EUROPEISKA KOMMISSIONEN
Bryssel den 24.9.2020
COM(2020) 596 final
2020/0268(COD)
Förslag till
EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV
om ändring av direktiv 2006/43/EG, 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/65/EU, (EU) 2015/2366 och (EU) 2016/2341
(Text av betydelse för EES)
{SEC(2020) 309 final} - {SWD(2020) 203 final} - {SWD(2020) 204 final}
MOTIVERING
1.BAKGRUND TILL FÖRSLAGET
·Motiv och syfte med förslaget
Detta förslag är en del av ett åtgärdspaket för att ytterligare möjliggöra och stödja den digitala finanssektorns potential när det gäller innovation och konkurrens och samtidigt minska riskerna. Detta är i linje med kommissionens prioriteringar att rusta Europa för den digitala tidsåldern och att skapa en framtidssäkrad ekonomi för människor. I paketet för digitalisering av finanssektorn ingår en ny strategi för digitalisering av finanssektorn i EU 1 som har som syfte att se till att EU tar till sig den digitala revolutionen och driver den med innovativa europeiska företag i täten, så att fördelarna med en digital finanssektor blir tillgängliga för europeiska konsumenter och företag. Utöver detta förslag innehåller paketet även ett förslag till förordning om marknader för kryptotillgångar 2 , ett förslag till förordning om en pilotordning för marknadsinfrastrukturer som baseras på teknik för distribuerade liggare 3 och ett förslag till förordning om digital operativ motståndskraft för finanssektorn 4 .
Skälen till och målen med de båda uppsättningarna lagstiftningsåtgärder har fastställts i motiveringarna till förslaget till förordning om en pilotordning för marknadsinfrastrukturer som baseras på teknik för distribuerade liggare, förslaget till förordning om marknader för kryptotillgångar och förslaget till förordning om digital operativ motståndskraft för finanssektorn och är tillämpliga även här. De särskilda skälen till detta förslag till direktiv är att man måste införa ett tillfälligt undantag för multilaterala handelsplattformar och ändra eller förtydliga vissa bestämmelser i befintliga EU-direktiv om finansiella tjänster, för att uppnå rättslig säkerhet när det gäller kryptotillgångar och nå målen med en stärkt digital operativ motståndskraft.
·Förenlighet med befintliga bestämmelser inom området
Detta förslag är i likhet med de förslag till förordningar som det åtföljer en del av ett mer omfattande arbete som pågår på europeisk och internationell nivå för att i) stärka it-säkerheten i finansiella tjänster och hantera bredare operativa risker och ii) skapa en tydlig, proportionell och möjliggörande EU-rättslig ram för leverantörer av kryptotillgångstjänster.
·Förenlighet med unionens politik inom andra områden
Såsom ordförande Ursula von der Leyen angav i sina politiska riktlinjer 5 och som fastställts i meddelandet Att forma EU:s digitala framtid 6 måste Europa till fullo ta tillvara alla de möjligheter som den digitala tidsåldern ger samt stärka industrin och innovationskapaciteten, inom säkra och etiska gränser.
När det gäller kryptotillgångar är detta förslag nära kopplat till kommissionens bredare politik för blockkedjeteknik eftersom kryptotillgångar, som är huvudtillämpningen inom blockkedjeteknik, är oupplösligt sammankopplade med främjandet av blockkedjeteknik i hela Europa.
När det gäller operativ motståndskraft fastställs fyra pelare i EU-strategin för data 7 – dataskydd, grundläggande rättigheter, säkerhet och cybersäkerhet – som nödvändiga förutsättningar för att ett samhälle ska kunna stärkas genom användning av data. En lagstiftningsram som stärker den digitala operativa motståndskraften hos unionens finansiella enheter är förenlig med dessa politiska mål. Förslaget främjar även politiska åtgärder som syftar till återhämtning från covid-19-krisen, eftersom det säkerställer att ett ökat beroende av den digitala finanssektorn går hand i hand med operativ motståndskraft. Båda förslagen tillgodoser även krav från högnivåforumet om kapitalmarknadsunionen att fastställa tydliga bestämmelser om användningen av kryptotillgångar (rekommendation 7) och att införa nya bestämmelser om cyberresiliens (rekommendation 10) 8 .
2. RÄTTSLIG GRUND, SUBSIDIARITETSPRINCIPEN OCH PROPORTIONALITETSPRINCIPEN
·Rättslig grund
Detta förslag till direktiv baseras på artiklarna 53.1 och 114 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget).
·Subsidiaritetsprincipen (för icke-exklusiv befogenhet)
Se motiveringarna till förslagen till förordning om marknader för kryptotillgångar, om en pilotordning för marknadsinfrastrukturer som baseras på teknik för distribuerade liggare och om digital operativ motståndskraft.
·Proportionalitetsprincipen
Se motiveringarna till förslagen till förordning om marknader för kryptotillgångar, om en pilotordning för marknadsinfrastrukturer som baseras på teknik för distribuerade liggare och om digital operativ motståndskraft.
·Val av instrument
Detta förslag till direktiv åtföljer förslagen till förordning om marknader för kryptotillgångar, om en pilotordning för marknadsinfrastrukturer som baseras på teknik för distribuerade liggare och om digital operativ motståndskraft. I dessa förordningar fastställs de viktigaste bestämmelserna i fråga om i) leverantörer av kryptotjänster, ii) kraven för pilotordningen för marknadsinfrastrukturer som baseras på teknik för distribuerade liggare och iii) de viktigaste bestämmelserna om IKT-riskhantering, incidentrapportering, testning och kontroll. För att nå målen i dessa förordningar måste man även införa ett tillfälligt undantag för multilaterala handelsplattformar och ändra flera direktiv från Europaparlamentet och rådet som har antagits på grundval av artiklarna 53.1 och 114 i EUF-fördraget. Detta förslag till direktiv är således nödvändigt för att ändra direktiven.
3.RESULTAT AV EFTERHANDSUTVÄRDERINGAR, SAMRÅD MED BERÖRDA PARTER OCH KONSEKVENSBEDÖMNINGAR
·Efterhandsutvärderingar/kontroller av ändamålsenligheten med befintlig lagstiftning
Se motiveringarna till förslagen till förordning om marknader för kryptotillgångar, om en pilotordning för marknadsinfrastrukturer som baseras på teknik för distribuerade liggare och om digital operativ motståndskraft.
·Samråd med berörda parter
Se motiveringarna till förslagen till förordning om marknader för kryptotillgångar, om en pilotordning för marknadsinfrastrukturer som baseras på teknik för distribuerade liggare och om digital operativ motståndskraft.
·Insamling och användning av sakkunnigutlåtanden
Se motiveringarna till förslagen till förordning om marknader för kryptotillgångar, om en pilotordning för marknadsinfrastrukturer som baseras på teknik för distribuerade liggare och om digital operativ motståndskraft.
·Konsekvensbedömning
Se motiveringarna till förslagen till förordning om marknader för kryptotillgångar, om en pilotordning för marknadsinfrastrukturer som baseras på teknik för distribuerade liggare och om digital operativ motståndskraft.
·Lagstiftningens ändamålsenlighet och förenkling
Se motiveringarna till förslagen till förordning om marknader för kryptotillgångar, om en pilotordning för marknadsinfrastrukturer som baseras på teknik för distribuerade liggare och om digital operativ motståndskraft.
·Grundläggande rättigheter
Se motiveringarna till förslagen till förordning om marknader för kryptotillgångar, om en pilotordning för marknadsinfrastrukturer som baseras på teknik för distribuerade liggare och om digital operativ motståndskraft.
4.BUDGETKONSEKVENSER
Se motiveringarna till förslagen till förordning om marknader för kryptotillgångar, om en pilotordning för marknadsinfrastrukturer som baseras på teknik för distribuerade liggare och om digital operativ motståndskraft.
5.ÖVRIGA INSLAG
·Genomförandeplaner samt åtgärder för övervakning, utvärdering och rapportering
Se motiveringarna till förslagen till förordning om marknader för kryptotillgångar, om en pilotordning för marknadsinfrastrukturer som baseras på teknik för distribuerade liggare och om digital operativ motståndskraft.
·Ingående redogörelse för de specifika bestämmelserna i förslaget
Samtliga artiklar avser och kompletterar förslaget till förordning om digital operativ motståndskraft. Genom dem ändras de olika krav på operativ risk eller riskhantering som anges i Europaparlamentets och rådets direktiv 2006/43/EG, 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/65/EU, (EU) 2015/2366 och (EU) 2016/2341, genom att det införs exakta korshänvisningar i bestämmelserna och därmed bringas klarhet angående rättsläget. Närmare bestämt följande:
–Genom artiklarna 2–4, 6 och 8 ändras direktiv 2009/65/EG om samordning av lagar och andra författningar som avser företag för kollektiva investeringar i överlåtbara värdepapper (fondföretag) 9 , direktiv 2009/138/EG om upptagande och utövande av försäkrings- och återförsäkringsverksamhet (Solvens II) 10 , direktiv 2011/61/EU om förvaltare av alternativa investeringsfonder 11 , direktiv 2014/56/EU om lagstadgad revision av årsbokslut och sammanställd redovisning 12 och direktiv (EU) 2016/2341 om verksamhet i och tillsyn över tjänstepensionsinstitut 13 . Syftet är att i vart och ett av dessa direktiv ta med särskilda korshänvisningar till förordning (EU) 2021/xx [DORA] för dessa finansiella enheters hantering av IKT-system och IKT-verktyg, som bör ske i enlighet med bestämmelserna i den förordningen.
–Genom artikel 5 ändras kraven i direktiv 2013/36/EU (kapitalkravsdirektivet) 14 om att beredskaps- och affärskontinuitetsplaner ska inbegripa IKT-relaterade affärskontinuitets- och katastrofplaner som upprättats i enlighet med bestämmelserna i förordning (EU) 2021/xx [DORA].
–Genom artikel 6 ändras direktiv 2014/65/EU om marknader för finansiella instrument (Mifid II) genom tillägg av korshänvisningar till förordning (EU) 2021/xx [DORA] och genom ändringsbestämmelser i fråga om kontinuitet och regelbundenhet i utförandet av investeringstjänster och investeringsverksamhet, motståndskraftiga handelssystem med tillräcklig kapacitet, effektiva arrangemang för driftskontinuitet och riskhantering.
–Genom artikel 7 ändras direktiv (EU) 2015/2366 om betaltjänster på den inre marknaden (betaltjänstdirektivet) 15 och närmare bestämt auktorisationsbestämmelserna genom införande av en korshänvisning till förordning (EU) 2021/xx [DORA]. Dessutom bör bestämmelserna om rapportering av incidenter i det direktivet inte omfatta rapportering av IKT-relaterade incidenter för vilket en fullständig harmonisering görs genom förordning (EU) 2021/xx [DORA].
Artikel 6.1 bidrar även till ett förtydligande av den rättsliga behandlingen av kryptotillgångar som uppfyller kraven för finansiella instrument. Detta görs genom en ändring av definitionen av ett ”finansiellt instrument” i direktiv 2014/65/EU om marknader för finansiella instrument, för att bortom allt rättsligt tvivel förtydliga att sådana instrument kan utfärdas med teknik för distribuerade liggare.
Artikel 6.4 kompletterar förslaget till förordning om en pilotordning för marknadsinfrastrukturer som baseras på teknik för distribuerade liggare genom att tillfälligt undanta marknadsinfrastrukturer med teknik för distribuerade liggare från vissa bestämmelser i direktiv 2014/65/EU, för att de ska kunna ta fram lösningar för handel och avveckling av transaktioner med kryptotillgångar som uppfyller kraven för finansiella instrument.
2020/0268 (COD)
Förslag till
EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV
om ändring av direktiv 2006/43/EG, 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/65/EU, (EU) 2015/2366 och (EU) 2016/2341
(Text av betydelse för EES)
EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV
med beaktande av fördraget om Europeiska unionens funktionssätt (EUF-fördraget), särskilt artiklarna 53.1 och 114,
med beaktande av Europeiska kommissionens förslag,
efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,
med beaktande av Europeiska centralbankens yttrande 16 ,
med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande 17 ,
i enlighet med det ordinarie lagstiftningsförfarandet, och
av följande skäl:
(1)Unionen måste på ett lämpligt och heltäckande sätt ta itu med de digitala risker som uppstår för alla finansiella enheter till följd av en ökad användning av informations- och kommunikationsteknik (IKT) vid tillhandahållande och konsumtion av finansiella tjänster.
(2)Aktörer inom finanssektorn är mycket beroende av digital teknik i sin dagliga verksamhet och det är därför ytterst viktigt att säkerställa att deras digitala transaktioner har en operativ motståndskraft mot IKT-risker. Detta behov har blivit allt större på grund av den ökade marknaden för banbrytande teknik, som framför allt innebär att digitala värderepresentationer eller rättighetsrepresentationer kan överföras och lagras elektroniskt, med hjälp av teknik för distribuerade liggare eller liknande teknik (”kryptotillgångar”) och för tjänster relaterade till sådana tillgångar.
(3)De IKT-riskrelaterade kraven för finanssektorn på unionsnivå är för närvarande utspridda i Europaparlamentets och rådets direktiv 2006/43/EG, 18 2009/65/EG, 19 2009/138/EG, 20 2011/61/EU, 21 2013/36/EU, 22 2014/65/EU, 23 (EU) 2015/2366 24 och (EU) 2016/2341 25 och skiljer sig åt och är ibland ofullständiga. IKT-risken har i vissa fall endast behandlats indirekt som en del av den operativa risken, medan den i andra fall inte har behandlats över huvud taget. Detta bör åtgärdas genom en harmonisering mellan Europaparlamentets och rådets förordning (EU) xx/20xx 26 [DORA] och dessa akter. I detta direktiv presenteras en rad ändringar som förefaller nödvändiga för att bringa rättslig klarhet och enhetlighet i fråga om hur de finansiella enheter som auktoriseras och övervakas i enlighet med dessa direktiv ska tillämpa olika krav på digital operativ motståndskraft som är nödvändiga för att de ska kunna bedriva sin verksamhet och på sätt garantera en smidigt fungerande inre marknad.
(4)Inom området för banktjänster innehåller direktiv 2013/36/EU om behörighet att utöva verksamhet i kreditinstitut och om tillsyn av kreditinstitut och värdepappersföretag i dagsläget endast allmänna bestämmelser om intern styrning och operativ risk med krav på beredskaps- och affärskontinuitetsplaner vilka underförstått används som en grund för att reglera IKT-riskhanteringen. För att säkerställa en uttrycklig reglering av IKT-risken bör dock kraven på beredskaps- och affärskontinuitetsplaner ändras så att de innefattar affärskontinuitets- och katastrofplaner även för IKT-risker, i enlighet med kraven i förordning (EU) 2021/xx [DORA].
(5)I direktiv 2014/65/EU om marknader för finansiella instrument fastställs hårdare IKT-bestämmelser för värdepappersföretag och handelsplatser endast när dessa bedriver algoritmisk handel. Mindre utförliga krav tillämpas på datarapporteringstjänster och transaktionsregister. Dessutom hänvisas det endast i begränsad mån till kontroll- och skyddssystem för informationsbehandlingssystem och användning av lämpliga system, resurser och förfaranden för att sörja för kontinuitet och regelbundenhet i investeringstjänster. Detta direktiv bör harmoniseras med förordning (EU) 2021/xx [DORA] i fråga om kontinuitet och regelbundenhet i tillhandahållandet av investeringstjänster och utförandet av investeringsverksamhet, operativ motståndskraft, handelssystemens kapacitet och effektiva arrangemang för driftskontinuitet och riskhantering.
(6)Definitionen av ”finansiellt instrument” i direktiv 2014/65/EU omfattar i dagsläget inte uttryckligen finansiella instrument som utfärdas med hjälp av klasser av teknik som stöder distribuerad registrering av krypterade data (”teknik för distribuerade liggare”). Definitionen i direktiv 2014/65/EU bör ändras så att den innefattar sådana finansiella instrument, för att säkerställa att dessa kan handlas på marknaden inom den nuvarande rättsliga ramen.
(7)Framför allt skulle det vara fördelaktigt att skapa en pilotordning för marknadsinfrastrukturer med teknik för distribuerade system, för att möjliggöra utveckling av kryptotillgångar som uppfyller kraven för finansiella instrument och teknik för distribuerade liggare och samtidigt upprätthålla en hög nivå av finansiell stabilitet, marknadsintegritet, transparens och investerarskydd. Behöriga myndigheter bör, med hjälp av en sådan tillfällig rättslig ram, tillfälligt kunna tillåta att marknadsinfrastrukturer med teknik för distribuerade system verkar utifrån en annan uppsättning tillträdesmässiga krav jämfört med de krav som annars tillämpas enligt unionens lagstiftning om finansiella tjänster, vilka skulle kunna hindra dem från att ta fram lösningar för handel och avveckling av transaktioner med kryptotillgångar som skulle uppfylla kraven för finansiella instrument. Denna rättsliga ram bör vara tillfällig så att de europeiska tillsynsmyndigheterna och de nationella behöriga myndigheterna kan få erfarenheter av möjligheterna och de särskilda riskerna med kryptotillgångar som handlas på sådana infrastrukturer. Detta direktiv åtföljer således förordningen [om en pilotordning för marknadsinfrastrukturer som baseras på teknik för distribuerade liggare] genom att bidra till detta nya unionsregelverk om marknadsinfrastrukturer med teknik för distribuerade liggare med ett riktat undantag från vissa bestämmelser i unionslagstiftningen om finansiella tjänster för verksamheter och tjänster i samband med finansiella instrument enligt definitionen i artikel 4.1.15 i direktiv 2014/65/EU, vilken i annat fall inte skulle ge den fulla flexibilitet som krävs vid införandet av lösningar i handelsskedena och de efterföljande skedena beträffande transaktioner med kryptotillgångar.
(8)En multilateral handelsplattform med teknik för distribuerade liggare bör vara ett multilateralt system som drivs av ett värdepappersföretag eller en marknadsoperatör som auktoriserats enligt direktiv 2014/65/EU och som har fått ett särskilt tillstånd enligt Europaparlamentets och rådets förordning (EU) xx/20xx 27 [förslag till förordning om en pilotordning för marknadsinfrastrukturer som baseras på teknik för distribuerade liggare]. Multilaterala handelsplattformar med teknik för distribuerade liggare bör omfattas av alla de krav som tillämpas på en multilateral handelsplattform enligt det direktivet, förutom om den nationella behöriga myndigheten skulle bevilja ett undantag i enlighet med detta direktiv. Ett eventuellt regleringshinder för att utveckla en multilateral handelsplattform för överlåtbara värdepapper emitterade med teknik för distribuerade liggare skulle kunna vara den förmedlingsskyldighet som fastställs i direktiv 2014/65/EU. En traditionell multilateral handelsplattform får som medlemmar eller deltagare endast tillåta värdepappersföretag, kreditinstitut och andra personer som har tillräcklig handelsförmåga, handelskompetens och lämpliga organisatoriska arrangemang och resurser. En multilateral handelsplattform med teknik för distribuerade liggare bör få begära ett undantag från denna skyldighet, så att den kan ge icke-professionella investerare enkelt tillträde till handelsplatsen, förutsatt att tillräckliga skyddsåtgärder i fråga om investerarskydd finns.
(9)I direktiv (EU) 2015/2366 om betaltjänster fastställs särskilda bestämmelser om IKT-relaterade säkerhetskontroll- och begränsningsaspekter för auktorisation att utföra betaltjänster. Dessa auktorisationsbestämmelser bör ändras så att de anpassas till förordning (EU) 2021/xx [DORA]. Dessutom bör bestämmelserna om rapportering av incidenter i det direktivet inte omfatta rapportering av IKT-relaterade incidenter, för vilken en fullständig harmonisering görs genom förordning (EU) 2021/xx [DORA].
(10)I direktiv 2009/138/EG om upptagande och utövande av försäkrings- och återförsäkringsverksamhet och direktiv (EU) 2016/2341 om verksamhet i och tillsyn över tjänstepensionsinstitut fångas IKT-risken delvis upp i de allmänna bestämmelserna om företagsstyrning och riskhantering. Vissa krav ska dock specificeras genom delegerade bestämmelser med eller utan särskild hänvisning till IKT-risk. Ännu mindre specifika bestämmelser tillämpas på lagstadgade revisorer och revisionsföretag, eftersom Europaparlamentets och rådets direktiv 2014/56/EU 28 endast innehåller allmänna bestämmelser om den interna organisationen. På samma sätt tillämpas endast mycket allmänna bestämmelser på förvaltare av alternativa investeringsfonder och förvaltningsbolag som omfattas av direktiven 2011/61/EU och 2009/65/EG. Dessa direktiv bör därför anpassas till kraven i förordning (EU) 2021/xx [DORA] när det gäller hanteringen av IKT-system och IKT-verktyg.
(11)Ytterligare IKT-krav har i många fall redan fastställts i delegerade akter och genomförandeakter, som har antagits utifrån förslag till tekniska tillsynsstandarder och tekniska standarder för genomförande vilka utarbetats av behörig europeisk tillsynsmyndighet. För att bringa rättslig klarhet i det faktum att den rättsliga grunden för IKT-riskbestämmelser hädanefter enbart följer av förordning (EU) 2021/xx [DORA] bör befogenheterna i dessa direktiv ändras så att de inte omfattar IKT-riskbestämmelser.
(12)Medlemsstaterna bör tillämpa de bestämmelser i nationell rätt som införlivar detta direktiv från och med den dag då förordning xx/20xx [DORA] börjar tillämpas, för att säkerställa en enhetlig och samtidig tillämpning av förordning xx/20xx [DORA] och direktivet, som tillsammans utgör den nya ramen för digital operativ motståndskraft för finanssektorn.
(13)Direktiven 2006/43/EG, 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/65/EU, (EU) 2015/2366 och (EU) 2016/2341 har antagits på grundval av artiklarna 53.1 och 114 i EUF-fördraget. Ändringarna genom detta direktiv bör tas med i en och samma akt på grund av det inbördes förhållandet mellan sakfrågan och ändringarnas syften. Denna enda akt bör antas på grundval av såväl artikel 53.1 som artikel 114 i EUF-fördraget.
(14)Eftersom syftena med detta direktiv inte kan uppnås i tillräcklig utsträckning av medlemsstaterna, eftersom de innebär en harmonisering genom uppdateringar och ändringar av redan befintliga krav i direktiven, utan snarare, på grund av åtgärdens omfattning och verkningar, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen (EU-fördraget). I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att nå dessa mål.
(15)I enlighet med den gemensamma politiska förklaringen från medlemsstaterna och kommissionen om förklarande dokument 29 av den 28 september 2011, har medlemsstaterna åtagit sig att, när så är berättigat, låta anmälan av införlivandeåtgärder åtföljas av ett eller flera dokument som förklarar förhållandet mellan de olika delarna i direktivet och motsvarande delar i de nationella instrumenten för införlivande. När det gäller detta direktiv anser lagstiftaren att översändandet av sådana dokument är berättigat.
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
Ändringar av direktiv 2006/43/EG
I artikel 24a.1 i direktiv 2006/43/EG ska led b ersättas med följande:
”b) Varje lagstadgad revisor eller revisionsföretag ska ha sunda administrativa förfaranden och redovisningsrutiner, interna mekanismer för kvalitetskontroll, effektiva förfaranden för riskbedömning och effektiva kontroll- och skyddssystem för att hantera sina IKT-system och IKT-verktyg i enlighet med artikel 6 i Europaparlamentets och rådets förordning (EU) 2021/xx [DORA]*.
___________________________________
* [fullständig titel] (EUT L […], […], s. […]).”
Artikel 2
Ändringar av direktiv 2009/65/EG
Artikel 12 i direktiv 2009/65/EG ska ändras på följande sätt:
(1) I punkt 1 andra stycket ska led a ersättas med följande:
”a) har sunda administrativa förfaranden och redovisningsrutiner samt kontroll- och säkerhetsarrangemang för elektronisk databehandling, inbegripet informations- och kommunikationstekniska system som inrättas och förvaltas i enlighet med artikel 6 i Europaparlamentets och rådets förordning (EU) 2021/xx* [DORA], samt lämpliga interna kontrollmekanismer och regler för de anställdas personliga transaktioner eller för innehav eller förvaltning av investeringar i finansiella instrument i syfte att investera för egen räkning, så att det minst säkerställs att varje transaktion i vilken fondföretaget medverkar är möjlig att rekonstruera med avseende på dess ursprung, de deltagande parterna, dess art samt den tid då och den plats där den ägde rum och att fondföretagets tillgångar som förvaltas av förvaltningsbolaget placeras i enlighet med fondbestämmelserna eller bolagsordningen samt gällande lagstiftning, och
________________________________
* [fullständig titel] (EUT L […], […], s. […]).”
(2) Punkt 3 ska ersättas med följande:
”3. Utan att det påverkar tillämpningen av artikel 116 ska kommissionen, genom delegerade akter i enlighet med artikel 112a, anta åtgärder som närmare anger
a) de förfaranden och arrangemang som avses i punkt 1 andra stycket a, andra än sådana som rör hantering av informations- och kommunikationstekniska risker,
b) de strukturer och organisatoriska krav för att minimera intressekonflikter som avses i punkt 1 andra stycket b. ”
Artikel 3
Ändring av direktiv 2009/138/EG
Direktiv 2009/138/EG ska ändras på följande sätt:
(1)I artikel 41 ska punkt 4 ersättas med följande:
”4. Försäkrings- och återförsäkringsföretag ska vidta rimliga åtgärder för att garantera att deras verksamhet bedrivs med kontinuitet och på ett korrekt sätt, inklusive utvecklingen av beredskapsplaner. Företaget ska i detta syfte använda lämpliga och proportionella system, resurser och förfaranden och ska inrätta informations- och kommunikationstekniska system och hantera dem i enlighet med artikel 6 i Europaparlamentets och rådets förordning (EU) 2021/xx * [DORA].
____________________________
* [fullständig titel] (EUT L […], […], s. […]).”
(2)I artikel 50.1 ska leden a och b ersättas med följande:
”a) Delarna i de system som avses i artiklarna 41, 44, 46 och 47, andra än de delar som avser hantering av informations- och kommunikationsteknisk risk, och de områden som förtecknas i artikel 44.2.
b) De funktioner som avses i artiklarna 44, 46, 47 och 48, andra än de funktioner som avser hantering av informations- och kommunikationsteknisk risk.”
Artikel 4
Ändringar av direktiv 2011/61/EU
Artikel 18 i direktiv 2011/61/EU ska ersättas med följande:
”Artikel 18
Allmänna principer
1. Medlemsstaterna ska kräva att AIF-förvaltare alltid ska använda sådana tillfredsställande och lämpliga mänskliga och tekniska resurser som krävs för att de ska kunna förvalta AIF-fonderna på ett korrekt sätt.
De behöriga myndigheterna i AIF-förvaltarens hemmedlemsstat ska, även med beaktande av arten av de AIF-fonder som AIF-förvaltaren förvaltar, särskilt kräva att AIF-förvaltaren har sunda administrativa förfaranden och redovisningsrutiner, kontroll- och säkerhetsarrangemang för hantering av de informations- och kommunikationstekniska system som krävs enligt artikel 6 i [Europaparlamentets och rådets förordning (EU) 2021/xx* [DORA]] samt tillfredsställande interna kontrollmekanismer, särskilt regler för de anställdas personliga transaktioner eller för innehav eller förvaltning av investeringar i syfte att investera för egen räkning, och att det åtminstone säkerställs att varje transaktion som involverar AIF-fonderna är möjlig att rekonstruera med avseende på dess ursprung, de deltagande parterna, dess art samt den tid då och den plats där den ägde rum, och att tillgångarna i de AIF-fonder som förvaltas av AIF-förvaltaren investeras i enlighet med fondbestämmelserna eller bolagsordningen samt gällande lagstiftning.
2. Kommissionen ska, genom delegerade akter i enlighet med artikel 56, och med förbehåll för villkoren i artiklarna 57 och 58, anta åtgärder för att närmare ange de förfaranden och arrangemang som avses i punkt 1, andra än de för informations- och kommunikationstekniska system.
_________________________________
* [fullständig titel] (EUT L […], […], s. […]).”
Artikel 5
Ändring av direktiv 2013/36/EU
I artikel 85 i direktiv 2013/36/EU ska punkt 2 ersättas med följande:
”2. De behöriga myndigheterna ska se till att instituten har lämpliga beredskaps- och affärskontinuitetsplaner, inbegripet affärskontinuitets- och katastrofplaner för den teknik som de använder för meddelande av information (”informations- och kommunikationsteknik”) och som inrättats i enlighet med artikel 6 i Europaparlamentets och rådets förordning (EU) 2021/xx [DORA], så att de kan fortsätta att bedriva sin verksamhet vid en allvarlig störning i verksamheten och begränsa de förluster som orsakas till följd av en sådan störning.
* [fullständig titel] (EUT L […], […], s. […]).”
Artikel 6
Ändringar av direktiv 2014/65/EU
Direktiv 2014/65/EU ska ändras på följande sätt:
(1)I artikel 4.1 ska led 15 ersättas med följande:
”finansiellt instrument: sådana instrument som anges i avsnitt C i bilaga I, inbegripet sådana instrument som utfärdas med teknik för distribuerade liggare.”
(2)Artikel 16 ska ändras på följande sätt:
(a)Punkt 4 ska ersättas med följande:
”4. Varje värdepappersföretag ska vidta rimliga åtgärder för att sörja för kontinuitet och regelbundenhet i tillhandahållandet av investeringstjänster och utförandet av investeringsverksamhet. Värdepappersföretaget ska i det syftet använda lämpliga och proportionella system, inbegripet informations- och kommunikationstekniska system (”IKT-system”) som inrättas och förvaltas i enlighet med artikel 6 i Europaparlamentets och rådets förordning (EU) 2021/xx* [DORA], samt lämpliga och proportionella resurser och förfaranden.”
(b)I punkt 5 ska andra och tredje styckena ersättas med följande:
”Varje värdepappersföretag ska tillämpa sunda förfaranden för förvaltning och redovisning samt ha mekanismer för internkontroll och effektiva riskbedömningsmetoder.
Utan att det påverkar behöriga myndigheters möjlighet att kräva tillgång till kommunikation i enlighet med detta direktiv och förordning (EU) nr 600/2014 ska ett värdepappersföretag ha inrättat sunda skyddsmekanismer för att, i enlighet med kraven i Europaparlamentets och rådets förordning (EU) 2021/xx* [DORA], garantera skyddet och autentiseringen vid informationsöverföring, minimera risken för dataförvanskning och för obehörig åtkomst och förhindra informationsläckor så att uppgifterna alltid behandlas konfidentiellt.”
(3)Artikel 17 ska ändras på följande sätt:
(a)Punkt 1 ska ersättas med följande:
”1. Ett värdepappersföretag som bedriver algoritmisk handel ska ha inrättat effektiva system och riskkontroller som är anpassade för den verksamhet som bedrivs, så att det säkerställs att dess handelssystem är motståndskraftiga och har tillräcklig kapacitet i enlighet med kraven i kapitel II i förordning (EU) 2021/xx [DORA], att de omfattas av lämpliga handelströsklar och handelslimiter och att de förhindrar att felaktiga order skickas eller att systemet på annat sätt fungerar så att det kan skapa eller bidra till en oordnad marknad.
Ett sådant företag ska också ha inrättat effektiva system och riskkontrollåtgärder för att säkerställa att handelssystemen inte kan användas för något ändamål som strider mot förordning (EU) nr 596/2014 eller mot reglerna för en handelsplats till vilken det är anslutet.
Värdepappersföretaget ska ha inrättat effektiva arrangemang för driftskontinuitet som hanterar alla driftsavbrott i dess handelssystem, inbegripet affärskontinuitets- och katastrofplaner för informations- och kommunikationsteknik som inrättas i enlighet med artikel 6 i förordning (EU) 2021/xx [DORA], och ska säkerställa att dess system är fullständigt testade och vederbörligen övervakade så att de uppfyller de allmänna krav som föreskrivs i denna punkt och eventuella särskilda krav i kapitlen II och IV i förordning (EU) 2021/xx [DORA].”
(b) I punkt 7 ska led a ersättas med följande:
”a) Detaljerna i de organisatoriska krav som fastställs i punkterna 1–6, andra än de krav som rör IKT-riskhantering, och som ska anges för värdepappersföretag som tillhandahåller olika slags investeringstjänster, investeringsverksamheter, sidotjänster eller en kombination därav, varigenom specifikationerna av de organisatoriska krav som fastställs i punkt 5 ska innehålla specifika krav för direkt marknadstillträde och för sponsrat tillträde så att det säkerställs att de kontroller som tillämpas på sponsrat tillträde åtminstone motsvarar dem som tillämpas på direkt marknadstillträde.”
(4)I artikel 19 ska följande punkt läggas till:
”3. Om värdepappersföretaget eller marknadsoperatören driver en multilateral handelsplattform med teknik för distribuerade liggare enligt definitionen i artikel 2.3 i förordning xx/20xx [förslag till förordning om en pilotordning för marknadsinfrastrukturer som baseras på teknik för distribuerade liggare], får dock den behöriga myndigheten tillåta att värdepappersföretaget eller marknadsoperatören, i enlighet med dess regler för tillträde som avses i artikel 18.3 och för en period på högst fyra år, upptar fysiska personer som medlemmar eller deltagare i den multilaterala handelsplattformen med teknik för distribuerade liggare, förutsatt att dessa personer uppfyller följande krav:
(a)De måste ha tillräckligt god vandel och uppfylla lämplighetskraven.
(b)De måste besitta tillräcklig handelsförmåga, handelskompetens och handelserfarenhet, inbegripet kunskap om handel med teknik för distribuerade liggare samt om hur sådan teknik fungerar.
Om en behörig myndighet beviljar ett sådant undantag som avses i första stycket får den införa ytterligare investerarskyddsåtgärder för att skydda fysiska personer som upptagits som medlemmar eller deltagare i den multilaterala handelsplattformen med teknik för distribuerade liggare. Sådana åtgärder ska stå i proportion till deltagarnas eller medlemmarnas riskprofil.”
(5)I artikel 47 ska punkt 1 ändras på följande sätt:
(a) Led b ska ersättas med följande:
”b) har tillräckliga förutsättningar för att kunna hantera de risker den är exponerad för, inbegripet att hantera risker för IKT-system och IKT-verktyg i enlighet med artikel 6 i förordning (EU) 2021/xx [DORA]*, vidtar lämpliga åtgärder och inför system för att identifiera alla betydande risker för dess verksamhet och vidtar effektiva åtgärder för att reducera sådana risker,”
(b) Led c ska utgå.
(6)Artikel 48 ska ändras på följande sätt:
(a)Punkt 1 ska ersättas med följande:
”1. Medlemsstaterna ska kräva att en reglerad marknad bygger upp en operativ motståndskraft i enlighet med kraven i kapitel II i förordning (EU) 2021/xx [DORA] för att säkerställa att dess handelssystem är motståndskraftiga, har tillräcklig kapacitet för att kunna hantera toppbelastning i fråga om order- och meddelandevolymer, kan säkerställa ordnad handel under svåra förhållanden på marknaden, är till fullo testade för att säkerställa att sådana villkor är uppfyllda och omfattas av effektiva arrangemang för driftskontinuitet som säkerställer kontinuitet i dess verksamhet vid eventuella driftsavbrott i dess handelssystem.”
(b)Punkt 6 ska ersättas med följande:
”6. Medlemsstaterna ska kräva att en reglerad marknad har inrättat effektiva system, förfaranden och arrangemang, bland annat krav på medlemmar eller deltagare att utföra lämpliga tester av algoritmer och att tillhandahålla miljöer för att underlätta sådana tester, i enlighet med kraven i kapitlen II och IV i förordning (EU) 2021/xx [DORA], för att säkerställa att algoritmiska handelssystem inte kan skapa eller bidra till otillbörliga marknadsförhållanden på marknaden och att hantera eventuella otillbörliga marknadsförhållanden som kan uppstå till följd av sådana algoritmiska handelssystem, inbegripet system för att begränsa andelen ej utförda order i förhållande till transaktionerna som kan läggas in i systemet av en medlem eller en deltagare, för att det ska vara möjligt att bromsa orderflödet om det finns en risk för att systemkapaciteten ska uppnås och för att begränsa och genomdriva den minsta tick-size som får tillämpas på marknaden.”
(c)Punkt 12 ska ändras på följande sätt:
i) Led a ska ersättas med följande:
”a) kraven för att säkerställa att handelssystem på reglerade marknader är motståndskraftiga och har tillräcklig kapacitet, förutom kraven rörande digital operativ motståndskraft,”
ii) Led g ska ersättas med följande:
”g) kraven för att säkerställa lämplig testning av algoritmer, annat än testning av digital operativ motståndskraft, så att det kan säkerställas att algoritmiska handelssystem inbegripet system för algoritmisk högfrekvenshandel inte kan skapa eller bidra till otillbörliga marknadsförhållanden på marknaden.”
Artikel 7
Ändringar av direktiv (EU) 2015/2366
Direktiv (EU) 2015/2366 ska ändras på följande sätt:
(7)I artikel 5.1 tredje stycket ska första meningen ersättas med följande:
”I samband med de säkerhetskontroll- och begränsningsåtgärder som avses i led j i första stycket ska det anges på vilket sätt de säkrar en hög nivå av teknisk säkerhet och dataskydd, däribland för de programvaru- och it-system som används av sökanden eller de företag till vilka denne utkontrakterar hela eller delar av sin verksamhet, i enlighet med kapitel II i Europaparlamentets och rådets förordning (EU) 2021/xx* [DORA]. Dessa åtgärder ska också omfatta de säkerhetsåtgärder som fastställs i artikel 95.1. I samband med dessa åtgärder ska hänsyn tas till EBA:s riktlinjer för säkerhetsåtgärder som avses i artikel 95.3 när dessa har införts. ____________________________
* [fullständig titel] (EUT L […], […], s. […]).”
(8)Artikel 95 ska ändras på följande sätt:
(a)Punkt 1 ska ersättas med följande:
”1. Medlemsstaterna ska se till att betaltjänstleverantörer inrättar en ram med lämpliga begränsningsåtgärder och kontrollmekanismer för att hantera operativa risker och säkerhetsrisker med anknytning till de betaltjänster som de tillhandahåller och, som en del av denna ram, ska betaltjänstleverantörer fastställa och upprätthålla effektiva incidenthanteringsförfaranden, inbegripet för upptäckt och klassificering av allvarliga operativa incidenter och säkerhetsincidenter, och samtidigt hantera risker för informations- och kommunikationsteknik i enlighet med kapitel II i förordning (EU) 2021/xx [DORA].”
(b)Punkt 4 ska utgå.
(c)Punkt 5 ska ersättas med följande:
”5. EBA ska på området operativa risker med anknytning till betaltjänster främja samarbete, inklusive informationsutbyte, mellan de behöriga myndigheterna och mellan de behöriga myndigheterna och ECB.”
(9)Artikel 96 ska ändras på följande sätt:
(a)Punkt 1 ska ersättas med följande:
”1. Vid allvarliga operativa incidenter eller säkerhetsincidenter som inte är en IKT-relaterad incident enligt definitionen i artikel 3.6 i förordning (EU) xx/20xx [DORA], ska betaltjänstleverantören utan onödigt dröjsmål underrätta den behöriga myndigheten i hemmedlemsstaten.
(b)Punkt 5 ska utgå.
(10)I artikel 98 ska punkt 5 ersättas med följande:
”5. I enlighet med artikel 10 i förordning (EU) nr 1093/2010 ska EBA se över och vid behov regelbundet uppdatera de tekniska standarderna för tillsyn i syfte att bland annat ta hänsyn till innovation och teknisk utveckling samt bestämmelserna i kapitel II i förordning (EU) 2021/xx [DORA].”
Artikel 8
Ändring av direktiv (EU) 2016/2341
I artikel 21.5 i direktiv (EU) 2016/2341 ska andra meningen ersättas med följande:
”Tjänstepensionsinstitutet ska i detta syfte använda lämpliga och proportionella system, resurser och förfaranden och ska inrätta IKT-system och IKT-verktyg och hantera dem i enlighet med artikel 6 i Europaparlamentets och rådets förordning (EU) 2021/xx * [DORA].
_________________________________
* [fullständig titel] (EUT L […], […], s. […]).”
Artikel 9
Införlivande
1.Medlemsstaterna ska senast [ett år efter antagandet] anta och offentliggöra de lagar och andra författningar som är nödvändiga för att följa detta direktiv. De ska genast överlämna texten till dessa bestämmelser till kommissionen.
De ska tillämpa dessa bestämmelser från och med den [datum för ikraftträdande av DORA/dess tillämpningsdatum, om dessa skiljer sig åt].
När en medlemsstat antar dessa bestämmelser ska de innehålla en hänvisning till detta direktiv eller åtföljas av en sådan hänvisning när de offentliggörs. Närmare föreskrifter om hur hänvisningen ska göras ska varje medlemsstat själv utfärda.
2.Medlemsstaterna ska till kommissionen överlämna texten till de centrala bestämmelser i nationell rätt som de antar inom det område som omfattas av detta direktiv.
Artikel 10
Ikraftträdande
Detta direktiv träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.
Artikel 11
Adressater
Detta direktiv riktar sig till medlemsstaterna.
Utfärdat i Bryssel den
På Europaparlamentets vägnar På rådets vägnar
Ordförande Ordförande