27.12.2022   

SL

Uradni list Evropske unije

L 333/153

DIREKTIVA (EU) 2022/2556 EVROPSKEGA PARLAMENTA IN SVETA

z dne 14. decembra 2022

o spremembi direktiv 2009/65/ES, 2009/138/ES, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 in (EU) 2016/2341 glede digitalne operativne odpornosti za finančni sektor

(Besedilo velja za EGP)

EVROPSKI PARLAMENT IN SVET EVROPSKE UNIJE STA –

ob upoštevanju Pogodbe o delovanju Evropske unije in zlasti člena 53(1) in člena 114 Pogodbe,

ob upoštevanju predloga Evropske komisije,

po posredovanju osnutka zakonodajnega akta nacionalnim parlamentom,

ob upoštevanju mnenja Evropske centralne banke (1),

ob upoštevanju mnenja Evropskega ekonomsko-socialnega odbora (2),

v skladu z rednim zakonodajnim postopkom (3),

ob upoštevanju naslednjega:

(1)

Unija mora ustrezno in celovito obravnavati digitalna tveganja za vse finančne subjekte, ki izhajajo iz povečane uporabe informacijske in komunikacijske tehnologije (IKT) pri zagotavljanju in uporabi finančnih storitev, in tako prispevati k uresničevanju potenciala digitalnih financ, kar zadeva spodbujanje inovacij in konkurence v varnem digitalnem okolju.

(2)

Finančni subjekti so pri vsakodnevnem poslovanju močno odvisni od uporabe digitalnih tehnologij. Zato je izredno pomembno zagotoviti operativno odpornost njihovih digitalnih dejavnosti na tveganja na področju IKT. Ta potreba je še toliko nujnejša zaradi rasti prelomnih tehnologij na trgu, zlasti tehnologij, ki omogočajo elektronski prenos in shranjevanje digitalnih predstavitev vrednosti ali pravic z uporabo tehnologije razpršene evidence ali podobne tehnologije (t. i. kriptosredstev), in za storitve, povezane s temi sredstvi.

(3)

Na ravni Unije so zahteve glede upravljanja tveganja na področju IKT v finančnem sektorju trenutno določene v direktivah 2009/65/ES (4), 2009/138/ES (5), 2011/61/EU (6), 2013/36/EU (7), 2014/59/EU (8), 2014/65/EU (9), (EU) 2015/2366 (10) in (EU) 2016/2341 (11) Evropskega parlamenta in Sveta.

Te zahteve so raznolike in občasno nepopolne. V nekaterih primerih je bilo tveganje na področju IKT obravnavano le posredno kot del operativnega tveganja, v drugih pa sploh ni bilo obravnavano. To se odpravlja s sprejetjem Uredbe (EU) 2022/2554 Evropskega parlamenta in Sveta (12). Navedene direktive bi zato bilo treba spremeniti, da se zagotovi skladnost z navedeno uredbo. Ta direktiva uvaja vrsto sprememb, ki so potrebne za zagotovitev pravne jasnosti in doslednosti v zvezi z uporabo različnih zahtev glede digitalne operativne odpornosti, potrebnih za opravljanje dejavnosti in zagotavljanje storitev finančnih subjektov, ki imajo dovoljenje in so nadzorovani v skladu z navedenimi direktivami, s čimer se bo zagotovilo nemoteno delovanje notranjega trga. Zagotoviti je treba ustreznost teh zahtev glede na razvoj trga, hkrati pa spodbujati sorazmernost, zlasti v zvezi z velikostjo finančnih subjektov in posebnimi ureditvami zanje, da bi se zmanjšali stroški zagotavljanja skladnosti.

(4)

Direktiva 2013/36/EU na področju bančnih storitev trenutno določa le splošna pravila notranjega upravljanja in določbe o operativnem tveganju, ki vsebujejo zahteve za krizne načrte in načrte neprekinjenega poslovanja, ki se implicitno uporabljajo kot podlaga za obravnavo tveganj na področju IKT. Vendar bi bilo treba za zagotovitev izrecne in jasne obravnave tveganja na področju IKT spremeniti zahteve za krizne načrte in načrte neprekinjenega poslovanja, da bodo vključevale tudi načrte neprekinjenega poslovanja ter načrte odzivanja in okrevanja v zvezi s tveganjem na področju IKT v skladu z zahtevami iz Uredbe (EU) 2022/2554. Poleg tega je tveganje na področju IKT samo posredno, kot del operativnega tveganja, vključeno v proces nadzorniškega pregledovanja in ovrednotenja, ki ga izvajajo pristojni organi, merila za njegovo oceno pa so trenutno opredeljena v Smernicah o oceni tveganja, povezanega z IKT, v skladu s procesom nadzorniškega pregledovanja in vrednotenja (SREP), ki jih je izdal evropski nadzorni organ (Evropski bančni organ), ustanovljen z Uredbo (EU) št. 1093/2010 Evropskega parlamenta in Sveta (13). Za zagotovitev pravne jasnosti in da bančni nadzorniki učinkovito prepoznavajo tveganja na področju IKT in spremljajo njihovo upravljanje s strani finančnih subjektov v skladu z novim okvirom za digitalno operativno odpornost, bi bilo treba spremeniti tudi obseg SREP, da bi se izrecno vključile zahteve iz Uredbe (EU) 2022/2554 in zajela zlasti tveganja, ki so jih razkrila poročila o večjih incidentih, povezanih z IKT, in rezultati testiranja digitalne operativne odpornosti, ki jih finančni subjekti izvajajo v skladu z navedeno uredbo.

(5)

Digitalna operativna odpornost je bistvena za ohranitev kritičnih funkcij in glavnih poslovnih področij finančnega subjekta v primeru njegovega reševanja ter s tem za preprečitev motenj v realnem sektorju in finančnem sistemu. Večji operativni incidenti lahko omejijo sposobnost finančnega subjekta za nadaljnje poslovanje in lahko ogrozijo cilje reševanja. Določeni pogodbeni dogovori o uporabi storitev IKT so bistveni za zagotovitev neprekinjenega delovanja in potrebnih podatkov v primeru reševanja. Za uskladitev s cilji okvira Unije za operativno odpornost bi bilo treba Direktivo 2014/59/EU ustrezno spremeniti, da bi zagotovili, da se informacije v zvezi z operativno odpornostjo upoštevajo pri načrtovanju reševanja in oceni rešljivosti finančnih subjektov.

(6)

Direktiva 2014/65/EU določa strožja pravila na področju IKT za investicijska podjetja in mesta trgovanja, ki se ukvarjajo z algoritemskim trgovanjem. Za storitve sporočanja podatkov in repozitorije sklenjenih poslov se uporabljajo manj podrobne zahteve. Poleg tega Direktiva 2014/65/EU vsebuje le omejena sklicevanja na nadzorne in zaščitne ureditve za sisteme obdelovanja informacij ter na uporabo ustreznih sistemov, virov in postopkov za zagotavljanje kontinuitete in pravilnosti opravljanja poslovnih dejavnosti. Navedeno direktivo bi bilo treba uskladiti z Uredbo (EU) 2022/2554, glede kontinuitete in pravilnosti pri zagotavljanju investicijskih storitev in opravljanju investicijskih poslov, operativno odpornost, zmogljivost sistemov trgovanja ter učinkovitost ureditev neprekinjenega poslovanja in upravljanja tveganj.

(7)

Direktiva (EU) 2015/2366 določa posebna pravila o varnostnih ukrepih za nadzor nad tveganji na področju IKT in njihovo zmanjšanje za namene pridobitve dovoljenja za opravljanje plačilnih storitev. Ta pravila glede izdaje dovoljenja bi bilo treba spremeniti, da se uskladijo z Uredbo (EU) 2022/2554. Poleg tega bi se morala, da bi zmanjšali upravno breme ter preprečili zapletenost in podvajanje zahtev glede poročanja, pravila o poročanju o incidentih iz navedene direktive prenehati uporabljati za ponudnike plačilnih storitev, ki jih ureja navedena direktiva in za katere velja tudi Uredba (EU) 2022/2554, kar bi tem ponudnikom plačilnih storitev, omogočilo, da izkoristijo enoten in popolnoma usklajen mehanizem za poročanje o incidentih v zvezi z vsemi operativnimi ali varnostnimi incidenti povezanimi s plačili, ne glede na to, ali so ti incidenti povezani z IKT ali ne.

(8)

Direktivi 2009/138/ES in (EU) 2016/2341 delno zajemata tveganje na področju IKT v splošnih določbah o upravljanju in obvladovanju tveganj, nekatere zahteve pa naj bi se določile z delegiranimi akti, pri čemer je tveganje na področju IKT konkretno omenjeno ali pa ne. Podobno se za upravitelje alternativnih investicijskih skladov, za katere velja Direktiva 2011/61/EU in družb za upravljanje, za katere velja Direktiva 2009/65/ES, uporabljajo le zelo splošna pravila. Zato bi bilo treba navedeni direktivi uskladiti z zahtevami iz Uredbe (EU) 2022/2554 v zvezi z upravljanjem sistemov in orodij IKT.

(9)

V številnih primerih so bile dodatne zahteve glede tveganj na področju IKT že določene v delegiranih in izvedbenih aktih, sprejetih na podlagi osnutkov regulativnih in izvedbenih tehničnih standardov, ki jih je pripravil pristojni evropski nadzorni organ. Ker pravna podlaga za določbe o tveganju na področju IKT v finančnem sektorju odslej izhaja iz Uredbe (EU) 2022/2554, bi bilo treba določena pooblastila za sprejemanje delegiranih in izvedbenih aktov iz direktiv 2009/65/ES, 2009/138/ES, 2011/61/EU in 2014/65/EU spremeniti, tako da bi določbe o tveganju na področju IKT odstranili iz področja uporabe teh pooblastil.

(10)

Za zagotovitev doslednega izvajanja novega okvirja o digitalni operativni odpornosti v finančnem sektorju, bi morale države članice določbe nacionalnega prava, s katerimi se prenaša ta direktiva, uporabljati od datuma začetka uporabe Uredbe (EU) 2022/2554.

(11)

Direktive 2009/65/ES, 2009/138/ES, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 in (EU) 2016/2341 so bile sprejete na podlagi člena 53(1) ali člena 114 Pogodbe o delovanju Evropske unije (PDEU) ali obeh členov. Spremembe v tej direktivi so zaradi medsebojne povezanosti predmeta urejanja in ciljev sprememb vključene v en sam zakonodajni akt. To direktivo bi bilo zaradi tega treba sprejeti na podlagi obeh členov, člena 53(1) in člena 114 PDEU.

(12)

Ker ciljev te direktive države članice ne morejo zadovoljivo doseči, saj vključujejo uskladitev zahtev, ki so že vsebovane v direktivah, temveč se zaradi obsega ali učinkov ukrepa lažje dosežejo na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji. V skladu z načelom sorazmernosti iz navedenega člena ta direktiva ne presega tistega, kar je potrebno za doseganje navedenih ciljev.

(13)

V skladu s Skupno politično izjavo držav članic in Komisije z dne 28. septembra 2011 o obrazložitvenih dokumentih (14) se države članice zavezujejo, da bodo v upravičenih primerih obvestilu o ukrepih za prenos priložile enega ali več dokumentov, v katerih se pojasni razmerje med elementi direktive in ustreznimi deli nacionalnih instrumentov za prenos. Zakonodajalec meni, da je posredovanje takšnih dokumentov v primeru te direktive upravičeno –

SPREJELA NASLEDNJO DIREKTIVO:

Člen 1

Spremembe Direktive 2009/65/ES

Člen 12 Direktive 2009/65/ES se spremeni:

(1)

v drugem pododstavku odstavka 1 se točka (a) nadomesti z naslednjim:

„(a)

ima zanesljive upravne in računovodske postopke, nadzorne in zaščitne ureditve za elektronsko obdelavo podatkov, vključno z omrežnimi in informacijskimi sistemi, ki so vzpostavljeni in se upravljajo v skladu z Uredbo (EU) 2022/2554 Evropskega parlamenta in Sveta (*1), in zadostne mehanizme notranjega nadzora, ki vključujejo zlasti pravila za osebne transakcije s strani svojih zaposlenih ali za imetje ali upravljanje naložb v finančne instrumente, z namenom vlagati za svoj račun in zagotavljati najmanj, da je vsako transakcijo, pri kateri sodeluje KNPVP, mogoče rekonstruirati do njenega izvora, sodelujočih strank, njenih lastnostih ter časa in kraja izvedbe in da se sredstva KNPVP, ki jih upravlja družba za upravljanje, vlagajo v skladu pravili upravljanja sklada ali ustanovnimi listinami ter veljavnimi predpisi;

(*1)  Uredba (EU) 2022/2554 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o digitalni operativni odpornosti v finančnem sektorju in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012,(EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 (UL L 333, 27.12.2022, str. 1).“;"

(2)

odstavek 3 se nadomesti z naslednjim:

„3.   Komisija brez poseganja v člen 116 z delegiranimi akti v skladu s členom 112a sprejme ukrepe, ki opredeljujejo:

(a)

postopke in ureditve iz točke (a) drugega pododstavka odstavka 1 razen postopkov in ureditev v zvezi z omrežnimi in informacijskimi sistemi;

(b)

strukture in organizacijske zahteve za preprečevanje navzkrižja interesov iz točke (b) drugega pododstavka odstavka 1.“

Člen 2

Spremembi Direktive 2009/138/ES

Direktiva 2009/138/ES se spremeni:

(1)

v členu 41 se odstavek 4 nadomesti z naslednjim:

„4.   Zavarovalnice in pozavarovalnice sprejmejo razumne ukrepe za zagotovitev stalnega in rednega opravljanje njihovih dejavnosti, vključno z razvojem kriznih načrtov. V ta namen podjetja uporabljajo ustrezne in sorazmerne sisteme, vire in postopke ter zlasti vzpostavijo in upravljajo omrežne in informacijske sisteme v skladu z Uredbo (EU) 2022/2554 Evropskega parlamenta in Sveta (*2).

(*2)  Uredba (EU) 2022/2554 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o digitalni operativni odpornosti v finančnem sektorju in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012,(EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 (UL L 333, 27.12.2022, str. 1).“;"

(2)

v členu 50(1) se točki (a) in (b) nadomestita z naslednjim:

„(a)

elementov sistemov iz člena 41, člena 44, ter zlasti področij iz člena 44(2), in členov 46 in 47, razen elementov, povezanih z upravljanjem tveganja na področju informacijske in komunikacijske tehnologije;

(b)

funkcij iz členov 44, 46, 47 in 48, razen funkcij, povezanih z upravljanjem tveganja na področju informacijske in komunikacijske tehnologije.“

Člen 3

Sprememba Direktive 2011/61/EU

Člen 18 Direktive 2011/61/EU se nadomesti z naslednjim:

„Člen 18

Splošna načela

1.   Države članice zahtevajo, da UAIS vedno uporabljajo primerne in ustrezne človeške in tehnične vire, ki so potrebni za pravilno upravljanje AIS.

Pristojni organi matične države članice UAIS ob upoštevanju lastnosti AIS, ki jih upravlja UAIS, zlasti zahtevajo, da ima UAIS zanesljive upravne in računovodske postopke, nadzorne in zaščitne ureditve za elektronsko obdelavo podatkov, vključno z omrežnimi in informacijskimi sistemi, ki so vzpostavljeni in se upravljajo v skladu z Uredbo (EU) 2022/2554 Evropskega parlamenta in Sveta (*3) in ustrezne mehanizme notranjega nadzora, ki zlasti vključujejo pravila za osebne transakcije lastnih delavcev ali za imetje ali upravljanje naložb, z namenom vlagati na svoj lastni račun in zagotavljati najmanj, da je vsako transakcijo, pri kateri sodeluje AIS, mogoče rekonstruirati do njenega izvora, sodelujočih strank, njenih lastnosti ter časa in kraja izvedbe in da se sredstva AIS, ki jih upravlja UAIS, vlagajo v skladu s pravili upravljanja ali aktom o ustanovitvi AIS ter drugimi veljavnimi pravnimi predpisi.

2.   Komisija z delegiranimi akti v skladu s členom 56 ter pod pogoji iz členov 57 in 58 sprejme ukrepe, ki določajo postopke in ureditve iz odstavka 1 tega člena, razen za postopke in ureditve glede omrežnih in informacijskih sistemov .

Člen 4

Spremembe Direktive 2013/36/EU

Direktiva 2013/36/EU se spremeni:

(1)

v členu 65(3) se točka (a)(vi) nadomesti z naslednjim:

„(vi)

tretjih oseb, ki so za subjekte iz točk (i) do (iv) prevzele zunanje izvajanje funkcij ali dejavnosti, vključno s tretjimi ponudniki storitev IKT iz poglavja V Uredbe (EU) 2022/2554 Evropskega parlamenta in Sveta (*4);

(*4)  Uredba (EU) 2022/2554 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o digitalni operativni odpornosti v finančnem sektorju in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012,(EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 (UL L 333, 27.12.2022, str. 1).“;"

(2)

v členu 74(1) se prvi pododstavek nadomesti z naslednjim:

„Institucije imajo stabilno ureditev upravljanja, ki vključuje jasno organizacijsko strukturo z natančno opredeljenimi, preglednimi in doslednimi ravnmi odgovornosti, učinkovitimi procesi za ugotavljanje, upravljanje in spremljanje tveganj ter poročanje o tveganjih, katerim so ali bi lahko bile institucije izpostavljene, primerne mehanizme notranjih kontrol, vključno z zanesljivimi administrativnimi in računovodskimi postopki, omrežnimi in informacijskimi sistemi, ki so vzpostavljeni in se upravljajo v skladu z Uredbo (EU) 2022/2554, ter politike in prakse prejemkov, ki so skladne s preudarnim in učinkovitim upravljanjem tveganja in ga tudi spodbujajo.“;

(3)

v členu 85 se odstavek 2 nadomesti z naslednjim:

„2.   Pristojni organi zagotovijo, da imajo institucije ustrezne krizne načrte ter politike in načrte neprekinjenega poslovanja, vključno s politikami in načrti neprekinjenega poslovanja na področju IKT ter načrti odzivanja in okrevanja IKT, za tehnologijo, ki jo uporabljajo za sporočanje informacij, ter da se ti načrti vzpostavijo, upravljajo in testirajo v skladu s členom 11 Uredbe (EU) 2022/2554 , da se institucijam omogoči, da lahko še naprej poslujejo v primeru resnih motenj poslovanja in omejijo izgube, ki nastanejo zaradi takih motenj.“;

(4)

v členu 97(1) se doda naslednja točka:

„(d)

tveganja, ki so jih razkrila testiranja digitalne operativne odpornosti v skladu s poglavjem IV Uredbe (EU) 2022/2554.“

Člen 5

Spremembe Direktive 2014/59/EU

Direktiva 2014/59/EU se spremeni:

(1)

člen 10 se spremeni:

(a)

v odstavku 7 se točka (c) nadomesti z naslednjim:

„(c)

prikaz, kako bi se lahko kritične funkcije in glavna poslovna področja, kolikor je to potrebno, pravno in ekonomsko ločile od drugih funkcij, da bi se zagotovila kontinuiteta in digitalna operativna odpornost v primeru propada institucije;“;

(b)

v odstavku 7 se točka (q) nadomesti z naslednjim:

„(q)

opis ključnih dejavnosti in sistemov za ohranitev nemotenega izvajanja operativnih postopkov institucije, vključno z omrežnimi in informacijskimi sistemi iz Uredbe (EU) 2022/2554 Evropskega parlamenta in Sveta (*5);

(*5)  Uredba (EU) 2022/2554 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o digitalni operativni odpornosti v finančnem sektorju in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 (UL L 333, 27.12.2022, str. 1).“;"

(c)

v odstavku 9 se doda naslednji pododstavek:

„EBA v skladu s členom 10 Uredbe (EU) št. 1093/2010 pregleda in po potrebi posodobi regulativne tehnične standarde, da bi tako med drugim upošteval določbe poglavja II Uredbe (EU) 2022/2554.“;

(2)

Priloga se spremeni:

(a)

v oddelku A se točka 16 nadomesti z naslednjim:

„(16)

ureditve in ukrepe, potrebne za ohranitev nemotenega izvajanja operativnih postopkov institucije, vključno z omrežnimi in informacijskimi sistemi, ki se vzpostavijo in upravljajo v skladu z Uredbo (EU) 2022/2554;“;

(b)

oddelek B se spremeni:

(i)

točka 14 se nadomesti z naslednjim:

„(14)

podatke o lastnikih sistemov iz točke 13, sporazumih o ravni storitve, povezanih s temi sistemi, ter vsej programski opremi in sistemih ali dovoljenjih, vključno z razporeditvijo na njihove pravne osebe, kritične dejavnosti in glavna poslovna področja institucije ter identifikacijo ključnih tretjih ponudnikov storitev IKT kot so opredeljeni v členu 3, točka 23, Uredbe (EU) 2022/2554;“;

(ii)

vstavi se naslednja točka:

„(14a)

rezultate testiranj digitalne operativne odpornosti institucij na podlagi Uredbe (EU) 2022/2554;“;

(c)

oddelek C se spremeni:

(i)

točka 4 se nadomesti z naslednjim:

„(4)

v kolikšnem obsegu so sporazumi o storitvah, vključno s pogodbenimi dogovori o uporabi storitev IKT, ki jih je sklenila institucija, zanesljivi in v celoti izvršljivi v primeru reševanja institucije;“;

(ii)

vstavi se naslednja točka:

„(4a)

digitalno operativno odpornost omrežnih in informacijskih sistemov, ki podpirajo kritične funkcije in glavna poslovna področja institucije, ob upoštevanju poročil o večjih incidentih, povezanih z IKT, in rezultatov testiranj digitalne operativne odpornosti na podlagi Uredbe (EU) 2022/2554;“.

Člen 6

Spremembe Direktive 2014/65/EU

Direktiva 2014/65/EU se spremeni:

(1)

člen 16 se spremeni:

(a)

odstavek 4 se nadomesti z naslednjim:

„4.   Investicijsko podjetje sprejme primerne ukrepe za zagotovitev kontinuitete in pravilnosti opravljanja investicijskih storitev in poslov. V ta namen investicijsko podjetje uporabi ustrezne in sorazmerne sisteme, vključno s sistemi informacijske in komunikacijske tehnologije (IKT), ki se vzpostavijo in upravljajo v skladu s členom 7 Uredbe (EU) 2022/2554 Evropskega parlamenta in Sveta (*6), ter ustrezne in sorazmerne vire in postopke.“;

(*6)  Uredba (EU) 2022/2554 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o digitalni operativni odpornosti v finančnem sektorju in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012,(EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 (UL L 333, 27.12.2022, str. 1).“;"

(b)

v odstavku 5 se drugi in tretji pododstavek nadomestita z naslednjim:

„Investicijsko podjetje ima vzpostavljene učinkovite administrativne in računovodske postopke, mehanizme notranje kontrole in učinkovite postopke za oceno tveganja.

Brez poseganja v možnost pristojnih organov, da zahtevajo dostop do komunikacij v skladu s to direktivo in Uredbo (EU) št. 600/2014, ima investicijsko podjetje vzpostavljene zanesljive varnostne mehanizme, da v skladu z zahtevami iz Uredbe (EU) 2022/2554 zagotavlja varnost in overitev sredstev za prenos informacij, zmanjšuje tveganje za okvaro podatkov in nepooblaščen dostop ter preprečuje uhajanje informacij, tako da je zaupnost podatkov vedno zagotovljena.“;

(2)

člen 17 se spremeni:

(a)

odstavek 1 se nadomesti z naslednjim:

„1.   Investicijsko podjetje, ki se ukvarja z algoritemskim trgovanjem, ima vzpostavljene učinkovite sisteme in nadzor tveganj, ki so primerni za dejavnost, ki jo opravlja, in s katerimi zagotavlja, da so sistemi trgovanja odporni in dovolj zmogljivi v skladu z zahtevami iz poglavja II Uredbe (EU) 2022/2554, da zanje veljajo ustrezni trgovalni pragovi in omejitve ter da preprečujejo pošiljanje napačnih naročil ali drugo delovanje sistemov, ki bi lahko ustvarjalo motnje na trgu ali prispevalo k ustvarjanju motenj.

Tako podjetje ima vzpostavljene tudi učinkovite sisteme in nadzor tveganj, s katerimi zagotavlja, da se sistemi trgovanja ne morejo uporabljati za noben namen, ki ni v skladu z Uredbo (EU) št. 596/2014 ali s pravili mesta trgovanja, s katerim je povezano.

Investicijsko podjetje ima vzpostavljeno učinkovito ureditev neprekinjenega poslovanja, ki zagotavlja poslovanje v primeru izpada njegovih sistemov trgovanja, vključno s politiko in načrti neprekinjenega poslovanja na področju IKT in načrti odzivanja in okrevanja IKT vzpostavljenimi v skladu s členom 11 Uredbe (EU) 2022/2554, ter zagotavlja, da so njegovi sistemi temeljito preizkušeni in se njihovo delovanje ustrezno spremlja, tako da izpolnjujejo splošne zahteve iz tega odstavka in morebitne posebne zahteve iz poglavij II in IV Uredbe (EU) 2022/2554.“;

(b)

v odstavku 7 se točka (a) nadomesti z naslednjim:

„(a)

podrobnosti glede organizacijskih zahtev iz odstavkov 1 do 6, razen tistih v povezavi z upravljanjem tveganj na področju IKT, ki jih morajo izpolnjevati investicijska podjetja, ki opravljajo različne investicijske storitve, investicijske posle, pomožne storitve ali njihovo kombinacijo, s čimer v opisu organizacijskih zahtev iz odstavka 5 določi posebne zahteve za neposreden dostop do trgov ter za sponzorirani dostop, tako da se zagotovi, da je nadzor, ki se uporablja za sponzorirani dostop, vsaj enakovreden nadzoru, ki se uporablja za neposreden dostop do trgov;“;

(3)

v členu 47 se odstavek 1 spremeni:

(a)

točka (b) se nadomesti z naslednjim:

„(b)

da je primerno opremljen za obvladovanje tveganj, ki jim je izpostavljen, vključno z obvladovanjem tveganj na področju IKT v skladu s poglavjem II Uredbe (EU) 2022/2554, da vzpostavi ustrezno ureditev in sisteme za prepoznavanje pomembnih tveganj za njegovo delovanje in da uvede učinkovite ukrepe za ublažitev teh tveganj;“;

(b)

točka (c) se črta;

(4)

člen 48 se spremeni:

(a)

odstavek 1 se nadomesti z naslednjim:

„1.   Države članice zahtevajo, da regulirani trg vzpostavi in ohranja operativno odpornost v skladu z zahtevami iz poglavja II Uredbe (EU) 2022/2554 za zagotovitev, da so njegovi sistemi trgovanja odporni, imajo ustrezno zmogljivost za obravnavo velikih količin naročil in sporočil ter lahko zagotovijo urejeno trgovanje v izredno težavnih časih na trgu, so v celoti preizkušeni za zagotovitev, da so takšni pogoji izpolnjeni in zanje veljajo učinkovite ureditve neprekinjenega poslovanja, vključno s politiko in načrti neprekinjenega poslovanja na področju IKT ter načrti odzivanja in okrevanja IKT, vzpostavljenimi v skladu s členom 11 Uredbe (EU) 2022/2554, da se zagotovi neprekinjenost storitev, če pride do okvare sistemov trgovanja.“;

(b)

odstavek 6 se nadomesti z naslednjim:

„6.   Države članice zahtevajo, da ima regulirani trg vzpostavljene učinkovite sisteme, postopke in ureditve, tudi zahtevo, da člani ali udeleženci izvedejo ustrezno preizkušanje algoritmov in zagotovijo okolje, ki to preizkušanje omogoča, v skladu z zahtevami iz poglavij II in IV Uredbe (EU) 2022/2554 za zagotovitev, da sistemi za algoritemsko trgovanje ne morejo povzročiti neurejenih pogojev za trgovanje na trgu ali prispevati k njihovemu nastanku ter obvladajo morebitne neurejene pogoje za trgovanje, ki bi izhajali iz tega algoritemskega sistema trgovanja, vključno s sistemi za omejitev deleža neizvršenih naročil v poslih, ki jih lahko član ali udeleženec vnese v sistem, da lahko upočasni tok naročil, če obstaja nevarnost, da se doseže maksimalna zmogljivost sistema, ter omeji in izvrši minimalen korak kotacije, ki je dovoljen na trgu.“;

(c)

odstavek 12 se spremeni:

(i)

točka (a) se nadomesti z naslednjim:

„(a)

zahteve za zagotovitev, da so sistemi za trgovanje na reguliranih trgih odporni in imajo ustrezno zmogljivost, razen zahtev v zvezi z digitalno operativno odpornostjo;“;

(ii)

točka (g) se nadomesti z naslednjim:

„(g)

zahteve za zagotovitev ustreznega preizkušanja algoritmov, razen preizkušanja digitalne operativne odpornosti, ki bo zagotovilo, da sistemi za algoritemsko trgovanje, vključno z visokofrekvenčnim algoritemskim trgovanjem, ne morejo povzročiti neurejenih pogojev za trgovanje na trgu ali prispevati k njihovemu nastanku.“

Člen 7

Sprememba Direktive (EU) 2015/2366

Direktiva (EU) 2015/2366 se spremeni:

(1)

v členu 3 se točka (j) nadomesti z naslednjim:

„(j)

storitve, ki jih ponujajo ponudniki tehničnih storitev, ki podpirajo opravljanje plačilnih storitev, ne da bi v katerem koli trenutku imeli v lasti sredstva, ki se prenašajo, vključno z obdelavo in shranjevanjem podatkov, storitvami za varovanje zaupanja in zasebnosti, avtentikacijo podatkov in subjektov, zagotavljanjem informacijske in komunikacijske tehnologije (IKT) in komunikacijske mreže, zagotavljanjem in vzdrževanjem terminalov in naprav, ki se uporabljajo za plačilne storitve, razen storitve odreditve plačil in storitve zagotavljanja informacij o računih;“;

(2)

člen 5(1) se spremeni:

(a)

prvi pododstavek se spremeni:

(i)

točka (e) se nadomesti z naslednjim:

„(e)

opisom ureditve upravljanja vložnika in mehanizmov notranjih kontrol, vključno z administrativnimi in računovodskimi postopki ter postopki upravljanja tveganj ter dogovori o uporabi storitev IKT v skladu z Uredbo (EU) 2022/2554 Evropskega parlamenta in Sveta (*7), ki dokazujejo, da so ta ureditev upravljanja ter notranji mehanizmi nadzora sorazmerni, ustrezni, zanesljivi in zadostni;“;

(*7)  Uredba (EU) 2022/2554 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o digitalni operativni odpornosti v finančnem sektorju in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012,(EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 (UL L 333, 27.12.2022, str. 1).“;"

(ii)

točka (f) se nadomesti z naslednjim:

„(f)

opisom postopka, vzpostavljenega za spremljanje in reševanje varnostnih incidentov in z varnostjo povezanih pritožb strank ter naknadno ukrepanje v zvezi z njimi, vključno z mehanizmom za poročanje o incidentih, v katerem so upoštevane obveznosti plačilne institucije glede obveščanja iz poglavja III Uredbe (EU) 2022/2554;“;

(iii)

točka (h) se nadomesti z naslednjim:

„(h)

opisom ureditve za zagotavljanje neprekinjenega poslovanja, vključno z jasno opredelitvijo ključnih operacij, učinkovite politike in načrtov neprekinjenega poslovanja na področju IKT in načrtov odzivanja in okrevanja IKT ter postopkom za redno testiranje in pregledovanje ustreznosti in učinkovitosti takih načrtov v skladu z Uredbo (EU) 2022/2554;“;

(b)

tretji pododstavek se nadomesti z naslednjim:

„V opisu varnostnih ukrepov za nadzor nad tveganji in njihovo zmanjšanje iz točke (j) prvega pododstavka se navede, na kakšen način ti ukrepi zagotavljajo visoko raven digitalne operativne odpornosti v skladu s poglavjem II Uredbe (EU) 2022/2554 zlasti glede tehnične varnosti in varstva podatkov med drugim za programsko opremo in sisteme IKT, ki jih uporabljajo vložnik ali zunanji izvajalci, ki v celoti ali delno opravljajo dejavnosti zanj. Navedeni ukrepi vključujejo tudi varnostne ukrepe iz člena 95(1) te direktive. V navedenih ukrepih se upoštevajo smernice EBA o varnostnih ukrepih iz člena 95(3) te direktive, ko bodo pripravljene.“;

(3)

v členu 19(6) se drugi pododstavek nadomesti z naslednjim:

„Način uporabe zunanjih izvajalcev za izvajanje pomembnih operativnih nalog, vključno s sistemi IKT, ne sme bistveno škodovati kakovosti notranje kontrole plačilne institucije in zmožnosti pristojnih organov, da nadzirajo in sledijo temu, kako plačilna institucija izpolnjuje svoje obveznosti iz te direktive.“;

(4)

v členu 95(1) se doda naslednji pododstavek:

„Prvi pododstavek ne posega v uporabo poglavja II Uredbe (EU) 2022/2554 za:

(a)

ponudnike plačilnih storitev iz točk (a), (b) in (d) člena 1(1) te direktive;

(b)

ponudnike storitev zagotavljanja informacij o računih iz člena 33(1) te direktive;

(c)

plačilne institucije, izvzete na podlagi člena 32(1) te direktive, in

(d)

institucije za izdajo elektronskega denarja, ki imajo odobreno opustitev iz člena 9(1) Direktive 2009/110/ES.“;

(5)

v členu 96 se doda naslednji odstavek:

„7.   Države članice zagotovijo, da se odstavki 1 do 5 tega člena ne uporabljajo za:

(a)

ponudnike plačilnih storitev iz točk (a), (b) in (d) člena 1(1) te direktive;

(b)

ponudnike storitev zagotavljanja informacij o računih iz člena 33(1) te direktive;

(c)

plačilne institucije, izvzete na podlagi člena 32(1) te direktive, in

(d)

institucije za izdajo elektronskega denarja, ki jim je bila odobrena opustitev iz člena 9(1) Direktive 2009/110/ES.“;

(6)

v členu 98 se odstavek 5 nadomesti z naslednjim:

„5.   EBA v skladu s členom 10 Uredbe (EU) št. 1093/2010 redno pregleduje in, če je ustrezno, posodablja regulativne tehnične standarde, da bi tako med drugim upošteval inovacije in tehnološki razvoj ter določbe poglavja II Uredbe (EU) 2022/2554.“

Člen 8

Sprememba Direktive (EU) 2016/2341

Člen 21(5) Direktive (EU) 2016/2341 se nadomesti z naslednjim:

„5.   Države članice zagotovijo, da institucije za poklicno pokojninsko zavarovanje sprejmejo razumne ukrepe za zagotovitev stalnega in rednega izvajanja dejavnosti, vključno z izdelavo načrtov za neprekinjeno poslovanje. Institucije za poklicno pokojninsko zavarovanje v ta namen uporabijo ustrezne in sorazmerne sisteme, vire in postopke ter zlasti vzpostavijo in upravljajo omrežne in informacijske sisteme v skladu z Uredbo (EU) 2022/2554 Evropskega parlamenta in Sveta (*8), kot je ustrezno.

Člen 9

Prenos

1.   Države članice do 17. januarja 2025 sprejmejo in objavijo predpise, potrebne za uskladitev s to direktivo. O tem takoj obvestijo Komisijo.

Države članice te predpise uporabljajo od 17. januarja 2025.

Države članice se v sprejetih predpisih sklicujejo na to direktivo ali pa sklic nanjo navedejo ob njihovi uradni objavi. Način sklicevanja določijo države članice.

2.   Države članice sporočijo Komisiji besedilo temeljnih predpisov nacionalnega prava, sprejetih na področju, ki ga ureja ta direktiva.

Člen 10

Začetek veljavnosti

Ta direktiva začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

Člen 11

Naslovniki

Ta direktiva je naslovljena na države članice.

V Strasbourgu, 14. decembra 2022

Za Evropski parlament

predsednica

R. METSOLA

Za Svet

predsednik

M. BEK

(1)   UL C 343, 26.8.2021, str. 1.

(2)   UL C 155, 30.4.2021, str. 38.

(3)  Stališče Evropskega parlamenta z dne 10. novembra 2022 (še ni objavljeno v Uradnem listu) in odločitev Sveta z dne 28. novembra 2022.

(4)  Direktiva 2009/65/ES Evropskega parlamenta in Sveta z dne 13. julija 2009 o usklajevanju zakonov in drugih predpisov o kolektivnih naložbenih podjemih za vlaganja v prenosljive vrednostne papirje (KNPVP) (UL L 302, 17.11.2009, str. 32).

(5)  Direktiva 2009/138/ES Evropskega parlamenta in Sveta z dne 25. novembra 2009 o začetku opravljanja in opravljanju dejavnosti zavarovanja in pozavarovanja (Solventnost II) (UL L 335, 17.12.2009, str. 1).

(6)  Direktiva 2011/61/EU Evropskega parlamenta in Sveta z dne 8. junija 2011 o upraviteljih alternativnih investicijskih skladov in spremembah direktiv 2003/41/ES in 2009/65/ES ter uredb (ES) št. 1060/2009 in (EU) št. 1095/2010 (UL L 174, 1.7.2011, str. 1).

(7)  Direktiva 2013/36/EU Evropskega parlamenta in Sveta z dne 26. junija 2013 o dostopu do dejavnosti kreditnih institucij in bonitetnem nadzoru kreditnih institucij, spremembi Direktive 2002/87/ES in razveljavitvi direktiv 2006/48/ES in 2006/49/ES (UL L 176, 27.6.2013, str. 338).

(8)  Direktiva 2014/59/EU Evropskega parlamenta in Sveta z dne 15. maja 2014 o vzpostavitvi okvira za sanacijo ter reševanje kreditnih institucij in investicijskih podjetij ter o spremembi Šeste direktive Sveta 82/891/EGS ter direktiv 2001/24/ES, 2002/47/ES, 2004/25/ES, 2005/56/ES, 2007/36/ES, 2011/35/EU, 2012/30/EU in 2013/36/EU in uredb (EU) št. 1093/2010 ter (EU) št. 648/2012 Evropskega parlamenta in Sveta (UL L 173, 12.6.2014, str. 190).

(9)  Direktiva 2014/65/EU Evropskega parlamenta in Sveta z dne 15. maja 2014 o trgih finančnih instrumentov ter spremembi Direktive 2002/92/ES in Direktive 2011/61/EU (UL L 173, 12.6.2014, str. 349).

(10)  Direktiva (EU) 2015/2366 Evropskega parlamenta in Sveta z dne 25. novembra 2015 o plačilnih storitvah na notranjem trgu, spremembah direktiv 2002/65/ES, 2009/110/ES ter 2013/36/EU in Uredbe (EU) št. 1093/2010 ter razveljavitvi Direktive 2007/64/ES (UL L 337, 23.12.2015, str. 35).

(11)  Direktiva (EU) 2016/2341 Evropskega parlamenta in Sveta z dne 14. decembra 2016 o dejavnostih in nadzoru institucij za poklicno pokojninsko zavarovanje (UL L 354, 23.12.2016, str. 37).

(12)  Uredba (EU) 2022/2554 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o digitalni operativni odpornosti v finančnem sektorju in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012,(EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 (glej stran 1 tega Uradnega lista).

(13)  Uredba (EU) št. 1093/2010 Evropskega parlamenta in Sveta z dne 24. novembra 2010 o ustanovitvi Evropskega nadzornega organa (Evropski bančni organ) in o spremembi Sklepa št. 716/2009/ES ter razveljavitvi Sklepa Komisije 2009/78/ES (UL L 331, 15.12.2010, str. 12).

(14)   UL C 369, 17.12.2011, str. 14.