot je opredeljeno v členu 4(1), točka 24, Direktive 2014/65/EU;
„upravitelj alternativnih investicijskih skladov“ pomeni upravitelja alternativnih investicijskih skladov, kot je opredeljen v členu 4(1), točka (b), Direktive 2011/61/EU;
„družba za upravljanje“ pomeni družbo za upravljanje, kot je opredeljena v členu 2(1), točka (b), Direktive 2009/65/ES;
„izvajalec storitev sporočanja podatkov“ pomeni izvajalca storitev sporočanja podatkov v smislu Uredbe (EU) št. 600/2014, iz člena 2(1), točke 34 do 36 navedene uredbe;
„zavarovalnica“ pomeni zavarovalnico, kot je opredeljena v členu 13, točka 1, Direktive 2009/138/ES;
„pozavarovalnica“ pomeni pozavarovalnico, kot je opredeljena v členu 13, točka 4, Direktive 2009/138/ES;
„zavarovalni posrednik“ pomeni zavarovalnega posrednika, kot je opredeljen v členu 2(1), točka 3, Direktive (EU) 2016/97 Evropskega parlamenta in Sveta ( 4 );
„posrednik dopolnilnih zavarovanj“ pomeni posrednika dopolnilnih zavarovanj, kot je opredeljen v členu 2(1), točka 4, Direktive (EU) 2016/97;
„pozavarovalni posrednik“ pomeni pozavarovalnega posrednika, kot je opredeljen v členu 2(1), točka 5, Direktive (EU) 2016/97;
„institucija za poklicno pokojninsko zavarovanje“ pomeni institucijo za poklicno pokojninsko zavarovanje, kot je opredeljena v členu 6, točka 1, Direktive (EU) 2016/2341;
„mala institucija za poklicno pokojninsko zavarovanje“ pomeni institucijo za poklicno pokojninsko zavarovanje, ki upravlja pokojninske načrte, ki imajo skupaj manj kot 100 članov;
„bonitetna agencija“ pomeni bonitetno agencijo, kot je opredeljena v členu 3(1), točka (b), Uredbe (ES) št. 1060/2009;
„ponudnik storitev v zvezi s kriptosredstvi“ pomeni ponudnika storitev v zvezi s kriptosredstvi, kot je opredeljen v ustrezni določbi uredbe o trgih kriptosredstev;
„izdajatelj žetonov, vezanih na sredstva“ pomeni izdajatelja žetonov, vezanih na sredstva, kot so opredeljeni v ustrezni določbi uredbe o trgih kriptosredstev;
„upravljavec ključnih referenčnih vrednosti“ pomeni upravljavca ključnih referenčnih vrednosti, kot so opredeljene v členu 3(1), točka 25, Uredbe (EU) 2016/1011;
„ponudnik storitev množičnega financiranja“ pomeni ponudnika storitev množičnega financiranja, kot je opredeljen v členu 2(1), točka (e), Uredbe (EU) 2020/1503 Evropskega parlamenta in Sveta ( 5 );
„repozitorij listinjenj“ pomeni repozitorij listinjenj, kot je opredeljen v členu 2, točka 23, Uredbe (EU) 2017/2402 Evropskega parlamenta in Sveta ( 6 );
„mikropodjetje“ pomeni finančni subjekt, ki ni mesto trgovanja, centralna nasprotna stranka, repozitorij sklenjenih poslov ali centralna depotna družba, ki ima manj kot 10 zaposlenih in ima letni promet in/ali letno bilančno vsoto, ki ne presega 2 milijonov EUR;
„glavni nadzornik“ pomeni evropski nadzorni organ, imenovan v skladu s členom 31(1), točka (b), te uredbe;
„Skupni odbor“ pomeni odbor iz člena 54 uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010;
„malo podjetje“ pomeni finančni subjekt, ki ima 10 ali več, vendar manj kot 50 zaposlenih in ima letni promet in/ali letno bilančno vsoto, ki presega 2 milijona, vendar ne presega 10 milijonov EUR;
„srednje podjetje“ pomeni finančni subjekt, ki ni malo podjetje in ima manj kot 250 zaposlenih ter ima letni promet, ki ne presega 50 milijonov EUR, in/ali letno bilančno vsoto, ki ne presega 43 milijonov EUR;
„javni organ“ pomeni vsak vladni organ ali drug subjekt javne uprave, vključno z nacionalnimi centralnimi bankami.
Člen 4
Načelo sorazmernosti
POGLAVJE II
Obvladovanje tveganj na področju IKT
Člen 5
Upravljanje in organizacija
Za potrebe prvega pododstavka upravljalni organ:
nosi končno odgovornost za obvladovanje tveganj na področju IKT, s katerimi se sooča finančni subjekt;
uvede politike, katerih cilj je zagotoviti ohranjanje visokih standardov razpoložljivosti, avtentičnosti, celovitosti in zaupnosti podatkov;
določi jasne vloge in odgovornosti za vse funkcije, povezane z IKT, in vzpostavi ustrezno ureditev upravljanja, da se zagotovijo učinkovita in pravočasna komunikacija, sodelovanje in usklajevanje med temi funkcijami;
nosi splošno odgovornost za določitev in odobritev strategije za digitalno operativno odpornost iz člena 6(8), vključno z določitvijo ustrezne tolerančne ravni tveganja na področju IKT za finančni subjekt, kot je navedeno v členu 6(8), točka (b);
odobri, nadzira in redno pregleduje izvajanje politike neprekinjenega poslovanja na področju IKT in načrtov odzivanja in okrevanja IKT iz člena 11(1) oziroma (3), ki se lahko sprejmejo kot namenska posebna politika in kot sestavni del subjektove splošne politike neprekinjenega poslovanja ter načrta odzivanja in okrevanja;
odobri in redno pregleduje notranje revizijske načrte finančnega subjekta na področju IKT, revizije na področju IKT in njihove bistvene spremembe;
dodeli in občasno pregleda ustrezni proračun, da lahko finančni subjekt izpolnjuje potrebe po digitalni operativni odpornosti v zvezi z vsemi vrstami virov, vključno z ustreznimi programi ozaveščanja o varnosti IKT in usposabljanjem o digitalni operativni odpornosti iz člena 13(6) ter veščinami na področju IKT za vse zaposlene;
odobri in redno pregleduje politiko finančnega subjekta glede dogovorov o uporabi storitev IKT, ki jih opravljajo tretji ponudniki storitev IKT;
na ravni podjetja vzpostavi kanale poročanja, da je ustrezno obveščen o naslednjem:
dogovorih o uporabi storitev IKT, sklenjenih s tretjimi ponudniki storitev IKT;
vseh ustreznih načrtovanih pomembnih spremembah v zvezi s tretjimi ponudniki storitev IKT;
možnem učinku takih sprememb na kritične ali pomembne funkcije, za katere veljajo navedeni dogovori, vključno s povzetkom analize tveganja za oceno učinka teh sprememb, ter vsaj o večjih incidentih, povezanih z IKT, in njihovem učinku ter o odzivnih, sanacijskih in popravnih ukrepih.
Člen 6
Okvir za obvladovanje tveganj na področju IKT
Okvir za obvladovanje tveganj na področju IKT vključuje strategijo za digitalno operativno odpornost, ki določa, kako se okvir izvaja. V ta namen strategija za digitalno operativno odpornost vključuje metode za obravnavanje tveganj na področju IKT in doseganje določenih ciljev na področju IKT, tako da:
pojasnjuje, kako okvir za obvladovanje tveganj na področju IKT podpira poslovno strategijo in cilje finančnega subjekta;
določa tolerančno raven tveganja na področju IKT v skladu z nagnjenostjo finančnega subjekta k prevzemanju tveganja in analizira toleranco učinka za motnje na področju IKT;
določa jasne cilje glede informacijske varnosti, tudi ključne kazalnike uspešnosti in ključne metrike tveganja;
pojasnjuje referenčno arhitekturo IKT in vse spremembe, potrebne za dosego določenih poslovnih ciljev;
opisuje različne mehanizme, vzpostavljene za odkrivanje, varovanje in preprečevanje učinkov incidentov, povezanih z IKT;
dokumentira trenutno stanje digitalne operativne odpornosti na podlagi števila prijavljenih večjih incidentov, povezanih z IKT, in učinkovitosti preventivnih ukrepov;
izvaja testiranje digitalne operativne odpornosti v skladu s poglavjem IV te uredbe;
opisuje komunikacijske strategije v primeru incidentov, povezanih z IKT, ki jih je treba razkriti v skladu s členom 14.
Člen 7
Sistemi, protokoli in orodja IKT
Finančni subjekti za reševanje in obvladovanje tveganj na področju IKT uporabljajo in vzdržujejo posodobljene sisteme, protokole in orodja IKT, ki so:
ustrezni glede na obsežnost operacij, ki podpirajo izvajanje njihovih dejavnosti, v skladu z načelom sorazmernosti iz člena 4;
zanesljivi;
opremljeni z zadostno zmogljivostjo, da pravilno obdelajo podatke, potrebne za izvajanje dejavnosti in pravočasno opravljanje storitev, ter po potrebi obravnavajo velike količine naročil, sporočil ali poslov, tudi kadar se uvede nova tehnologija;
tehnološko odporni, da se ustrezno spopadajo s potrebami po obdelavi dodatnih informacij, kot se zahteva v stresnih tržnih razmerah ali drugih neugodnih razmerah.
Člen 8
Identificiranje
Člen 9
Varovanje in preprečevanje
Za doseganje ciljev iz odstavka 2 finančni subjekti uporabljajo rešitve in postopke IKT, ki so ustrezni v skladu s členom 4. Te rešitve in postopki IKT:
zagotavljajo varnost sredstev za prenos podatkov;
na najmanjšo možno raven zmanjšujejo tveganje za okvaro ali izgubo podatkov, nepooblaščen dostop in tehnične napake, ki bi lahko oviralo poslovno dejavnost;
preprečujejo pomanjkanje razpoložljivosti, škodovanje avtentičnosti in celovitosti, kršitve zaupnosti in izgubo podatkov;
zagotavljajo, da so podatki zaščiteni pred tveganji, ki nastajajo pri upravljanju podatkov, vključno s slabim upravljanjem, tveganji, povezanimi z obdelavo, in človeškimi napakami.
V sklopu okvira za obvladovanje tveganj na področju IKT iz člena 6(1) finančni subjekti:
oblikujejo in dokumentirajo politiko informacijske varnosti, ki določa pravila za zaščito razpoložljivosti, avtentičnosti, celovitosti in zaupnosti podatkov, informacijskih sredstev in sredstev IKT, po potrebi tudi tistih, ki pripadajo njihovim strankam;
v skladu s pristopom, ki temelji na tveganju, vzpostavijo zanesljivo upravljanje omrežja in infrastrukture z uporabo ustreznih tehnik, metod in protokolov, ki lahko vključujejo izvajanje avtomatiziranih mehanizmov za izolacijo prizadetih informacijskih sredstev v primeru kibernetskih napadov;
izvajajo politike, ki omejujejo fizični ali logični dostop do informacijskih sredstev in sredstev IKT do tega, kar je potrebno zgolj za zakonite in odobrene funkcije in dejavnosti, ter v ta namen vzpostavijo sklop politik, postopkov in kontrol, ki obravnavajo pravice dostopa in zagotavljajo njihovo dobro upravljanje;
izvajajo politike in protokole za mehanizme močne avtentikacije, ki temeljijo na ustreznih standardih in namenskih nadzornih sistemih, in zaščitne ukrepe kriptografskih ključev, pri čemer se podatki šifrirajo na podlagi rezultatov odobrenih postopkov za razvrščanje podatkov in oceno tveganj na področju IKT;
izvajajo dokumentirane politike, postopke in kontrole za upravljanje sprememb na področju IKT, vključno s spremembami komponent programske opreme, strojne opreme, strojne programske opreme ter sistemskih ali varnostnih parametrov, ki temeljijo na pristopu ocene tveganja in so sestavni del celotnega postopka finančnega subjekta za upravljanje sprememb, za zagotovitev, da se vse spremembe sistemov IKT nadzorovano evidentirajo, testirajo, ocenijo, odobrijo, izvajajo in preverijo;
imajo ustrezne in celovite dokumentirane politike za popravke in posodobitve.
Za namene prvega pododstavka, točka (b), finančni subjekti infrastrukturo omrežnih povezav načrtujejo na način, ki omogoča takojšnjo prekinitev ali segmentacijo, da se zmanjša na najmanjšo možno mero in prepreči širjenje negativnih učinkov, zlasti za medsebojno povezane finančne postopke.
Za namene prvega pododstavka, točka (e), postopek upravljanja sprememb na področju IKT odobrijo ustrezne ravni vodstva, pri čemer mora imeti ta postopek posebne protokole.
Člen 10
Odkrivanje
Vsi mehanizmi odkrivanja iz prvega pododstavka se redno testirajo v skladu s členom 25.
Člen 11
Odzivanje in okrevanje
Finančni subjekti izvajajo politiko neprekinjenega poslovanja na področju IKT z namenskimi, ustreznimi in dokumentiranimi dogovori, načrti, postopki in mehanizmi, katerih cilj je:
zagotoviti neprekinjenost kritičnih ali pomembnih funkcij finančnega subjekta;
hitro, ustrezno in učinkovito odzvati se na vse incidente, povezane z IKT, ter jih odpraviti na način, ki omejuje škodo in daje prednost nadaljevanju dejavnosti in sanacijskim ukrepom;
brez odlašanja aktivirati namenske načrte, ki omogočajo zajezitvene ukrepe, postopke in tehnologije, primerne za vse vrste incidentov, povezanih z IKT, in preprečiti nadaljnjo škodo, ter prilagojene postopke odzivanja in okrevanja, določene v skladu s členom 12;
oceniti predhodne učinke, škodo in izgube;
določiti komunikacijske ukrepe in ukrepe za obvladovanje kriz, ki zagotavljajo, da se posodobljene informacije posredujejo vsem ustreznim internim zaposlenim in zunanjim deležnikom v skladu s členom 14, ter poročati pristojnim organom v skladu s členom 19.
V sklopu celovitega obvladovanja tveganj na področju IKT finančni subjekti:
testirajo načrte neprekinjenega poslovanja na področju IKT ter načrte odzivanja in okrevanja IKT v povezavi s sistemi IKT, ki podpirajo vse funkcije, vsaj enkrat letno, pa tudi v primeru kakršnih koli bistvenih sprememb sistemov IKT, ki podpirajo kritične ali pomembne funkcije;
testirajo načrte obveščanja o kriznih razmerah, vzpostavljene v skladu s členom 14.
Za namene prvega pododstavka, točka (a), finančni subjekti, ki niso mikropodjetja, v načrte testiranja vključijo scenarije kibernetskih napadov in preklopov med primarno infrastrukturo IKT in redundatno zmogljivostjo, rezervnimi sistemi in redundantnimi obrati, potrebnimi za izpolnitev obveznosti iz člena 12.
Finančni subjekti redno pregledujejo svojo politiko neprekinjenega poslovanja na področju IKT ter načrte odzivanja in okrevanja IKT, pri čemer upoštevajo rezultate testov, izvedenih v skladu s prvim pododstavkom, in priporočila, ki izhajajo iz revizijskih ali nadzornih pregledov.
Člen 12
Politike in postopki varnostnega kopiranja ter postopki in metode obnovitve in okrevanja
Da bi se zagotovila obnovitev sistemov in podatkov IKT z minimalnimi izpadi, omejenimi motnjami in izgubami, finančni subjekti v sklopu okvira za obvladovanje tveganj na področju IKT razvijejo in dokumentirajo:
politike in postopke varnostnega kopiranja, ki določajo obseg podatkov za varnostno kopiranje in najmanjšo pogostost varnostnega kopiranja na podlagi kritičnosti informacij ali stopnje zaupnosti podatkov;
postopke in metode obnovitve in okrevanja.
Za centralne nasprotne stranke morajo načrti okrevanja zagotoviti obnovitev vseh transakcij, ki so bile v teku v času motnje, s čimer bo centralni nasprotni stranki omogočeno zanesljivo nadaljnje delovanje in dokončanje poravnave na predvideni datum.
Izvajalci storitev sporočanja podatkov poleg tega vzdržujejo zadostna sredstva ter imajo zmogljivosti za varnostno kopiranje in obnovitev, da lahko vedno nudijo in vzdržujejo svoje storitve.
Sekundarna lokacija za obdelavo:
je na zadostni geografski razdalji od primarne lokacije za obdelavo, da se zagotovi, da ima drugačen profil tveganja, in prepreči, da bi jo prizadel dogodek, ki je prizadel primarno lokacijo;
je zmožna zagotoviti enako neprekinjenost kritičnih ali pomembnih funkcij kot na primarni lokaciji ali zagotoviti raven storitev, potrebnih za zagotovitev, da finančni subjekt opravlja svoje kritične operacije v okviru ciljev obnovitve;
je takoj dostopna zaposlenim pri finančnem subjektu, da se zagotovi neprekinjenost kritičnih ali pomembnih funkcij, če primarna lokacija za obdelavo postane nedostopna.
Člen 13
Učenje in razvoj
Finančni subjekti, ki niso mikropodjetja, pristojnim organom na zahtevo sporočijo spremembe, ki so bile uvedene po pregledih po incidentih, povezanih z IKT, iz prvega pododstavka.
Pri pregledih po incidentih, povezanih z IKT, iz prvega pododstavka se ugotovi, ali so bili upoštevani ustaljeni postopki in ali so bili izvedeni ukrepi učinkoviti, vključno v zvezi z naslednjim:
hitrostjo pri odzivanju na varnostna opozorila ter določanju učinka incidentov, povezanih z IKT, in njihove resnosti;
kakovostjo in hitrostjo izvedbe forenzične analize, kadar je to ustrezno;
učinkovitostjo prenosa incidenta na višjo raven v finančnem subjektu;
učinkovitostjo notranje in zunanje komunikacije.
Člen 14
Obveščanje
Člen 15
Nadaljnje usklajevanje orodij, metod, postopkov in politik za obvladovanje tveganj na področju IKT
Evropski nadzorni organi prek Skupnega odbora in v posvetovanju z Agencijo Evropske unije za kibernetsko varnost (ENISA) pripravijo skupne osnutke regulativnih tehničnih standardov za:
podrobno določitev nadaljnjih elementov, ki jih je treba vključiti v varnostne politike, postopke, protokole in orodja IKT iz člena 9(2), da bi se zagotovila varnost omrežij, omogočili ustrezni zaščitni ukrepi pred vdori in zlorabo podatkov, ohranila razpoložljivost, avtentičnost, celovitost in zaupnost podatkov, vključno z uporabo kriptografskih tehnik, ter zagotovil natančen in hiter prenos podatkov brez večjih motenj in nepotrebnih zamud;
razvoj nadaljnjih komponent za nadzor pravic upravljanja dostopa iz člena 9(4), točka (c), in s tem povezane kadrovske politike, ki določajo pravice dostopa, postopke za podeljevanje in odvzem pravic ter spremljanje neobičajnega ravnanja v zvezi s tveganjem na področju IKT z ustreznimi kazalniki, tudi za vzorce uporabe omrežja, ure, dejavnost IT in neznane naprave;
nadaljnji razvoj mehanizmov iz člena 10(1), ki omogočajo takojšnje odkrivanje neobičajnega ravnanja, in meril iz člena 10(2), ki sprožijo postopke odkrivanja incidentov, povezanih z IKT, in odzivanja nanje;
nadaljnjo opredelitev komponent politike neprekinjenega poslovanja na področju IKT iz člena 11(1);
nadaljnjo opredelitev testiranja načrtov neprekinjenega poslovanja na področju IKT iz člena 11(6), da se zagotovi, da se pri takem testiranju ustrezno upoštevajo scenariji, v katerih kakovost zagotavljanja kritične ali pomembne funkcije pade na nesprejemljivo raven ali povsem odpove, in ustrezno upošteva potencialni vpliv plačilne nesposobnosti ali drugega prenehanja delovanja katerega koli zadevnega tretjega ponudnika storitev IKT in, kadar je to ustrezno, politična tveganja v jurisdikcijah teh ponudnikov;
nadaljnjo opredelitev komponent načrtov odzivanja in okrevanja na področju IKT iz člena 11(3);
nadaljnjo opredelitev vsebine in oblike poročila o pregledu okvira za obvladovanje tveganj na področju IKT iz člena 6(5).
Evropski nadzorni organi pri pripravi teh osnutkov regulativnih tehničnih standardov upoštevajo velikost in splošni profil tveganja finančnega subjekta ter naravo, obseg in kompleksnost njegovih storitev, dejavnosti in poslovanja, pri čemer ustrezno upoštevajo vse specifične značilnosti, ki izhajajo iz posebne narave dejavnosti v različnih sektorjih finančnih storitev.
Evropski nadzorni organi te osnutke regulativnih tehničnih standardov Komisiji predložijo do 17. januarja 2024.
Na Komisijo se prenese pooblastilo za dopolnitev te uredbe s sprejetjem regulativnih tehničnih standardov iz prvega odstavka v skladu s členi 10 do 14 uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010.
Člen 16
Poenostavljen okvir za obvladovanje tveganj na področju IKT
Brez poseganja v prvi pododstavek morajo finančni subjekti iz prvega pododstavka:
vzpostaviti in vzdrževati zanesljiv in dokumentiran okvir za obvladovanje tveganj na področju IKT, v katerem so podrobno določeni mehanizmi in ukrepi za hitro, učinkovito in celovito obvladovanje tveganj na področju IKT, vključno z zaščito ustreznih fizičnih komponent in infrastrukture;
stalno preverjati varnost in delovanje vseh sistemov IKT;
čim bolj zmanjšati vpliv tveganja na področju IKT z uporabo zanesljivih, odpornih in posodobljenih sistemov, protokolov in orodij IKT, ki so primerni za podporo izvajanju njihovih dejavnosti in opravljanju storitev ter ustrezno varujejo razpoložljivost, avtentičnost, celovitost in zaupnost podatkov v omrežju in informacijskih sistemih;
omogočiti hitro identifikacijo in odkrivanje virov tveganja in nepravilnosti na področju IKT v omrežnih in informacijskih sistemih ter hitro obravnavo incidentov, povezanih z IKT;
identificirati ključne odvisnosti od tretjih ponudnikov storitev IKT;
zagotavljati neprekinjenost kritičnih ali pomembnih funkcij z načrti neprekinjenega poslovanja ter ukrepi za odzivanje in okrevanje, ki vključujejo vsaj ukrepe za varnostno kopiranje in obnovitev;
redno testirati načrte in ukrepe iz točke (f) ter učinkovitost preverjanj, izvedenih v skladu s točkama (a) in (c);
po potrebi ustrezne operativne sklepe, pripravljene na podlagi testov iz točke (g) in analize po incidentu, vključiti v postopek ocene tveganja na področju IKT ter v skladu s potrebami in profilom tveganja na področju IKT razvijati programe za usposabljanje in ozaveščanje osebja in vodstva glede varnosti IKT in digitalne operativne odpornosti.
Evropski nadzorni organi prek Skupnega odbora in v posvetovanju z ENISA pripravijo skupne osnutke regulativnih tehničnih standardov, da:
nadalje opredelijo elemente, ki jih je treba vključiti v okvir za obvladovanje tveganj na področju IKT iz odstavka 1, drugi pododstavek, točka (a);
nadalje opredelijo elemente v zvezi s sistemi, protokoli in orodji za zmanjšanje vpliva tveganj na področju IKT iz odstavka 1, drugi pododstavek, točka (c), da se zagotovi varnost omrežij, omogočijo ustrezni zaščitni ukrepi pred vdori in zlorabo podatkov ter ohranijo razpoložljivost, avtentičnost, celovitost in zaupnost podatkov;
nadalje opredelijo komponente načrtov neprekinjenega poslovanja na področju IKT iz odstavka 1, drugi pododstavek, točka (f);
nadalje opredelijo pravila o testiranju načrtov neprekinjenega poslovanja in zagotavljanje učinkovitosti kontrol iz odstavka 1, drugi pododstavek, točka (g), ter zagotovijo, da se pri takem testiranju ustrezno upoštevajo scenariji, v katerih kakovost zagotavljanja kritične ali pomembne funkcije pade na nesprejemljivo raven ali povsem odpove;
nadalje opredelijo vsebino in obliko poročila o pregledu okvira za obvladovanje tveganj na področju IKT iz odstavka 2.
Evropski nadzorni organi pri oblikovanju navedenih osnutkov regulativnih tehničnih standardov upoštevajo velikost in splošni profil tveganja finančnega subjekta ter naravo, obseg in kompleksnost njegovih storitev, dejavnosti in operacij.
Evropski nadzorni organi te osnutke regulativnih tehničnih standardov Komisiji predložijo do 17. januarja 2024.
Na Komisijo se prenese pooblastilo za dopolnitev te uredbe s sprejetjem regulativnih tehničnih standardov iz prvega pododstavka v skladu s členi 10 do 14 uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010.
POGLAVJE III
Obvladovanje in razvrščanje incidentov, povezanih z IKT, ter poročanje o njih
Člen 17
Postopek obvladovanja incidentov, povezanih z IKT
V postopku obvladovanja incidentov, povezanih z IKT, iz odstavka 1 se:
vzpostavijo kazalniki za zgodnje opozarjanje;
vzpostavijo postopki za identifikacijo, sledenje, evidentiranje, kategoriziranje in razvrščanje incidentov, povezanih z IKT, glede na njihovo prioriteto in resnost ter glede na kritičnost prizadetih storitev v skladu z merili, določenimi v členu 18(1);
dodelijo vloge in odgovornosti, ki jih je treba aktivirati za različne vrste in scenarije incidentov, povezanih z IKT;
določijo načrti za obveščanje zaposlenih, zunanjih deležnikov in medijev v skladu s členom 14 ter za obveščanje strank, za postopke notranjega prenosa na višjo raven, vključno s pritožbami strank v zvezi z IKT, ter za zagotavljanje informacij finančnim subjektom, ki delujejo kot partnerji, kot je ustrezno;
zagotovi, da se vsaj o večjih incidentih, povezanih z IKT, poroča ustreznim višjim vodstvenim delavcem, in o njih obvesti upravljalni organ, pri čemer se pojasnijo vpliv, odziv in dodatne kontrole, ki jih je treba vzpostaviti zaradi tovrstnih incidentov, povezanih z IKT;
vzpostavijo postopki odzivanja na incidente, povezane z IKT, za zmanjšanje njihovih učinkov in zagotovitev, da začnejo storitve delovati pravočasno in varno.
Člen 18
Razvrščanje incidentov, povezanih z IKT, in kibernetskih groženj
Finančni subjekti razvrstijo incidente, povezane z IKT, in določijo njihov učinek na podlagi naslednjih meril:
število uporabnikov in/ali pomembnost strank ali finančnih partnerjev, ki jih je prizadela motnja zaradi incidenta, povezanega z IKT, in po potrebi količino oziroma število transakcij, na katere so ti incidenti vplivali, ter podatek, ali je incident, povezan z IKT, vplival na njihov ugled;
trajanje incidenta, povezanega z IKT, vključno z nedelovanjem storitve;
geografska razpršenost območij, ki jih je prizadel incident, povezan z IKT, zlasti če prizadene več kot dve državi članici;
izgube podatkov, ki jih povzroči incident, povezan z IKT, v smislu razpoložljivosti, avtentičnosti, celovitosti ali zaupnosti podatkov;
kritičnost prizadetih storitev, vključno s transakcijami in poslovanjem finančnega subjekta;
gospodarski učinek – zlasti neposredni in posredni stroški in izgube – incidenta, povezanega z IKT, v absolutnem in relativnem smislu.
Evropski nadzorni organi prek Skupnega odbora in v posvetovanju z ECB in ENISA pripravijo skupne osnutke regulativnih tehničnih standardov, v katerih se podrobneje določijo:
merila iz odstavka 1, vključno s pragovi pomembnosti za določanje večjih incidentov, povezanih z IKT, oziroma večjih operativnih ali varnostnih incidentov, povezanih s plačili, za katere velja obveznost poročanja iz člena 19(1);
merila, ki jih pristojni organi uporabijo za oceno pomena večjih incidentov, povezanih z IKT, oziroma večjih operativnih ali varnostnih incidentov, povezanih s plačili, za ustrezne pristojne organe v drugih državah članicah, in podrobnosti poročil o večjih incidentih, povezanih z IKT, oziroma večjih operativnih ali varnostnih incidentih, povezanih s plačili, ki jih je treba deliti z drugimi pristojnimi organi v skladu s členom 19(6) in (7);
merila iz odstavka 2 tega člena, vključno z visokimi pragovi pomembnosti za določanje pomembnih kibernetskih groženj.
Evropski nadzorni organi te skupne osnutke regulativnih tehničnih standardov Komisiji predložijo do 17. januarja 2024.
Na Komisijo se prenese pooblastilo za dopolnitev te uredbe s sprejetjem regulativnih tehničnih standardov iz odstavka 3 v skladu s členi 10 do 14 uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010.
Člen 19
Poročanje o večjih incidentih, povezanih z IKT, in prostovoljno obveščanje o pomembnih kibernetskih grožnjah
Kadar finančni subjekt nadzira več kot en nacionalni pristojni organ iz člena 46, države članice imenujejo en sam pristojni organ kot ustrezni pristojni organ, odgovoren za izvajanje funkcij in dolžnosti iz tega člena.
Kreditne institucije, razvrščene kot pomembne v skladu s členom 6(4) Uredbe (EU) št. 1024/2013, poročajo o večjih incidentih, povezanih z IKT, ustreznemu nacionalnemu pristojnemu organu, imenovanemu v skladu s členom 4 Direktive 2013/36/EU, ki to poročilo nemudoma posreduje ECB.
Za namene prvega pododstavka finančni subjekti po zbiranju in analizi vseh ustreznih informacij v skladu s predlogami iz člena 20 pripravijo začetno uradno obvestilo in poročila iz odstavka 4 tega člena in jih posredujejo pristojnemu organu. Če začetnega uradnega obvestila zaradi tehničnih razlogov ni mogoče predložiti v skladu s predlogo, finančni subjekti pristojni organ o njem uradno obvestijo na drug način.
Začetno uradno obvestilo in poročila iz odstavka 4 vključujejo vse informacije, ki so potrebne, da pristojni organ ugotovi pomen večjega incidenta, povezanega z IKT, in oceni možne čezmejne učinke.
Brez poseganja v poročanje finančnega subjekta ustreznemu pristojnemu organu na podlagi prvega pododstavka lahko države članice dodatno določijo, da nekateri ali vsi finančni subjekti začetno uradno obvestilo in vsako poročilo iz odstavka 4 tega člena v skladu s predlogo iz člena 20 predložijo tudi pristojnim organom ali skupinam za odzivanje na incidente na področju računalniške varnosti (CSIRT), imenovanim ali vzpostavljenim v skladu z Direktivo (EU) 2022/2555.
Kreditne institucije, razvrščene kot pomembne v skladu s členom 6(4) Uredbe (EU) št. 1024/2013, lahko o pomembnih kibernetskih grožnjah prostovoljno uradno obvestijo ustrezni nacionalni pristojni organ, imenovan v skladu s členom 4 Direktive 2013/36/EU, ki to obvestilo nemudoma posreduje ECB.
Države članice lahko določijo, da lahko finančni subjekti, ki prostovoljno pošljejo uradno obvestilo v skladu s prvim pododstavkom, to obvestilo posredujejo tudi skupinam CSIRT, imenovanim ali vzpostavljenim v skladu z Direktivo (EU) 2022/2555.
V primeru pomembne kibernetske grožnje finančni subjekti svoje stranke, ki bi lahko bile prizadete, po potrebi obvestijo o vseh ustreznih zaščitnih ukrepih, ki bi jih te lahko sprejele.
Finančni subjekti v rokih, ki se določijo v skladu s členom 20, prvi odstavek, točka (a), točka (ii), ustreznemu pristojnemu organu predložijo naslednje:
začetno uradno obvestilo;
vmesno poročilo po začetnem uradnem obvestilu iz točke (a), takoj ko se status prvotnega incidenta znatno spremeni ali ko se obravnava incidenta prilagodi glede na nove informacije, ki so na voljo, ki mu, kot je ustrezno, sledijo ustrezna posodobljena uradna obvestila vsakič, ko je na voljo ustrezna posodobitev statusa, in na posebno zahtevo pristojnega organa;
končno poročilo, ko je končana analiza osnovnega vzroka, ne glede na to, ali so bili ukrepi za ublažitev že izvedeni, in ko so na voljo podatki o dejanskem učinku, ki nadomeščajo ocene.
Pristojni organ po prejemu začetnega uradnega obvestila in vsakega poročila iz odstavka 4 pravočasno zagotovi podrobnosti o večjem incidentu, povezanem z IKT, naslednjim prejemnikom, in sicer na podlagi njihovih pristojnosti, kot je ustrezno:
EBA, ESMA ali EIOPA;
ECB, za finančne subjekte iz člena 2(1), točke (a), (b) in (d);
pristojnim organom, enotnim kontaktnim točkam oziroma skupinam CSIRT, imenovanim ali vzpostavljenim v skladu z Direktivo (EU) 2022/2555;
organom za reševanje iz člena 3 Direktive 2014/59/EU in enotnemu odboru za reševanje, kar zadeva subjekte iz člena 7(2) Uredbe (EU) št. 806/2014 Evropskega parlamenta in Sveta ( 7 ) ter subjekte in skupine iz člena 7(4)(b) in (5) Uredbe (EU) št. 806/2014, če se te podrobnosti nanašajo na incidente, ki predstavljajo tveganje za zagotavljanje kritičnih funkcij v smislu člena 2(1), točka 35, Direktive 2014/59/EU, in
drugim ustreznim javnim organom v skladu z nacionalnim pravom.
Člen 20
Harmonizacija vsebine in predlog za poročanje
Evropski nadzorni organi prek Skupnega odbora in v posvetovanju z ENISA in ECB razvijejo:
skupne osnutke regulativnih tehničnih standardov, da:
določijo vsebino poročil o večjih incidentih, povezanih z IKT, da se upoštevajo merila iz člena 18(1) in vključijo dodatni elementi, kot so podrobnosti, ki omogočajo, da se ugotovi relevantnost poročanja za druge države članice in ali gre za večji operativni ali varnostni incident, povezan s plačilom, ali ne;
določijo roke za začetno obvestilo in za vsako poročilo iz člena 19(4);
določijo vsebino obvestila o pomembnih kibernetskih grožnjah.
Evropski nadzorni organi pri oblikovanju navedenih osnutkov regulativnih tehničnih standardov upoštevajo velikost in splošni profil tveganja finančnega subjekta ter naravo, obseg in kompleksnost njegovih storitev, dejavnosti in poslovanja, zlasti, da se za namene tega odstavka, točka (a), točka (ii), zagotovi, da lahko različni roki po potrebi odražajo posebnosti finančnih sektorjev, brez poseganja v ohranjanje doslednega pristopa k poročanju o incidentih, povezanih z IKT, v skladu s to uredbo in Direktivo (EU) 2022/2555. Evropski nadzorni organi po potrebi utemeljijo odstopanje od pristopov, sprejetih v okviru navedene direktive;
skupne osnutke izvedbenih tehničnih standardov, da vzpostavijo standardne obrazce, predloge in postopke, v okviru katerih finančni subjekti poročajo o večjem incidentu, povezanem z IKT, in uradno obveščajo o pomembni kibernetski grožnji.
Evropski nadzorni organi skupne osnutke regulativnih tehničnih standardov iz prvega odstavka, točka (a), in skupne osnutke izvedbenih tehničnih standardov iz prvega odstavka, točka (b), predložijo Komisiji do 17. julija 2024.
Na Komisijo se prenese pooblastilo za dopolnitev te uredbe s sprejetjem skupnih regulativnih tehničnih standardov iz prvega odstavka, točka (a), v skladu s členi 10 do 14 uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010.
Na Komisijo se prenese pooblastilo za sprejetje skupnih izvedbenih tehničnih standardov iz prvega odstavka, točka (b), v skladu s členom 15 uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010.
Člen 21
Centralizacija poročanja o večjih incidentih, povezanih z IKT
Skupno poročilo iz odstavka 1 vsebuje vsaj naslednje elemente:
pogoje za vzpostavitev enotnega vozlišča EU;
koristi, omejitve in tveganja, vključno s tveganji, povezanimi z visoko koncentracijo občutljivih informacij;
potrebne zmožnosti za zagotovitev interoperabilnosti glede na druge zadevne sheme poročanja;
elemente operativnega upravljanja;
pogoje članstva;
tehnične ureditve za dostop finančnih subjektov in nacionalnih pristojnih organov do enotnega vozlišča EU;
predhodno oceno finančnih stroškov, ki nastanejo zaradi vzpostavitve operativne platforme za podporo enotnega vozlišču EU, vključno z zahtevanim strokovnim znanjem.
Člen 22
Povratne informacije nadzornih organov
Evropski nadzorni organi izdajo opozorila in pripravijo statistične podatke na visoki ravni v podporo ocenam groženj in ranljivosti na področju IKT.
Člen 23
Operativni ali varnostni incidenti, povezani s plačili, ki zadevajo kreditne institucije, plačilne institucije, ponudnike storitev zagotavljanja informacij o računih ter institucije za izdajo elektronskega denarja
Zahteve iz tega poglavja se uporabljajo tudi za operativne ali varnostne incidente, povezane s plačili, in večje tovrstne incidente, kadar zadevajo kreditne institucije, plačilne institucije, ponudnike storitev zagotavljanja informacij o računih ter institucije za izdajo elektronskega denarja.
POGLAVJE IV
Testiranje digitalne operativne odpornosti
Člen 24
Splošne zahteve za izvajanje testiranja digitalne operativne odpornosti
Člen 25
Testiranje sistemov in orodij IKT
Člen 26
Napredno testiranje orodij, sistemov in postopkov IKT na podlagi penetracijskega testiranja na podlagi analize groženj
Finančni subjekti identificirajo vse ustrezne osnovne sisteme, postopke in tehnologije IKT, ki podpirajo kritične ali pomembne funkcije ter storitve IKT, vključno s tistimi, ki podpirajo kritične ali pomembne funkcije, ki so oddane v zunanje izvajanje ali pogodbeno izvajanje tretjim ponudnikom storitev IKT.
Finančni subjekti ocenijo, katere kritične ali pomembne funkcije morajo biti zajete v penetracijsko testiranje na podlagi analize groženj. Rezultat te ocene določi natančen obseg penetracijskega testiranja na podlagi analize groženj, potrdijo pa ga pristojni organi.
To skupno testiranje zajema ustrezen nabor storitev IKT, ki podpirajo kritične ali pomembne funkcije, ki jih finančni subjekti v skladu s pogodbo zagotavljajo zadevnim tretjim ponudnikom storitev IKT. Skupno testiranje se šteje za penetracijsko testiranje na podlagi analize groženj, ki ga izvajajo finančni subjekti, ki sodelujejo pri skupnem testiranju.
Število finančnih subjektov, ki sodelujejo pri skupnem testiranju, se ustrezno prilagodi glede na kompleksnost in vrsto storitev, ki so v to vključene.
Brez poseganja v takšno potrdilo so finančni subjekti vedno v celoti odgovorni za vpliv testiranj iz odstavka 4.
Kreditne institucije, ki so razvrščene kot pomembne v skladu s členom 6(4) Uredbe (EU) št. 1024/2013, uporabljajo zunanje preizkuševalce samo v skladu s členom 27(1), točke (a) do (e).
Pristojni organi finančne subjekte, ki morajo izvesti penetracijsko testiranje na podlagi analize groženj, opredelijo tako, da upoštevajo merila iz člena 4(2), ter na podlagi ocene:
dejavnikov, povezanih z učinki, zlasti v kolikšnem obsegu opravljene storitve in dejavnosti, ki jih izvaja finančni subjekt, vplivajo na finančni sektor;
morebitnih pomislekov glede finančne stabilnosti, vključno s sistemskim značajem finančnega subjekta na ravni Unije ali nacionalni ravni, kot je ustrezno;
posebnega profila tveganja na področju IKT, stopnje zrelosti finančnega subjekta na področju IKT ali značilnosti vključene tehnologije.
Evropski nadzorni organi v dogovoru z ECB pripravijo skupne osnutke regulativnih tehničnih standardov v skladu z okvirom TIBER-EU, da bi podrobneje opredelili:
merila, ki veljajo za namene uporabe odstavka 8, drugi pododstavek;
zahteve in standarde, ki urejajo uporabo notranjih preizkuševalcev;
zahteve v zvezi z:
obsegom penetracijskega testiranja na podlagi analize groženj iz odstavka 2;
metodologijo in pristopom testiranja, ki ju je treba upoštevati za vsako posamezno fazo testiranja;
rezultati ter zaključno fazo in fazo sanacije;
vrsto sodelovanja nadzornih organov in drugega ustreznega sodelovanja, ki je potrebno za izvedbo penetracijskega testiranja na podlagi analize groženj in njegovo lažje vzajemno priznavanje, kar zadeva finančne subjekte, ki delujejo v več kot eni državi članici, da se omogoči ustrezna raven sodelovanja nadzornih organov in prilagodljivo izvajanje z upoštevanjem posebnosti finančnih podsektorjev ali lokalnih finančnih trgov.
Evropski nadzorni organi pri pripravi teh osnutkov regulativnih tehničnih standardov ustrezno upoštevajo vse specifične značilnosti, ki izhajajo iz posebne narave dejavnosti v različnih sektorjih finančnih storitev.
Evropski nadzorni organi te osnutke regulativnih tehničnih standardov Komisiji predložijo do 17. julija 2024.
Na Komisijo se prenese pooblastilo za dopolnitev te uredbe s sprejetjem regulativnih tehničnih standardov iz prvega pododstavka v skladu s členi 10 do 14 uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010.
Člen 27
Zahteve za preizkuševalce za izvedbo penetracijskega testiranja na podlagi analize groženj
Finančni subjekti za izvedbo penetracijskega testiranja na podlagi analize groženj uporabljajo samo preizkuševalce, ki:
so najprimernejši in uživajo največji ugled;
imajo tehnične in organizacijske zmožnosti ter posebno strokovno znanje na področjih obveščevalnih podatkov o grožnjah, penetracijskega testiranja in testiranja z rdečo ekipo;
so potrjeni s strani akreditacijskega organa v državi članici ali upoštevajo formalne kodekse ravnanja ali etične okvire;
predložijo neodvisno zagotovilo ali revizijsko poročilo v zvezi z dobrim obvladovanjem tveganj, povezanih z izvajanjem penetracijskega testiranja na podlagi analize groženj, vključno z ustrezno zaščito zaupnih podatkov finančnega subjekta in povračilom škode za poslovna tveganja finančnega subjekta;
imajo primerno in polno kritje z ustreznimi zavarovanji poklicne odgovornosti, vključno s kritjem tveganja kršitve in malomarnosti;
Kadar uporabijo notranje preizkuševalce, finančni subjekti zagotovijo, da so poleg zahtev iz odstavka 1 izpolnjeni naslednji pogoji:
takšno uporabo odobri ustrezni pristojni organ ali en sam javni organ, imenovan v skladu s členom 26(9) in (10);
ustrezni pristojni organ potrdi, da ima finančni subjekt zadostna sredstva v ta namen, in zagotovi, da se v fazi zasnove in izvedbe testiranja preprečijo nasprotja interesov, ter
ponudnik obveščevalnih podatkov o grožnjah ni del finančnega subjekta.
POGLAVJE V
Obvladovanje tveganj tretjih strani na področju IKT
Člen 28
Splošna načela
Finančni subjekti obvladujejo tveganja tretjih strani na področju IKT kot sestavni del tveganj na področju IKT v sklopu okvira za obvladovanje tveganj na področju IKT iz člena 6(1) v skladu z naslednjimi načeli:
finančni subjekti, ki imajo za vodenje svojih poslovnih dejavnosti sklenjene pogodbene dogovore za uporabo storitev IKT, so ves čas v celoti odgovorni za spoštovanje in izpolnjevanje vseh obveznosti iz te uredbe in veljavnega prava o finančnih storitvah;
finančni subjekti obvladujejo tveganja tretjih strani na področju IKT glede na načelo sorazmernosti, pri čemer upoštevajo:
naravo, obseg, zapletenost in pomen odvisnosti, povezanih z IKT;
tveganja, ki izhajajo iz pogodbenih dogovorov o uporabi storitev IKT, sklenjenih s tretjimi ponudniki storitev IKT, ob upoštevanju kritičnosti ali pomena posamezne storitve, postopka ali funkcije ter možnega učinka na neprekinjenost in dostopnost finančnih storitev in dejavnosti na individualni in skupinski ravni.
Pogodbeni dogovori iz prvega pododstavka se ustrezno dokumentirajo, pri čemer se razlikuje med tistimi, ki zajemajo storitve IKT, ki podpirajo kritične ali pomembne funkcije, in tistimi, ki ne zajemajo takih funkcij.
Finančni subjekti pristojnim organom vsaj enkrat letno poročajo o številu novih dogovorov o uporabi storitev IKT, kategorijah tretjih ponudnikov storitev IKT, vrsti pogodbenih dogovorov ter storitvah in funkcijah IKT, ki se opravljajo.
Finančni subjekti pristojnemu organu na njegovo zahtevo predložijo celoten register informacij ali, kot se zahteva, določene oddelke registra, skupaj z vsemi informacijami, za katere se meni, da so potrebne za učinkovit nadzor finančnega subjekta.
Finančni subjekti pravočasno obvestijo pristojni organ o kakršnem koli načrtovanem pogodbenem dogovoru o uporabi storitev IKT, ki podpirajo kritične ali pomembne funkcije, in o tem, kdaj je funkcija postala kritična ali pomembna.
Finančni subjekti pred sklenitvijo pogodbenega dogovora o uporabi storitev IKT:
ocenijo, ali pogodbeni dogovor zajema uporabo storitev IKT, ki podpirajo kritično ali pomembno funkcijo;
ocenijo, ali so izpolnjeni nadzorni pogoji za sklenitev pogodbenega dogovora;
identificirajo in ocenijo vsa pomembna tveganja v zvezi s pogodbenim dogovorom, vključno z možnostjo, da lahko tak pogodbeni dogovor prispeva k povečanju tveganja koncentracije na področju IKT iz člena 29;
opravijo skrben pregled potencialnih tretjih ponudnikov storitev IKT in s postopki izbire in ocenjevanja zagotovijo ustreznost tretjega ponudnika storitev IKT;
identificirajo in ocenijo nasprotja interesov, ki jih lahko povzroči pogodbeni dogovor.
Kadar so pogodbeni dogovori o uporabi storitev IKT, sklenjeni s tretjimi ponudniki storitev IKT, tehnično zelo zapleteni, finančni subjekt preveri, ali imajo revizorji, ne glede na to, ali so to notranji ali zunanji revizorji oziroma skupine revizorjev, ustrezne spretnosti in znanje za učinkovito izvajanje ustreznih revizij in ocen.
Finančni subjekti zagotovijo, da se pogodbeni dogovori o uporabi storitev IKT lahko prekinejo v kateri koli od naslednjih okoliščin:
znatna kršitev veljavnih zakonov, predpisov ali pogodbenih pogojev s strani tretjega ponudnika storitev IKT;
okoliščine, identificirane med spremljanjem tveganja tretjih strani na področju IKT, za katere se šteje, da lahko spremenijo izvajanje funkcij, opravljenih na podlagi pogodbenega dogovora, vključno s pomembnimi spremembami, ki vplivajo na dogovor ali položaj tretjega ponudnika storitev IKT;
dokazane šibkosti tretjega ponudnika storitev IKT v zvezi z njegovim splošnim obvladovanjem tveganj na področju IKT in zlasti v načinu, kako zagotavlja razpoložljivost, avtentičnost, celovitost in zaupnost podatkov, bodisi osebnih ali kako drugače občutljivih podatkov bodisi neosebnih podatkov;
kadar pristojni organ zaradi pogojev zadevnega pogodbenega dogovora ali okoliščin v zvezi z njim ne more več učinkovito nadzirati finančnega subjekta.
Finančni subjekti zagotovijo, da lahko prekinejo pogodbene dogovore brez:
motenj svojih poslovnih dejavnosti;
omejevanja skladnosti z zakonskimi zahtevami;
škode za neprekinjenost in kakovost storitev, opravljenih za stranke.
Izhodni načrti morajo biti izčrpni, dokumentirani ter morajo biti v skladu z merili, določenimi v členu 4(2), zadostno testirani in redno pregledovani.
Finančni subjekti identificirajo alternativne rešitve in oblikujejo prehodne načrte, ki jim omogočajo, da tretjemu ponudniku storitev IKT odvzamejo pogodbene storitve IKT in ustrezne podatke ter jih varno in celovito prenesejo k alternativnim ponudnikom ali jih ponovno vključijo v lastno podjetje.
Finančni subjekti vzpostavijo ukrepe ob nepredvidljivih dogodkih za ohranitev neprekinjenosti poslovanja v primeru okoliščin iz prvega pododstavka.
Na Komisijo se prenese pooblastilo za sprejetje izvedbenih tehničnih standardov iz prvega pododstavka v skladu s členom 15 uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010.
Evropski nadzorni organi pri oblikovanju navedenih osnutkov regulativnih tehničnih standardov upoštevajo velikost in splošni profil tveganja finančnega subjekta ter naravo, obseg in kompleksnost njegovih storitev, dejavnosti in poslovanja. Evropski nadzorni organi te osnutke regulativnih tehničnih standardov Komisiji predložijo do 17. januarja 2024.
Na Komisijo se prenese pooblastilo za dopolnitev te uredbe s sprejetjem regulativnih tehničnih standardov iz prvega pododstavka v skladu s členi 10 do 14 uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010.
Člen 29
Predhodna ocena tveganja koncentracije na področju IKT na ravni subjekta
Finančni subjekti pri identificiranju in ocenjevanju tveganj iz člena 28(4), točka (c), upoštevajo tudi, ali bi predvidena sklenitev pogodbenega dogovora v zvezi s storitvami IKT, ki podpirajo kritične ali pomembne funkcije, povzročila:
sklenitev pogodbe s tretjim ponudnikom storitev IKT, ki ga ni enostavno nadomestiti, ali
obstoj več pogodbenih dogovorov v zvezi z opravljanjem storitev IKT, ki podpirajo kritične ali pomembne funkcije, z istim tretjim ponudnikom storitev IKT ali tesno povezanimi tretjimi ponudniki storitev IKT.
Finančni subjekti pretehtajo koristi in stroške alternativnih rešitev, kot je uporaba različnih tretjih ponudnikov storitev IKT, pri čemer upoštevajo, ali in kako predvidene rešitve ustrezajo poslovnim potrebam in ciljem iz njihove strategije za digitalno odpornost.
Kadar pogodbeni dogovori zadevajo storitve IKT, ki podpirajo kritične ali pomembne funkcije, finančni subjekti ustrezno upoštevajo določbe insolvenčnega prava, ki bi veljale v primeru stečaja tretjega ponudnika storitev IKT ter kakršno koli omejitev, ki se lahko pojavi v zvezi z nujno obnovitvijo podatkov finančnega subjekta.
Kadar se pogodbeni dogovori o uporabi storitev IKT, ki podpirajo kritične ali pomembne funkcije, sklenejo s tretjim ponudnikom storitev IKT s sedežem v tretji državi, finančni subjekti poleg dejavnikov iz drugega pododstavka upoštevajo še skladnost s pravili Unije o varstvu podatkov in učinkovitost izvrševanja prava v tej tretji državi.
Kadar pogodbeni dogovori o uporabi storitev IKT, ki podpirajo kritične ali pomembne funkcije, vključujejo možnost podizvajanja, finančni subjekti ocenijo, ali in kako lahko potencialno dolge ali zapletene verige podizvajanja vplivajo na njihovo zmožnost popolnega spremljanja pogodbenih funkcij in na zmožnost pristojnega organa, da v zvezi s tem učinkovito nadzoruje finančni subjekt.
Člen 30
Ključne pogodbene določbe
V pogodbene dogovore o uporabi storitev IKT se vključijo vsaj naslednji elementi:
jasen in popoln opis vseh funkcij in storitev IKT, ki jih mora opraviti tretji ponudnik storitev IKT, z navedbo, ali je dovoljeno oddajanje storitve IKT, ki podpira kritične ali pomembne funkcije, ali njenih bistvenih delov v podizvajanje in, če je dovoljeno, pogoje, ki veljajo za tako podizvajanje;
lokacije, in sicer regije in države, kjer se opravljajo pogodbene funkcije in storitve IKT, oddane v izvajanje ali podizvajanje, in obdelovali podatki, vključno z lokacijo hrambe, ter zahtevo, da tretji ponudnik storitev IKT vnaprej obvesti finančni subjekt, če namerava spremeniti te lokacije;
določbe o razpoložljivosti, avtentičnosti, celovitosti in zaupnosti v zvezi z varstvom podatkov, vključno z osebnimi podatki;
določbe o zagotavljanju dostopa, obnovitve in restavriranja osebnih in neosebnih podatkov v preprosto dostopni obliki, ki jih obdeluje finančni subjekt, v primeru insolventnosti, reševanja ali prenehanja poslovanja tretjega ponudnika storitev IKT ali v primeru odpovedi pogodbenih dogovorov;
opisi ravni storitev, vključno z njihovimi posodobitvami in popravki;
obveznost tretjega ponudnika storitev IKT, da v primeru incidenta, povezanega z IKT in s storitvijo IKT, ki se opravi za finančni subjekt, temu zagotovi pomoč brez dodatnih stroškov ali po predhodno določeni ceni;
obveznost tretjega ponudnika storitev, da v celoti sodeluje s pristojnimi organi in organi za reševanje finančnega subjekta, vključno z osebami, ki jih ti imenujejo;
pravice do odpovedi in povezani minimalni roki za odpoved pogodbenih dogovorov v skladu s pričakovanji pristojnih organov in organov za reševanje;
pogoji sodelovanja tretjih ponudnikov storitev IKT v programih ozaveščanja o varnosti na področju IKT in usposabljanju na področju digitalne operativne odpornosti finančnih subjektov, v skladu s členom 13(6).
V pogodbene dogovore o uporabi storitev IKT, ki podpirajo kritične ali pomembne funkcije, se poleg elementov iz odstavka 2 vključi vsaj naslednje:
celoviti opisi ravni storitev – tudi njihove posodobitve in popravki –, v katerih so določeni natančni kvantitativni in kvalitativni cilji uspešnosti znotraj dogovorjenih ravni storitev, da lahko finančni subjekt učinkovito spremlja storitve IKT in omogoči sprejetje ustreznih popravnih ukrepov brez nepotrebnega odlašanja, ko dogovorjene ravni storitev niso dosežene;
odpovedni roki in obveznosti tretjega ponudnika storitev IKT za poročanje finančnemu subjektu, vključno z obveščanjem o spremembah, ki bi lahko pomembno vplivale na zmožnost tretjega ponudnika storitev IKT, da učinkovito opravlja storitve IKT, ki podpirajo kritične ali pomembne funkcije v skladu z dogovorjenimi ravnmi storitev;
zahteve, da tretji ponudnik storitev IKT izvaja in testira poslovne načrte izrednih ukrepov ter vzpostavi varnostne ukrepe, orodja in politike na področju IKT, ki finančnemu subjektu zagotavljajo ustrezno raven varnosti za opravljanje storitev v skladu z njegovim regulativnim okvirom;
obveznost tretjega ponudnika storitev IKT, da sodeluje in se v celoti udejstvuje pri penetracijskem testu na podlagi groženj, kot je navedeno v členih 26 in 27;
pravica do stalnega spremljanja uspešnosti tretjega ponudnika storitev IKT, ki vključuje naslednje:
neomejene pravice do dostopa, inšpekcijskega pregleda in revizije s strani finančnega subjekta ali imenovane tretje strani in pristojnega organa ter pravico, da pridobijo kopije ustrezne dokumentacije na kraju samem, če so kritične za poslovanje tretjih ponudnikov storitev IKT, pri čemer drugi pogodbeni dogovori ali izvedbene politike ne ovirajo ali omejujejo učinkovitega uveljavljanja teh pravic;
pravico, da se zahtevajo alternativne ravni zanesljivosti, če so prizadete pravice drugih strank;
obveznost tretjega ponudnika storitev IKT, da bo v celoti sodeloval pri inšpekcijskih pregledih in revizijah na kraju samem, ki jih izvajajo pristojni organi, glavni nadzornik, finančni subjekt ali imenovana tretja stran, ter
obveznost, da predloži podrobnosti o obsegu, zahtevanih postopkih in pogostosti teh inšpekcijskih pregledov in revizij;
izhodne strategije, zlasti določitev obveznega ustreznega prehodnega obdobja:
med katerim bo tretji ponudnik storitev IKT še naprej opravljal ustrezne funkcije ali storitve IKT, da bi zmanjšal tveganje motenj pri finančnem subjektu ali zagotovil njihovo učinkovito reševanje in prestrukturiranje;
ki finančnemu subjektu omogoča, da preide na drugega tretjega ponudnika storitev IKT ali na rešitve v okviru lastnega podjetja, ki so skladne s kompleksnostjo opravljene storitve.
Z odstopanjem od točke (e) se lahko tretji ponudnik storitev IKT in finančni subjekt, ki je mikropodjetje, dogovorita, da se lahko pravice finančnega subjekta do dostopa, inšpekcijskega pregleda in revizije prenesejo na neodvisno tretjo stran, ki jo imenuje tretji ponudnik storitev IKT, finančni subjekt pa lahko od tretje strani kadar koli zahteva informacije in zagotovila glede uspešnosti tretjega ponudnika storitev IKT.
Evropski nadzorni organi pri oblikovanju navedenih osnutkov regulativnih tehničnih standardov upoštevajo velikost in splošni profil tveganja finančnega subjekta ter naravo, obseg in kompleksnost njegovih storitev, dejavnosti in poslovanja.
Evropski nadzorni organi te osnutke regulativnih tehničnih standardov Komisiji predloži do 17. julija 2024.
Na Komisijo se prenese pooblastilo za dopolnitev te uredbe s sprejetjem regulativnih tehničnih standardov iz prvega pododstavka v skladu s členi 10 do 14 uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010.
Člen 31
Imenovanje ključnih tretjih ponudnikov storitev IKT
Evropski nadzorni organi prek Skupnega odbora in na podlagi priporočila nadzorniškega foruma, ustanovljenega v skladu s členom 32(1):
imenujejo tretje ponudnike storitev IKT, ki so ključni za finančne subjekte, in sicer na podlagi ocene, pri kateri se upoštevajo merila iz odstavka 2;
kot glavnega nadzornika za vsakega ključnega tretjega ponudnika storitev IKT imenujejo evropski nadzorni organ, ki je v skladu z uredbami (EU) št. 1093/2010, (EU) št. 1094/2010 ali (EU) št. 1095/2010 odgovoren za finančne subjekte, ki imajo skupno največji delež celotnih sredstev glede na vrednost celotnih sredstev vseh finančnih subjektov, ki uporabljajo storitve zadevnega ključnega tretjega ponudnika storitev IKT, kar dokazuje vsota posameznih bilanc stanja navedenih finančnih subjektov.
Imenovanje iz odstavka 1, točka (a), temelji na vseh naslednjih merilih v zvezi s storitvami IKT, ki jih opravlja tretji ponudnik storitev IKT:
sistemski učinek na stabilnost, neprekinjenost ali kakovost opravljanja finančnih storitev v primeru, da bi se zadevni tretji ponudnik storitev IKT soočal z obsežno motnjo v delovanju pri opravljanju svojih storitev, ob upoštevanju števila finančnih subjektov in skupne vrednosti sredstev finančnih subjektov, za katere zadevni tretji ponudnik storitev IKT opravlja storitve;
sistemski značaj ali pomen finančnih subjektov, ki so odvisni od zadevnega tretjega ponudnika storitev IKT, ocenjen v skladu z naslednjimi parametri:
število globalnih sistemsko pomembnih institucij ali drugih sistemsko pomembnih institucij, ki so odvisne od zadevnega tretjega ponudnika storitev IKT;
soodvisnost med globalnimi sistemsko pomembnimi institucijami ali drugimi sistemsko pomembnimi institucijami iz točke (i) in drugimi finančnimi subjekti, vključno s situacijami, ko globalne sistemsko pomembne institucije ali druge sistemsko pomembne institucije za druge finančne subjekte opravljajo storitve finančne infrastrukture;
odvisnost finančnih subjektov od storitev, ki jih opravlja zadevni tretji ponudnik storitev IKT v zvezi s kritičnimi ali pomembnimi funkcijami finančnih subjektov, ki nazadnje vključujejo istega tretjega ponudnika storitev IKT, ne glede na to, ali so finančni subjekti od teh storitev odvisni neposredno ali posredno, na podlagi dogovorov o podizvajanju;
stopnja nadomestljivosti tretjega ponudnika storitev IKT, ob upoštevanju naslednjih parametrov:
pomanjkanje resničnih alternativ, celo delnih, zaradi omejenega števila tretjih ponudnikov storitev IKT, ki delujejo na določenem trgu, ali tržnega deleža zadevnega tretjega ponudnika storitev IKT ali zaradi obstoječe tehnične zapletenosti ali izpopolnjenosti, tudi v zvezi s kakršno koli zaščiteno tehnologijo ali posebnostmi organizacije ali dejavnosti tretjega ponudnika storitev IKT;
težave v zvezi z delno ali popolno selitvijo ustreznih podatkov in delovnih obremenitev z zadevnega tretjega ponudnika storitev IKT na drugega tretjega ponudnika storitev IKT, bodisi zaradi znatnih finančnih stroškov, časa ali drugih virov, ki jih lahko povzroči postopek selitve, bodisi zaradi povečanega tveganja na področju IKT ali drugih operativnih tveganj, ki jim je finančni subjekt lahko izpostavljen s tako selitvijo.
Potem ko evropski nadzorni organi prek Skupnega odbora tretjega ponudnika storitev IKT imenuje za ključnega ponudnika, o tem imenovanju in datumu začetka, od katerega bo dejansko predmet nadzornih dejavnosti, obvestijo tretjega ponudnika storitev IKT. Datum začetka nastopi najpozneje en mesec po obvestilu. Tretji ponudnik storitev IKT obvesti finančne subjekte, za katere opravlja storitve, da je imenovan za ključnega ponudnika.
Imenovanje iz odstavka 1, točka (a), ne velja za naslednje:
finančne subjekte, ki opravljajo storitve IKT za druge finančne subjekte;
tretje ponudnike storitev IKT, za katere veljajo okviri nadzora, vzpostavljeni za namene podpiranja nalog iz člena 127(2) Pogodbe o delovanju Evropske unije;
tretje ponudnike storitev IKT znotraj skupine;
tretje ponudnike storitev IKT, ki storitve IKT opravljajo samo v eni državi članici za finančne subjekte, ki so dejavni samo v tej državi članici.
Za namene prvega pododstavka tretji ponudnik storitev IKT predloži utemeljeno zahtevo EBA, ESMA ali EIOPA, ki se prek Skupnega odbora odloči, ali bo navedenega tretjega ponudnika storitev IKT imenoval za ključnega ponudnika v skladu z odstavkom 1, točka (a).
Odločitev iz drugega pododstavka se sprejme in sporoči tretjemu ponudniku storitev IKT v šestih mesecih po prejemu vloge.
Člen 32
Struktura okvira nadzora
Nadzorniški forum redno razpravlja o relevantnih spremembah pri tveganjih in ranljivostih na področju IKT ter spodbuja dosleden pristop pri spremljanju tveganja tretjih strani na področju IKT na ravni Unije.
Nadzorniški forum sestavljajo:
predsedniki evropskih nadzornih organov;
en predstavnik na visoki ravni, ki je izbran med osebjem, zaposlenim v ustreznem pristojnem organu iz člena 46 iz vsake države članice;
izvršni direktorji vsakega evropskega nadzornega organa in po en predstavnik Komisije ter ESRB, ECB in ENISA v vlogi opazovalcev;
po potrebi dodatni predstavnik pristojnega organa iz člena 46 iz vsake države članice v vlogi opazovalca;
kot je ustrezno, predstavnik pristojnih organov, imenovanih ali vzpostavljenih v skladu z Direktivo (EU) 2022/2555, odgovornih za nadzor nad bistvenim ali pomembnim subjektom, za katere velja navedena direktiva, ki je bil imenovan za ključnega tretjega ponudnika storitev IKT, v vlogi opazovalca.
Nadzorniški forum se lahko po potrebi posvetuje z neodvisnimi strokovnjaki, imenovanimi v skladu z odstavkom 6.
Evropski nadzorni organi na svojem spletnem mestu objavijo seznam predstavnikov na visoki ravni, izbranih med osebjem, zaposlenim v ustreznem pristojnem organu, ki jih imenujejo države članice.
Neodvisni strokovnjaki so imenovani na podlagi strokovnega znanja o finančni stabilnosti, digitalni operativni odpornosti in varnostnih vprašanjih na področju IKT. Delujejo neodvisno in objektivno, izključno v interesu Unije kot celote ter ne zahtevajo in ne sprejemajo navodil institucij ali organov Unije, katere koli vlade države članice ali katerih koli drugih javnih ali zasebnih organov.
Člen 33
Naloge glavnega nadzornika
Ocena iz prvega pododstavka se osredotoči predvsem na storitve IKT, ki jih opravljajo ključni tretji ponudnik storitev IKT ter ki podpirajo kritične ali pomembne funkcije finančnih subjektov. Kadar je potrebno za obravnavanje vseh relevantnih tveganj, se ta ocena razširi na storitve IKT, ki podpirajo tudi funkcije, ki niso kritične ali pomembne funkcije.
Ocena iz odstavka 2 zajema:
zahteve v zvezi IKT, da se zagotovijo zlasti varnost, razpoložljivost, neprekinjenost, nadgradljivost in kakovost storitev, ki jih ključni tretji ponudnik storitev IKT zagotavlja finančnim subjektom, ter zmožnost stalnega ohranjanja visokih standardov glede razpoložljivosti, avtentičnosti, celovitosti ali zaupnosti podatkov;
fizično varnost, ki prispeva k zagotavljanju varnosti IKT, vključno z varnostjo prostorov, objektov in podatkovnih centrov;
postopke obvladovanja tveganj, vključno s politikami obvladovanja tveganj na področju IKT, politiko neprekinjenega poslovanja na področju IKT ter načrti odzivanja in okrevanja IKT;
ureditve upravljanja, vključno z organizacijsko strukturo z jasnimi, preglednimi in doslednimi opredelitvami pristojnosti in odgovornosti, ki omogočajo učinkovito obvladovanje tveganj na področju IKT;
identificiranje in spremljanje pomembnejših incidentov, povezanih z IKT, takojšnje poročanje finančnim subjektom o njih ter obvladovanje in reševanje teh incidentov, zlasti kibernetskih napadov;
mehanizme za prenosljivost podatkov, prenosljivost aplikacij in interoperabilnost, ki finančnim subjektom zagotavljajo učinkovito uveljavljanje pravic do odpovedi;
testiranje sistemov, infrastrukture in kontrol IKT;
revizije IKT;
uporabo ustreznih nacionalnih in mednarodnih standardov, ki se uporabljajo za opravljanje ponudnikovih storitev IKT finančnim subjektom.
Glavni nadzornik pred sprejetjem načrta nadzora ključnemu tretjemu ponudniku storitev IKT posreduje njegov osnutek.
Ključni tretji ponudnik storitev IKT lahko po prejemu osnutka načrta nadzora v 15 koledarskih dneh predloži utemeljeno izjavo, v kateri dokumentira pričakovani učinek na stranke, ki niso subjekti, ki spadajo na področje uporabe te uredbe, in po potrebi predstavi rešitve za zmanjšanje tveganj.
Člen 34
Operativno usklajevanje med glavnimi nadzorniki
Člen 35
Pooblastila glavnega nadzornika
Za namene izvajanja nalog, določenih v tem oddelku, ima glavni nadzornik v zvezi s ključnimi tretjimi ponudniki storitev IKT naslednja pooblastila:
da zahteva vse ustrezne informacije in dokumentacijo v skladu s členom 37;
da izvaja splošne preiskave in inšpekcijske preglede v skladu s členom 38 oziroma členom 39;
da po zaključku nadzornih dejavnosti zahteva poročila, v katerih so navedeni sprejeti ukrepi ali popravni ukrepi, ki so jih izvedli ključni tretji ponudniki storitev IKT v zvezi s priporočili iz točke (d) tega odstavka;
da izda priporočila na področjih iz člena 33(3), zlasti glede:
uporabe posebnih zahtev ali postopkov glede kakovosti in varnosti IKT, zlasti v zvezi z uvedbo popravkov, posodobitev, šifriranja in drugih varnostnih ukrepov, za katere glavni nadzornik meni, da so pomembni za zagotavljanje varnosti storitev na področju IKT, ki se zagotavljajo finančnim subjektom;
uporabe pogojev, vključno z njihovo tehnično izvedbo, pod katerimi ključni tretji ponudniki storitev IKT zagotavljajo storitve IKT finančnim subjektom in za katere glavni nadzornik meni, da so pomembni za preprečevanje nastanka ali povečanja kritičnih točk odpovedi ali za zmanjšanje možnih sistemskih učinkov na finančni sektor Unije v primeru tveganja koncentracije na področju IKT;
vsake načrtovane oddaje v podizvajanje, kadar glavni nadzornik na podlagi informacij, zbranih v skladu s členoma 37 in 38, meni, da lahko nadaljnje podizvajanje, vključno z dogovori o podizvajanju, ki jih nameravajo ključni tretji ponudniki storitev IKT skleniti z drugimi tretjimi ponudniki storitev IKT ali podizvajalci storitev IKT s sedežem v tretji državi, povzroči tveganje za opravljanje storitev s strani finančnega subjekta ali za finančno stabilnost;
opustitve sklepanja nadaljnjih dogovorov o podizvajanju, kadar so izpolnjeni naslednji kumulativni pogoji:
Za namene točke (iv) te točke tretji ponudniki storitev IKT glavnemu nadzorniku pošljejo informacije v zvezi z oddajo v podizvajanje, pri čemer uporabijo predlogo iz člena 41(1), točka (b).
Glavni nadzornik pri izvajanju pooblastil iz tega člena:
zagotavlja redno usklajevanje v okviru skupne nadzorne mreže in si po potrebi zlasti prizadeva za dosledne pristope pri nadzoru ključnih tretjih ponudnikov storitev IKT;
ustrezno upošteva okvir, vzpostavljen z Direktivo (EU) 2022/2555, in se po potrebi posvetuje z ustreznimi pristojnimi organi, imenovanimi ali vzpostavljenimi v skladu z navedeno direktivo, da se prepreči podvajanje tehničnih in organizacijskih ukrepov, ki bi se lahko uporabljali za ključne tretje ponudnike storitev IKT na podlagi navedene direktivo;
poskuša čim bolj zmanjšati tveganje motenj pri storitvah, ki jih ključni tretji ponudniki storitev IKT zagotavljajo strankam, ki niso subjekti, ki spadajo na področje uporabe te uredbe.
Pred izdajo priporočil v skladu z odstavkom 1, točka (d), glavni nadzornik tretjemu ponudniku storitev IKT omogoči, da v 30 koledarskih dneh predloži ustrezne informacije, ki dokazujejo pričakovani učinek na stranke, ki niso subjekti, ki spadajo na področje uporabe te uredbe, in po potrebi predstavi rešitve za blažitev tveganj.
Znesek periodične denarne kazni, izračunan od datuma, določenega v odločbi o naložitvi periodične denarne kazni, je največ 1 % povprečnega dnevnega svetovnega prometa ključnega tretjega ponudnika storitev IKT v prejšnjem poslovnem letu. Glavni nadzornik pri določanju zneska denarne kazni upošteva naslednja merila v zvezi z neizpolnjevanjem ukrepov iz odstavka 6:
resnost in trajanje neskladnosti;
ali je neskladnost storjena namerno ali iz malomarnosti;
raven sodelovanja tretjega ponudnika storitev IKT z glavnim nadzornikom.
Za namene prvega pododstavka in za zagotovitev doslednega pristopa se glavni nadzornik posvetuje s skupno nadzorno mrežo.
V postopku se v celoti spoštujejo pravice do obrambe oseb, v zvezi s katerimi teče postopek. Ključni tretji ponudnik storitev IKT, v zvezi s katerim teče postopek, je upravičen do vpogleda v spis, ob upoštevanju zakonitega interesa drugih oseb za zaščito njihovih poslovnih skrivnosti. Pravica dostopa do spisa ne velja za zaupne informacije ali notranje pripravljalne dokumente glavnega nadzornika.
Člen 36
Izvrševanje pooblastil glavnega nadzornika zunaj Unije
Kadar ciljev nadzora ni mogoče doseči v sodelovanju z odvisnim podjetjem, ustanovljenim za namene člena 31(12), ali z izvajanjem nadzornih dejavnosti v prostorih, ki se nahajajo v Uniji, lahko glavni nadzornik v vseh prostorih v tretji državi, ki jih ima ključni tretji ponudnik storitev IKT v lasti ali jih na kakršen koli način uporablja za opravljanje storitev finančnim subjektom Unije, vključno z vsemi upravnimi, poslovnimi ali operativnimi uradi, prostori, zemljišči, zgradbami ali drugimi nepremičninami, v povezavi z njegovimi poslovnimi dejavnostmi, funkcijami ali storitvami izvršuje pooblastila iz naslednjih določb:
člen 35(1), točka (a), in
člen 35(1), točka (b), v skladu s členom 38(2), točke (a), (b) in (d), ter členom 39(1) in (2), točka (a).
Pooblastila iz prvega pododstavka se lahko izvršujejo ob upoštevanju vseh naslednjih pogojev:
glavni nadzornik meni, da je izvedba inšpekcijskega pregleda v tretji državi potrebna, da lahko v celoti in učinkovito izvaja svoje naloge na podlagi te uredbe;
inšpekcijski pregled v tretji državi je neposredno povezan z opravljanjem storitev IKT za finančne subjekte v Uniji;
zadevni ključni tretji ponudnik storitev IKT soglaša z izvedbo inšpekcijskega pregleda v tretji državi in
ustrezni organ zadevne tretje države je bil uradno obveščen s strani glavnega nadzornika in ni nasprotoval.
V okviru teh dogovorov o sodelovanju se določijo vsaj naslednji elementi:
postopki za usklajevanje nadzornih dejavnosti, ki se izvajajo na podlagi te uredbe, in kakršno koli podobno spremljanje tveganja tretjih strani na področju IKT v finančnem sektorju, ki ga izvaja ustrezni organ zadevne tretje države, vključno s podrobnostmi o posredovanju njegovega soglasja k temu, da se glavnemu nadzorniku in njegovi imenovani ekipi omogoči izvajanje splošnih preiskav in inšpekcijskih pregledov na kraju samem iz odstavka 1, prvi pododstavek, na ozemlju pod njeno jurisdikcijo;
mehanizem za posredovanje vseh pomembnih informacij med EBA, ESMA ali EIOPA in ustreznim organom zadevne tretje države, zlasti v zvezi z informacijami, ki jih lahko zahteva glavni nadzornik na podlagi člena 37;
mehanizme, s katerimi ustrezni organ zadevne tretje države takoj obvesti EBA, ESMA ali EIOPA o primerih, v katerih se šteje, da je tretji ponudnik storitev IKT s sedežem v tretji državi, ki je imenovan kot ključni ponudnik v skladu s členom 31(1), točka (a), kršil zahteve, ki jih mora v skladu z veljavnim pravom zadevne tretje države upoštevati pri opravljanju storitev za finančne institucije v tej tretji državi, ter uporabljena pravna sredstva in sankcije;
redno posredovanje najnovejših informacij o regulativnem ali nadzornem razvoju v zvezi s spremljanjem tveganja na področju IKT, ki ga za finančne institucije v zadevni tretji državi predstavljajo tretje strani;
podrobnosti, na podlagi katerih se po potrebi omogoči sodelovanje enega predstavnika ustreznega organa tretje države pri inšpekcijskih pregledih, ki jih izvajata glavni nadzornik in imenovana ekipa.
Glavni nadzornik v primeru, da ne more izvajati nadzornih dejavnosti iz odstavkov 1 in 2 zunaj Unije:
izvaja svoja pooblastila iz člena 35 na podlagi vseh dejstev in dokumentov, ki jih ima na voljo;
dokumentira in pojasni vse posledice nezmožnosti izvajanja predvidenih nadzornih dejavnosti iz tega člena.
Morebitne posledice iz točke (b) tega odstavka se upoštevajo v priporočilih glavnega nadzornika, izdanih na podlagi člena 35(1), točka (d).
Člen 37
Zahteva po predložitvi informacij
Pri pošiljanju preprostega zahtevka za informacije iz odstavka 1 glavni nadzornik:
navede sklic na ta člen kot pravno podlago za zahtevek;
navede namen zahtevka;
natančno opredeli, katere informacije se zahtevajo;
določi rok, do katerega je treba predložiti informacije;
obvesti predstavnika ključnega tretjega ponudnika storitev IKT, od katerega se zahtevajo informacije, da mu ni zavezan posredovati informacij, vendar v primeru prostovoljnega odgovora na zahtevek posredovane informacije ne smejo biti napačne ali zavajajoče.
Kadar s sklepom zahteva predložitev informacij iz odstavka 1, glavni nadzornik:
navede sklic na ta člen kot pravno podlago za zahtevek;
navede namen zahtevka;
natančno opredeli, katere informacije se zahtevajo;
določi rok, do katerega je treba predložiti informacije;
navede periodične denarne kazni, določene v členu 35(6), kadar so predložene zahtevane informacije nepopolne ali če niso predložene v roku iz točke (d) tega odstavka;
opozori na pravico do pritožbe zoper sklep pri odboru evropskega nadzornega organa za pritožbe ter pravico, da sklep predloži v presojo Sodišču Evropske unije (v nadaljnjem besedilu: Sodišče) v skladu s členoma 60 in 61 uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010.
Člen 38
Splošne preiskave
Glavni nadzornik ima pooblastila, da:
preuči evidence, podatke, postopke in vse drugo gradivo, relevantno za izvajanje njegovih nalog, ne glede na vrsto nosilca podatkov, na katerem so shranjeni;
izdela ali pridobi overjene kopije ali izvlečke iz takih evidenc, podatkov, dokumentiranih postopkov in kakršnega koli drugega gradiva;
pozove predstavnike ključnih tretjih ponudnikov storitev IKT, naj zagotovijo ustna ali pisna pojasnila glede dejstev ali dokumentov, povezanih s predmetom in namenom preiskave, ter zabeleži njihove odgovore;
opravi razgovor s katero koli drugo fizično ali pravno osebo, ki privoli v razgovor, za namen zbiranja informacij o predmetu preiskave;
zahteva evidence o telefonskem in podatkovnem prometu.
V pooblastilu se navedejo tudi periodične denarne kazni iz člena 35(6), ki se naložijo, kadar zahtevane evidence, podatki, dokumentirani postopki ali katero koli drugo gradivo ali odgovori na vprašanja, zastavljena predstavnikom tretjega ponudnika storitev IKT, niso posredovani ali so nepopolni.
Glavni nadzornik sporoči skupni nadzorni mreži vse informacije, posredovane na podlagi prvega pododstavka.
Člen 39
Inšpekcijski pregledi
Glavni nadzornik se pri izvajanju pooblastil iz prvega pododstavka posvetuje s skupno nadzorno mrežo.
Uradniki in druge osebe, ki jih glavni nadzornik pooblasti za izvedbo inšpekcijskega pregleda na kraju samem, imajo pooblastila, da:
vstopijo v vse take poslovne prostore, na zemljišča ali nepremičnine ter
zapečatijo vse take poslovne prostore, poslovne knjige ali drugo poslovno dokumentacijo za čas trajanja inšpekcijskega pregleda in v obsegu, potrebnem za njegovo izvedbo.
Uradniki in druge osebe, ki jih pooblasti glavni nadzornik, svoja pooblastila izvajajo ob predložitvi pisnega pooblastila, v katerem so podrobno določeni predmet in namen preiskave ter periodične denarne kazni iz člena 35(6), kadar predstavniki zadevnih ključnih tretjih ponudnikov storitev IKT ne privolijo v inšpekcijski pregled.
Člen 40
Stalni nadzor
Skupno pregledniško ekipo iz odstavka 1 je sestavljajo člani osebja:
evropskih nadzornih organov;
ustreznih pristojnih organov, ki nadzorujejo finančne subjekte, za katere ključni tretji ponudnik storitev IKT opravlja storitve IKT;
pristojnega nacionalnega organa iz člena 32(4), točka (e), na prostovoljni osnovi;
enega pristojnega nacionalnega organa iz države članice, v kateri ima sedež ključni tretji ponudnik storitev IKT, na prostovoljni osnovi.
Člani skupne pregledniške ekipe morajo imeti strokovno znanje o vprašanjih s področja IKT in operativnih tveganjih. Delovanje skupne pregledniške ekipe usklajuje član osebja glavnega nadzornika, ki je imenovan za to nalogo (v nadaljnjem besedilu: koordinator glavnega nadzornika).
Za namene izvajanja nadzornih dejavnosti lahko glavni nadzornik upošteva vsa ustrezna certificiranja, ki jih opravijo tretje strani, in notranja ali zunanja revizijska poročila tretjih strani na področju IKT, ki jih predloži ključni tretji ponudnik storitev IKT.
Člen 41
Harmonizacija pogojev, ki omogočajo izvajanje nadzornih dejavnosti
Evropski nadzorni organi prek Skupnega odbora pripravijo osnutke regulativnih tehničnih standardov, da določijo:
informacije, ki jih mora predložiti tretji ponudnik storitev IKT v zahtevku, s katerim na podlagi člena 31(11) prostovoljno zaprosi za imenovanje za ključnega ponudnika;
vsebino, strukturo in obliko informacij, ki jih morajo tretji ponudniki storitev IKT predložiti, razkriti ali o njih poročati na podlagi člena 35(1), vključno s predlogo za predložitev informacij o dogovorih o podizvajanju;
merila za določitev sestave skupne pregledniške ekipe, ki zagotavljajo uravnoteženo udeležbo članov osebja evropskih nadzornih organov in ustreznih pristojnih organov, njihovo imenovanje, naloge in delovne dogovore;
podrobnosti ocene pristojnih organov o ukrepih, ki so jih sprejeli ključni tretji ponudniki storitev IKT na podlagi priporočil glavnega nadzornika na podlagi člena 42(3).
Na Komisijo se prenese pooblastilo za dopolnitev te uredbe s sprejetjem regulativnih tehničnih standardov iz odstavka 1 v skladu s postopkom iz členov 10 do 14 uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010.
Člen 42
Nadaljnje ukrepanje s strani pristojnih organov
Glavni nadzornik obvesti tretjega ponudnika storitev IKT o tem javnem razkritju.
Finančni subjekti pri obvladovanju tveganja tretjih strani na področju IKT upoštevajo tveganja iz prvega pododstavka.
Po prejemu poročil iz člena 35(1), točka (c), pristojni organi pri sprejemanju odločitve iz odstavka 6 tega člena upoštevajo vrsto in obseg tveganja, ki ga ključni tretji ponudnik storitev IKT ne obravnava, ter resnost neskladnosti, ob upoštevanju naslednjih meril:
resnosti in trajanja neskladnosti;
ali je neskladnost razkrila resne pomanjkljivosti v postopkih, sistemih upravljanja, obvladovanju tveganj in notranjih kontrolah ključnega tretjega ponudnika storitev IKT;
ali je neskladnost omogočila, povzročila ali drugače prispevala k finančnemu kriminalu;
ali je neskladnost storjena namerno ali iz malomarnosti;
ali začasna prekinitev ali odpoved pogodbenih dogovorov pomeni tveganje za neprekinjeno poslovanje finančnega subjekta, ne glede na njegova prizadevanja, da se izogne motnjam pri opravljanju svojih storitev;
kadar je ustrezno, mnenja, za katero se zaprosi prostovoljno v skladu z odstavkom 5 tega člena in ga izdajo pristojni organi, imenovani ali vzpostavljeni v skladu z Direktivo (EU) 2022/2555, odgovorni za nadzor bistvenega ali pomembnega subjekta, za katerega velja navedena direktiva, ki je bil imenovan kot ključni tretji ponudnik storitev IKT.
Pristojni organi finančnim subjektom odobrijo potrebno obdobje za prilagoditev pogodbenih dogovorov s ključnimi tretjimi ponudniki storitev IKT, da bi preprečili škodljive učinke na njihovo digitalno operativno odpornost ter jim omogočili uporabo izhodnih strategij in prehodnih načrtov iz člena 28.
Ključni tretji ponudniki storitev IKT, na katere vplivajo odločitve iz odstavka 6, v celoti sodelujejo z zadevnimi finančnimi subjekti, zlasti v okviru postopka začasne prekinitve ali odpovedi njihovih pogodbenih dogovorov.
Člen 43
Nadomestila za nadzor
Znesek nadomestila, ki se zaračuna ključnemu tretjemu ponudniku storitev IKT, krije vse stroške, ki nastanejo zaradi izvajanja nalog iz tega oddelka, in je sorazmeren z njegovim prometom.
Člen 44
Mednarodno sodelovanje
POGLAVJE VI
Dogovori o izmenjavi informacij
Člen 45
Dogovori o izmenjavi informacij in obveščevalnih podatkov o kibernetskih grožnjah
Finančni subjekti si lahko med seboj izmenjujejo informacije in obveščevalne podatke o kibernetskih grožnjah, vključno s kazalniki ogroženosti, taktikami, tehnikami in postopki, opozorili glede kibernetske varnosti in orodji za konfiguracijo, če taka izmenjava informacij in obveščevalnih podatkov:
stremi k povečanju digitalne operativne odpornosti finančnih subjektov, zlasti z ozaveščanjem o kibernetskih grožnjah, k omejevanju ali oviranju zmožnosti širjenja kibernetskih groženj ter podpiranju obrambnih zmožnosti, tehnik odkrivanja groženj, blažilnih ukrepov ali faz odzivanja in okrevanja;
poteka v zaupanja vrednih skupnostih finančnih subjektov;
se izvaja z dogovori o izmenjavi informacij, ki ščitijo potencialno občutljivo naravo izmenjanih informacij in ki jih urejajo pravila ravnanja ob polnem spoštovanju poslovne zaupnosti, varstva osebnih podatkov v skladu z Uredbo (EU) 2016/679 in smernic o politiki konkurence.
POGLAVJE VII
Pristojni organi
Člen 46
Pristojni organi
Brez poseganja v določbe o okviru nadzora za ključne tretje ponudnike storitev IKT iz poglavja V, oddelek II, te uredbe izpolnjevanje te uredbe zagotavljajo pristojni organi v skladu s pooblastili, podeljenimi z ustreznimi pravnimi akti, in sicer:
za kreditne institucije in institucije, izvzete na podlagi Direktive 2013/36/EU, pristojni organ, imenovan v skladu s členom 4 navedene direktive, in za kreditne institucije, razvrščene kot pomembne v skladu s členom 6(4) Uredbe (EU) št. 1024/2013, ECB v skladu s pooblastili in nalogami, prenesenimi z navedeno uredbo;
za plačilne institucije, vključno s plačilnimi institucijami, izvzetimi na podlagi Direktive (EU) 2015/2366, institucije za izdajo elektronskega denarja, vključno s tistimi, ki so izvzete na podlagi Direktive 2009/110/ES, in ponudnike storitev zagotavljanja informacij o računih iz člena 33(1) Direktive (EU) 2015/2366 pristojni organ, imenovan v skladu s členom 22 Direktive (EU) 2015/2366;
za investicijska podjetja pristojni organ, imenovan v skladu s členom 4 Direktive (EU) 2019/2034 Evropskega parlamenta in Sveta ( 8 );
za ponudnike storitev v zvezi s kriptosredstvi, pooblaščene na podlagi uredbe o trgih kriptosredstev in izdajatelje žetonov, vezanih na sredstva, pristojni organ, imenovan v skladu z ustrezno določbo navedene uredbe;
za centralne depotne družbe pristojni organ, imenovan v skladu s členom 11 Uredbe (EU) št. 909/2014;
za centralne nasprotne stranke pristojni organ, imenovan v skladu s členom 22 Uredbe (EU) št. 648/2012;
za mesta trgovanja in izvajalce storitev sporočanja podatkov pristojni organ, imenovan v skladu s členom 67 Direktive 2014/65/EU, in pristojni organ, kot je opredeljen v členu 2(1), točka 18, Uredbe (EU) št. 600/2014;
za repozitorije sklenjenih poslov pristojni organ, imenovan v skladu s členom 22 Uredbe (EU) št. 648/2012;
za upravitelje alternativnih investicijskih skladov pristojni organ, imenovan v skladu s členom 44 Direktive 2011/61/EU;
za družbe za upravljanje pristojni organ, imenovan v skladu s členom 97 Direktive 2009/65/ES;
za zavarovalnice in pozavarovalnice pristojni organ, imenovan v skladu s členom 30 Direktive 2009/138/ES;
za zavarovalne posrednike, pozavarovalne posrednike in posrednike dopolnilnih zavarovanj pristojni organ, imenovan v skladu s členom 12 Direktive (EU) 2016/97;
za institucije za zagotavljanje poklicnega pokojninskega zavarovanja pristojni organ, imenovan v skladu s členom 47 Direktive (EU) 2016/2341;
za bonitetne agencije pristojni organ, imenovan v skladu s členom 21 Uredbe (ES) št. 1060/2009;
za upravljavce ključnih referenčnih vrednosti pristojni organ, imenovan v skladu s členoma 40 in 41 Uredbe (EU) 2016/1011;
za ponudnike storitev množičnega financiranja pristojni organ, imenovan v skladu s členom 29 Uredbe (EU) 2020/1503;
za repozitorije listinjenj pristojni organ, imenovan v skladu s členoma 10 in 14(1) Uredbe (EU) 2017/2402.
Člen 47
Sodelovanje s strukturami in organi, vzpostavljenimi z Direktivo (EU) 2022/2555
Člen 48
Sodelovanje med organi
Člen 49
Finančne medsektorske vaje, obveščanje in sodelovanje
Oblikujejo lahko vaje za obvladovanje kriz in izrednih razmer, ki vključujejo scenarije kibernetskih napadov, da bi razvili komunikacijske kanale in postopoma omogočili učinkovit usklajen odziv na ravni Unije v primeru večjega čezmejnega incidenta, povezanega z IKT, ali s tem povezane grožnje, ki bi imela sistemski učinek na celotni finančni sektor Unije.
Z navedenimi vajami se lahko po potrebi testira tudi odvisnost finančnega sektorja od drugih gospodarskih sektorjev.
Člen 50
Upravne sankcije in popravni ukrepi
Pooblastila iz odstavka 1 zajemajo vsaj naslednja pooblastila za:
dostop do katerega koli dokumenta ali podatkov v kakršni koli obliki, za katerega pristojni organ meni, da bi lahko bil pomemben za izvajanje njegovih nalog, ter prejem ali izdelava njegove kopije;
opravljanje inšpekcijskih pregledov ali preiskav na kraju samem, kar vključuje, vendar ni omejeno na:
poziv predstavnikom finančnih subjektov, naj zagotovijo ustna ali pisna pojasnila glede dejstev ali dokumentov, povezanih s predmetom in namenom preiskave, ter evidentiranje njihovih odgovorov;
razgovor s katero koli drugo fizično ali pravno osebo, ki v to privoli, za namen zbiranja informacij o predmetu preiskave;
zahtevo, da se izvedejo obnovitveni in popravni ukrepi za kršitve zahtev te uredbe.
Te sankcije in ukrepi morajo biti učinkoviti, sorazmerni in odvračilni.
Države članice na pristojne organe prenesejo pooblastilo, da v primeru kršitev te uredbe uporabijo vsaj naslednje upravne kazni ali popravne ukrepe:
izdajo odredbo, ki od fizične ali pravne osebe zahteva, da preneha z ravnanjem, s katerim krši to uredbo, in da tega ravnanja več ne ponovi;
zahtevajo začasno ali trajno prenehanje prakse ali ravnanja, za katerega pristojni organ meni, da je v nasprotju z določbami te uredbe, in preprečijo, da bi se taka praksa ali ravnanje ponovilo;
sprejmejo kakršni koli ukrep, tudi denarni, za zagotovitev, da finančni subjekti še naprej izpolnjujejo zakonske zahteve;
kolikor to dovoljuje nacionalno pravo, zahtevajo obstoječe evidence o podatkovnem prometu, ki jih ima telekomunikacijski operater, kadar obstaja utemeljen sum kršitve te uredbe in kadar so lahko take evidence pomembne za preiskavo kršitev te uredbe, ter
izdajajo javna obvestila, vključno z javnimi izjavami, ki navajajo identiteto fizične ali pravne osebe in naravo kršitve.
Člen 51
Izvajanje pooblastil za nalaganje upravnih sankcij in popravnih ukrepov
Pristojni organi izvajajo pooblastila za nalaganje upravnih sankcij in popravnih ukrepov iz člena 50 v skladu s svojim nacionalnim pravnim okvirom, kot je ustrezno:
neposredno;
v sodelovanju z drugimi organi;
v okviru svoje pristojnosti s prenosom pooblastil na druge organe ali
z vložitvijo zahtevka pri pristojnih sodnih organih.
Pristojni organi pri določitvi vrste in ravni upravne kazni ali popravnega ukrepa, naloženega na podlagi člena 50, upoštevajo, v kolikšni meri je kršitev namerna ali posledica malomarnosti ter vse druge zadevne okoliščine, po potrebi tudi:
pomen, resnost in trajanje kršitve;
stopnjo odgovornosti fizične ali pravne osebe, ki je odgovorna za kršitev;
finančno trdnost odgovorne fizične ali pravne osebe;
pomen pridobljenih dobičkov ali preprečenih izgub s strani odgovorne fizične ali pravne osebe, če jih je mogoče opredeliti;
izgube, ki so jih zaradi kršitve imele tretje strani, če jih je mogoče določiti;
raven sodelovanja odgovorne fizične ali pravne osebe s pristojnim organom, brez poseganja v potrebo po zagotovitvi povračila pridobljenega dobička ali preprečene izgube te fizične ali pravne osebe na podlagi kršitve;
prejšnje kršitve odgovorne fizične ali pravne osebe.
Člen 52
Kazenske sankcije
Člen 53
Dolžnosti uradnega obveščanja
Države članice Komisijo, ESMA, EBA in EIOPA do 17. januarja 2025 uradno obvestijo o zakonih in drugih predpisih za izvajanje tega poglavja, tudi o morebitnih ustreznih kazenskopravnih določbah. Komisijo, ESMA, EBA in EIOPA brez nepotrebnega odlašanja uradno obvestijo tudi o vseh poznejših spremembah teh zakonov in drugih predpisov.
Člen 54
Objava upravnih sankcij
Kadar pristojni organ po presoji vsakega posameznega primera meni, da bi bila objava identitete v primeru pravnih oseb ali identitete in osebnih podatkov v primeru fizičnih oseb nesorazmerna, tudi kar zadeva tveganja v zvezi z varstvom osebnih podatkov, da bi ogrozila stabilnost finančnih trgov ali nadaljevanje tekoče kazenske preiskave ali da bi, kolikor je to mogoče ugotoviti, povzročila nesorazmerno škodo udeleženi osebi, sprejme eno od naslednjih rešitev v zvezi z odločitvijo o izreku upravne sankcije:
odloži objavo, dokler ni več razlogov za neobjavo;
objavo izvede na anonimni podlagi v skladu z nacionalnim pravom ali
odločitve ne objavi, kadar možnosti iz točk (a) in (b) ne zadostujejo za zagotovitev odprave kakršne koli nevarnosti za stabilnost finančnih trgov ali kadar taka objava ne bi bila sorazmerna s prizanesljivostjo izrečene sankcije.
Člen 55
Poslovna skrivnost
Člen 56
Varstvo podatkov
POGLAVJE VIII
Delegirani akti
Člen 57
Izvajanje prenosa pooblastila
POGLAVJE IX
Prehodne in končne določbe
Člen 58
Klavzula o pregledu
Komisija do 17. januarja 2028 po posvetovanju z evropskimi nadzornimi organi in ESRB po potrebi opravi pregled ter Evropskemu parlamentu in Svetu predloži poročilo ter mu po potrebi priloži zakonodajni predlog. Pregled vključuje najmanj naslednje:
merila za imenovanje ključnih tretjih ponudnikov storitev IKT v skladu s členom 31(2);
prostovoljnost obveščanja o pomembnih kibernetskih grožnjah iz člena 19;
ureditev iz člena 31(12) in pooblastila glavnega nadzornika iz člena 35(1), točka (d), točka (iv), prva alinea, da se oceni učinkovitost navedenih določb pri zagotavljanju učinkovitega nadzora nad ključnimi tretjimi ponudniki storitev IKT s sedežem v tretji državi in potreba po ustanovitvi odvisnega podjetja v Uniji.
Za namene prvega pododstavka te točke pregled vključuje analizo ureditve iz člena 31(12), vključno s pogoji dostopa finančnih subjektov Unije do storitev iz tretjih držav in razpoložljivostjo takih storitev na trgu Unije, ter upošteva nadaljnji razvoj na trgih za storitve, ki jih zajema ta uredba, praktične izkušnje finančnih subjektov in finančnih nadzornikov v zvezi z uporabo in nadzorom te ureditve ter vse relevantne regulativne in nadzorne spremembe na mednarodni ravni;
ustreznost vključitve finančnih subjektov iz člena 2(3), točka (e), ki uporabljajo avtomatizirane prodajne sisteme, v področje uporabe te uredbe glede na prihodnji razvoj trga v zvezi z uporabo takih sistemov;
delovanje in uspešnost skupne nadzorne mreže pri podpiranju doslednosti nadzora in učinkovitosti izmenjave informacij znotraj okvira nadzora.
Komisija lahko na podlagi tega poročila o pregledu in po posvetovanju z evropskimi nadzornimi organi, ECB in ESRB po potrebi in kot del zakonodajnega predloga, ki ga lahko sprejme na podlagi člena 108, drugi odstavek, Direktive (EU) 2015/2366, predloži predlog za zagotovitev, da so vsi upravljavci plačilnih sistemov in subjekti, vključeni v dejavnosti obdelave plačil, pod ustreznim nadzorom, pri čemer se upošteva obstoječi nadzor, ki ga izvaja centralna banka.
Člen 59
Spremembe Uredbe (ES) št. 1060/2009
Uredba (ES) št. 1060/2009 se spremeni:
v Prilogi I, oddelek A, točka 4, se prvi pododstavek nadomesti z naslednjim:
„Bonitetna agencija mora imeti ustrezne upravne in računovodske postopke, mehanizme notranjih kontrol, učinkovite postopke za ocenjevanje tveganj ter učinkovite kontrolne in zaščitne ukrepe za upravljanje sistemov IKT v skladu z Uredbo (EU) 2022/2554 Evropskega parlamenta in Sveta ( *1 ).
v Prilogi III se točka 12 nadomesti z naslednjim:
Bonitetna agencija prekrši člen 6(2) v povezavi s točko 4 oddelka A Priloge I, če nima ustreznih upravnih ali računovodskih postopkov, mehanizmov notranjih kontrol, učinkovitih postopkov za ocenjevanje tveganj ali učinkovitih kontrolnih ali zaščitnih ukrepov za upravljanje sistemov IKT v skladu z Uredbo (EU) 2022/2554 ali če ne izvaja ali ohranja postopkov odločanja ali organizacijskih struktur kot se zahteva z navedeno točko.“.
Člen 60
Spremembe Uredbe (EU) št. 648/2012
Uredba (EU) št. 648/2012 se spremeni:
člen 26 se spremeni:
odstavek 3 se nadomesti z naslednjim:
odstavek 6 se črta;
člen 34 se spremeni:
odstavek 1 se nadomesti z naslednjim:
v odstavku 3 se prvi pododstavek nadomesti z naslednjim:
v členu 56(3) se prvi pododstavek nadomesti z naslednjim:
v členu 79 se odstavka 1 in 2 nadomestita z naslednjim:
v členu 80 se črta odstavek 1;
Priloga I, oddelek II, se spremeni:
točki (a) in (b) se nadomestita z naslednjim:
repozitorij sklenjenih poslov krši člen 79(1), če ne identificira virov operativnega tveganja in jih z razvojem ustreznih sistemov, kontrol in postopkov, vključno s sistemi IKT, ki se upravljajo v skladu z Uredbo (EU) 2022/2554, ne zmanjša na najnižjo možno raven;
repozitorij sklenjenih poslov krši člen 79(2), če ne vzpostavi, izvaja ali vzdržuje ustrezne politike neprekinjenega poslovanja in načrta za vnovično vzpostavitev delovanja, vzpostavljenih v skladu z Uredbo (EU) 2022/2554, katerih cilj je zagotoviti ohranjanje funkcij, pravočasno obnovitev delovanja in izpolnitev obveznosti repozitorija sklenjenih poslov;“;
točka (c) se črta;
Priloga III se spremeni:
oddelek II se spremeni:
točka (c) se nadomesti z naslednjim:
CNS stopnje 2 krši člen 26(3), če ne ohranja ali uporablja organizacijske strukture, ki zagotavlja stalno in urejeno delovanje v zvezi z opravljanjem njenih storitev in dejavnosti ali ne uporabi ustreznih in sorazmernih sistemov, sredstev ali postopkov, vključno s sistemi IKT, ki se upravljajo v skladu z Uredbo (EU) 2022/2554;“;
točka (f) se črta;
v oddelku III se točka (a) nadomesti z naslednjim:
CNS stopnje 2 krši člen 34(1), če ne sprejme, uveljavi ali vzdržuje ustrezne politike neprekinjenega poslovanja in načrta ponovne vzpostavitve delovanja, vzpostavljenih v skladu z Uredbo(EU) 2022/2554, s katerima zagotovi ohranitev delovanja svojih funkcij, pravočasno ponovno vzpostavitev delovanja in izpolnitev svojih obveznosti, ki v primeru motenj zagotovi najmanj ponovno vzpostavitev vseh transakcij, s čimer CNS omogoči zanesljivo nadaljnje delovanje in dokončanje poravnave na načrtovani datum;“.
Člen 61
Spremembe Uredbe (EU) št. 909/2014
Člen 45 Uredbe (EU) št. 909/2014 se spremeni:
odstavek 1 se nadomesti z naslednjim:
odstavek 2 se črta;
odstavka 3 in 4 se nadomestita z naslednjim:
odstavek 6 se nadomesti z naslednjim:
v odstavku 7 se prvi pododstavek nadomesti z naslednjim:
Člen 62
Spremembe Uredbe (EU) št. 600/2014
Uredba (EU) št. 600/2014 se spremeni:
člen 27g se spremeni:
odstavek 4 se nadomesti z naslednjim:
APA izpolnjuje zahteve glede varnosti omrežnih in informacijskih sistemov iz Uredbe (EU) 2022/2554 Evropskega parlamenta in Sveta ( *4 ).
v odstavku 8 se točka (c) nadomesti z naslednjim:
konkretne organizacijske zahteve iz odstavkov 3 in 5.“;
člen 27h se spremeni:
odstavek 5 se nadomesti z naslednjim:
v odstavku 8 se točka (e) nadomesti z naslednjim:
konkretne organizacijske zahteve iz odstavka 4.“;
člen 27i se spremeni:
odstavek 3 se nadomesti z naslednjim:
v odstavku 5 se točka (b) nadomesti z naslednjim:
konkretne organizacijske zahteve iz odstavkov 2 in 4.“.
Člen 63
Sprememba Uredbe (EU) 2016/1011
V členu 6 Uredbe (EU) 2016/1011 se doda naslednji odstavek:
Upravljavec ima za ključne referenčne vrednosti ustrezne upravne in računovodske postopke, mehanizme notranjih kontrol, učinkovite postopke za ocenjevanje tveganj ter učinkovite kontrolne in zaščitne ukrepe za upravljanje sistemov IKT v skladu z Uredbo (EU) 2022/2554 Evropskega parlamenta in Sveta ( *5 ).
Člen 64
Začetek veljavnosti in uporaba
Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
Uporablja se od 17. januarja 2025.
Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.
( 1 ) Direktiva 2009/65/ES Evropskega parlamenta in Sveta z dne 13. julija 2009 o usklajevanju zakonov in drugih predpisov o kolektivnih naložbenih podjemih za vlaganja v prenosljive vrednostne papirje (KNPVP) (UL L 302, 17.11.2009, str. 32).
( 2 ) Uredba (EU) št. 575/2013 Evropskega parlamenta in Sveta z dne 26. junija 2013 o bonitetnih zahtevah za kreditne institucije in o spremembi Uredbe (EU) št. 648/2012 (UL L 176, 27.6.2013, str. 1).
( 3 ) Uredba (EU) 2019/2033 Evropskega parlamenta in Sveta z dne 27. novembra 2019 o bonitetnih zahtevah za investicijska podjetja ter o spremembi uredb (EU) št. 1093/2010, (EU) št. 575/2013, (EU) št. 600/2014 in (EU) št. 806/2014 (UL L 314, 5.12.2019, str. 1).
( 4 ) Direktiva (EU) 2016/97 Evropskega parlamenta in Sveta z dne 20. januarja 2016 o distribuciji zavarovalnih produktov (UL L 26, 2.2.2016, str. 19).
( 5 ) Uredba (EU) 2020/1503 Evropskega parlamenta in Sveta z dne 7. oktobra 2020 o evropskih ponudnikih storitev množičnega financiranja za podjetnike ter spremembi Uredbe (EU) 2017/1129 in Direktive (EU) 2019/1937 (UL L 347, 20.10.2020, str. 1).
( 6 ) Uredba (EU) 2017/2402 Evropskega parlamenta in Sveta z dne 12. decembra 2017 o določitvi splošnega okvira za listinjenje in o vzpostavitvi posebnega okvira za enostavno, pregledno in standardizirano listinjenje ter o spremembah direktiv 2009/65/ES, 2009/138/ES in 2011/61/EU ter uredb (ES) št. 1060/2009 in (EU) št. 648/2012 (UL L 347, 28.12.2017, str. 35).
( 7 ) Uredba (EU) št. 806/2014 Evropskega parlamenta in Sveta z dne 15. julija 2014 o določitvi enotnih pravil in enotnega postopka za reševanje kreditnih institucij in določenih investicijskih podjetij v okviru enotnega mehanizma za reševanje in enotnega sklada za reševanje ter o spremembi Uredbe (EU) št. 1093/2010 (UL L 225, 30.7.2014, str. 1).
( 8 ) Direktiva (EU) 2019/2034 Evropskega parlamenta in Sveta z dne 27. novembra 2019 o bonitetnem nadzoru investicijskih podjetij ter o spremembi direktiv 2002/87/ES, 2009/65/ES, 2011/61/EU, 2013/36/EU, 2014/59/EU in 2014/65/EU (UL L 314, 5.12.2019, str. 64).
( 9 ) Direktiva 2006/43/ES Evropskega parlamenta in Sveta z dne 17. maja 2006 o obveznih revizijah za letne in konsolidirane računovodske izkaze, spremembi direktiv Sveta 78/660/EGS in 83/349/EGS ter razveljavitvi Direktive Sveta 84/253/EGS (UL L 157, 9.6.2006, str. 87).
( *1 ) Uredba (EU) 2022/2554 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o digitalni operativni odpornosti v finančnem sektorju in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 (UL L 333, 27.12.2022, str. 1).“;
( *2 ) Uredba (EU) 2022/2554 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o digitalni operativni odpornosti v finančnem sektorju in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 (UL L 333, 27.12.2022, str. 1).“;
( *3 ) Uredba (EU) 2022/2554 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o digitalni operativni odpornosti v finančnem sektorju in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 (UL L 333, 27.12.2022, str. 1).“;
( *4 ) Uredba (EU) 2022/2554 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o digitalni operativni odpornosti v finančnem sektorju in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 (UL L 333, 27.12.2022, str. 1).“;
( *5 ) Uredba (EU) 2022/2554 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o digitalni operativni odpornosti v finančnem sektorju in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 (UL L 333, 27.12.2022, str. 1).“.