Yttrande av Europeiska ekonomiska och sociala kommittén om

Förslag till Europaparlamentets och rådets förordning om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014 och (EU) nr 909/2014

[COM(2020) 595 final – 2020/0266 (COD)]

Förslag till Europaparlamentets och rådets direktiv om ändring av direktiv 2006/43/EG, 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/65/EU, (EU) 2015/2366 och (EU) 2016/2341

[COM(2020) 596 final – 2020/0268 (COD)]

(2021/C 155/06)

Föredragande:

Antonio GARCÍA DEL RIEGO

Remiss	Europaparlamentet, 17.12.2020 Europeiska unionens råd, 22.12.2020
Rättslig grund	Artiklarna 53.1, 114.1 och 304 i EUF-fördraget
Ansvarig sektion	Ekonomiska och monetära unionen, ekonomisk och social sammanhållning
Antagande av sektionen	12.2.2021
Antagande vid plenarsessionen	24.2.2021
Plenarsession nr	558
Resultat av omröstningen (för/emot/nedlagda röster)	243/1/4

1.    Slutsatser och rekommendationer

1.1

Europeiska ekonomiska och sociala kommittén (EESK) välkomnar det förslag om digital operativ motståndskraft (DORA) som lagts fram av Europeiska kommissionen, eftersom det syftar till att bringa rättslig klarhet kring bestämmelserna om IKT-risker, minska lagstiftningens komplexitet, införa en gemensam uppsättning standarder för att begränsa IKT-risker och främja en harmoniserad tillsynsstrategi, samtidigt som det säkerställer rättssäkerhet och nödvändigt skydd för finansiella företag och IKT-leverantörer. Genom DORA-förordningen förstärks inte bara sektorns motståndskraft mot IKT-risker, utan den är också relevant för ett antal berörda parter, däribland kunder, investerare och anställda, och bidrar till en hållbar utveckling.

1.2

EESK rekommenderar att man gör DORA-förordningen mer ändamålsenlig genom att:

1.2.1

Se till att DORA-förordningens tillämpningsområde inkluderar alla leverantörer av kritiska finansiella tjänster som bedriver finansiell verksamhet, och att användningen av IKT-tjänster för icke-kritiska funktioner exkluderas.

1.2.2

Säkerställa överensstämmelse i fråga om definitioner och tillämpningsområden mellan DORA-förordningen och de krav som fastställs i befintliga riktlinjer utfärdade av de europeiska tillsynsmyndigheterna.

1.2.3

Främja ett regelverk för IKT-förvaltning med fokus på en princip- och riskbaserad metod som underlättar genomförandet av kontroller som är framtidssäkrade, flexibla och står i proportion till riskerna.

1.2.4

Säkerställa en fullständig överensstämmelse med den verktygslåda som rådet för finansiell stabilitet tagit fram för åtgärder och återhämtning vid cyberincidenter när det gäller IKT-relaterade incidenter.

1.2.5

Betona, när det gäller testning av den digitala operativa motståndskraften, inte bara finansinstitutens storlek utan även hur komplex och kritisk verksamheten är, och undvika obligatorisk utkontraktering som utförs av det begränsade antalet externa testare samt ömsesidigt erkännande av testresultat.

1.2.6

Samla kraven avseende utkontraktering i ett enhetligt regelverk för att säkerställa rättssäkerhet för alla marknadsaktörer och på ett tillförlitligt sätt leva upp till förväntningarna på tillsynsområdet.

1.2.7

Se till att ledande tillsynsmyndigheters rekommendationer tillämpas fullt ut och fastställa tydliga roller och ansvarsområden för de olika myndigheter som deltar i tillsynen av kritiska tredjepartsleverantörer.

1.2.8

Garantera tillgången till utkontrakterade tjänster som bedöms vara kritiska för tredjepartsleverantörer baserade i tredjeländer, för att undvika begränsningar av avtalsfriheten för företag och av möjligheten att få tillgång till tjänster från leverantörer med högt mervärde.

1.2.9

Införa proportionalitet i sanktionssystemet för att undvika att IKT-leverantörer avskräcks från att tillhandahålla tjänster till finansiella enheter i EU och frångå den nuvarande hänvisningen till global omsättning.

1.2.10

Klargöra företagens förmåga att utbyta information om cyberhot genom att säkerställa att sådana arrangemang införs på frivillig basis och att en uttrycklig bestämmelse som möjliggör utbyte av personuppgifter ingår i förslaget till DORA-förordningen.

1.2.11

Överväga att höja förslagets tröskelvärde för undantag för mikroföretag och små företag i enlighet med definitionen i artikel 2.2 i bilaga I till kommissionens rekommendation 2003/361/EG (1), dvs. företag som sysselsätter färre än 50 personer och vars omsättning eller balansomslutning inte överstiger 10 miljoner euro per år, och att minska det antal krav som gäller för små och medelstora företag i förhållande till den berörda enhetens digitala riskprofil.

1.3

EESK stöder att ledande tillsynsmyndigheter ges befogenhet att genomföra revisioner och kontroller av kritiska tredjepartsleverantörer eftersom de därmed skulle få en bättre förståelse av de risker som kritiska tredjepartsleverantörer kan innebära, och detta skulle kunna bidra till att rationalisera bankernas utkontrakteringsförfaranden.

2.    Bakgrund

2.1

Europeiska konsumenter och företag förlitar sig i allt högre grad på digitala finansiella tjänster, i takt med att marknadsaktörer tillhandahåller allt mer innovativa lösningar baserade på ny teknik. Digitaliseringen är av central betydelse för Europas återhämtning och för att skapa en hållbar och motståndskraftig europeisk ekonomi.

2.2

Kommissionen har, i enlighet med sina prioriteringar att rusta Europa för den digitala tidsåldern och bygga upp en framtidssäkrad ekonomi för människor, lagt fram ett paket för digitalisering av finanssektorn. Paketet innehåller åtgärder för att ytterligare möjliggöra och stödja den digitala finanssektorns potential när det gäller innovation och konkurrens och samtidigt minska de risker som den medför.

2.3

Utöver förslaget om digital operativ motståndskraft innehåller paketet för digitalisering av finanssektorn även en ny strategi för digitalisering av finanssektorn inom EU (2) och ett förslag till förordning om marknader för kryptotillgångar tillsammans med ett förslag till förordning om en pilotordning för marknadsinfrastrukturer som baseras på teknik för distribuerade liggare (3).

2.4

Digital operativ motståndskraft är företagens kapacitet att säkerställa att de kan stå emot alla typer av avbrott och hot som rör informations- och kommunikationsteknik (IKT). Att finanssektorn har blivit allt mer beroende av programvara och digitala processer har gjort IKT-risker till ett ofrånkomligt fenomen inom sektorn. Finansföretagen har kommit att bli måltavlor för cyberattacker, vilket allvarligt skadar såväl kundernas som företagens ekonomi och anseende. Det krävs god insikt i och hantering av dessa risker, särskilt i pressade situationer.

2.5

Även om de reformer som följde på finanskrisen 2008 stärkte motståndskraften inom EU:s finanssektor behandlades IKT-risker bara indirekt. Avsaknaden av ett heltäckande regelverk på EU-nivå för digital operativ motståndskraft har inneburit att man varit tvungen att förlita sig på nationella lagstiftningsinitiativ. Detta har dock medfört begränsad effektivitet i gränsöverskridande sammanhang, och lett till en fragmentering av den inre marknaden som undergräver stabiliteten och integriteten hos EU:s finanssektor. Mot bakgrund av detta föreslår kommissionen inrättandet av en heltäckande ram för digital operativ motståndskraft för finansiella enheter i EU.

2.6

Syftet med lagstiftningsförslaget om digital operativ motståndskraft (DORA-förordningen) (4) är att förbättra och effektivisera de finansiella enheternas hantering av IKT-risker, införa grundlig testning av IKT-systemens motståndskraft, främja informationsutbyte och öka medvetenhet hos tillsynsmyndigheterna om cyberrisker och IKT-relaterade incidenter som finansiella enheter ställs inför, och ge finansiella tillsynsmyndigheter befogenhet att övervaka risker som härrör från finansiella enheters beroende av tredjepartsleverantörer av IKT-tjänster. Förslaget syftar också till att skapa en enhetlig incidentrapporteringsmekanism som kan bidra till att minska de administrativa bördorna för finansiella enheter och stärka tillsynens effektivitet.

2.7

Kommissionen har också lagt fram ett förslag till direktiv (5) eftersom det är nödvändigt att införa ett tillfälligt undantag för multilaterala handelsplattformar och ändra eller förtydliga vissa bestämmelser i befintliga EU-direktiv om finansiella tjänster, för att nå målen i förslaget om digital operativ motståndskraft.

2.8

IKT-marknaden räknas som en av de största branscherna i världen. Den värderades till mer än fem biljoner US-dollar 2019 och väntas växa till mer än sex biljoner US-dollar fram till 2022. Dess ständiga tillväxt är en påminnelse om hur utbredd och betydelsefull tekniken är i dagens samhälle. Finanssektorn är världens största IKT-användare och står för cirka 20 % av alla utgifter för IKT, enligt lagstiftningsförslagets konsekvensbedömning.

2.9

Covid-19-pandemin har drivit på spridningen av digitala finansiella tjänster samtidigt som finansinstitutens nät av filialer förblir underunderutnyttjade. Detta kommer att stimulera investeringar i digitala självbetjäningsverktyg, öppna finansieringstillämpningar och mervärdestjänster. Den nuvarande situationen kommer sammantaget att tvinga finansinstituten att göra ytterligare investeringar i it-infrastruktur, prioritera överföringen av kritiska arbetsuppgifter och uppdatera befintliga appar. Den europeiska finanssektorn genomgår redan en stor digital omvandling, och dess förmåga att konkurrera globalt beror i hög grad på de europeiska finansinstitutens möjligheter att dra nytta av den mest avancerade tekniken.

3.    Allmänna kommentarer

3.1

EESK välkomnar Europeiska kommissionens förslag om digital operativ motståndskraft (DORA), som behandlar många av de behov som finanssektorn signalerat och syftar till att bringa rättslig klarhet kring bestämmelserna om IKT-risker, minska lagstiftningens komplexitet och lätta den administrativa börda som skilda regler för finansiella enheter i olika delar av EU ger upphov till. Genom DORA-förslaget förstärks inte bara sektorns motståndskraft mot IKT-risker, utan det är också relevant för ett antal berörda parter, däribland kunder, investerare och anställda, och bidrar till en hållbar utveckling.

3.2

EESK ser DORA-förslaget som ett viktigt steg mot att inrätta en gemensam uppsättning standarder för att begränsa IKT-risker och underlätta en harmoniserad tillsynsstrategi, men försiktighet bör iakttas så att inte ytterligare hinder skapas som skulle förhindra finansinstitut i EU från att delta i den globala innovationsutvecklingen.

3.3

EESK ser det som ett övergripande mål att EU:s myndigheter försöker åstadkomma ett proportionerligt och riskbaserat system som förser tillsynsmyndigheter med verktyg för att hantera de farhågor de har, samtidigt som det säkerställer rättssäkerhet och nödvändigt skydd för finansiella företag och IKT-leverantörer.

4.    Särskilda kommentarer

4.1   Tillämpningsområde och frågor om överlappande lagstiftning

4.1.1   Inkludering av ytterligare relevanta aktörer på finansmarknaderna

EESK noterar och välkomnar att den föreslagna lagstiftningen riktar in sig på ett brett spektrum av finansmarknadsaktörer, vilket kommer att säkerställa en konsekvent tillämpning av kraven inom hela EU:s finanssektor, men rekommenderar emellertid att EU:s beslutsfattare inkluderar finansiella aktörer som inte anses falla inom tillämpningsområdet för denna föreslagna lagstiftning – såsom leverantörer av hypotekslån och konsumentkrediter – i lämplig utsträckning beroende på vilken risk de kan utgöra för systemet. Alla leverantörer av finansiella tjänster som bedriver samma verksamheter och tar samma risker bör omfattas av samma regler och tillsyn, så att konsumenterna och den finansiella stabiliteten skyddas genom samma ram med miniminivåer avseende digital motståndskraft.

4.1.2   Enhetlighet på internationell nivå och EU-nivå och i förhållande till befintlig lagstiftning

För företag, särskilt de som bedriver gränsöverskridande verksamhet, är det av avgörande betydelse att man skapar klarhet genom att säkerställa enhetliga definitioner och villkor och undvika dubbleringar, överlappningar och olika tolkningar av hur liknande lagstiftningskrav i olika jurisdiktioner ska uppfyllas. EESK rekommenderar att EU:s beslutsfattare ändrar definitionen av operativ motståndskraft så att den överensstämmer med definitionen från Baselkommittén för banktillsyn (6) och säkerställer att detta är den främsta ordningen för finansinstitut i EU för att undvika risken för motsägelser med andra ordningar. Många av de principer och krav som fastställs i DORA-förslaget definieras för övrigt redan i de befintliga riktlinjerna för utkontraktering (7). IKT-risker och krav för hantering av säkerhetsrisker definieras också redan i EBA:s riktlinjer. Det är av avgörande betydelse att överensstämmelse säkerställs mellan DORA-förslagets definitioner och tillämpningsområde och de krav som anges i de befintliga riktlinjerna, för att åstadkomma en harmonisering av EU:s lagstadgade krav.

4.1.3

EESK rekommenderar även att Europeiska kommissionen säkerställer att den pågående översynen av nätverks- och informationssäkerhetsdirektivet (NIS-direktivet) och DORA-förslaget har samma definitioner och krav på rapportering av säkerhetsincidenter för finansiella enheter.

4.2   Hantering av IKT-risker

Vissa delar av ramen fokuserar i för hög grad på efterlevnad snarare än på hur företag kan uppvisa resultat genom en princip- och riskbaserad metod. Eftersom dessa delar är alltför föreskrivande och detaljerade riskerar de att med tiden bli föråldrade, i takt med att cyber- och IKT-risklandskapet förändras. EESK rekommenderar en mer princip- och riskbaserad strategi som underlättar genomförandet av kontroller som är framtidssäkrade, flexibla, proportionella och står i relation till riskerna.

4.3   IKT-relaterade incidenter

EESK rekommenderar en fullständig anpassning mellan den nyligen offentliggjorda verktygslådan för åtgärder och återhämtning vid cyberincidenter (8) från rådet för finansiell stabilitet (FSB), som tillhandahåller bästa praxis för incidentrapportering och den föreslagna hantering, klassificering och rapportering av IKT-relaterade incidenter som föreskrivs i DORA-förslaget. Det förekommer överlappningar som skapar rättslig osäkerhet och ökar regelbördan för företag.

4.4   Testning av digital operativ motståndskraft

4.4.1

Även om EESK välkomnar det EU-omfattande systemet för hotstyrd penetrationstestning, eftersom det kommer att förbättra effektiviteten och minska fragmenteringen, rekommenderar kommittén att myndigheterna inte bara fokuserar på finansinstitutets storlek eller skala utan även på hur komplex och kritisk tjänsten är, genom att beakta proportionalitetsprincipen och vid behov upphöra att skilja mellan grundläggande testning för alla finansinstitut och mer avancerad testning för betydande finansinstitut, och säkerställa att kunder hos mindre finansiella enheter ges ett likvärdigt skydd och att lika villkor skapas för alla finansiella enheter

4.4.2

EESK rekommenderar att utkontraktering av testning till externa testare inte görs obligatorisk, eftersom antalet externa testare är begränsat. Företag kan i själva verket ha sina egna interna testningsgrupper som är välbekanta med miljön inom företaget och snabbt kan fokusera på mer avancerade och riktade tester.

4.4.3

Inkluderingen av tredjepartsleverantörer av IKT-tjänster i den hotstyrda penetrationstestningen bör ses över. Det faktum att tredjepartsleverantörer av IKT-tjänster kan anlitas av flera kunder skulle kunna leda till en betydande dubblering av testerna, vilket i sin tur skulle kunna skapa risker av betydelse för IKT-leverantören och dess kunder.

4.4.4

EESK rekommenderar också att det görs en uttrycklig hänvisning till ömsesidigt erkännande av testresultat, med tanke på den betydelse detta har för att minska riskerna och för att den inre marknaden ska fungera friktionsfritt, liksom för att undvika ytterligare kostnader för finansiella enheter som bedriver gränsöverskridande verksamhet.

4.5   Hantering av IKT-tredjepartsrisker och tillsynsram för kritiska tredjepartsleverantörer

4.5.1   Säkerställande av överensstämmelse med befintliga riktlinjer om utkontraktering

EESK välkomnar det faktum att DORA-förslaget fastställer ett gemensamt regelverk för en sund hantering av tredjepartsrelaterade IKT-risker för alla finansmarknadsaktörer i hela Europa. Det är dock av avgörande betydelse att en fullständig anpassning säkerställs mellan denna gemensamma grund som fastställs i huvudprinciperna (artiklarna 25, 26 och 27) och befintliga regler såsom de europeiska tillsynsmyndigheternas riktlinjer om utkontraktering (dvs. att man kommer till rätta med de befintliga skillnaderna i fråga om tillämpningsområde när det gäller ”utkontraktering” respektive ”tredjepartstjänster” (9)). Vi tror också att detta utgör ett enastående tillfälle för EU:s myndigheter att samla kraven för utkontraktering i en enda förordning – på en tillräckligt detaljerad nivå för att undvika olika tolkningar – som kan skapa rättssäkerhet för alla marknadsaktörer och på ett tillförlitligt sätt uppfyller förväntningarna på tillsynsområdet.

4.5.2   Krav i samband med utkontraktering av kritiska eller viktiga verksamheter

När det gäller tillämpningen av artikel 25.2 behöver förordningen, för att behålla fokus på riskhantering, vara mer specifik i fråga om hur proportionalitetsprincipen ska tillämpas och ange vilka krav som gäller för utkontraktering av kritiska eller viktiga verksamheter och vilka som gäller för de övriga (10). EESK rekommenderar att användning av IKT-tjänster för icke-kritiska funktioner inte omfattas av DORA-förslaget.

4.5.3   Ram för direkt tillsyn av kritiska tredjepartsleverantörer

EESK välkomnar införandet av en ram för direkt tillsyn som gör det möjligt för finansmyndigheter att kontinuerligt övervaka verksamheten hos kritiska tredjepartsleverantörer, i avsaknad av en EU-omfattande sektorsövergripande ram. I förslaget till förordning bör EU:s myndigheter notera att när kritiska IKT-leverantörer omfattas av denna tillsyn minskar riskexponeringen för finansinstitut på grund av den kontinuerliga övervakningen av deras verksamheter. Den nya tillsynsramen bör därför även bidra till att effektivisera bankernas utkontrakteringsförfaranden genom att minska vissa av de nuvarande bördorna för finansiella enheter, till exempel i samband med förfaranden för revision och kontroll av de tredjepartsleverantörer som bedöms som kritiska.

4.5.4

EESK ställer sig bakom att de ledande tillsynsmyndigheterna ges befogenhet att utföra förfarandena för revision och kontroll av kritiska tredjepartsleverantörer, eftersom det skulle ge de ledande tillsynsmyndigheterna en bättre förståelse av de risker som kritiska tredjepartsleverantörer kan utgöra, genom att tillsynsmyndigheterna får direkta kunskaper om leverantörernas processer och lokaler i stället för att behöva förlita sig på den nuvarande rapporteringen från de finansinstitut som står under tillsyn och de inspektioner som utförs av nationella behöriga myndigheter. Även om de finansiella enheternas riskhanteringsstrategier bör behållas, och den rättsliga skyldigheten fortfarande ligger hos dem, bör finansinstituten – om den ledande tillsynsmyndigheten redan utfört kontroller och revisioner – kunna hänvisa till denna extra säkerhetsnivå och inte behöva genomföra dem på nytt.

4.5.5   Ledande tillsynsmyndighet och nationella behöriga myndigheter

När tillsynsförfarandet har slutförts följs den ledande tillsynsmyndighetens rekommendationer upp av de nationella behöriga myndigheterna, som kan ha egna metoder för hur resultatet av tillsynsmyndighetens tillsyn ska genomföras för de tredjepartsleverantörer som klassificerats som kritiska. EESK rekommenderar att det skapas fullständig klarhet om de olika myndigheternas roller och ansvar, så att man undviker en situation där tolkningsskillnader gör att de kritiska tredjepartsleverantörernas kunder påverkas olika, beroende på vilken myndighet som är behörig, och därmed minskar risken för fragmentering. Dessa rekommendationer bör även göras fullt verkställbara med tanke på den nuvarande oklarheten i artikel 37 angående deras bindande karaktär.

4.5.6   Avbrytande av användningen av kritiska tredjepartsleverantörer

Genom DORA-förordningen ges nationella finanstillsynsmyndigheter befogenhet att kräva att kunder tillfälligt avbryter eller upphör med användningen av en IKT-leverantör till dess att de risker som identifieras i rekommendationerna har åtgärdats. Krav på att omedelbart avsluta samarbetet med en kritisk tredjepartsleverantör skulle utan tvekan påverka befintliga eller framtida affärsmässiga och kommersiella beslut (t.ex. avskräcka från investeringar i EU) och potentiellt påverka den finansiella stabiliteten. Innan ett sådant beslut fattas bör de behöriga myndigheterna noga överväga bland annat vilken negativ inverkan avslutandet av tjänsten skulle kunna få för de finansiella enheter som använder sig av den aktuella kritiska tredjepartsleverantören (11), fastställa tydliga kriterier för ett sådant krav och överväga möjliga korrigerande åtgärder.

4.5.7

Om denna situation till slut skulle uppstå rekommenderar vi också att de finansiella enheterna informeras i god tid och ges tillräcklig tid för att dra sig ur samarbetet.

4.6   Tryggande av europeiska finansiella företags globala konkurrenskraft

4.6.1

Den nya ramen måste bevara möjligheten för europeiska finansiella företag att få tillgång till åtminstone samma typer av teknik som sina internationella konkurrenter. Finansiella företag i EU konkurrerar globalt, och EU:s kommande regelverk bör inte missgynna dessa företag genom att begränsa deras tillgång till den mest avancerade tekniken – så länge leverantörerna av tekniken uppfyller EU:s standarder i fråga om motståndskraft och säkerhet.

4.6.2   Tredjepartsleverantörer i tredjeländer

Förordningen bör inte begränsa möjligheten att utkontraktera tjänster som bedöms som kritiska till tredjepartsleverantörer baserade i tredjeländer. En sådan begränsning skulle utan tvekan inskränka avtalsfriheten för enskilda företag och möjligheten för europeiska finansinstitut att få tillgång till leverantörer med högt mervärde som sannolikt inte finns i tillräcklig omfattning i Europa. Detta är ännu mer relevant eftersom den föreslagna tillsynsramen är begränsad till finanssektorn, vilket skapar ojämlika konkurrensvillkor för andra aktörer som inte omfattas av DORA-förordningen och kan medföra ökad risk för koncentration, något som förordningen syftar till att undvika.

4.6.3   Bestraffande sanktioner baserade på global omsättning

DORA-förordningen innehåller bestraffande sanktioner med hänvisning till den globala omsättningen för IKT-leverantörer som inte uppfyller kraven från finansiella tillsynsmyndigheter inom EU. Om sanktionerna tillämpas på ett oproportionerligt sätt kan det avskräcka globala IKT-leverantörer från att tillhandahålla tjänster åt finansiella företag i EU, vilket i praktiken kan begränsa urvalet av potentiella leverantörer för EU:s finansiella företag. Det skulle även kunna avskräcka icke-kritiska tredjepartsleverantörer från att delta i tillsynssystemet på grund av risken att åläggas oproportionerligt höga böter och därmed minska konkurrensen på uppströmsmarknaden. EESK förordar att en proportionalitetsnivå införs i sanktionssystemet, vilket är av central betydelse för att undvika negativa incitament för IKT-leverantörer som vill tillhandahålla tjänster åt finansiella enheter i EU.

4.7   Arrangemang för utbyte av information

4.7.1

Eftersom ett snabbt informationsutbyte är avgörande för att effektivt identifiera angreppsvektorer och isolera och förebygga potentiella hot, välkomnar EESK bestämmelsen om att underlätta inrättandet av arrangemang för informationsutbyte om cyberhot mellan finansinstitut på frivillig basis.

4.7.2

Vi rekommenderar också att EU:s myndigheter anger en uttrycklig grund för utbyte av personuppgifter (t.ex. IP-adresser) i villkoren i förslaget, eftersom det skulle minska osäkerheten och stärka de finansiella enheternas kapacitet att förbättra sin försvarsförmåga genom att underlätta identifieringen av hot och minska risken för spridning mellan dem. Ökad tydlighet behövs på grund av uppgifternas konfidentiella/känsliga karaktär.

---

(1)  EUT L 124, 20.5.2003, s. 36.

(2)  Se EESK:s pågående yttrande ECO/534 – Strategi för digitalisering av finanssektorn (se sidan 27 i detta nummer av EUT).

(3)  Se EESK:s pågående yttrande ECO/535 – Kryptotillgångar och teknik för distribuerade liggare (se sidan 31 i detta nummer av EUT).

(4)  COM(2020) 595 final.

(5)  COM(2020) 596 final.

(6)  Baselkommittén för banktillsyn, ”Principles for operational resilience”, den 6 november 2020.

(7)  T.ex. de som tagits fram av EBA och Eiopa, liksom det utkast till riktlinjer från Esma som är föremål för samråd.

(8)  Rådet för finansiell stabilitet, ”Final Report on Effective Practices for Cyber Incident Response and Recovery”, den 19 oktober 2020.

(9)  I DORA-förslaget hänvisar man bara till ”tjänster från IKT-tredjepartsleverantörer” i samband med huvudprinciperna för en sund hantering av IKT-tredjepartsrisker (kapitel V), medan tillämpningsområdet för EBA:s riktlinjer om utkontraktering utgår från en definition av utkontraktering som innebär att verksamheten utförs på återkommande eller fortlöpande basis (punkt 26). I EBA:s riktlinjer finns också en lista med undantag som inte betraktas som utkontraktering (punkt 28).

(10)  Även i detta fall är det avgörande att definitionerna av ”kritiska eller viktiga funktioner” i DORA-förslaget och EBA:s riktlinjer för utkontraktering anpassas till varandra. Framför allt definieras i EBA:s riktlinjer de faktorer som finansinstitut bör beakta vid bedömningen om utkontrakteringen rör en funktion som är kritisk eller viktig (artiklarna 29, 30 och 31).

(11)  Ett av kriterierna för att utse en IKT-leverantör som kritisk är graden av utbytbarhet hos tredjepartsleverantören, med beaktande av avsaknad av verkliga alternativ eller svårigheter att helt eller delvis överföra tjänsterna till en annan leverantör (artikel 28.2). Om dessa kriterier är uppfyllda skulle det bli svårt för finansinstitut att flytta över tjänsten till en annan leverantör. Krav på att de utsatta finansinstituten flyttar över till en annan leverantör skulle i slutändan dessutom bidra till en ökad koncentration på den europeiska marknaden, vilket står i strid med själva syftet med förordningen.