1.   Za doseganje visoke skupne stopnje digitalne operativne odpornosti ta uredba določa enotne zahteve glede varnosti omrežnih in informacijskih sistemov, ki podpirajo poslovne procese finančnih subjektov, kot sledi:

2.   V zvezi s finančnimi subjekti, opredeljenimi kot bistvenimi ali pomembnimi subjekti na podlagi nacionalnih pravil za prenos člena 3 Direktive (EU) 2022/2555, se ta uredba za namene člena 4 navedene direktive šteje za sektorski pravni akt Unije.

3.   Ta uredba ne posega v odgovornost držav članic glede temeljnih državnih funkcij v zvezi z javno varnostjo, obrambo in nacionalno varnostjo v skladu s pravom Unije.

1.   Ta uredba se brez poseganja v odstavka 3 in 4 uporablja za naslednje subjekte:

2.   V tej uredbi se subjekti iz odstavka 1, točke (a) do (t), skupaj imenujejo „finančni subjekti“.

3.   Ta uredba se ne uporablja za:

4.   Države članice lahko s področja uporabe te uredbe izključijo subjekte iz člena 2(5), točke 4 do 23, Direktive 2013/36/EU, ki se nahajajo na njihovem ozemlju. Kadar država članica uporabi to možnost, o tem in o vseh naknadnih spremembah obvesti Komisijo. Komisija da te informacije javno na voljo na svojem spletnem mestu ali na drug lahko dostopen način.

1.   Finančni subjekti izvajajo pravila iz poglavja II v skladu z načelom sorazmernosti, pri tem pa upoštevajo svojo velikost in splošni profil tveganja ter naravo, obseg in kompleksnost svojih storitev, dejavnosti in poslovanja.

2.   Poleg tega finančni subjekti uporabljajo poglavja III, IV in V, oddelek I, sorazmerno s svojo velikostjo in splošnim profilom tveganja ter naravo, obsegom in kompleksnostjo svojih storitev, dejavnosti in poslovanja, kot je posebej določeno v ustreznih pravilih iz navedenih poglavij.

3.   Pristojni organi pri pregledu skladnosti okvira za obvladovanje tveganj na področju IKT na podlagi poročil, predloženih na zahtevo pristojnih organov na podlagi člena 6(5) in člena 16(2), preučijo, ali finančni subjekti uporabljajo načelo sorazmernosti.

1.   Finančni subjekti vzpostavijo okvir notranjega upravljanja in nadzora, ki zagotavlja učinkovito in skrbno obvladovanje tveganj na področju IKT v skladu s členom 6(4), da bi se dosegla visoka raven digitalne operativne odpornosti.

2.   Upravljalni organ finančnega subjekta opredeli, odobri in nadzira izvajanje vseh dogovorov, povezanih z okvirom za obvladovanje tveganj na področju IKT iz člena 6(1), in je odgovoren zanj.

Za potrebe prvega pododstavka upravljalni organ:

3.   Finančni subjekti, ki niso mikropodjetja, določijo vlogo za spremljanje dogovorov, sklenjenih s tretjimi ponudniki storitev IKT o uporabi storitev IKT, ali določijo člana višjega vodstva, ki bo odgovoren za nadzor s tem povezane izpostavljenosti tveganju in ustrezne dokumentacije.

4.   Člani upravljalnega organa finančnega subjekta dejavno obnavljajo zadostno znanje in spretnosti, da lahko razumejo in ocenijo tveganje na področju IKT ter njegov učinek na poslovanje finančnega subjekta, tudi z rednim namenskim usposabljanjem, primernim za tveganje na področju IKT, ki ga je treba obvladovati.

1.   Finančni subjekti morajo imeti trden, celovit in dobro dokumentiran okvir za obvladovanje tveganj na področju IKT, ki je del njihovega splošnega sistema obvladovanja tveganj in jim omogoča hitro, učinkovito in celovito obravnavo tveganj na področju IKT ter zagotavljanje visoke stopnje digitalne operativne odpornosti.

2.   Okvir za obvladovanje tveganj na področju IKT vključuje najmanj strategije, politike, postopke, protokole in orodja IKT, ki so potrebni za pravilno in ustrezno zaščito vseh informacijskih sredstev in sredstev IKT, vključno z računalniško programsko opremo, strojno opremo in strežniki, ter za zaščito vseh ustreznih fizičnih komponent in infrastrukture, kot so prostori, podatkovni centri in občutljiva namenska območja, za zagotovitev, da so vsa informacijska sredstva in sredstva IKT ustrezno zaščitena pred tveganji, vključno s škodo in nepooblaščenim dostopom ali nedovoljeno uporabo.

3.   Finančni subjekti v skladu s svojim okvirom za obvladovanje tveganj na področju IKT zmanjšujejo vpliv tveganja na področju IKT z uporabo ustreznih strategij, politik, postopkov, protokolov in orodij IKT. Pristojnim organom na njihovo zahtevo zagotavljajo popolne in posodobljene informacije o tveganjih na področju IKT in o svojem okviru za obvladovanje tveganj na področju IKT.

4.   Finančni subjekti, ki niso mikropodjetja, odgovornost za obvladovanje tveganj na področju IKT in nadzor nad njimi dodelijo nadzorni funkciji in poskrbijo, da ima taka nadzorna funkcija ustrezno raven neodvisnosti, da se preprečijo nasprotja interesov. Finančni subjekti zagotovijo ustrezno ločitev in neodvisnost funkcij obvladovanja tveganj na področju IKT, nadzornih funkcij in funkcij notranje revizije v skladu z modelom treh obrambnih linij ali internim modelom upravljanja in obvladovanja tveganj.

5.   Okvir za obvladovanje tveganj na področju IKT se dokumentira in pregleda najmanj enkrat letno oziroma redno za mikropodjetja, pa tudi ob pojavu večjih incidentov, povezanih z IKT, in ob upoštevanju nadzornih navodil ali sklepov, ki izhajajo iz ustreznih postopkov testiranja ali revizije digitalne operativne odpornosti. Nenehno se izboljšuje na podlagi izkušenj, pridobljenih pri izvajanju in spremljanju. Poročilo o pregledu okvira za obvladovanje tveganj na področju IKT se posreduje pristojnemu organu na njegovo zahtevo.

6.   Okvir za obvladovanje tveganj na področju IKT finančnih subjektov, ki niso mikropodjetja, je redno predmet notranje revizije revizorjev v skladu z revizijskim načrtom finančnih subjektov. Ti revizorji morajo imeti zadostno znanje, spretnosti in strokovno znanje v zvezi s tveganji na področju IKT, kot tudi ustrezno neodvisnost. Pogostost in osredotočenost revizij na področju IKT morata biti sorazmerni s tveganjem na področju IKT, s katerim se sooča finančni subjekt.

7.   Finančni subjekti na podlagi sklepov notranjega revizijskega pregleda vzpostavijo formalni postopek spremljanja, vključno s pravili za pravočasno preverjanje in sanacijo na podlagi ključnih ugotovitev revizij na področju IKT.

8.   Okvir za obvladovanje tveganj na področju IKT vključuje strategijo za digitalno operativno odpornost, ki določa, kako se okvir izvaja. V ta namen strategija za digitalno operativno odpornost vključuje metode za obravnavanje tveganj na področju IKT in doseganje določenih ciljev na področju IKT, tako da:

9.   Finančni subjekti lahko v okviru strategije za digitalno operativno odpornost iz odstavka 8 opredelijo celostno večdobaviteljsko strategijo za IKT na ravni skupine ali subjekta, ki prikazuje ključne odvisnosti od tretjih ponudnikov storitev IKT in pojasnjuje razloge za uporabo različnih tretjih ponudnikov storitev IKT.

10.   Finančni subjekti lahko v skladu s sektorskim pravom Unije in nacionalnim sektorskim pravom naloge preverjanja skladnosti z zahtevami glede obvladovanja tveganj na področju IKT oddajo v zunanje izvajanje podjetjem znotraj skupine ali zunanjim podjetjem. V primerih tovrstnega zunanjega izvajanja finančni subjekt ostane v celoti odgovoren za preverjanje skladnosti z zahtevami glede obvladovanja tveganj na področju IKT.

1.   Finančni subjekti v sklopu okvira za obvladovanje tveganj na področju IKT iz člena 6(1) identificirajo, razvrstijo in ustrezno dokumentirajo vse poslovne funkcije, vloge in odgovornosti, ki jih podpirajo IKT, informacijska sredstva in sredstva IKT, ki podpirajo te funkcije, ter njihove vloge in odvisnosti v povezavi s tveganjem na področju IKT. Finančni subjekti po potrebi in vsaj enkrat letno pregledajo ustreznost te razvrstitve in vse ustrezne dokumentacije.

2.   Finančni subjekti stalno identificirajo vse vire tveganja na področju IKT, zlasti izpostavljenost tveganju, ki ogroža druge finančne subjekte ali pa ga ti povzročajo, ter ocenjujejo kibernetske grožnje in ranljivosti na področju IKT, pomembne za njihove poslovne funkcije, ki jih podpirajo IKT, ter informacijska sredstva in sredstva IKT. Finančni subjekti redno oziroma vsaj enkrat letno pregledujejo scenarije tveganj, ki vplivajo nanje.

3.   Finančni subjekti, ki niso mikropodjetja, izvedejo oceno tveganja ob vsaki večji spremembi infrastrukture omrežnega in informacijskega sistema ter procesov ali postopkov, ki vplivajo na njihove funkcije, ki jih podpirajo IKT, ter informacijska sredstva ali sredstva IKT.

4.   Finančni subjekti identificirajo vsa informacijska sredstva in sredstva IKT, vključno s tistimi na oddaljenih lokacijah, omrežne vire in strojno opremo ter popišejo tiste, ki se štejejo za ključne. Popišejo konfiguracijo informacijskih sredstev in sredstev IKT ter povezave in soodvisnosti med različnimi informacijskimi sredstvi in sredstvi IKT.

5.   Finančni subjekti identificirajo in dokumentirajo vse postopke, ki so odvisni od tretjih ponudnikov storitev IKT, in identificirajo medsebojne povezave s tretjimi ponudniki storitev IKT, ki opravljajo storitve, ki podpirajo kritične ali pomembne funkcije.

6.   Finančni subjekti za namene odstavkov 1, 4 in 5 vzdržujejo ustrezne evidence in jih posodabljajo redno in ob vsaki večji spremembi iz odstavka 3.

7.   Finančni subjekti, ki niso mikropodjetja, redno oziroma vsaj enkrat letno izvajajo posebno oceno tveganja na področju IKT za vse obstoječe sisteme IKT, v vsakem primeru pa pred povezovanjem tehnologij, aplikacij ali sistemov in po njem.

1.   Za namene ustrezne zaščite sistemov IKT in z namenom organiziranja odzivnih ukrepov finančni subjekti stalno spremljajo in nadzirajo varnost in delovanje sistemov in orodij IKT ter z uporabo ustreznih varnostnih orodij, politik in postopkov na področju IKT na najmanjšo možno mero zmanjšujejo učinek tveganj na področju IKT na IKT sisteme.

2.   Finančni subjekti oblikujejo, pridobijo in izvajajo varnostne strategije, politike, postopke, protokole in orodja na področju IKT, katerih cilj je zagotoviti odpornost, neprekinjenost in razpoložljivost sistemov IKT, zlasti tistih, ki podpirajo kritične ali pomembne funkcije, ter ohraniti visoke standarde razpoložljivosti, avtentičnosti, celovitosti in zaupnosti podatkov bodisi v mirovanju, uporabi ali med prenosom.

3.   Za doseganje ciljev iz odstavka 2 finančni subjekti uporabljajo rešitve in postopke IKT, ki so ustrezni v skladu s členom 4. Te rešitve in postopki IKT:

4.   V sklopu okvira za obvladovanje tveganj na področju IKT iz člena 6(1) finančni subjekti:

Za namene prvega pododstavka, točka (b), finančni subjekti infrastrukturo omrežnih povezav načrtujejo na način, ki omogoča takojšnjo prekinitev ali segmentacijo, da se zmanjša na najmanjšo možno mero in prepreči širjenje negativnih učinkov, zlasti za medsebojno povezane finančne postopke.

Za namene prvega pododstavka, točka (e), postopek upravljanja sprememb na področju IKT odobrijo ustrezne ravni vodstva, pri čemer mora imeti ta postopek posebne protokole.

1.   Finančni subjekti vzpostavijo mehanizme za takojšnje odkrivanje neobičajnega ravnanja v skladu s členom 17, vključno s težavami v zvezi z zmogljivostjo omrežja IKT in incidenti, povezanimi z IKT, ter za identifikacijo morebitnih pomembnih kritičnih točk odpovedi.

Vsi mehanizmi odkrivanja iz prvega pododstavka se redno testirajo v skladu s členom 25.

2.   Mehanizmi odkrivanja iz odstavka 1 omogočajo več ravni nadzora, določajo mejne vrednosti opozarjanja in merila za sprožitev in začetek izvajanja postopkov odzivanja na incidente, povezane z IKT, vključno s samodejnimi mehanizmi opozarjanja za ustrezne zaposlene, odgovorne za odzivanje na incidente, povezane z IKT.

3.   Finančni subjekti namenijo zadostna sredstva in zmožnosti za spremljanje dejavnosti uporabnikov, pojavov nepravilnosti na področju IKT in incidentov, povezanih z IKT, zlasti kibernetskih napadov.

4.   Poleg tega izvajalci storitev sporočanja podatkov vzpostavijo sisteme, s katerimi lahko učinkovito preverijo popolnost poročil o trgovanju, identificirajo izpuste in očitne napake ter zahtevajo ponovni prenos teh poročil.

1.   V sklopu okvira za obvladovanje tveganj na področju IKT iz člena 6(1) in na podlagi zahtev glede identificiranja iz člena 8 finančni subjekti vzpostavijo celovito politiko neprekinjenega poslovanja na področju IKT, ki jo lahko sprejmejo kot namensko posebno politiko, ki je sestavni del splošne politike neprekinjenega poslovanja finančnega subjekta.

2.   Finančni subjekti izvajajo politiko neprekinjenega poslovanja na področju IKT z namenskimi, ustreznimi in dokumentiranimi dogovori, načrti, postopki in mehanizmi, katerih cilj je:

3.   V sklopu okvira za obvladovanje tveganj na področju IKT iz člena 6(1) finančni subjekti izvajajo povezane načrte odzivanja in okrevanja IKT, ki so v primeru finančnih subjektov, ki niso mikropodjetja, predmet neodvisnih notranjih revizijskih pregledov.

4.   Finančni subjekti vzpostavijo, vzdržujejo in redno testirajo ustrezne načrte neprekinjenega poslovanja na področju IKT, zlasti v zvezi s kritičnimi ali pomembnimi funkcijami, oddanimi v zunanje izvajanje ali zagotovljenimi z dogovori s tretjimi ponudniki storitev IKT.

5.   Finančni subjekti v okviru splošne politike neprekinjenega poslovanja izvedejo analizo vpliva na poslovanje zaradi svoje izpostavljenosti resnim motnjam poslovanja. V okviru analize vpliva na poslovanje finančni subjekti ocenijo potencialni vpliv resnih motenj poslovanja, in sicer na podlagi kvantitativnih in kvalitativnih meril, pri čemer po potrebi uporabijo notranje in zunanje podatke in analizo scenarijev. V analizi vpliva na poslovanje se upošteva kritičnost identificiranih in popisanih poslovnih funkcij, podpornih procesov, odvisnosti od tretjih strani in informacijskih sredstev ter njihove medsebojne odvisnosti. Finančni subjekti zagotovijo, da so sredstva IKT in storitve IKT zasnovani in uporabljeni popolnoma v skladu z analizo vpliva na poslovanje, zlasti kar zadeva ustrezno zagotavljanje redundantnosti vseh kritičnih komponent.

6.   V sklopu celovitega obvladovanja tveganj na področju IKT finančni subjekti:

Za namene prvega pododstavka, točka (a), finančni subjekti, ki niso mikropodjetja, v načrte testiranja vključijo scenarije kibernetskih napadov in preklopov med primarno infrastrukturo IKT in redundatno zmogljivostjo, rezervnimi sistemi in redundantnimi obrati, potrebnimi za izpolnitev obveznosti iz člena 12.

Finančni subjekti redno pregledujejo svojo politiko neprekinjenega poslovanja na področju IKT ter načrte odzivanja in okrevanja IKT, pri čemer upoštevajo rezultate testov, izvedenih v skladu s prvim pododstavkom, in priporočila, ki izhajajo iz revizijskih ali nadzornih pregledov.

7.   Finančni subjekti, ki niso mikropodjetja, imajo funkcijo obvladovanja kriz, ki v primeru aktiviranja njihovih načrtov neprekinjenega poslovanja na področju IKT ali načrtov odzivanja in okrevanja IKT med drugim določa jasne postopke za upravljanje notranjih in zunanjih obvestil o kriznih razmerah v skladu s členom 14.

8.   Finančni subjekti vodijo lahko dostopne evidence o dejavnostih pred motnjami in med njimi, ko se aktivirajo njihovi načrti neprekinjenega poslovanja na področju IKT ter načrti odzivanja in okrevanja IKT.

9.   Centralne depotne družbe pristojnim organom predložijo kopije rezultatov testov neprekinjenega poslovanja na področju IKT ali podobnih dejavnosti.

10.   Finančni subjekti, ki niso mikropodjetja, pristojnim organom na njihovo zahtevo poročajo o oceni skupnih letnih stroškov in izgub, ki nastanejo zaradi večjih incidentov, povezanih z IKT.

11.   Evropski nadzorni organi v skladu s členom 16 uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010 prek Skupnega odbora do 17. julija 2024 pripravijo skupne smernice za oceno skupnih letnih stroškov in izgub iz odstavka 10.

1.   Da bi se zagotovila obnovitev sistemov in podatkov IKT z minimalnimi izpadi, omejenimi motnjami in izgubami, finančni subjekti v sklopu okvira za obvladovanje tveganj na področju IKT razvijejo in dokumentirajo:

2.   Finančni subjekti vzpostavijo sisteme za varnostno kopiranje, ki se lahko aktivirajo v skladu s politikami in postopki varnostnega kopiranja ter postopki in metodami obnovitve in okrevanja. Aktivacija sistemov za varnostno kopiranje ne sme ogrožati varnosti omrežnih in informacijskih sistemov oziroma razpoložljivosti, avtentičnosti, celovitosti ali zaupnosti podatkov. Postopki varnostnega kopiranja ter postopki in metode obnovitve in okrevanja se redno testirajo.

3.   Finančni subjekti pri obnavljanju varnostnih kopij podatkov z lastnimi sistemi uporabljajo sisteme IKT, ki so fizično in logično ločeni od izvornega sistema IKT. Sistemi IKT so varno zaščiteni pred nepooblaščenim dostopom ali okvarami na področju IKT in omogočajo pravočasno obnovitev storitev, po potrebi z uporabo varnostnih kopij podatkov in sistemov.

Za centralne nasprotne stranke morajo načrti okrevanja zagotoviti obnovitev vseh transakcij, ki so bile v teku v času motnje, s čimer bo centralni nasprotni stranki omogočeno zanesljivo nadaljnje delovanje in dokončanje poravnave na predvideni datum.

Izvajalci storitev sporočanja podatkov poleg tega vzdržujejo zadostna sredstva ter imajo zmogljivosti za varnostno kopiranje in obnovitev, da lahko vedno nudijo in vzdržujejo svoje storitve.

4.   Finančni subjekti, ki niso mikropodjetja, vzdržujejo redundantne zmogljivosti IKT, opremljene z viri, zmožnostmi in funkcijami, ki so ustrezne za zagotavljanje poslovnih potreb. Mikropodjetja na podlagi svojega profila tveganja ocenijo potrebo po ohranjanju takih redundantnih zmogljivosti IKT.

5.   Centralne depotne družbe ohranjajo vsaj eno sekundarno lokacijo za obdelavo z ustreznimi viri, zmožnostmi, funkcijami in kadrovsko ureditvijo za zagotavljanje poslovnih potreb.

Sekundarna lokacija za obdelavo:

6.   Finančni subjekti pri določanju ciljev glede časa in okrevanja točk obnovitve za vsako funkcijo upoštevajo, ali gre za kritično ali pomembno funkcijo in potencialni splošni učinek na učinkovitost trga. Taki cilji glede časa zagotavljajo, da so v skrajnih scenarijih dosežene dogovorjene ravni storitev.

7.   Finančni subjekti med obnovitvijo po incidentu, povezanem z IKT, opravijo potrebna preverjanja, vključno z večkratnimi pregledi in postopki usklajevanja, da se ohrani najvišja raven celovitosti podatkov. Ta preverjanja se opravijo tudi pri rekonstrukciji podatkov zunanjih deležnikov, da se zagotovi skladnost vseh podatkov med sistemi.

1.   Finančni subjekti imajo vzpostavljene zmožnosti in zaposlene za zbiranje informacij o ranljivostih in kibernetskih grožnjah, incidentih, povezanih z IKT, zlasti kibernetskih napadih, in analizo njihovih verjetnih vplivov na digitalno operativno odpornost finančnih subjektov.

2.   Finančni subjekti vzpostavijo preglede po incidentih, povezanih z IKT, ki se opravijo po tem, ko večji incidenti, povezani z IKT, povzročijo motnje v njihovih osnovnih dejavnostih, in s katerimi analizirajo vzroke motnje in identificirajo potrebne izboljšave v delovanju IKT ali politiki neprekinjenega poslovanja na področju IKT iz člena 11.

Finančni subjekti, ki niso mikropodjetja, pristojnim organom na zahtevo sporočijo spremembe, ki so bile uvedene po pregledih po incidentih, povezanih z IKT, iz prvega pododstavka.

Pri pregledih po incidentih, povezanih z IKT, iz prvega pododstavka se ugotovi, ali so bili upoštevani ustaljeni postopki in ali so bili izvedeni ukrepi učinkoviti, vključno v zvezi z naslednjim:

3.   Spoznanja, pridobljena pri testiranju digitalne operativne odpornosti, izvedenem v skladu s členoma 26 in 27, in pri resničnih incidentih, povezanih z IKT, zlasti kibernetskih napadih, se skupaj z izzivi, ki se pojavljajo pri aktivaciji načrtov neprekinjenega poslovanja na področju IKT ter načrtov odzivanja in okrevanja IKT, ter ustreznimi informacijami, izmenjanimi z nasprotnimi strankami in ocenjenimi med nadzornimi pregledi, stalno vključujejo v postopek ocene tveganj na področju IKT. Te ugotovitve tvorijo podlago za ustrezne preglede zadevnih komponent okvira za obvladovanje tveganj na področju IKT iz člena 6(1).

4.   Finančni subjekti spremljajo učinkovitost izvajanja svoje strategije za digitalno odpornost iz člena 6(8). Popišejo razvoj tveganj na področju IKT skozi čas, analizirajo pogostost, vrste, obseg in razvoj incidentov, povezanih z IKT, zlasti kibernetskih napadov in njihovih vzorcev, da bi razumeli stopnjo izpostavljenosti tveganju na področju IKT, zlasti v povezavi s kritičnimi ali pomembnimi funkcijami, ter okrepili kibernetsko zrelost in pripravljenost finančnega subjekta.

5.   Višji uslužbenci na področju IKT vsaj enkrat letno poročajo upravljalnemu organu o ugotovitvah iz odstavka 3 in podajo priporočila.

6.   Finančni subjekti oblikujejo programe ozaveščanja o varnosti na področju IKT in usposabljanje na področju digitalne operativne odpornosti kot obvezne module v svojih shemah za usposabljanje osebja. Ti programi in usposabljanje se uporabljajo za vse zaposlene in za višje vodstvene delavce, njihova raven zahtevnosti pa mora biti sorazmerna s pristojnostmi v okviru njihovih funkcij. Finančni subjekti v svoje ustrezne sheme usposabljanja v skladu s členom 30(2), točka (i), po potrebi vključijo tudi tretje ponudnike storitev IKT.

7.   Finančni subjekti, ki niso mikropodjetja, stalno spremljajo ustrezen tehnološki razvoj, tudi zato, da bi razumeli možne vplive uvajanja takih novih tehnologij na zahteve za varnost IKT in digitalno operativno odpornost. Seznanjeni morajo biti z najnovejšimi postopki obvladovanja tveganj na področju IKT, tako da lahko učinkovito preprečujejo sedanje ali nove oblike kibernetskih napadov.

1.   V sklopu okvira za obvladovanje tveganj na področju IKT iz člena 6(1) finančni subjekti pripravijo načrte obveščanja o kriznih razmerah, ki omogočajo odgovorno razkritje vsaj večjih incidentov ali ranljivosti, povezanih z IKT, strankam in partnerjem ter javnosti, kot je ustrezno.

2.   V sklopu okvira za obvladovanje tveganj na področju IKT finančni subjekti izvajajo politike obveščanja za notranje zaposlene in zunanje deležnike. Pri politikah obveščanja za zaposlene je treba razlikovati med zaposlenimi, ki sodelujejo pri obvladovanju tveganj na področju IKT, zlasti tistimi, ki so odgovorni za odzivanje in okrevanje, ter zaposlenimi, ki jih je treba le obvestiti.

3.   Vsaj ena oseba pri finančnem subjektu je odgovorna za izvajanje strategije obveščanja za incidente, povezane z IKT, in zaseda funkcijo pristojnega za stike z javnostjo in mediji v ta namen.

1.   Členi 5 do 15 te uredbe se ne uporabljajo za mala in nepovezana investicijska podjetja ter plačilne institucije, izvzete na podlagi Direktive (EU) 2015/2366, institucije, izvzete na podlagi Direktive 2013/36/EU, v zvezi s katerimi so se države članice odločile, da ne bodo uporabile možnosti iz člena 2(4) te uredbe, institucije za izdajo elektronskega denarja, izvzete na podlagi Direktive 2009/110/ES, ter male institucije za poklicno pokojninsko zavarovanje.

Brez poseganja v prvi pododstavek morajo finančni subjekti iz prvega pododstavka:

2.   Okvir za obvladovanje tveganj na področju IKT iz odstavka 1, drugi pododstavek, točka (a), se dokumentira ter pregleduje, redno in ob pojavu večjih incidentov, povezanih z IKT, v skladu z nadzorniškimi navodili. Nenehno se izboljšuje na podlagi izkušenj, pridobljenih pri izvajanju in spremljanju. Poročilo o pregledu okvira za obvladovanje tveganj na področju IKT se posreduje pristojnemu organu na njegovo zahtevo.

3.   Evropski nadzorni organi prek Skupnega odbora in v posvetovanju z ENISA pripravijo skupne osnutke regulativnih tehničnih standardov, da:

Evropski nadzorni organi pri oblikovanju navedenih osnutkov regulativnih tehničnih standardov upoštevajo velikost in splošni profil tveganja finančnega subjekta ter naravo, obseg in kompleksnost njegovih storitev, dejavnosti in operacij.

Evropski nadzorni organi te osnutke regulativnih tehničnih standardov Komisiji predložijo do 17. januarja 2024.

Na Komisijo se prenese pooblastilo za dopolnitev te uredbe s sprejetjem regulativnih tehničnih standardov iz prvega pododstavka v skladu s členi 10 do 14 uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010.

1.   Finančni subjekti opredelijo, vzpostavijo in izvajajo postopek obvladovanja incidentov, povezanih z IKT, za odkrivanje in obvladovanje incidentov, povezanih z IKT, ter obveščanje o njih.

2.   Finančni subjekti evidentirajo vse incidente, povezane z IKT, in pomembne kibernetske grožnje. Finančni subjekti vzpostavijo ustrezne postopke in procese za zagotovitev doslednega in celovitega spremljanja, obravnavanja in nadaljnjega spremljanja incidentov, povezanih z IKT, da se zagotovi identificiranje, dokumentiranje in obravnavanje temeljnih vzrokov ter s tem prepreči pojavljanje tovrstnih incidentov.

3.   V postopku obvladovanja incidentov, povezanih z IKT, iz odstavka 1 se:

1.   Finančni subjekti razvrstijo incidente, povezane z IKT, in določijo njihov učinek na podlagi naslednjih meril:

2.   Finančni subjekti kibernetske grožnje razvrstijo kot pomembne na podlagi kritičnosti storitev, pri katerih obstaja tveganje, vključno s transakcijami in operacijami finančnega subjekta, številom in/ali pomembnostjo ciljnih strank ali finančnih partnerjev ter geografsko razpršenostjo ogroženih območij.

3.   Evropski nadzorni organi prek Skupnega odbora in v posvetovanju z ECB in ENISA pripravijo skupne osnutke regulativnih tehničnih standardov, v katerih se podrobneje določijo:

4.   Evropski nadzorni organi pri pripravi skupnih osnutkov regulativnih tehničnih standardov iz odstavka 3 tega člena upoštevajo merila, določena v členu 4(2), ter mednarodne standarde, smernice in specifikacije, ki jih je razvila in objavila ENISA, vključno s specifikacijami za druge gospodarske sektorje, kadar je to ustrezno. Evropski nadzorni organi za namene uporabe meril, določenih v členu 4(2), ustrezno upoštevajo, da morajo mikropodjetja ter mala in srednja podjetja mobilizirati zadostna sredstva in zmožnosti za zagotovitev hitrega obvladovanja incidentov, povezanih z IKT.

Evropski nadzorni organi te skupne osnutke regulativnih tehničnih standardov Komisiji predložijo do 17. januarja 2024.

Na Komisijo se prenese pooblastilo za dopolnitev te uredbe s sprejetjem regulativnih tehničnih standardov iz odstavka 3 v skladu s členi 10 do 14 uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010.

1.   Finančni subjekti o večjih incidentih, povezanih z IKT, poročajo ustreznemu pristojnemu organu iz člena 46 v rokih v skladu z odstavkom 4 tega člena.

Kadar finančni subjekt nadzira več kot en nacionalni pristojni organ iz člena 46, države članice imenujejo en sam pristojni organ kot ustrezni pristojni organ, odgovoren za izvajanje funkcij in dolžnosti iz tega člena.

Kreditne institucije, razvrščene kot pomembne v skladu s členom 6(4) Uredbe (EU) št. 1024/2013, poročajo o večjih incidentih, povezanih z IKT, ustreznemu nacionalnemu pristojnemu organu, imenovanemu v skladu s členom 4 Direktive 2013/36/EU, ki to poročilo nemudoma posreduje ECB.

Za namene prvega pododstavka finančni subjekti po zbiranju in analizi vseh ustreznih informacij v skladu s predlogami iz člena 20 pripravijo začetno uradno obvestilo in poročila iz odstavka 4 tega člena in jih posredujejo pristojnemu organu. Če začetnega uradnega obvestila zaradi tehničnih razlogov ni mogoče predložiti v skladu s predlogo, finančni subjekti pristojni organ o njem uradno obvestijo na drug način.

Začetno uradno obvestilo in poročila iz odstavka 4 vključujejo vse informacije, ki so potrebne, da pristojni organ ugotovi pomen večjega incidenta, povezanega z IKT, in oceni možne čezmejne učinke.

Brez poseganja v poročanje finančnega subjekta ustreznemu pristojnemu organu na podlagi prvega pododstavka lahko države članice dodatno določijo, da nekateri ali vsi finančni subjekti začetno uradno obvestilo in vsako poročilo iz odstavka 4 tega člena v skladu s predlogo iz člena 20 predložijo tudi pristojnim organom ali skupinam za odzivanje na incidente na področju računalniške varnosti (CSIRT), imenovanim ali vzpostavljenim v skladu z Direktivo (EU) 2022/2555.

2.   Finančni subjekti lahko o pomembnih kibernetskih grožnjah prostovoljno uradno obvestijo ustrezni pristojni organ, če menijo, da je grožnja relevantna za finančni sistem, uporabnike storitev ali stranke. Ustrezni pristojni organ lahko te informacije posreduje drugim ustreznim organom iz odstavka 6.

Kreditne institucije, razvrščene kot pomembne v skladu s členom 6(4) Uredbe (EU) št. 1024/2013, lahko o pomembnih kibernetskih grožnjah prostovoljno uradno obvestijo ustrezni nacionalni pristojni organ, imenovan v skladu s členom 4 Direktive 2013/36/EU, ki to obvestilo nemudoma posreduje ECB.

Države članice lahko določijo, da lahko finančni subjekti, ki prostovoljno pošljejo uradno obvestilo v skladu s prvim pododstavkom, to obvestilo posredujejo tudi skupinam CSIRT, imenovanim ali vzpostavljenim v skladu z Direktivo (EU) 2022/2555.

3.   V primeru večjega incidenta, povezanega z IKT, ki vpliva na finančne interese strank, finančni subjekti takoj, ko izvedo za incident, brez nepotrebnega odlašanja obvestijo svoje stranke o njem in o ukrepih, ki so bili sprejeti za zmanjšanje njegovih škodljivih učinkov.

V primeru pomembne kibernetske grožnje finančni subjekti svoje stranke, ki bi lahko bile prizadete, po potrebi obvestijo o vseh ustreznih zaščitnih ukrepih, ki bi jih te lahko sprejele.

4.   Finančni subjekti v rokih, ki se določijo v skladu s členom 20, prvi odstavek, točka (a), točka (ii), ustreznemu pristojnemu organu predložijo naslednje:

5.   Finančni subjekti lahko v skladu s sektorskim pravom Unije in nacionalnim sektorskim pravom obveznosti poročanja iz tega člena oddajo v zunanje izvajanje tretjemu ponudniku storitev. V primerih tovrstnega zunanjega izvajanja finančni subjekt ostane v celoti odgovoren za izpolnjevanje zahtev glede poročanja o incidentih.

6.   Pristojni organ po prejemu začetnega uradnega obvestila in vsakega poročila iz odstavka 4 pravočasno zagotovi podrobnosti o večjem incidentu, povezanem z IKT, naslednjim prejemnikom, in sicer na podlagi njihovih pristojnosti, kot je ustrezno:

7.   EBA, ESMA ali EIOPA in ECB po prejemu informacij v skladu z odstavkom 6 v posvetovanju z ENISA ter v sodelovanju z ustreznim pristojnim organom ocenijo, ali večji incident, povezan z IKT, zadeva pristojne organe v drugih državah članicah. EBA, ESMA ali EIOPA po tej oceni o tem čim prej uradno obvestijo ustrezne pristojne organe v drugih državah članicah. ECB člane Evropskega sistema centralnih bank obvesti o zadevah, pomembnih za plačilni sistem. Pristojni organi na podlagi obvestila, kadar je ustrezno, sprejmejo vse potrebne ukrepe za zagotovitev takojšnje stabilnosti finančnega sistema.

8.   Uradno obvestilo, ki ga ESMA pošlje na podlagi odstavka 7 tega člena, ne posega v odgovornost pristojnega organa, da nemudoma posreduje podrobnosti o večjem incidentu, povezanem z IKT, ustreznemu organu v državi članici gostiteljici, kadar centralna depotna družba opravlja pomembno čezmejno dejavnost v državi članici gostiteljici, kadar bo večji incident, povezan z IKT, verjetno imel resne posledice za finančne trge države članice gostiteljice ter kadar med pristojnimi organi obstajajo dogovori o sodelovanju v zvezi z nadzorom finančnih subjektov.

1.   Evropski nadzorni organi prek Skupnega odbora in v posvetovanju z ECB in ENISA pripravijo skupno poročilo, v katerem ocenijo izvedljivost nadaljnje centralizacije poročanja o incidentih z vzpostavitvijo enotnega vozlišča EU, kjer lahko finančni subjekti poročajo o večjih incidentih, povezanih z IKT. V skupnem poročilu se preuči, kako olajšati pretok poročanja o incidentih, povezanih z IKT, znižati s tem povezane stroške in podpirati tematske analize za povečanje konvergence nadzora.

2.   Skupno poročilo iz odstavka 1 vsebuje vsaj naslednje elemente:

3.   Evropski nadzorni organi poročilo iz odstavka 1 predložijo Evropskemu parlamentu, Svetu in Komisiji do 17. januarja 2025.

1.   Brez poseganja v tehnične prispevke, nasvete ali popravne ukrepe ter nadaljnje ukrepe, ki jih lahko po potrebi v skladu z nacionalnim pravom skupine CSIRT zagotovijo na podlagi Direktive (EU) 2022/2555, pristojni organ po prejemu začetnega uradnega obvestila in vsakega poročila iz člena 19(4) potrdi prejem ter lahko, kadar je to mogoče, finančnemu subjektu pravočasno zagotovi ustrezne in sorazmerne povratne informacije ali smernice na visoki ravni, zlasti z omogočanjem dostopa do relevantnih anonimiziranih informacij in podatkov o podobnih grožnjah, ter lahko razpravlja o popravnih ukrepih, izvedenih na ravni finančnega subjekta, in načinih za zmanjšanje in ublažitev škodljivih vplivov v finančnem sektorju. Brez poseganja v prejete povratne informacije nadzornih organov so finančni subjekti še naprej v celoti odgovorni za obravnavo incidentov, povezanih z IKT, o katerih se poroča na podlagi člena 19(1), in za njihove posledice.

2.   Evropski nadzorni organi prek Skupnega odbora na anonimni podlagi in združeno enkrat letno poročajo o večjih incidentih, povezanih z IKT, katerih podrobnosti zagotovijo pristojni organi v skladu s členom 19(6), pri čemer navedejo vsaj število večjih incidentov, povezanih z IKT, njihovo naravo, njihov učinek na poslovanje finančnih subjektov ali strank, izvedene popravne ukrepe in nastale stroške.

Evropski nadzorni organi izdajo opozorila in pripravijo statistične podatke na visoki ravni v podporo ocenam groženj in ranljivosti na področju IKT.

1.   Finančni subjekti, ki niso mikropodjetja, za namene ocenjevanja pripravljenosti na obvladovanje incidentov, povezanih z IKT, identificiranja slabosti, pomanjkljivosti in vrzeli v digitalni operativni odpornosti in takojšnjega izvajanja popravnih ukrepov ob upoštevanju meril iz člena 4(2) vzpostavijo, vzdržujejo in pregledujejo trden in celovit program za testiranje digitalne operativne odpornosti v sklopu okvira za obvladovanje tveganj na področju IKT iz člena 6.

2.   V program za testiranje digitalne operativne odpornosti se vključi vrsta ocen, testov, metodologij, praks in orodij, ki se uporabljajo v skladu s členoma 25 in 26.

3.   Finančni subjekti, ki niso mikropodjetja, pri izvajanju programa za testiranje digitalne operativne odpornosti iz odstavka 1 tega člena sledijo pristopu, ki temelji na tveganju, pri čemer upoštevajo merila, določena v členu 4(2), tako da ustrezno pozornost namenijo spreminjajoči se krajini tveganj na področju IKT, morebitnim posebnim tveganjem, ki jim je zadevni finančni subjekt izpostavljen ali bi lahko bil izpostavljen, kritičnosti informacijskih sredstev in storitev, ki se opravljajo, ter vsem drugim dejavnikom, ki se jim zdijo ustrezni.

4.   Finančni subjekti, ki niso mikropodjetja, zagotovijo, da teste izvajajo notranje ali zunanje neodvisne strani. Kadar teste izvajajo notranji preizkuševalci, finančni subjekti temu namenijo zadostna sredstva in zagotovijo, da se v fazi zasnove in izvedbe testa preprečijo nasprotja interesov.

5.   Finančni subjekti, ki niso mikropodjetja, vzpostavijo postopke in politike za prednostno obravnavo, razvrstitev in odpravo vseh težav, ki so se pokazale med izvajanjem testov, ter vzpostavijo notranje metodologije za validacijo, da ugotovijo, ali so v celoti obravnavane vse identificirane slabosti, pomanjkljivosti ali vrzeli.

6.   Finančni subjekti, ki niso mikropodjetja, vsaj enkrat letno zagotovijo, da se ustrezno testirajo vsi sistemi in aplikacije IKT, ki podpirajo kritične ali pomembne funkcije.

1.   Program za testiranje digitalne operativne odpornosti iz člena 24 zagotavlja – v skladu z merili, določenimi v členu 4(2), – izvajanje ustreznih testov, kot so ocene in pregledi ranljivosti, analize odprtokodne programske opreme, ocene varnosti omrežja, analize vrzeli, pregledi fizične varnosti, vprašalniki in rešitve za preiskovanje programske opreme, pregledi izvorne kode, kadar je to mogoče, testiranja na podlagi scenarijev, testi združljivosti, testi učinkovitosti, celovita testiranja in penetracijsko testiranje.

2.   Centralne depotne družbe in centralne nasprotne stranke izvedejo ocene ranljivosti pred kakršno koli uvedbo ali prerazporeditvijo novih ali obstoječih aplikacij in infrastruturnih komponent ter storitev IKT, ki podpirajo kritične ali pomembne funkcije finančnega subjekta.

3.   Mikropodjetja opravijo teste iz odstavka 1 tako, da združijo pristop, ki temelji na tveganju, s strateškim načrtovanjem testiranja IKT, pri čemer ustrezno upoštevajo potrebo po ohranjanju uravnoteženega pristopa med obsegom virov in časom, ki se nameni testu IKT iz tega člena, na eni strani ter nujnostjo, vrsto tveganja, kritičnostjo informacijskih sredstev in opravljenih storitev ter kakršnimi koli drugimi ustreznimi dejavniki, vključno z zmožnostjo finančnega subjekta, da premišljeno tvega, na drugi strani.

1.   Finančni subjekti, ki niso subjekti iz člena 16(1), prvi pododstavek, in niso mikropodjetja ter so opredeljeni v skladu z odstavkom 8, tretji pododstavek, tega člena vsaj vsaka tri leta izvedejo napredno penetracijsko testiranje na podlagi analize groženj. Na podlagi profila tveganja finančnega subjekta in ob upoštevanju operativnih okoliščin lahko pristojni organ po potrebi od finančnega subjekta zahteva, da to stori manj ali bolj pogosto.

2.   Vsak penetracijski test na podlagi analize groženj zajema nekatere ali vse kritične ali pomembne funkcije finančnega subjekta ter se izvaja na aktivnih produkcijskih sistemih, ki podpirajo take funkcije.

Finančni subjekti identificirajo vse ustrezne osnovne sisteme, postopke in tehnologije IKT, ki podpirajo kritične ali pomembne funkcije ter storitve IKT, vključno s tistimi, ki podpirajo kritične ali pomembne funkcije, ki so oddane v zunanje izvajanje ali pogodbeno izvajanje tretjim ponudnikom storitev IKT.

Finančni subjekti ocenijo, katere kritične ali pomembne funkcije morajo biti zajete v penetracijsko testiranje na podlagi analize groženj. Rezultat te ocene določi natančen obseg penetracijskega testiranja na podlagi analize groženj, potrdijo pa ga pristojni organi.

3.   Kadar so tretji ponudniki storitev IKT vključeni v obseg penetracijskega testiranja na podlagi analize groženj, finančni subjekt sprejme potrebne in zaščitne ukrepe, da zagotovi sodelovanje teh tretjih ponudnikov storitev IKT pri penetracijskem testiranju na podlagi analize groženj, ter je ves čas v celoti odgovoren za izpolnjevanje obveznosti iz te uredbe.

4.   Brez poseganja v odstavek 2, prvi in drugi pododstavek, se lahko finančni subjekt in tretji ponudnik storitev IKT, kadar se razumno pričakuje, da bo sodelovanje tretjega ponudnika storitev IKT pri penetracijskem testiranju na podlagi analize groženj iz odstavka 3 škodljivo vplivalo na kakovost ali varnost storitev, ki jih tretji ponudnik storitev IKT zagotavlja strankam, ki so subjekti, ki ne spadajo na področje uporabe te uredbe, ali na zaupnost podatkov, povezanih s takimi storitvami, pisno dogovorita, da tretji ponudnik storitev IKT sklene pogodbene dogovore neposredno z zunanjim preizkuševalcem, z namenom da se pod vodstvom enega imenovanega finančnega subjekta izvede skupno penetracijsko testiranje na podlagi analize groženj, ki vključuje več finančnih subjektov (skupno testiranje), za katere tretji ponudnik storitev IKT opravlja storitve IKT.

To skupno testiranje zajema ustrezen nabor storitev IKT, ki podpirajo kritične ali pomembne funkcije, ki jih finančni subjekti v skladu s pogodbo zagotavljajo zadevnim tretjim ponudnikom storitev IKT. Skupno testiranje se šteje za penetracijsko testiranje na podlagi analize groženj, ki ga izvajajo finančni subjekti, ki sodelujejo pri skupnem testiranju.

Število finančnih subjektov, ki sodelujejo pri skupnem testiranju, se ustrezno prilagodi glede na kompleksnost in vrsto storitev, ki so v to vključene.

5.   Finančni subjekti v sodelovanju s tretjimi ponudniki storitev IKT in udeleženimi stranmi, vključno s preizkuševalci, ne pa s pristojnimi organi, uporabljajo učinkovite kontrole za obvladovanje tveganj, da ublažijo tveganja morebitnega vpliva na podatke, škodo na sredstvih in motnje v kritičnih ali pomembnih funkcijah, storitvah ali poslovanju samega finančnega subjekta, njegovih nasprotnih strank ali v finančnem sektorju.

6.   Na koncu testiranja, po dogovoru glede poročil in sanacijskih načrtov, finančni subjekt in po potrebi zunanji preizkuševalci organu, imenovanemu v skladu z odstavkom 9 ali 10, predložijo povzetek relevantnih ugotovitev, sanacijske načrte in dokumentacijo, ki dokazuje, da je bilo penetracijsko testiranje na podlagi analize groženj izvedeno v skladu z zahtevami.

7.   Organi finančnim subjektom izdajo potrdilo, da je bilo testiranje izvedeno v skladu z zahtevami, kot je razvidno iz dokumentacije, da bi lahko pristojni organi penetracijske teste na podlagi analize groženj vzajemno priznali. Finančni subjekt ustrezni pristojni organ uradno obvesti o potrdilu, povzetku relevantnih ugotovitev in sanacijskih načrtih.

Brez poseganja v takšno potrdilo so finančni subjekti vedno v celoti odgovorni za vpliv testiranj iz odstavka 4.

8.   Finančni subjekti za namene izvajanja penetracijskega testiranja na podlagi analize groženj sklenejo pogodbo s preizkuševalci v skladu s členom 27. Ko finančni subjekti uporabljajo notranje preizkuševalce za namene izvajanja penetracijskega testiranja na podlagi analize groženj, sklenejo pogodbo z zunanjim preizkuševalcem za vsak tretji test.

Kreditne institucije, ki so razvrščene kot pomembne v skladu s členom 6(4) Uredbe (EU) št. 1024/2013, uporabljajo zunanje preizkuševalce samo v skladu s členom 27(1), točke (a) do (e).

Pristojni organi finančne subjekte, ki morajo izvesti penetracijsko testiranje na podlagi analize groženj, opredelijo tako, da upoštevajo merila iz člena 4(2), ter na podlagi ocene:

9.   Države članice lahko imenujejo en sam javni organ v finančnem sektorju, ki bo na nacionalni ravni odgovoren za zadeve, povezane s penetracijskim testiranjem na podlagi analize groženj v finančnem sektorju, in mu v ta namen zaupajo vse pristojnosti in naloge.

10.   Brez imenovanja v skladu z odstavkom 9 tega člena in brez poseganja v pooblastilo za opredelitev finančnih subjektov, od katerih se zahteva, da izvedejo penetracijsko testiranje na podlagi analize groženj, lahko pristojni organ prenese izvajanje nekaterih ali vseh nalog iz tega člena in člena 27 na drug nacionalni organ v finančnem sektorju.

11.   Evropski nadzorni organi v dogovoru z ECB pripravijo skupne osnutke regulativnih tehničnih standardov v skladu z okvirom TIBER-EU, da bi podrobneje opredelili:

Evropski nadzorni organi pri pripravi teh osnutkov regulativnih tehničnih standardov ustrezno upoštevajo vse specifične značilnosti, ki izhajajo iz posebne narave dejavnosti v različnih sektorjih finančnih storitev.

Evropski nadzorni organi te osnutke regulativnih tehničnih standardov Komisiji predložijo do 17. julija 2024.

Na Komisijo se prenese pooblastilo za dopolnitev te uredbe s sprejetjem regulativnih tehničnih standardov iz prvega pododstavka v skladu s členi 10 do 14 uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010.

1.   Finančni subjekti za izvedbo penetracijskega testiranja na podlagi analize groženj uporabljajo samo preizkuševalce, ki:

2.   Kadar uporabijo notranje preizkuševalce, finančni subjekti zagotovijo, da so poleg zahtev iz odstavka 1 izpolnjeni naslednji pogoji:

3.   Finančni subjekti zagotovijo, da se v pogodbah, sklenjenih z zunanjimi preizkuševalci, zahteva dobro upravljanje rezultatov penetracijskega testiranja na podlagi analize groženj in da kakršna koli obdelava podatkov, vključno z ustvarjanjem, shranjevanjem, združevanjem, osnutki, poročanjem, obveščanjem ali uničenjem, finančnega subjekta ne izpostavlja tveganjem.

1.   Finančni subjekti obvladujejo tveganja tretjih strani na področju IKT kot sestavni del tveganj na področju IKT v sklopu okvira za obvladovanje tveganj na področju IKT iz člena 6(1) v skladu z naslednjimi načeli:

2.   Finančni subjekti, ki niso subjekti iz člena 16(1), prvi pododstavek, in niso mikropodjetja, v sklopu svojega okvira za obvladovanje tveganj na področju IKT sprejmejo in redno pregledujejo strategijo o tveganju tretjih strani na področju IKT, pri čemer upoštevajo večdobaviteljsko strategijo iz člena 6(9), kadar je ustrezno. Strategija o tveganju tretjih strani na področju IKT vključuje politiko o uporabi storitev IKT, ki podpirajo kritične ali pomembne funkcije, ki jih opravljajo tretji ponudniki storitev IKT, in se uporablja na posamični podlagi in, kadar je ustrezno, na subkonsolidirani in konsolidirani podlagi. Upravljalni organ na podlagi ocene splošnega profila tveganja finančnega subjekta ter obsega in kompleksnosti njegovih poslovnih storitev redno pregleduje tveganja, identificirana v zvezi s pogodbenimi dogovori o uporabi storitev IKT, ki podpirajo kritične ali pomembne funkcije.

3.   Finančni subjekti v sklopu svojega okvira za obvladovanje tveganj na področju IKT na ravni subjekta ter na subkonsolidirani in konsolidirani ravni vzdržujejo in posodabljajo register informacij v zvezi z vsemi pogodbenimi dogovori o uporabi storitev IKT, ki jih opravljajo tretji ponudniki storitev IKT.

Pogodbeni dogovori iz prvega pododstavka se ustrezno dokumentirajo, pri čemer se razlikuje med tistimi, ki zajemajo storitve IKT, ki podpirajo kritične ali pomembne funkcije, in tistimi, ki ne zajemajo takih funkcij.

Finančni subjekti pristojnim organom vsaj enkrat letno poročajo o številu novih dogovorov o uporabi storitev IKT, kategorijah tretjih ponudnikov storitev IKT, vrsti pogodbenih dogovorov ter storitvah in funkcijah IKT, ki se opravljajo.

Finančni subjekti pristojnemu organu na njegovo zahtevo predložijo celoten register informacij ali, kot se zahteva, določene oddelke registra, skupaj z vsemi informacijami, za katere se meni, da so potrebne za učinkovit nadzor finančnega subjekta.

Finančni subjekti pravočasno obvestijo pristojni organ o kakršnem koli načrtovanem pogodbenem dogovoru o uporabi storitev IKT, ki podpirajo kritične ali pomembne funkcije, in o tem, kdaj je funkcija postala kritična ali pomembna.

4.   Finančni subjekti pred sklenitvijo pogodbenega dogovora o uporabi storitev IKT:

5.   Finančni subjekti lahko sklepajo pogodbene dogovore samo s tretjimi ponudniki storitev IKT, ki izpolnjujejo standarde informacijske varnosti. Kadar ti pogodbeni dogovori zadevajo kritične ali pomembne funkcije, finančni subjekti pred sklenitvijo dogovorov ustrezno upoštevajo, ali tretji ponudniki storitev IKT uporabljajo najnovejše in najkakovostnejše standarde informacijske varnosti.

6.   Finančni subjekti pri uveljavljanju pravic do dostopa, inšpekcijskih pregledov in revizij pri tretjem ponudniku storitev IKT vnaprej določijo pogostost revizij in inšpekcijskih pregledov ter področja, ki jih je treba revidirati, na podlagi pristopa, ki temelji na tveganju, in ob upoštevanju splošno sprejetih revizijskih standardov v skladu z vsemi nadzornimi navodili o uporabi in vključitvi takih revizijskih standardov.

Kadar so pogodbeni dogovori o uporabi storitev IKT, sklenjeni s tretjimi ponudniki storitev IKT, tehnično zelo zapleteni, finančni subjekt preveri, ali imajo revizorji, ne glede na to, ali so to notranji ali zunanji revizorji oziroma skupine revizorjev, ustrezne spretnosti in znanje za učinkovito izvajanje ustreznih revizij in ocen.

7.   Finančni subjekti zagotovijo, da se pogodbeni dogovori o uporabi storitev IKT lahko prekinejo v kateri koli od naslednjih okoliščin:

8.   Finančni subjekti vzpostavijo izhodne strategije za storitve IKT, ki podpirajo kritične ali pomembne funkcije. V izhodnih strategijah se upoštevajo tveganja, ki se lahko pojavijo na ravni tretjih ponudnikov storitev IKT, zlasti njihovo morebitno prenehanje delovanja, poslabšanje kakovosti opravljenih storitev IKT, kakršne koli motnje v poslovanju zaradi neprimernega ali neuspešnega opravljanja storitev ali kakršno koli pomembno tveganje, ki izhaja iz ustrezne in stalne uporabe zadevne storitve IKT, ali odpoved pogodbenih dogovorov s tretjimi ponudniki storitev IKT v kateri koli od okoliščin iz odstavka 7.

Finančni subjekti zagotovijo, da lahko prekinejo pogodbene dogovore brez:

Izhodni načrti morajo biti izčrpni, dokumentirani ter morajo biti v skladu z merili, določenimi v členu 4(2), zadostno testirani in redno pregledovani.

Finančni subjekti identificirajo alternativne rešitve in oblikujejo prehodne načrte, ki jim omogočajo, da tretjemu ponudniku storitev IKT odvzamejo pogodbene storitve IKT in ustrezne podatke ter jih varno in celovito prenesejo k alternativnim ponudnikom ali jih ponovno vključijo v lastno podjetje.

Finančni subjekti vzpostavijo ukrepe ob nepredvidljivih dogodkih za ohranitev neprekinjenosti poslovanja v primeru okoliščin iz prvega pododstavka.

9.   Evropski nadzorni organi prek Skupnega odbora pripravijo osnutke izvedbenih tehničnih standardov za vzpostavitev standardnih predlog za namene registra informacij iz odstavka 3, vključno z informacijami, ki so skupne vsem pogodbenim dogovorom o uporabi storitev IKT. Evropski nadzorni organi te osnutke izvedbenih tehničnih standardov Komisiji predložijo do 17. januarja 2024.

Na Komisijo se prenese pooblastilo za sprejetje izvedbenih tehničnih standardov iz prvega pododstavka v skladu s členom 15 uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010.

10.   Evropski nadzorni organi prek Skupnega odbora pripravijo osnutke regulativnih tehničnih standardov, da nadalje opredelijo podrobno vsebino politike iz odstavka 2 v zvezi s pogodbenimi dogovori o uporabi storitev IKT, ki podpirajo kritične ali pomembne funkcije, ki jih opravljajo tretji ponudniki storitev IKT.

Evropski nadzorni organi pri oblikovanju navedenih osnutkov regulativnih tehničnih standardov upoštevajo velikost in splošni profil tveganja finančnega subjekta ter naravo, obseg in kompleksnost njegovih storitev, dejavnosti in poslovanja. Evropski nadzorni organi te osnutke regulativnih tehničnih standardov Komisiji predložijo do 17. januarja 2024.

Na Komisijo se prenese pooblastilo za dopolnitev te uredbe s sprejetjem regulativnih tehničnih standardov iz prvega pododstavka v skladu s členi 10 do 14 uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010.

1.   Finančni subjekti pri identificiranju in ocenjevanju tveganj iz člena 28(4), točka (c), upoštevajo tudi, ali bi predvidena sklenitev pogodbenega dogovora v zvezi s storitvami IKT, ki podpirajo kritične ali pomembne funkcije, povzročila:

Finančni subjekti pretehtajo koristi in stroške alternativnih rešitev, kot je uporaba različnih tretjih ponudnikov storitev IKT, pri čemer upoštevajo, ali in kako predvidene rešitve ustrezajo poslovnim potrebam in ciljem iz njihove strategije za digitalno odpornost.

2.   Kadar pogodbeni dogovori o uporabi storitev IKT, ki podpirajo kritične ali pomembne funkcije, vključujejo možnost, da tretji ponudnik storitev IKT kritično ali pomembno funkcijo nadalje odda v podizvajanje drugim tretjim ponudnikom storitev IKT, finančni subjekti pretehtajo koristi in tveganja, ki lahko nastanejo v povezavi s tako morebitno oddajo v podizvajanje, zlasti v primeru podizvajalca storitev IKT s sedežem v tretji državi.

Kadar pogodbeni dogovori zadevajo storitve IKT, ki podpirajo kritične ali pomembne funkcije, finančni subjekti ustrezno upoštevajo določbe insolvenčnega prava, ki bi veljale v primeru stečaja tretjega ponudnika storitev IKT ter kakršno koli omejitev, ki se lahko pojavi v zvezi z nujno obnovitvijo podatkov finančnega subjekta.

Kadar se pogodbeni dogovori o uporabi storitev IKT, ki podpirajo kritične ali pomembne funkcije, sklenejo s tretjim ponudnikom storitev IKT s sedežem v tretji državi, finančni subjekti poleg dejavnikov iz drugega pododstavka upoštevajo še skladnost s pravili Unije o varstvu podatkov in učinkovitost izvrševanja prava v tej tretji državi.

Kadar pogodbeni dogovori o uporabi storitev IKT, ki podpirajo kritične ali pomembne funkcije, vključujejo možnost podizvajanja, finančni subjekti ocenijo, ali in kako lahko potencialno dolge ali zapletene verige podizvajanja vplivajo na njihovo zmožnost popolnega spremljanja pogodbenih funkcij in na zmožnost pristojnega organa, da v zvezi s tem učinkovito nadzoruje finančni subjekt.

1.   Pravice in obveznosti finančnega subjekta in tretjega ponudnika storitev IKT se jasno dodelijo in določijo v pisni obliki. Celotna pogodba vključuje sporazume o ravni storitve in se dokumentira v enem pisnem dokumentu, ki je na voljo strankam v papirni obliki ali v dokumentu druge oblike, ki jo je mogoče prenesti in trajna in dostopna.

2.   V pogodbene dogovore o uporabi storitev IKT se vključijo vsaj naslednji elementi:

3.   V pogodbene dogovore o uporabi storitev IKT, ki podpirajo kritične ali pomembne funkcije, se poleg elementov iz odstavka 2 vključi vsaj naslednje:

Z odstopanjem od točke (e) se lahko tretji ponudnik storitev IKT in finančni subjekt, ki je mikropodjetje, dogovorita, da se lahko pravice finančnega subjekta do dostopa, inšpekcijskega pregleda in revizije prenesejo na neodvisno tretjo stran, ki jo imenuje tretji ponudnik storitev IKT, finančni subjekt pa lahko od tretje strani kadar koli zahteva informacije in zagotovila glede uspešnosti tretjega ponudnika storitev IKT.

4.   Pri pogajanjih o pogodbenih dogovorih finančni subjekti in tretji ponudniki storitev IKT upoštevajo uporabo standardnih pogodbenih klavzul, ki jih javni organi oblikujejo za določene storitve.

5.   Evropski nadzorni organi prek Skupnega odbora pripravijo osnutke regulativnih tehničnih standardov, da natančneje opredelijo elemente iz odstavka 2, točka (a), ki jih mora finančni subjekt določiti in oceniti pri oddaji storitev IKT, ki podpirajo kritične ali pomembne funkcije, v podizvajanje.

Evropski nadzorni organi pri oblikovanju navedenih osnutkov regulativnih tehničnih standardov upoštevajo velikost in splošni profil tveganja finančnega subjekta ter naravo, obseg in kompleksnost njegovih storitev, dejavnosti in poslovanja.

Evropski nadzorni organi te osnutke regulativnih tehničnih standardov Komisiji predloži do 17. julija 2024.

Na Komisijo se prenese pooblastilo za dopolnitev te uredbe s sprejetjem regulativnih tehničnih standardov iz prvega pododstavka v skladu s členi 10 do 14 uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010.

1.   Evropski nadzorni organi prek Skupnega odbora in na podlagi priporočila nadzorniškega foruma, ustanovljenega v skladu s členom 32(1):

2.   Imenovanje iz odstavka 1, točka (a), temelji na vseh naslednjih merilih v zvezi s storitvami IKT, ki jih opravlja tretji ponudnik storitev IKT:

3.   Kadar je tretji ponudnik storitev IKT del skupine, se merila iz odstavka 2 upoštevajo v zvezi s storitvami IKT, ki jih opravlja skupina kot celota.

4.   Za lažjo komunikacijo z glavnim nadzornikom in zagotovitev ustrezne zastopanosti ključni tretji ponudniki storitev IKT, ki so del skupine, za svojo koordinacijsko točko imenujejo eno pravno osebo.

5.   Glavni nadzornik obvesti tretjega ponudnika storitev IKT o rezultatih ocene, ki je podlaga za imenovanje iz odstavka 1, točka (a). Tretji ponudnik storitev IKT lahko v šestih tednih od datuma obvestila glavnemu nadzorniku predloži utemeljeno izjavo z vsemi ustreznimi informacijami za namene ocene. Glavni nadzornik preuči utemeljeno izjavo in lahko zahteva predložitev dodatnih informacij v 30 koledarskih dneh od prejema te izjave.

Potem ko evropski nadzorni organi prek Skupnega odbora tretjega ponudnika storitev IKT imenuje za ključnega ponudnika, o tem imenovanju in datumu začetka, od katerega bo dejansko predmet nadzornih dejavnosti, obvestijo tretjega ponudnika storitev IKT. Datum začetka nastopi najpozneje en mesec po obvestilu. Tretji ponudnik storitev IKT obvesti finančne subjekte, za katere opravlja storitve, da je imenovan za ključnega ponudnika.

6.   Na Komisijo se prenese pooblastilo, da do 17. julija 2024 sprejme delegirani akt v skladu s členom 57 za dopolnitev te uredbe z nadaljnjo opredelitvijo meril iz odstavka 2 tega člena.

7.   Imenovanje iz odstavka 1, točka (a), se ne uporablja, dokler Komisija ne sprejme delegiranega akta v skladu z odstavkom 6.

8.   Imenovanje iz odstavka 1, točka (a), ne velja za naslednje:

9.   Evropski nadzorni organi prek Skupnega odbora vsako leto pripravijo, objavijo in posodobijo seznam ključnih tretjih ponudnikov storitev IKT na ravni Unije.

10.   Za namene odstavka 1, točka (a), pristojni organi na letni in zbirni ravni pošljejo poročila iz člena 28(3), tretji pododstavek, nadzorniškemu forumu, ustanovljenemu na podlagi člena 32. Nadzorniški forum na podlagi informacij, ki jih prejme od pristojnih organov, oceni odvisnosti finančnih subjektov od tretjih strani na področju IKT.

11.   Tretji ponudniki storitev IKT, ki niso vključeni na seznam iz odstavka 9, lahko zaprosijo, da se jih imenuje za ključne ponudnike v skladu z odstavkom 1, točka (a).

Za namene prvega pododstavka tretji ponudnik storitev IKT predloži utemeljeno zahtevo EBA, ESMA ali EIOPA, ki se prek Skupnega odbora odloči, ali bo navedenega tretjega ponudnika storitev IKT imenoval za ključnega ponudnika v skladu z odstavkom 1, točka (a).

Odločitev iz drugega pododstavka se sprejme in sporoči tretjemu ponudniku storitev IKT v šestih mesecih po prejemu vloge.

12.   Finančni subjekti smejo uporabljati samo storitve tretjega ponudnika storitev IKT s sedežem v tretji državi, ki je bil imenovan za ključnega v skladu z odstavkom 1, točka (a), če je ta v 12 mesecih po imenovanju v Uniji ustanovil odvisno podjetje.

13.   Ključni tretji ponudnik storitev IKT iz odstavka 12 uradno obvesti glavnega nadzornika o vseh spremembah strukture upravljanja odvisnega podjetja, ustanovljenega v Uniji.

1.   Skupni odbor v skladu s členom 57(1) uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010 ustanovi nadzorniški forum kot pododbor, ki podpira naloge Skupnega odbora in glavnega nadzornika iz člena 31(1), točka (b), na področju tveganj tretjih strani na področju IKT v finančnih sektorjih. Nadzorniški forum pripravi osnutke skupnih stališč in osnutke skupnih aktov Skupnega odbora na navedenem področju.

Nadzorniški forum redno razpravlja o relevantnih spremembah pri tveganjih in ranljivostih na področju IKT ter spodbuja dosleden pristop pri spremljanju tveganja tretjih strani na področju IKT na ravni Unije.

2.   Nadzorniški forum enkrat letno opravi kolektivno oceno rezultatov in ugotovitev nadzornih dejavnosti, ki se izvajajo za vse ključne tretje ponudnike storitev IKT, in spodbuja usklajevalne ukrepe za povečanje digitalne operativne odpornosti finančnih subjektov ter spodbujanje najboljših praks pri obravnavanju tveganj koncentracije na področju IKT in raziskovanje načinov za zmanjševanje tveganja za medsektorske prenose tveganja.

3.   Nadzorniški forum predloži izčrpne referenčne vrednosti za ključne tretje ponudnike storitev IKT, ki jih Skupni odbor sprejme kot skupna stališča evropskih nadzornih organov v skladu s členom 56(1) uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010.

4.   Nadzorniški forum sestavljajo:

Nadzorniški forum se lahko po potrebi posvetuje z neodvisnimi strokovnjaki, imenovanimi v skladu z odstavkom 6.

5.   Vsaka država članica imenuje ustrezni pristojni organ, katerega član osebja je predstavnik na visoki ravni iz odstavka 4, prvi pododstavek, točka (b), in o tem obvesti glavnega nadzornika.

Evropski nadzorni organi na svojem spletnem mestu objavijo seznam predstavnikov na visoki ravni, izbranih med osebjem, zaposlenim v ustreznem pristojnem organu, ki jih imenujejo države članice.

6.   Neodvisne strokovnjake iz odstavka 4, drugi pododstavek, imenuje nadzorniški forum, ki jih na podlagi javnega in preglednega postopka prijave izbere iz nabora strokovnjakov.

Neodvisni strokovnjaki so imenovani na podlagi strokovnega znanja o finančni stabilnosti, digitalni operativni odpornosti in varnostnih vprašanjih na področju IKT. Delujejo neodvisno in objektivno, izključno v interesu Unije kot celote ter ne zahtevajo in ne sprejemajo navodil institucij ali organov Unije, katere koli vlade države članice ali katerih koli drugih javnih ali zasebnih organov.

7.   Evropski nadzorni organi v skladu s členom 16 uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010 do 17. julija 2024 za namene tega oddelka izdajo smernice o sodelovanju med evropskimi nadzornimi organi in pristojnimi organi, ki zajemajo podrobne postopke in pogoje za razdelitev in izvajanje nalog med pristojnimi organi in evropskimi nadzornimi organi ter podrobnosti glede izmenjave informacij, ki so potrebne, da organi zagotovijo nadaljnje ukrepanje na podlagi priporočil iz člena 35(1), točka (d), naslovljeno na ključne tretje ponudnike storitev IKT.

8.   Zahteve iz tega oddelka ne posegajo v uporabo Direktive (EU) 2022/2555 in drugih pravil Unije o nadzoru, ki veljajo za ponudnike storitev računalništva v oblaku.

9.   Evropski nadzorni organi prek Skupnega odbora in na podlagi pripravljalnega dela, ki ga izvede nadzorniški forum, enkrat letno predložijo poročilo o uporabi tega oddelka Evropskemu parlamentu, Svetu in Komisiji.

1.   Glavni nadzornik, imenovan v skladu s členom 31(1), točka (b), izvaja nadzor nad ključnimi tretjimi ponudniki storitev IKT, ki so mu dodeljeni, in je zanje glavna kontaktna točka za vsa vprašanja, povezana z nadzorom.

2.   Za namene odstavka 1 glavni nadzornik oceni, ali ima vsak ključni tretji ponudnik storitev IKT vzpostavljena celovita, zanesljiva in učinkovita pravila, postopke, mehanizme in dogovore za obvladovanje tveganj na področju IKT, ki jih lahko predstavlja za finančne subjekte.

Ocena iz prvega pododstavka se osredotoči predvsem na storitve IKT, ki jih opravljajo ključni tretji ponudnik storitev IKT ter ki podpirajo kritične ali pomembne funkcije finančnih subjektov. Kadar je potrebno za obravnavanje vseh relevantnih tveganj, se ta ocena razširi na storitve IKT, ki podpirajo tudi funkcije, ki niso kritične ali pomembne funkcije.

3.   Ocena iz odstavka 2 zajema:

4.   Glavni nadzornik na podlagi ocene iz odstavka 2 in ob usklajevanju s skupno nadzorno mrežo iz člena 34(1) sprejme jasen, podroben in obrazložen individualni načrt nadzora za vsakega ključnega tretjega ponudnika storitev IKT z opisom letnih ciljev in glavnih načrtovanih ukrepov v zvezi z nadzorom. Ta načrt se vsako leto posreduje ključnemu tretjemu ponudniku storitev IKT.

Glavni nadzornik pred sprejetjem načrta nadzora ključnemu tretjemu ponudniku storitev IKT posreduje njegov osnutek.

Ključni tretji ponudnik storitev IKT lahko po prejemu osnutka načrta nadzora v 15 koledarskih dneh predloži utemeljeno izjavo, v kateri dokumentira pričakovani učinek na stranke, ki niso subjekti, ki spadajo na področje uporabe te uredbe, in po potrebi predstavi rešitve za zmanjšanje tveganj.

5.   Ko so letni načrti nadzora iz odstavka 4 sprejeti in so ključni tretji ponudniki storitev IKT o njih obveščeni, lahko pristojni organi sprejmejo ukrepe v zvezi s takimi ključnimi tretjimi ponudniki storitev IKT samo v dogovoru z glavnim nadzornikom.

1.   Da bi se zagotovil dosleden pristop k nadzornim dejavnostim ter omogočili usklajene splošne nadzorne strategije in skladni operativni pristopi in delovne metodologije, trije glavni nadzorniki, imenovani v skladu s členom 31(1), točka (b), vzpostavijo skupno nadzorno mrežo, da se med seboj usklajujejo v pripravljalnih fazah in usklajujejo izvajanje dejavnosti nadzora nad ključnimi tretjimi ponudniki storitev IKT, za katere so pristojni, kot tudi o vseh ukrepih, ki bi lahko bili potrebni na podlagi člena 42.

2.   Za namene odstavka 1 glavni nadzorniki pripravijo skupni protokol o nadzoru, v katerem določijo podrobne postopke, ki jih je treba upoštevati pri vsakodnevnem usklajevanju ter pri zagotavljanju hitrih izmenjav in odzivov. Protokol se redno revidira, da se upoštevajo operativne potrebe, zlasti razvoj praktičnih ureditev nadzora.

3.   Glavni nadzorniki lahko priložnostno zaprosijo ECB in ENISA za tehnični nasvet, izmenjavo praktičnih izkušenj ali sodelovanje na posebnih usklajevalnih sestankih skupne nadzorne mreže.

1.   Za namene izvajanja nalog, določenih v tem oddelku, ima glavni nadzornik v zvezi s ključnimi tretjimi ponudniki storitev IKT naslednja pooblastila:

2.   Glavni nadzornik pri izvajanju pooblastil iz tega člena:

3.   Glavni nadzornik se pred izvrševanjem pooblastil iz odstavka 1 posvetuje z nadzorniškim forumom.

Pred izdajo priporočil v skladu z odstavkom 1, točka (d), glavni nadzornik tretjemu ponudniku storitev IKT omogoči, da v 30 koledarskih dneh predloži ustrezne informacije, ki dokazujejo pričakovani učinek na stranke, ki niso subjekti, ki spadajo na področje uporabe te uredbe, in po potrebi predstavi rešitve za blažitev tveganj.

4.   Glavni nadzornik o izidu izvrševanja pooblastil iz odstavka 1, točki (a) in (b), obvesti skupno nadzorno mrežo. Glavni nadzornik poročila iz odstavka 1, točka (c), brez nepotrebnega odlašanja posreduje skupni nadzorni mreži in pristojnim organom finančnih subjektov, ki uporabljajo storitve IKT tega ključnega tretjega ponudnika storitev IKT.

5.   Ključni tretji ponudniki storitev IKT v dobri veri sodelujejo z glavnim nadzornikom in mu pomagajo pri izpolnjevanju njegovih nalog.

6.   Glavni nadzornik v primeru popolnega ali delnega neizpolnjevanja ukrepov, ki jih je treba sprejeti na podlagi izvrševanja pooblastil iz odstavka 1, točke (a), (b) in (c), in po izteku najmanj 30 koledarskih dni od datuma, ko je ključni tretji ponudnik storitev IKT prejel obvestilo o zadevnih ukrepih, sprejme odločitev o periodični denarni kazni, ki jo naloži ključnemu tretjemu ponudniku storitev IKT, da ga prisili k izpolnjevanju teh ukrepov.

7.   Periodična denarna kazen iz odstavka 6 se naloži za vsak dan, dokler ni zagotovljeno izpolnjevanje ukrepov, vendar največ za šestmesečno obdobje po tem, ko je bil ključni tretji ponudnik storitev IKT obveščen o odločitvi, da se naloži periodična denarna kazen.

8.   Znesek periodične denarne kazni, izračunan od datuma, določenega v odločbi o naložitvi periodične denarne kazni, je največ 1 % povprečnega dnevnega svetovnega prometa ključnega tretjega ponudnika storitev IKT v prejšnjem poslovnem letu. Glavni nadzornik pri določanju zneska denarne kazni upošteva naslednja merila v zvezi z neizpolnjevanjem ukrepov iz odstavka 6:

Za namene prvega pododstavka in za zagotovitev doslednega pristopa se glavni nadzornik posvetuje s skupno nadzorno mrežo.

9.   Denarna kazen je upravne narave in je izvršljiva. Izvršbo urejajo pravila civilnega postopka, ki veljajo v državi članici, na ozemlju katere se izvajajo inšpekcijski pregledi in obiski. Sodišča zadevne države članice so pristojna za pritožbe v zvezi z nepravilnim izvajanjem izvrševanja. Zneski denarnih kazni se dodelijo splošnemu proračunu Evropske unije.

10.   Glavni nadzornik javnosti razkrije vsako periodično denarno kazen, ki je bila naložena, razen če bi tako razkritje resno ogrozilo finančne trge ali povzročilo nesorazmerno škodo udeleženim stranem.

11.   Pred naložitvijo periodične denarne kazni iz odstavka 6 da glavni nadzornik predstavnikom ključnega tretjega ponudnika storitev IKT, v zvezi s katerim teče postopek, možnost, da podajo izjavo glede ugotovitev, in svoje odločitve utemelji le na ugotovitvah, na katere je imel ključni tretji ponudnik storitev IKT, ki je predmet postopke, priložnost podati pripombe.

V postopku se v celoti spoštujejo pravice do obrambe oseb, v zvezi s katerimi teče postopek. Ključni tretji ponudnik storitev IKT, v zvezi s katerim teče postopek, je upravičen do vpogleda v spis, ob upoštevanju zakonitega interesa drugih oseb za zaščito njihovih poslovnih skrivnosti. Pravica dostopa do spisa ne velja za zaupne informacije ali notranje pripravljalne dokumente glavnega nadzornika.

1.   Kadar ciljev nadzora ni mogoče doseči v sodelovanju z odvisnim podjetjem, ustanovljenim za namene člena 31(12), ali z izvajanjem nadzornih dejavnosti v prostorih, ki se nahajajo v Uniji, lahko glavni nadzornik v vseh prostorih v tretji državi, ki jih ima ključni tretji ponudnik storitev IKT v lasti ali jih na kakršen koli način uporablja za opravljanje storitev finančnim subjektom Unije, vključno z vsemi upravnimi, poslovnimi ali operativnimi uradi, prostori, zemljišči, zgradbami ali drugimi nepremičninami, v povezavi z njegovimi poslovnimi dejavnostmi, funkcijami ali storitvami izvršuje pooblastila iz naslednjih določb:

Pooblastila iz prvega pododstavka se lahko izvršujejo ob upoštevanju vseh naslednjih pogojev:

2.   EBA, ESMA ali EIOPA brez poseganja v pristojnosti institucij Unije oziroma držav članic za namene odstavka 1 sklenejo dogovore o upravnem sodelovanju z ustreznim organom tretje države, da se glavnemu nadzorniku in ekipi, imenovani za izvajanje njegovih nalog v zadevni tretji državi, omogoči nemoteno izvajanje inšpekcijskih pregledov v zadevni tretji državi. Ti dogovori o sodelovanju ne ustvarjajo pravnih obveznosti za Unijo in njene države članice niti državam članicam in njihovim pristojnim organom ne preprečujejo sklepanja dvostranskih ali večstranskih dogovorov z zadevnimi tretjimi državami in njihovimi ustreznimi organi.

V okviru teh dogovorov o sodelovanju se določijo vsaj naslednji elementi:

3.   Glavni nadzornik v primeru, da ne more izvajati nadzornih dejavnosti iz odstavkov 1 in 2 zunaj Unije:

Morebitne posledice iz točke (b) tega odstavka se upoštevajo v priporočilih glavnega nadzornika, izdanih na podlagi člena 35(1), točka (d).

1.   Glavni nadzornik lahko s preprostim zahtevkom ali sklepom zahteva, da ključni tretji ponudniki storitev IKT zagotovijo vse informacije, ki jih potrebuje za opravljanje svojih nalog na podlagi te uredbe, vključno z vsemi ustreznimi poslovnimi ali operativnimi dokumenti, pogodbami, dokumentacijo o politikah, revizijskimi poročili o varnosti IKT, poročili o incidentih, povezanih z IKT, ter vse informacije v zvezi s stranmi, ki jim je ključni tretji ponudnik storitev IKT oddal operativne funkcije ali dejavnosti v zunanje izvajanje.

2.   Pri pošiljanju preprostega zahtevka za informacije iz odstavka 1 glavni nadzornik:

3.   Kadar s sklepom zahteva predložitev informacij iz odstavka 1, glavni nadzornik:

4.   Predstavniki ključnih tretjih ponudnikov storitev IKT predložijo zahtevane informacije. Pooblaščeni odvetniki lahko predložijo informacije v imenu svojih strank. Ključni tretji ponudniki storitev IKT so kljub temu v celoti odgovorni, če so predložene informacije nepopolne, napačne ali zavajajoče.

5.   Glavni nadzornik nemudoma pošlje kopijo odločitve o posredovanju informacij pristojnim organom finančnih subjektov, ki uporabljajo storitve zadevnih ključnih tretjih ponudnikov storitev IKT, in skupni nadzorni mreži.

1.   Za namene izvajanja nalog na podlagi te uredbe lahko glavni nadzornik ob pomoči skupne pregledniške ekipe iz člena 40(1) po potrebi opravi preiskave ključnih tretjih ponudnikov storitev IKT.

2.   Glavni nadzornik ima pooblastila, da:

3.   Uradniki in druge osebe, ki jih glavni nadzornik pooblasti za namene preiskave iz odstavka 1, svoja pooblastila izvajajo ob predložitvi pisnega pooblastila, v katerem sta navedena predmet in namen preiskave.

V pooblastilu se navedejo tudi periodične denarne kazni iz člena 35(6), ki se naložijo, kadar zahtevane evidence, podatki, dokumentirani postopki ali katero koli drugo gradivo ali odgovori na vprašanja, zastavljena predstavnikom tretjega ponudnika storitev IKT, niso posredovani ali so nepopolni.

4.   Predstavniki ključnih tretjih ponudnikov storitev IKT morajo privoliti v preiskave, ki jih s sklepom odredi glavni nadzornik. V sklepu se navedejo predmet in namen preiskave, periodične denarne kazni iz člena 35(6), pravna sredstva, ki so na voljo na podlagi uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010, ter opozori na pravico, da se sklep predloži v presojo Sodišču.

5.   Glavni nadzornik pred začetkom preiskave pravočasno obvesti pristojne organe finančnih subjektov, ki uporabljajo storitve IKT zadevnega ključnega tretjega ponudnika storitev IKT o predvideni preiskavi in o identiteti pooblaščenih oseb.

Glavni nadzornik sporoči skupni nadzorni mreži vse informacije, posredovane na podlagi prvega pododstavka.

1.   Glavni nadzornik lahko za opravljanje nalog iz te uredbe ob pomoči skupnih pregledniških ekip iz člena 40(1) vstopi v vse poslovne prostore, na zemljišča ali nepremičnine tretjih ponudnikov storitev IKT, kot so sedež podjetja, operativni centri ter sekundarne lokacije, in tam izvede vse potrebne inšpekcijske preglede na kraju samem ali pa inšpekcijske preglede izvede na daljavo.

Glavni nadzornik se pri izvajanju pooblastil iz prvega pododstavka posvetuje s skupno nadzorno mrežo.

2.   Uradniki in druge osebe, ki jih glavni nadzornik pooblasti za izvedbo inšpekcijskega pregleda na kraju samem, imajo pooblastila, da:

Uradniki in druge osebe, ki jih pooblasti glavni nadzornik, svoja pooblastila izvajajo ob predložitvi pisnega pooblastila, v katerem so podrobno določeni predmet in namen preiskave ter periodične denarne kazni iz člena 35(6), kadar predstavniki zadevnih ključnih tretjih ponudnikov storitev IKT ne privolijo v inšpekcijski pregled.

3.   Glavni nadzornik pred začetkom inšpekcijskega pregleda o njem pravočasno obvesti pristojne organe finančnih subjektov, ki uporabljajo zadevnega tretjega ponudnika storitev IKT.

4.   Inšpekcijski pregledi zajemajo celoten sklop pomembnih sistemov, omrežij, naprav, informacij in podatkov na področju IKT, ki se uporabljajo za opravljanje storitev IKT finančnim subjektom ali prispevajo k njihovemu zagotavljanju.

5.   Pred načrtovanim inšpekcijskim pregledom na kraju samem glavni nadzornik v razumnem roku obvesti ključne tretje ponudnike storitev IKT, razen če tega zaradi izrednih ali kriznih razmer ne more storiti ali če zaradi takega obvestila inšpekcijski pregled ali revizija ne bi bila več učinkovita.

6.   Ključni tretji ponudnik storitev IKT mora privoliti v inšpekcijski pregled na kraju samem, ki ga s sklepom odredi glavni nadzornik. V sklepu se navedeta predmet in namen inšpekcijskega pregleda, določi datum, ko se bo ta začel, in navedejo periodične denarne kazni iz člena 35(6), pravna sredstva, ki so na voljo na podlagi uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010, ter opozori na pravico, da se sklep predloži v presojo Sodišču.

7.   Kadar uradniki in druge osebe, ki jih pooblasti glavni nadzornik, ugotovijo, da ključni tretji ponudnik storitev IKT nasprotuje inšpekcijskemu pregledu, ki je bil odrejen na podlagi tega člena, glavni nadzornik ključnega tretjega ponudnika storitev IKT obvesti o posledicah takega nasprotovanja, vključno z možnostjo, da pristojni organi ustreznih finančnih subjektov zahtevajo, da finančni subjekti prekinejo pogodbene dogovore, sklenjene s tem ključnim tretjim ponudnikom storitev IKT.

1.   Glavnemu nadzorniku pri izvajanju nadzornih dejavnosti, zlasti splošnih preiskav ali inšpekcijskih pregledov, pomaga skupna pregledniška ekipa, vzpostavljena za vsakega ključnega tretjega ponudnika storitev IKT.

2.   Skupno pregledniško ekipo iz odstavka 1 je sestavljajo člani osebja:

Člani skupne pregledniške ekipe morajo imeti strokovno znanje o vprašanjih s področja IKT in operativnih tveganjih. Delovanje skupne pregledniške ekipe usklajuje član osebja glavnega nadzornika, ki je imenovan za to nalogo (v nadaljnjem besedilu: koordinator glavnega nadzornika).

3.   Glavni nadzornik v treh mesecih po zaključku preiskave ali inšpekcijskega pregleda in po posvetovanju z nadzorniškim forumom sprejme priporočila, ki jih naslovi na ključnega tretjega ponudnika storitev IKT na podlagi pooblastil iz člena 35.

4.   Priporočila iz odstavka 3 se nemudoma sporočijo ključnemu tretjemu ponudniku storitev IKT in pristojnim organom finančnih subjektov, za katere ta opravlja storitve IKT.

Za namene izvajanja nadzornih dejavnosti lahko glavni nadzornik upošteva vsa ustrezna certificiranja, ki jih opravijo tretje strani, in notranja ali zunanja revizijska poročila tretjih strani na področju IKT, ki jih predloži ključni tretji ponudnik storitev IKT.

1.   Evropski nadzorni organi prek Skupnega odbora pripravijo osnutke regulativnih tehničnih standardov, da določijo:

2.   Evropski nadzorni organi te osnutke regulativnih tehničnih standardov Komisiji predložijo do 17. julija 2024.

Na Komisijo se prenese pooblastilo za dopolnitev te uredbe s sprejetjem regulativnih tehničnih standardov iz odstavka 1 v skladu s postopkom iz členov 10 do 14 uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010.

1.   V 60 koledarskih dneh po prejemu priporočil, ki jih izda glavni nadzornik na podlagi člena 31(1), točka (d), ključni tretji ponudniki storitev IKT glavnega nadzornika bodisi obvestijo, da nameravajo priporočila upoštevati, bodisi mu posredujejo utemeljeno obrazložitev, zakaj tega ne bodo storili. Glavni nadzornik te informacije takoj posreduje pristojnim organom zadevnih finančnih subjektov.

2.   Glavni nadzornik javno razkrije primere, v katerih ključni tretji ponudnik storitev IKT ni obvestil glavnega nadzornika v skladu z odstavkom 1 ali kadar se šteje, da pojasnilo ključnega tretjega ponudnika storitev IKT ni zadostno. V objavljenih informacijah se razkrije identiteta ključnega tretjega ponudnika storitev IKT ter informacije o vrsti in naravi neskladnosti. Take informacije so omejene na to, kar je pomembno in sorazmerno za zagotavljanje ozaveščenosti javnosti, razen če bi taka objava povzročila nesorazmerno škodo vpletenim stranem ali resno ogrozila pravilno delovanje in integriteto finančnih trgov ali stabilnost celotnega finančnega sistema Unije ali njegovega dela.

Glavni nadzornik obvesti tretjega ponudnika storitev IKT o tem javnem razkritju.

3.   Pristojni organi zadevne finančne subjekte obvestijo o tveganjih, opredeljenih v priporočilih, naslovljenih na ključne tretje ponudnike storitev IKT v skladu s členom 35(1), točka (d).

Finančni subjekti pri obvladovanju tveganja tretjih strani na področju IKT upoštevajo tveganja iz prvega pododstavka.

4.   Kadar pristojni organ meni, da finančni subjekt pri obvladovanju tveganja tretje strani na področju IKT ne upošteva specifičnih tveganj, opredeljenih v priporočilih, oziroma jih ne obravnava v zadostni meri, finančni subjekt obvesti o možnosti, da bo v primeru, da ni ustreznih pogodbenih dogovorov za obravnavanje takih tveganj, v 60 koledarskih dneh sprejel odločitev v skladu z odstavkom 6.

5.   Pristojni organi se lahko po prejetju poročil iz člena 35(1), točka (c), in pred sprejetjem odločitve iz odstavka 6 tega člena prostovoljno posvetujejo s pristojnimi organi, imenovanimi ali vzpostavljenimi v skladu z Direktivo (EU) 2022/2555, odgovornimi za nadzor nad bistvenim ali pomembnim subjektom, za katere velja navedena direktiva, ki je bil imenovan kot ključni tretji ponudnik storitev IKT.

6.   Pristojni organi lahko kot skrajni ukrep po poslanem obvestilu oziroma posvetovanju iz odstavkov 4 in 5 tega člena v skladu s členom 50 sprejmejo odločitev, s katero od finančnih subjektov zahtevajo, da bodisi delno bodisi v celoti začasno ustavijo uporabo ali uvajanje storitve, ki jo opravlja ključni tretji ponudnik storitev IKT, dokler se ne obravnavajo tveganja, opredeljena v priporočilih, naslovljenih na ključne tretje ponudnike storitev IKT. Po potrebi lahko od finančnih subjektov zahtevajo, da delno ali v celoti prekinejo ustrezne pogodbene dogovore, sklenjene s ključnimi tretjimi ponudniki storitev IKT.

7.   Kadar ključni tretji ponudnik storitev IKT na podlagi drugačnega pristopa od tistega, ki ga svetuje glavni nadzornik, zavrne potrditev priporočil in lahko tak drugačen pristop škodljivo vpliva na številne finančne subjekte ali znaten del finančnega sektorja, posamična opozorila, izdana s strani pristojnih organov, pa ne pripomorejo k doslednim pristopom, ki bi ublažili morebitno tveganje za finančno stabilnost, lahko glavni nadzornik po posvetovanju z nadzornim forumom za pristojne organe po potrebi izda nezavezujoča mnenja, ki niso javna, da bi spodbudil dosledne in usklajene nadaljnje nadzorne ukrepe.

8.   Po prejemu poročil iz člena 35(1), točka (c), pristojni organi pri sprejemanju odločitve iz odstavka 6 tega člena upoštevajo vrsto in obseg tveganja, ki ga ključni tretji ponudnik storitev IKT ne obravnava, ter resnost neskladnosti, ob upoštevanju naslednjih meril:

Pristojni organi finančnim subjektom odobrijo potrebno obdobje za prilagoditev pogodbenih dogovorov s ključnimi tretjimi ponudniki storitev IKT, da bi preprečili škodljive učinke na njihovo digitalno operativno odpornost ter jim omogočili uporabo izhodnih strategij in prehodnih načrtov iz člena 28.

9.   Odločitev iz odstavka 6 tega člena se sporoči članom nadzornega foruma iz člena 32(4), točke (a), (b) in (c), in skupni nadzorni mreži.

Ključni tretji ponudniki storitev IKT, na katere vplivajo odločitve iz odstavka 6, v celoti sodelujejo z zadevnimi finančnimi subjekti, zlasti v okviru postopka začasne prekinitve ali odpovedi njihovih pogodbenih dogovorov.

10.   Pristojni organi glavnega nadzornika redno obveščajo o pristopih in ukrepih, sprejetih pri njihovih nadzornih nalogah v zvezi s finančnimi subjekti, ter o pogodbenih dogovorih, ki jih ti sprejmejo, kadar ključni tretji ponudniki storitev IKT niso delno ali v celoti sprejeli priporočil, ki jih je nanje naslovil glavni nadzornik.

11.   Glavni nadzornik lahko na zahtevo zagotovi dodatna pojasnila o izdanih priporočilih, da bi pristojne organe usmerjal pri nadaljnjih ukrepih.

1.   Glavni nadzornik v skladu z delegiranim aktom iz odstavka 2 tega člena ključnim tretjim ponudnikom storitev IKT zaračuna nadomestila, ki v celoti pokrivajo izdatke, ki jih ima pri izvajanju nadzornih nalog v skladu s to uredbo, vključno s povračilom stroškov, ki lahko nastanejo zaradi dela, ki ga opravi skupna pregledniška ekipa iz člena 40, pa tudi stroškov svetovanja neodvisnih strokovnjakov, kot je navedeno v členu 32(4), drugi pododstavek, v zvezi z zadevami, ki spadajo v okvir neposrednih nadzornih dejavnosti.

Znesek nadomestila, ki se zaračuna ključnemu tretjemu ponudniku storitev IKT, krije vse stroške, ki nastanejo zaradi izvajanja nalog iz tega oddelka, in je sorazmeren z njegovim prometom.

2.   Na Komisijo se prenese pooblastilo, da do 17. julija 2024 sprejme delegirani akt v skladu s členom 57 za dopolnitev te uredbe, v katerem določi višino nadomestil in način njihovega plačila.

1.   Brez poseganja v člen 36 lahko EBA, ESMA in EIOPA v skladu s členom 33 uredb (EU) št. 1093/2010, (EU) št. 1095/2010 oziroma (EU) št. 1094/2010 sklepajo upravne dogovore z regulativnimi in nadzornimi organi tretjih držav za spodbujanje mednarodnega sodelovanja v zvezi s tveganji tretjih strani na področju IKT v različnih finančnih sektorjih, zlasti z razvojem najboljših praks za pregled praks in kontrol za obvladovanje tveganj na področju IKT, blažilnih ukrepov in odzivov na incidente.

2.   Evropski nadzorni organi prek Skupnega odbora Evropskemu parlamentu, Svetu in Komisiji vsakih pet let predložijo skupno zaupno poročilo, ki povzema ugotovitve ustreznih razprav z organi tretjih držav iz odstavka 1, pri čemer je poudarek na razvoju tveganj tretjih strani na področju IKT in posledicah za finančno stabilnost, celovitost trga, zaščito vlagateljev in delovanje notranjega trga.

1.   Finančni subjekti si lahko med seboj izmenjujejo informacije in obveščevalne podatke o kibernetskih grožnjah, vključno s kazalniki ogroženosti, taktikami, tehnikami in postopki, opozorili glede kibernetske varnosti in orodji za konfiguracijo, če taka izmenjava informacij in obveščevalnih podatkov:

2.   Za namene odstavka 1, točka (c), dogovori o izmenjavi informacij opredeljujejo pogoje za sodelovanje in, kadar je ustrezno, določajo podrobnosti o sodelovanju javnih organov in vlogi, v kateri so lahko slednji povezani z dogovori o izmenjavi informacij, ter o sodelovanju tretjih ponudnikov storitev IKT in o operativnih elementih, vključno z uporabo namenskih informacijskih platform.

3.   Finančni subjekti obvestijo pristojne organe o svojem sodelovanju pri dogovorih o izmenjavi informacij iz odstavka 1 po potrditvi njihovega članstva ali, če je ustrezno to, o prenehanju članstva, ko to začne veljati.

1.   Za spodbujanje sodelovanja in omogočanje nadzornih izmenjav med pristojnimi organi, imenovanimi na podlagi te uredbe, in skupino za sodelovanje, ustanovljeno s členom 14 Direktive (EU) 2022/2555, lahko evropski nadzorni organi in pristojni organi sodelujejo pri dejavnostih skupine za sodelovanje pri vprašanjih, ki zadevajo njihove nadzorne dejavnosti v zvezi s finančnimi subjekti. Evropski nadzorni organi in pristojni organi lahko zaprosijo, da jih povabijo k sodelovanju pri dejavnostih skupine za sodelovanje pri vprašanjih v zvezi z bistvenimi ali pomembnimi subjekti, za katere velja Direktiva (EU) 2022/2555, ki so bili obenem imenovani kot ključni tretji ponudniki storitev IKT na podlagi člena 31 te uredbe.

2.   Pristojni organi se lahko po potrebi posvetujejo in si izmenjajo informacije z enotnimi kontaktnimi točkami in skupinami CSIRT, imenovanimi ali vzpostavljenimi v skladu z Direktivo (EU) 2022/2555.

3.   Pristojni organi lahko pristojne organe, imenovane ali vzpostavljene v skladu z Direktivo (EU) 2022/2555, po potrebi zaprosijo za vse ustrezne tehnične nasvete in sklenejo dogovore o sodelovanju, ki omogočajo vzpostavitev učinkovitih in hitrih usklajevalnih mehanizmov.

4.   Z dogovori iz odstavka 3 tega člena je mogoče med drugim določiti postopke za usklajevanje nadzornih dejavnosti v zvezi z bistvenimi ali pomembnimi subjekti, za katere velja Direktiva (EU) 2022/2555, ki so bili imenovani kot ključni tretji ponudniki storitev IKT na podlagi člena 31 te uredbe, vključno z izvajanjem preiskav in inšpekcijskih pregledov na kraju samem v skladu z nacionalnim pravom ter mehanizmi za izmenjavo informacij med pristojnimi organi na podlagi te uredbe in pristojnimi organi, imenovanimi ali vzpostavljenimi v skladu z navedeno direktivo, kar vključuje dostop do informacij, ki jih zahtevajo ti organi.

1.   Pristojni organi tesno sodelujejo med seboj in po potrebi z glavnim nadzornikom.

2.   Pristojni organi in glavni nadzornik si pravočasno izmenjajo vse ustrezne informacije o ključnih tretjih ponudnikih storitev IKT, ki jih potrebujejo za izvajanje svojih nalog na podlagi te uredbe, zlasti v zvezi z ugotovljenimi tveganji, pristopi in ukrepi, sprejetimi v okviru nadzornih nalog glavnega nadzornika.

1.   Evropski nadzorni organi lahko prek Skupnega odbora in v sodelovanju s pristojnimi organi, organi za reševanje iz člena 3 Direktive 2014/59/EU, ECB, enotnim odborom za reševanje, kar zadeva informacije o subjektih, ki spadajo na področje uporabe Uredbe (EU) št. 806/2014, ESRB oziroma ENISA vzpostavijo mehanizme, ki omogočajo izmenjavo učinkovitih praks med finančnimi sektorji za povečanje situacijskega zavedanja in prepoznavanje skupnih kibernetskih ranljivosti in tveganj med sektorji.

Oblikujejo lahko vaje za obvladovanje kriz in izrednih razmer, ki vključujejo scenarije kibernetskih napadov, da bi razvili komunikacijske kanale in postopoma omogočili učinkovit usklajen odziv na ravni Unije v primeru večjega čezmejnega incidenta, povezanega z IKT, ali s tem povezane grožnje, ki bi imela sistemski učinek na celotni finančni sektor Unije.

Z navedenimi vajami se lahko po potrebi testira tudi odvisnost finančnega sektorja od drugih gospodarskih sektorjev.

2.   Pristojni organi, evropski nadzorni organi in ECB tesno sodelujejo in si izmenjujejo informacije za izvajanje svojih nalog na podlagi členov 47 do 54. Tesno usklajujejo svoj nadzor, da bi opredelili in odpravili kršitve te uredbe, razvili in spodbujali najboljše prakse, olajšali sodelovanje, spodbujali usklajeno razlago in zagotavljali ocene med jurisdikcijami v primeru nesoglasij.

1.   Pristojni organi imajo vsa pooblastila za nadzor, preiskovanje in izrekanje sankcij, potrebna za izpolnjevanje njihovih nalog na podlagi te uredbe.

2.   Pooblastila iz odstavka 1 zajemajo vsaj naslednja pooblastila za:

3.   Brez poseganja v pravico držav članic, da naložijo kazenske sankcije v skladu s členom 52, države članice vzpostavijo pravila, ki določajo ustrezne upravne sankcije in popravne ukrepe za kršitve te uredbe, ter zagotovijo njihovo učinkovito izvajanje.

Te sankcije in ukrepi morajo biti učinkoviti, sorazmerni in odvračilni.

4.   Države članice na pristojne organe prenesejo pooblastilo, da v primeru kršitev te uredbe uporabijo vsaj naslednje upravne kazni ali popravne ukrepe:

5.   Kadar se odstavek 2, točka (c), in odstavek 4 uporabljata za pravne osebe, države članice na pristojne organe prenesejo pooblastilo, da v skladu s pogoji iz nacionalnega prava članom upravljalnega organa in drugim posameznikom, ki so v skladu z nacionalnim pravom odgovorni za kršitev, naložijo upravne sankcije in popravne ukrepe.

6.   Države članice zagotovijo, da je vsaka odločitev o naložitvi upravnih sankcij ali popravnih ukrepov, določenih v odstavku 2, točka (c), ustrezno obrazložena in da v zvezi z njo velja pravica do pritožbe.

1.   Pristojni organi izvajajo pooblastila za nalaganje upravnih sankcij in popravnih ukrepov iz člena 50 v skladu s svojim nacionalnim pravnim okvirom, kot je ustrezno:

2.   Pristojni organi pri določitvi vrste in ravni upravne kazni ali popravnega ukrepa, naloženega na podlagi člena 50, upoštevajo, v kolikšni meri je kršitev namerna ali posledica malomarnosti ter vse druge zadevne okoliščine, po potrebi tudi:

1.   Države članice lahko sklenejo, da ne bodo določile pravil o upravnih sankcijah ali popravnih ukrepih za kršitve, za katere se v njihovem nacionalnem pravu uporabljajo kazenske sankcije.

2.   Kadar države članice sklenejo določiti kazenske sankcije za kršitve te uredbe, zagotovijo, da so vzpostavljeni ustrezni ukrepi, na podlagi katerih imajo pristojni organi na voljo vsa potrebna pooblastila za sodelovanje s sodnimi organi, organi pregona ali pravosodnimi organi v njihovi jurisdikciji, da prejemajo specifične informacije, povezane s kazenskimi preiskavami ali postopki, sproženimi ob kršitvah te uredbe, in da enake informacije zagotovijo drugim pristojnim organom ter EBA, ESMA ali EIOPA, da jim omogočijo izpolnitev njihove obveznosti sodelovanja za namene te uredbe.

1.   Pristojni organi na svojih uradnih spletiščih brez nepotrebnega odlašanja objavijo vsako odločitev o naložitvi upravne sankcije, zoper katero ni pritožbe, potem ko je bil naslovnik sankcije obveščen o navedeni odločitvi.

2.   V objavo iz odstavka 1 se vključijo informacije o vrsti in naravi kršitve, identiteti odgovornih oseb ter naloženih sankcij.

3.   Kadar pristojni organ po presoji vsakega posameznega primera meni, da bi bila objava identitete v primeru pravnih oseb ali identitete in osebnih podatkov v primeru fizičnih oseb nesorazmerna, tudi kar zadeva tveganja v zvezi z varstvom osebnih podatkov, da bi ogrozila stabilnost finančnih trgov ali nadaljevanje tekoče kazenske preiskave ali da bi, kolikor je to mogoče ugotoviti, povzročila nesorazmerno škodo udeleženi osebi, sprejme eno od naslednjih rešitev v zvezi z odločitvijo o izreku upravne sankcije:

4.   V primeru odločitve, da se upravna sankcija objavi na anonimni podlagi v skladu z odstavkom 3, točka (b), se lahko objava ustreznih podatkov odloži.

5.   Kadar pristojni organ objavi odločitev o naložitvi upravne sankcije, zoper katero je mogoča pritožba pred ustreznimi sodnimi organi, pristojni organi na svojem uradnem spletišču nemudoma dodajo te informacije in vse poznejše povezane informacije o izidu take pritožbe. Objavijo se tudi vse sodne odločbe, s katerimi se razveljavi odločitev o naložitvi upravne sankcije.

6.   Pristojni organi zagotovijo, da vsaka objava iz odstavkov 1 do 4 ostane na njihovem uradnem spletišču samo za obdobje, ki je potrebno za izvajanje tega člena. To obdobje ne sme biti daljše od petih let po objavi.

1.   Za vse zaupne informacije, prejete, izmenjane ali posredovane v skladu s to uredbo, veljajo pogoji poslovne skrivnosti iz odstavka 2.

2.   Obveznost varovanja poslovne skrivnosti velja za vse osebe, ki so ali so bile zaposlene pri pristojnih organih na podlagi te uredbe ali katerem koli organu ali tržnem podjetju ali fizični ali pravni osebi, na katero so ti pristojni organi prenesli svoja pooblastila, vključno z revizorji in strokovnjaki, katerih storitve so naročili.

3.   Informacije, ki so poslovna skrivnost, vključno z izmenjavo informacij med pristojnimi organi v skladu s to uredbo in pristojnimi organi, imenovanimi ali vzpostavljenimi v skladu z Direktivo (EU) 2022/2555, se ne smejo razkriti nobeni drugi osebi ali organu, razen na podlagi določb prava Unije ali nacionalnega prava.

4.   Vse informacije, ki si jih pristojni organi izmenjajo na podlagi te uredbe in ki zadevajo poslovne ali operativne razmere in druge gospodarske ali osebne zadeve, se štejejo za zaupne in zanje veljajo zahteve o varovanju poslovne skrivnosti, razen kadar pristojni organ v času posredovanja teh informacij navede, da se lahko razkrijejo, ali kadar je tako razkritje potrebno v sodnih postopkih.

1.   Evropski nadzorni organi in pristojni organi lahko obdelujejo osebne podatke le, kadar je to potrebno za izpolnjevanje njihovih obveznosti in nalog na podlagi te uredbe, zlasti za preiskave, inšpekcijske preglede, zahteve za informacije, komunikacijo, objavo, evalvacija, preverjanje, ocenjevanje in pripravo načrtov nadzora. Osebni podatki se obdelujejo v skladu z Uredbo (EU) 2016/679 ali Uredbo (EU) 2018/1725, odvisno od tega, katera se uporablja.

2.   Kadar v drugih sektorskih aktih ni določeno drugače, se osebni podatki iz odstavka 1 hranijo do izpolnitve zadevnih nadzornih nalog in v vsakem primeru največ 15 let, razen v primeru še nekončanih sodnih postopkov, zaradi katerih je treba take podatke še naprej hraniti.

1.   Pooblastilo za sprejemanje delegiranih aktov je preneseno na Komisijo pod pogoji, določenimi v tem členu.

2.   Pooblastilo za sprejetje delegiranih aktov iz členov 31(6) in 43(2) se prenese na Komisijo za obdobje petih let od 17. januarja 2024. Komisija pripravi poročilo o prenosu pooblastila najpozneje devet mesecev pred koncem petletnega obdobja. Prenos pooblastila se samodejno podaljšuje za enako dolga obdobja, razen če Evropski parlament ali Svet nasprotuje temu podaljšanju najpozneje tri mesece pred koncem vsakega obdobja.

3.   Prenos pooblastila iz členov 31(6) in 43(2) lahko kadar koli prekliče Evropski parlament ali Svet. S sklepom o preklicu preneha veljati prenos pooblastila iz navedenega sklepa. Sklep začne učinkovati dan po njegovi objavi v Uradnem listu Evropske unije ali na poznejši dan, ki je določen v navedenem sklepu. Sklep ne vpliva na veljavnost že veljavnih delegiranih aktov.

4.   Komisija se pred sprejetjem delegiranega akta posvetuje s strokovnjaki, ki jih imenujejo države članice, v skladu z načeli, določenimi v Medinstitucionalnem sporazumu z dne 13. aprila 2016 o boljši pripravi zakonodaje.

5.   Komisija takoj po sprejetju delegiranega akta o njem sočasno uradno obvesti Evropski parlament in Svet.

6.   Delegirani akt, sprejet na podlagi členov 31(6) in 43(2), začne veljati le, če mu niti Evropski parlament niti Svet ne nasprotuje v roku treh mesecev od uradnega obvestila Evropskemu parlamentu in Svetu o tem aktu ali če pred iztekom tega roka tako Evropski parlament kot Svet obvestita Komisijo, da mu ne bosta nasprotovala. Ta rok se na pobudo Evropskega parlamenta ali Sveta podaljša za tri mesece.

1.   Komisija do 17. januarja 2028 po posvetovanju z evropskimi nadzornimi organi in ESRB po potrebi opravi pregled ter Evropskemu parlamentu in Svetu predloži poročilo ter mu po potrebi priloži zakonodajni predlog. Pregled vključuje najmanj naslednje:

2.   Komisija v okviru pregleda Direktive (EU) 2015/2366 oceni potrebo po večji kibernetski odpornosti plačilnih sistemov in dejavnosti obdelave plačil ter ustreznost razširitve področja uporabe te uredbe na upravljavce plačilnih sistemov in subjekte, vključene v dejavnosti obdelave plačil. Ob upoštevanju te ocene Komisija v okviru pregleda Direktive (EU) 2015/2366 Evropskemu parlamentu in Svetu predloži poročilo najpozneje 17. julija 2023.

Komisija lahko na podlagi tega poročila o pregledu in po posvetovanju z evropskimi nadzornimi organi, ECB in ESRB po potrebi in kot del zakonodajnega predloga, ki ga lahko sprejme na podlagi člena 108, drugi odstavek, Direktive (EU) 2015/2366, predloži predlog za zagotovitev, da so vsi upravljavci plačilnih sistemov in subjekti, vključeni v dejavnosti obdelave plačil, pod ustreznim nadzorom, pri čemer se upošteva obstoječi nadzor, ki ga izvaja centralna banka.

3.   Komisija do 17. januarja 2026 po posvetovanju z evropskimi nadzornimi organi in Odborom evropskih organov za nadzor revizorjev opravi pregled ter Evropskemu parlamentu in Svetu predloži poročilo, po potrebi skupaj z zakonodajnim predlogom, o ustreznosti strožjih zahtev za zakonite revizorje in revizijska podjetja glede digitalne operativne odpornosti, in sicer z vključitvijo zakonitih revizorjev in revizijskih podjetij v področje uporabe te uredbe ali s spremembami Direktive 2006/43/ES Evropskega parlamenta in Sveta (39).