DELEGIRANA UREDBA KOMISIJE (EU) 2025/299

z dne 31. oktobra 2024

o dopolnitvi Uredbe (EU) 2023/1114 Evropskega parlamenta in Sveta o trgih kriptosredstev v zvezi z regulativnimi tehničnimi standardi o neprekinjenem in rednem izvajanju storitev v zvezi s kriptosredstvi

(Besedilo velja za EGP)

EVROPSKA KOMISIJA JE –

ob upoštevanju Pogodbe o delovanju Evropske unije,

ob upoštevanju Uredbe (EU) 2023/1114 Evropskega parlamenta in Sveta z dne 31. maja 2023 o trgih kriptosredstev in spremembi uredb (EU) št. 1093/2010 in (EU) št. 1095/2010 ter direktiv 2013/36/EU in (EU) 2019/1937 (1) ter zlasti člena 68(10), tretji pododstavek, Uredbe,

ob upoštevanju naslednjega:

(1)

Člena 11 in 12 Uredbe (EU) 2022/2554 Evropskega parlamenta in Sveta (2) določata zahteve v zvezi z odzivanjem in okrevanjem, politikami in postopki varnostnega kopiranja, postopki in metodami obnovitve in okrevanja v zvezi s sistemi IKT finančnih subjektov, vključno s ponudniki storitev v zvezi s kriptosredstvi. Delegirana uredba Komisije (EU) 2024/1774 (3) nadalje določa komponente politike neprekinjenega poslovanja na področju IKT, testiranje načrtov neprekinjenega poslovanja na področju IKT ter komponente načrtov odzivanja in okrevanja IKT, ki jih pripravijo finančni subjekti, vključno s ponudniki storitev v zvezi s kriptosredstvi. Ta uredba dopolnjuje navedene določbe Uredbe (EU) 2022/2554 in Delegirane uredbe (EU) 2024/1774 v zvezi z neprekinjenim in rednim izvajanjem storitev v zvezi s kriptosredstvi.

(2)

Ponudniki storitev v zvezi s kriptosredstvi lahko pri opravljanju svojih storitev uporabljajo razpršeno evidenco, nad katero nimajo nadzora, vključno z razpršeno evidenco brez dovoljenja. V tem primeru morda ne morejo zagotoviti rednega in neprekinjenega izvajanja svojih storitev, kadar motnje povzročijo težave, ki so neločljivo povezane z delovanjem takih razpršenih evidenc. Za ublažitev nestanovitnosti trga, ki bi lahko negativno vplivala na stranke, ki so jih prizadele take motnje, bi morali ponudniki storitev v zvezi s kriptosredstvi v svojo politiko neprekinjenega poslovanja vključiti ukrepe za pravočasno komunikacijo s strankami in drugimi zunanjimi deležniki. Taka komunikacija bi morala vključevati bistvene in pravočasne informacije za stranke o takih motnjah, vključno s stalnimi posodobitvami statusa, dokler se motnje ne odpravijo in se storitve ponovno vzpostavijo. Kadar informacije o statusu razpršene evidence brez dovoljenja, odgovorne za motnje v storitvah, ponudniku storitev v zvezi s kriptosredstvi niso takoj na voljo, bi moral ta ponudnik storitev v zvezi s kriptosredstvi po najboljših močeh strankam in drugim deležnikom, vključno s pristojnimi organi, sporočati posodobitve, da imajo stranke in deležniki čim bolj celovite informacije o takih motnjah.

(3)

Da bi se izognili nesorazmernemu upravnemu bremenu za mala in srednja podjetja ter zagonska podjetja, bi morali ponudniki storitev v zvezi s kriptosredstvi v svoji politiki neprekinjenega poslovanja upoštevati obseg, naravo in nabor storitev, ki jih zagotavljajo. To pomeni, da bi morali ponudniki storitev v zvezi s kriptosredstvi svoje posebne zahteve glede neprekinjenega poslovanja določiti na podlagi zanesljive samoocene, temelječe na številnih merilih, ki bi jim omogočila izvajanje politike neprekinjenega poslovanja, ki je sorazmerna z vplivom njihovih storitev na trg. Pri samooceni bi bilo treba upoštevati tudi druge okoliščine, ki niso navedene v Prilogi in bi lahko vplivale na ponudnika storitev v zvezi s kriptosredstvi.

(4)	Ta uredba temelji na osnutku regulativnih tehničnih standardov, ki ga je Komisiji predložil Evropski organ za vrednostne papirje in trge.

(5)

Evropski organ za vrednostne papirje in trge je o osnutku regulativnih tehničnih standardov, na katerem temelji ta uredba, opravil odprta javna posvetovanja, analiziral morebitne povezane stroške in koristi ter zaprosil za nasvet interesno skupino za vrednostne papirje in trge, ustanovljeno v skladu s členom 37 Uredbe (EU) št. 1095/2010 Evropskega parlamenta in Sveta (4) –

SPREJELA NASLEDNJO UREDBO:

Člen 1

Opredelitev pojmov

V tej uredbi se uporabljajo naslednje opredelitve pojmov:

(a)	„kritična ali pomembna funkcija“ pomeni kritično ali pomembno funkcijo, kot je opredeljena v členu 3, točka 22, Uredbe (EU) 2022/2554;

(b)	„razpršena evidenca brez dovoljenja“ pomeni posebno vrsto razpršene evidence, pri kateri noben subjekt ne nadzoruje razpršene evidence in lahko omrežna vozlišča DLT vzpostavi vsaka oseba, ki izpolnjuje tehnične zahteve in protokole te razpršene evidence.

Člen 2

Organizacijske ureditve neprekinjenega poslovanja

1. Politiko neprekinjenega poslovanja iz člena 68(7) Uredbe (EU) 2023/1114 sestavljajo načrti, postopki in ukrepi.

2. Upravljalni organ ponudnikov storitev v zvezi s kriptosredstvi pri opravljanju svojih funkcij iz člena 68(6) Uredbe (EU) 2023/1114 vzpostavi in potrdi načrte, postopke in ukrepe, ki sestavljajo politiko neprekinjenega poslovanja. Upravljalni organ ponudnika storitev v zvezi s kriptosredstvi je odgovoren za izvajanje politike neprekinjenega poslovanja in pregledovanje njene učinkovitosti vsaj enkrat letno.

3. Ponudniki storitev v zvezi s kriptosredstvi zagotovijo, da se vse spremembe politike neprekinjenega poslovanja posredujejo vsem zadevnim notranjim zaposlenim prek učinkovitih komunikacijskih kanalov.

Člen 3

Politika neprekinjenega poslovanja

1. Politika neprekinjenega poslovanja iz člena 68(7) Uredbe (EU) 2023/1114 zagotavlja, da ponudniki storitev v zvezi s kriptosredstvi ustrezno obravnavajo moteče incidente ali težave z delovanjem v zvezi s sistemi, ki so ključni za delovanje njihovih poslovnih funkcij, in se shrani na trajnem nosilcu podatkov.

2. Ponudniki storitev v zvezi s kriptosredstvi v politiko neprekinjenega poslovanja vključijo vse naslednje:

(a)	specifikacijo področja uporabe politike neprekinjenega poslovanja, ki mora biti zajeta v načrtih neprekinjenega poslovanja, postopkih in ukrepih, vključno z njenimi omejitvami in izključitvami;

(b)	opis meril za aktivacijo načrtov neprekinjenega poslovanja, vključno s postopki prenosa na višjo raven do ravni upravljalnega organa;

(c)	določbe o upravljanju in organizaciji ponudnika storitev v zvezi s kriptosredstvi, vključno z vlogami in odgovornostmi zaposlenih, za zagotavljanje, da so na voljo zadostni viri za učinkovito izvajanje politike;

(d)	določbe, ki zagotavljajo skladnost med načrti neprekinjenega poslovanja in načrti neprekinjenega poslovanja na področju IKT ter načrti odzivanja in okrevanja IKT iz členov 24 in 26 Delegirane uredbe (EU) 2024/1774.

Člen 4

Načrti neprekinjenega poslovanja

1. Ponudniki storitev v zvezi s kriptosredstvi pri izvajanju politike neprekinjenega poslovanja iz člena 68(7) Uredbe (EU) 2023/1114 pripravijo načrte neprekinjenega poslovanja. V načrtih neprekinjenega poslovanja so določeni postopki, potrebni za zaščito in po potrebi ponovno vzpostavitev:

(a)	zaupnosti, celovitosti in razpoložljivosti podatkov o strankah;

(b)	razpoložljivosti poslovnih funkcij, podpornih postopkov in informacijskih sredstev ponudnikov storitev v zvezi s kriptosredstvi.

2. Načrti neprekinjenega poslovanja vsebujejo naslednje:

(a)	številne različne možne neugodne scenarije, povezane z delovanjem kritičnih ali pomembnih funkcij, vključno z nerazpoložljivostjo poslovnih funkcij, zaposlenih, delovnega prostora, zunanjih dobaviteljev, podatkovnih središč ali izgubo ali spremembo ključnih podatkov in dokumentov;

(b)

postopke in politike, ki jih je treba upoštevati v primeru motečega incidenta, vključno z:

(i)	ukrepi, ki so potrebni za obnovitev kritičnih ali pomembnih funkcij;

(ii)	roki, do katerih je treba obnoviti te kritične ali pomembne funkcije;

(iii)

cilji glede točk obnovitve;

(iv)	najdaljšim časom za ponovno vzpostavitev storitev;

(c)	postopke in politike za premestitev poslovnih funkcij, ki se uporabljajo za zagotavljanje storitev v zvezi s kriptosredstvi, na rezervno mesto;

(d)	varnostno kopiranje ključnih poslovnih podatkov, tudi posodobljenih informacij o potrebnih stikih za zagotavljanje komunikacije znotraj ponudnika storitev v zvezi s kriptosredstvi ter med ponudnikom storitev v zvezi s kriptosredstvi in njegovimi strankami;

(e)	postopke za pravočasno komunikacijo s strankami in drugimi zunanjimi deležniki, vključno s pristojnimi organi.

3. V primeru motenj, ki vključujejo razpršeno evidenco brez dovoljenja, ki jo ponudnik storitev v zvezi s kriptosredstvi uporablja pri opravljanju svojih storitev, komunikacija iz odstavka 2, točka (e), vključuje naslednje informacije:

(a)	kdaj naj bi se storitve ponovno vzpostavile;

(b)	razloge za moteči incident in njegov vpliv;

(c)	vsa tveganja v zvezi z denarnimi sredstvi in kriptosredstvi strank, ki se hranijo v njihovem imenu;

(d)	ukrepe, ki jih namerava kot odziv na motnje razpršene evidence brez dovoljenja sprejeti ponudnik storitev v zvezi s kriptosredstvi.

Kadar te informacije ponudniku storitev v zvezi s kriptosredstvi niso takoj na voljo, ponudnik storitev v zvezi s kriptosredstvi strankam in deležnikom, vključno s pristojnimi organi, po najboljših močeh sporoči posodobitve informacij iz prvega pododstavka.

4. Načrti neprekinjenega poslovanja vsebujejo postopke za odpravo vseh motenj v kritičnih ali pomembnih funkcijah, oddanih v zunanje izvajanje, tudi kadar te kritične ali pomembne funkcije niso več na voljo.

Člen 5

Redno testiranje načrtov neprekinjenega poslovanja

1. Ponudniki storitev v zvezi s kriptosredstvi testirajo delovanje načrtov neprekinjenega poslovanja iz člena 4 na podlagi realnih scenarijev. S takim testiranjem se preveri sposobnost ponudnika storitev v zvezi s kriptosredstvi, da si opomore po motečih incidentih in ponovno vzpostavi storitve v skladu s členom 4(2), točka (b).

2. Ponudniki storitev v zvezi s kriptosredstvi vsako leto testirajo načrte neprekinjenega poslovanja, pri čemer upoštevajo:

(a)	rezultate testov iz odstavka 1;

(b)	najnovejše obveščevalne podatke o grožnjah;

(c)	izkušnje, pridobljene pri prejšnjih dogodkih;

(d)	kadar je ustrezno, vse spremembe ciljev obnovitve, vključno s cilji glede časa okrevanja in točk obnovitve iz člena 4(2), točka (b);

(e)	spremembe poslovnih funkcij.

3. Ponudniki storitev v zvezi s kriptosredstvi pisno dokumentirajo rezultate dejavnosti testiranja ter jih predložijo svojemu upravljalnemu organu in operativnim enotam, vključenim v pripravo načrtov neprekinjenega poslovanja.

4. Ponudniki storitev v zvezi s kriptosredstvi zagotovijo, da testiranje načrtov neprekinjenega poslovanja ne vpliva na običajno izvajanje njihovih storitev.

Člen 6

Kompleksnost in vidiki tveganja

1. Ponudniki storitev v zvezi s kriptosredstvi pri oblikovanju politike neprekinjenega poslovanja, vključno z načrti, postopki in ukrepi, upoštevajo elemente večje kompleksnosti ali tveganja, vključno z:

(a)	vrsto in naborom ponujenih storitev v zvezi s kriptosredstvi;

(b)	v kolikšni meri so storitve ponudnika storitev v zvezi s kriptosredstvi odvisne od razpršene evidence brez dovoljenja;

(c)	potencialnim vplivom morebitnih motenj na neprekinjenost dejavnosti ponudnika storitev v zvezi s kriptosredstvi in razpoložljivost njegovih storitev.

2. Za namene odstavka 1 ponudniki storitev v zvezi s kriptosredstvi vsako leto opravijo samooceno obsega, narave in nabora svojih storitev. Ponudniki storitev v zvezi s kriptosredstvi izvedejo to samooceno na podlagi meril iz Priloge in vseh drugih meril, za katera ponudnik storitev v zvezi s kriptosredstvi meni, da so pomembna.

Člen 7

Začetek veljavnosti

Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.

V Bruslju, 31. oktobra 2024

Za Komisijo

predsednica

Ursula VON DER LEYEN

(1) UL L 150, 9.6.2023, str. 40, ELI: http://data.europa.eu/eli/reg/2023/1114/oj.

(2) Uredba (EU) 2022/2554 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o digitalni operativni odpornosti za finančni sektor in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 (UL L 333, 27.12.2022, str. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj).

(3) Delegirana uredba Komisije (EU) 2024/1774 z dne 13. marca 2024 o dopolnitvi Uredbe (EU) 2022/2554 Evropskega parlamenta in Sveta v zvezi z regulativnimi tehničnimi standardi, ki določajo orodja, metode, postopke in politike za obvladovanje tveganj na področju IKT ter poenostavljen okvir za obvladovanje tveganj na področju IKT (UL L, 2024/1774, 25.6.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1774/oj).

(4) Uredba (EU) št. 1095/2010 Evropskega parlamenta in Sveta z dne 24. novembra 2010 o ustanovitvi Evropskega nadzornega organa (Evropski organ za vrednostne papirje in trge) in o spremembi Sklepa št. 716/2009/ES ter razveljavitvi Sklepa Komisije 2009/77/ES (UL L 331, 15.12.2010, str. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).

PRILOGA

MERILA ZA SAMOOCENO PONUDNIKOV STORITEV V ZVEZI S KRIPTOSREDSTVI

(a)

Narava ponudnika storitev v zvezi s kriptosredstvi na podlagi naslednjih elementov:

(i)	oznake razreda iz Priloge IV k Uredbi (EU) 2023/1114;

(ii)	povprečnih ravni likvidnosti ali globine trga kriptosredstev, ki so na voljo za trgovanje na platformi za trgovanje s kriptosredstvi, kjer je to ustrezno;

(iii)

vloge ponudnika storitev v zvezi s kriptosredstvi v finančnem sistemu, vključno s tem, ali ponudnik storitev v zvezi s kriptosredstvi upravlja platformo za trgovanje s kriptosredstvi in ali se s kriptosredstvi, s katerimi se trguje na njegovi platformi, trguje na drugih platformah za trgovanje s kriptosredstvi.

(b)

Lestvica z oceno učinka ponudnika storitev v zvezi s kriptosredstvi na pravilno delovanje trgov, in sicer na podlagi naslednjih elementov, kjer je to ustrezno:

(i)	ali se ponudnik storitev v zvezi s kriptosredstvi šteje za pomembnega, kot je navedeno v členu 85 Uredbe (EU) 2023/1114;

(ii)	števila držav, v katerih ponudnik storitev v zvezi s kriptosredstvi opravlja poslovno dejavnost;

(iii)

števila strank;

(iv)	števila aktivnih uporabnikov;

(v)	vrednosti kriptosredstev v skrbništvu;

(vi)	obsega poslov na platformi za trgovanje s kriptosredstvi;

(vii)

števila prenosov kriptosredstev, izvedenih v imenu strank;

(viii)

števila naročil, izvršenih v imenu strank.

(c)

Kompleksnost z oceno naslednjih elementov, kjer je to ustrezno:

(i)	strukture ponudnika storitev v zvezi s kriptosredstvi v smislu lastništva in upravljanja ter njegove organizacijske, operativne, tehnične, fizične in geografske prisotnosti;

(ii)	ravni zunanjega izvajanja ponudnika storitev v zvezi s kriptosredstvi in zlasti, ali so bile v zunanje izvajanje oddane katere koli kritične ali pomembne operativne funkcije;

(iii)

števila in vrste razpršene evidence, ki se uporablja pri izvajanju storitev;

(iv)	števila omrežnih vozlišč DLT, ki jih ponudnik storitev v zvezi s kriptosredstvi upravlja v okviru ene ali več razpršenih evidenc;

(v)	števila in vrste pametnih pogodb, ki jih uvede in vzdržuje ponudnik storitev v zvezi s kriptosredstvi;

(vi)	kako so zasebni kriptografski ključi strank ali drugi načini dostopa do kriptosredstev zavarovani v okviru hrambe;

(vii)

uporabe skrbniških denarnic, ki temeljijo na programski in strojni opremi, ali denarnic, ki zavarujejo kriptografske ključe z več fiduciarji.

Za namene točk (b)(iii) do (viii) ponudnik storitev v zvezi s kriptosredstvi za samooceno uporabi dnevno povprečje v enoletnem referenčnem obdobju.