Digital operativ motståndskraft för finanssektorn

 

SAMMANFATTNING AV FÖLJANDE DOKUMENT:

Förordning (EU) 2022/2554 om digital operativ motståndskraft för finanssektorn

VILKET SYFTE HAR FÖRORDNINGEN?

I förordningen fastställs enhetliga regler avseende säkerheten i nätverks- och informationssystem för finansiella entiteter, t.ex. banker, försäkringsbolag och värdepappersföretag.

Den omfattar en mängd olika reglerade finansiella entiteter i Europeiska unionen (EU) och kräver att de ska kunna klara, bemöta och återhämta sig från alla avbrott eller hot som inbegriper informations- och kommunikationsteknik (IKT).

VIKTIGA PUNKTER

Tillämpningsområde

Förordningen omfattar

• kreditinstitut, betalningsinstitut, institut för elektroniska pengar och tjänstepensionsinstitut,
• tjänsteleverantörer för kontoinformation, kryptotillgångar, datarapportering, gräsrotsfinansiering och IKT-tredjeparter,
• värdepappersföretag, alternativa investeringsfonder, förvaltningsbolag, kreditvärderingsinstitut och administratörer av kritiska referensvärden,
• transaktions- och värdepapperiseringsregister, värdepapperscentraler, centrala motparter och handelsplatser,
• försäkringar, försäkringsförmedlare och återförsäkringsföretag.

IKT-riskhantering

Finansiella entiteter som inte är mikroföretag ska

• ha interna styrnings- och kontrollåtgärder som säkerställer en effektiv och ansvarsfull hantering av IKT-risker,
• säkerställa att deras ledningsorgan fastställer, godkänner, övervakar och ansvarar för alla relevanta arrangemang,
• ha en sund, omfattande och väldokumenterad ram för IKT-riskhantering med nödvändiga strategier, riktlinjer, förfaranden, protokoll och verktyg för att kunna reagera snabbt och effektivt,
• använda och underhålla uppdaterade IKT-system, IKT-protokoll och IKT-verktyg som är lämpliga, tillförlitliga, tekniskt motståndskraftiga och har tillräcklig kapacitet,
• identifiera, klassificera och på lämpligt sätt dokumentera alla IKT-stödda affärsfunktioner, roller och ansvarsområden samt se över riskscenarier,
• kontinuerligt övervaka säkerheten och driften av IKT-system och IKT-verktyg för att minimera effekterna av eventuella IKT-risker,
• snabbt upptäcka avvikelser och identifiera potentiella felpunkter,
• införa en övergripande IKT-kontinuitetspolicy med lämpliga planer, förfaranden och mekanismer,
• utveckla och dokumentera strategier för säkerhetskopiering samt förfaranden för återskapande och återställning,
• använda resurser och personal för att bedöma sårbarheter och cyberhot, IKT-relaterade incidenter, särskilt cyberangrepp, och analysera deras potentiella inverkan på entitetens digitala operativa motståndskraft,
• utarbeta kriskommunikationsplaner för att åtminstone avslöja större IKT-relaterade incidenter eller sårbarheter för kunder, motparter och allmänheten.

IKT-relaterad förvaltning, klassificering och rapportering

Finansiella entiteter ska

• fastställa, inrätta och genomföra åtgärder för att upptäcka, hantera, registrera och rapportera IKT-relaterade incidenter,
• klassificera incidenter och fastställa deras inverkan med hjälp av kriterier som antalet kunder och motparter som påverkas, varaktighet, geografisk spridning och dataförluster,
• rapportera större IKT-relaterade incidenter till sin utsedda behöriga myndighet, som vidarebefordrar dem till ett högre organ som Europeiska centralbanken eller Europeiska bankmyndigheten.

Testning av digital operativ motståndskraft

Finansiella entiteter som inte är mikroföretag ska

• upprätta, underhålla och se över ett sunt och omfattande program för testning av digital operativ motståndskraft som är utrustat med nödvändiga bedömningar, tester, metoder, praxis och verktyg,
• minst vart tredje år utföra penetrationstester på grundval av deras riskprofil och med beaktande av de operativa omständigheterna – och endast använda testare som är certifierade, har nödvändig sakkunskap och lämplighet och har professionell ansvarsförsäkring.

Hantering av IKT-tredjepartsrisk

Finansiella entiteter ska

• hantera tredjepartsrisker som en integrerad del av deras övergripande IKT-risk,
• ha kontraktsmässiga arrangemang som gör det möjligt för IKT-tjänster att bedriva sin affärsverksamhet i full överensstämmelse med relevant lagstiftning,
• ta hänsyn till IKT-relaterade beroendens karaktär, omfattning, komplexitet och betydelse och eventuella risker,
• väga fördelarna och kostnaderna med alternativa lösningar när de identifierar och bedömer eventuella risker,
• i kontraktet inkludera varje parts rättigheter och skyldigheter samt tjänsteavtalet.

Tillsynsram för kritiska tredjepartsleverantörer av IKT-tjänster

Genom ramen

• anförtros de europeiska tillsynsmyndigheterna att
  • på grundval av tydliga kriterier utse tredjepartsleverantörer av IKT-tjänster som anses vara kritiska för finansiella entiteter,
  • utse, i egenskap av ledande tillsynsmyndighet för varje kritisk tredjepartsleverantör av tjänster, den europeiska tillsynsmyndighet som är ansvarig för den berörda finansiella entiteten,
• inrättas ett tillsynsforum för att
  • diskutera relevant utveckling av IKT-risker och IKT-sårbarheter och främja en konsekvent övervakningsstrategi på EU-nivå,
  • bedöma tillsynsverksamheten årligen, främja åtgärder för att öka den digitala operativa motståndskraften och främja bästa praxis,
  • lägga fram heltäckande referensvärden för kritiska tredjepartsleverantörer av IKT-tjänster,
• ges den ledande tillsynsmyndigheten i uppdrag att
  • vara den primära kontaktpunkten för kritiska tredjepartsleverantörer av IKT-tjänster,
  • bedöma huruvida varje kritisk leverantör har infört omfattande, sunda och effektiva regler, förfaranden, mekanismer och arrangemang,
  • begära all relevant information och dokumentation, genomföra utredningar och inspektioner (även i länder utanför EU), specificera avhjälpande åtgärder och utfärda rekommendationer,
• blir det möjligt för Europeiska bankmyndigheten,Europeiska försäkrings- och tjänstepensionsmyndigheten och Europeiska värdepappers- och marknadsmyndigheten att samarbeta med reglerings- och tillsynsmyndigheter utanför EU när det gäller IKT-tredjepartsrisker,
• krävs det att de europeiska tillsynsmyndigheterna vart femte år lämnar en konfidentiell rapport till Europaparlamentet, Europeiska unionens råd och Europeiska kommissionen om sina kontakter med myndigheter i länder utanför EU.

Arrangemang för informationsutbyte

Finansiella entiteter får sinsemellan utbyta information och underrättelser om cyberhot, under förutsättning att detta

• syftar till att stärka deras digitala operativa motståndskraft,
• äger rum inom deras betrodda grupper,
• skyddar affärshemligheter och personuppgifter och respekterar konkurrenspolitiska regler.

Sanktioner och avhjälpande åtgärder

Behöriga myndigheter

• har alla tillsyns-, utrednings- och sanktionsbefogenheter som krävs för att de ska kunna utföra sina skyldigheter,
• ålägger och på sina webbplatser offentliggör de administrativa sanktioner och avhjälpande åtgärder som fastställs i nationell lagstiftning.

De europeiska tillsynsmyndigheterna utarbetar förslag till tekniska standarder för hantering av IKT-risker, klassificering och rapportering av IKT-relaterade incidenter och genomförande av tillsynsverksamhet.

Kommissionen

• har befogenhet att anta delegerade akter,
• ska senast den 17 januari 2028 lämna in en översyn av förordningen, efter att ha konsulterat de europeiska tillsynsmyndigheterna och Europeiska systemrisknämnden, parlamentet och rådet.

Genom förordningen ändras förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 909/2014, (EU) nr 600/2014 och (EU) 2016/1011.

VILKEN PERIOD GÄLLER FÖRORDNINGEN FÖR?

Den gäller från och med den 17 januari 2025.

BAKGRUND

De reformer som följde efter finanskrisen 2008 stärkte främst sektorns finansiella stabilitet. IKT-risker hanterades endast indirekt inom vissa områden och fortsatte att utgöra en utmaning för den operativa motståndskraften, prestandan och stabiliteten i EU:s finansiella system.

Förordningen, som även kallas för DORA-förordningen, ingår i ett större paket för digitalisering av finanssektorn som syftar till att främja teknisk utveckling och säkerställa finansiell stabilitet och konsumentskydd. Dess övriga delar omfattar en strategi för digitalisering av finanssektorn, marknader för kryptotillgångar och teknik för distribuerade liggare.

Mer information finns här:

• Paketet för digitalisering av finanssektorn (Europeiska kommissionen)

HUVUDDOKUMENT

Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 (EUT L 333, 27.12.2022, s. 1).

ANKNYTANDE DOKUMENT

Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén om en strategi för digitalisering av finanssektorn i EU (COM(2020) 591 final, 24.9.2020).

Europaparlamentets och rådets förordning (EU) 2016/1011 av den 8 juni 2016 om index som används som referensvärden för finansiella instrument och finansiella avtal eller för att mäta investeringsfonders resultat, och om ändring av direktiven 2008/48/EG och 2014/17/EU och förordning (EU) nr 596/2014 (EUT L 171, 29.6.2016, s. 1).

Fortlöpande ändringar av förordning (EU) 2016/1011 har införlivats i originaltexten. Denna konsoliderade version har endast dokumentationsvärde.

Europaparlamentets och rådets förordning (EU) nr 909/2014 av den 23 juli 2014 om förbättrad värdepappersavveckling i Europeiska unionen och om värdepapperscentraler samt ändring av direktiv 98/26/EG och 2014/65/EU och förordning (EU) nr 236/2012 (EUT L 257, 28.8.2014, s. 1).

Se den konsoliderade versionen.

Europaparlamentets och rådets förordning (EU) nr 600/2014 av den 15 maj 2014 om marknader för finansiella instrument och om ändring av förordning (EU) nr 648/2012 (EUT L 173, 12.6.2014, s. 84).

Se den konsoliderade versionen.

Europaparlamentets och rådets förordning (EU) nr 648/2012 av den 4 juli 2012 om OTC-derivat, centrala motparter och transaktionsregister (EUT L 201, 27.7.2012, s. 1).

Se den konsoliderade versionen.

Europaparlamentets och rådets förordning (EG) nr 1060/2009 av den 16 september 2009 om kreditvärderingsinstitut (EUT L 302, 17.11.2009, s. 1).

Se den konsoliderade versionen.

Senast ändrat 10.01.2024