Europeiska unionens
officiella tidning
SV
L-serien
|
|
Europeiska unionens |
SV L-serien |
|
2025/420 |
24.3.2025 |
KOMMISSIONENS DELEGERADE FÖRORDNING (EU) 2025/420
av den 16 december 2024
om komplettering av Europaparlamentets och rådets förordning (EU) 2022/2554 vad gäller tekniska tillsynsstandarder som specificerar kriterierna för fastställande av den gemensamma undersökningsgruppens sammansättning, vilka säkerställer ett balanserat deltagande av personal från de europeiska tillsynsmyndigheterna och från de relevanta behöriga myndigheterna samt deras utseende, uppgifter och arbetsmetoder
(Text av betydelse för EES)
EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt,
med beaktande av Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 (1), särskilt artikel 41.2 andra stycket, och
av följande skäl:
|
(1) |
Den tillsynsram som inrättats genom förordning (EU) 2022/2554 bör bygga på ett strukturerat och kontinuerligt samarbete mellan de europeiska tillsynsmyndigheterna och de behöriga myndigheterna genom tillsynsforumet och de gemensamma undersökningsgrupperna. |
|
(2) |
De myndigheter som avses i artikel 40.2 i förordning (EU) 2022/2554 bör säkerställa att deras personal som ska utses till medlemmar i den gemensamma undersökningsgrupp som anges i artikel 40.1 i den förordningen har den tekniska sakkunskap som krävs för de profiler som behövs i de gemensamma undersökningsgrupperna. Om det visas att en myndighet inte har personal som uppfyller kraven på den särskilda tekniska sakkunskap som krävs i de gemensamma undersökningsgrupperna bör detta av den ledande tillsynsmyndigheten beaktas som ett skäl att vid den tidpunkten friskriva myndigheterna från deras skyldighet att utse personal till de gemensamma undersökningsgrupperna. I detta fall bör myndigheten ändå åta sig att efter bästa förmåga åtgärda denna brist på sakkunskap och försöka stärka sin kapacitet att bidra till de gemensamma undersökningsgrupperna i samband med nästa omgång. |
|
(3) |
Personal vid de myndigheter som avses i artikel 40.2 i förordning (EU) 2022/2554 och som utses till medlemmar i en gemensam undersökningsgrupp enligt artikel 40.1 i den förordningen bör även i fortsättningen vara anställda vid den nominerande myndigheten och därför omfattas av de arbetstider och det fasta arbetsställe som nämns i deras anställningsavtal. |
|
(4) |
För att säkerställa att resurserna används så effektivt som möjligt vid genomförandet av tillsynsverksamheten bör medlemmar i gemensamma undersökningsgrupper kunna ingå i flera gemensamma undersökningsgrupper och övervaka flera kritiska tredjepartsleverantörer av IKT-tjänster. När det gäller antalet kritiska tredjepartsleverantörer av IKT-tjänster som en viss medlem i den gemensamma utredningsgruppen ska tilldelas, och de gemensamma utredningsgruppernas totala personalbehov, bör hänsyn tas till riskprofilen för de kritiska tredjepartsleverantörerna av IKT-tjänster och den planerade intensiteten i tillsynsverksamheten. Denna möjlighet att övervaka flera kritiska tredjepartsleverantörer av IKT-tjänster beaktas i den strategiska fleråriga tillsynsplanen, som uppdateras årligen av de ledande tillsynsmyndigheterna i den mån det är nödvändigt, och återspeglas i den årliga individuella tillsynsplanen. För att säkerställa tillförlitligheten i de nominerande myndigheternas planerade och pågående bemanning av de gemensamma undersökningsgrupperna, bör den ledande tillsynsmyndigheten samråda både med det gemensamma tillsynsnätverket och tillsynsforumet om den strategiska fleråriga tillsynsplanen. |
|
(5) |
Den ledande tillsynsmyndigheten bör tillämpa en kombination av kriterier och principer när den fastställer antalet personer i varje gemensam undersökningsgrupp och den resulterande sammansättningen. Med tanke på de varierande tekniska och geografiska avtrycken och olika finansiella entiteters användning av kritiska tredjepartsleverantörer av IKT-tjänster, bör dessa kriterier och principer ta hänsyn till tillsynsuppgifternas tekniska karaktär, de finansiella entiteternas olika grad av beroende av de tjänster som tillhandahålls av kritiska tredjepartsleverantörer av IKT-tjänster, den geografiska fördelningen, storleken på och antalet finansiella entiteter som är beroende av dessa tjänster och, om möjligt, en proportionell sektorsövergripande representation. Vid utförandet av denna uppgift bör den ledande tillsynsmyndigheten förlita sig på den information som tillhandahålls av de behöriga myndigheterna i samband med klassificeringen av kritiska tredjepartsleverantörer av IKT-tjänster, inbegripet information som behövs för alla delkriterier som fastställs i kommissionens delegerade förordning (EU) 2024/1502 (2), och beakta hur kritiska tredjepartsleverantörerna av IKT-tjänster är för tillhandahållandet av specifika finansiella tjänster både på medlemsstats- och unionsnivå. |
|
(6) |
För att säkerställa att de gemensamma undersökningsgruppernas struktur och sammansättning är ändamålsenliga och för att kontinuerligt säkerställa tillsynsramens effektivitet och ändamålsenlighet bör den ledande tillsynsmyndigheten och medlemmarna i de gemensamma undersökningsgrupperna regelbundet bedöma de gemensamma undersökningsgruppernas resultat. Den ledande tillsynsmyndigheten och de nominerande myndigheterna bör använda dessa bedömningar för att kontrollera om medlemmarna i de gemensamma undersökningsgrupperna fortfarande är lämpade att utföra sina uppgifter och vid behov ändra sammansättningen av de gemensamma undersökningsgrupperna. |
|
(7) |
För att säkerställa att medlemmarna i de gemensamma undersökningsgrupperna arbetar som en enda grupp och att tillsynsverksamheten utförs på ett enhetligt sätt bör de europeiska tillsynsmyndigheterna specificera de tillsynsförfaranden som ska följas av medlemmarna i de gemensamma undersökningsgrupperna och den ledande tillsynsmyndighetens samordnare när de utför sina uppgifter. |
|
(8) |
Eftersom tillsynsuppgifterna inbegriper behandling av konfidentiell information bör den ledande tillsynsmyndigheten ge medlemmar i den gemensamma undersökningsgruppen tillgång till sådan information och tillhörande it-resurser (inbegripet verktyg, applikationer och dataset) och icke-it-resurser (inbegripet policy, förfaranden och dokumentation) på grundval av behovsenlig behörighet och inom det angivna tillämpningsområdet för deras uppdrag, om detta är nödvändigt för att medlemmarna i den gemensamma undersökningsgruppen ska kunna bistå den ledande tillsynsmyndigheten vid fullgörandet av dess lagstadgade funktioner eller uppgifter. När det fastställs arrangemang mellan den ledande tillsynsmyndigheten och de behöriga myndigheterna för genomförande av denna förordning, i överensstämmelse med kommissionens delegerade förordning (EU) 2024/1505 (3), för att säkerställa korrekt finansiering av kostnaderna för de resurser som tillhandahålls av de nominerande myndigheterna, bör den ledande tillsynsmyndigheten i sådana arrangemang inkludera ett avsnitt som beskriver förfarandet för ersättning av de direkta och indirekta kostnaderna för alla nominerande myndigheter som deltar i de gemensamma undersökningsgrupperna. För att säkerställa ett transparent och tillförlitligt genomförande av tillsynsverksamheten bör dessa arrangemang också säkerställa att medlemmarna i de gemensamma undersökningsgrupperna är fria från intressekonflikter när de utför sina uppgifter. |
|
(9) |
Denna förordning grundar sig på det förslag till tekniska tillsynsstandarder som Europeiska bankmyndigheten, Europeiska försäkrings- och pensionsmyndigheten och Europeiska värdepappers- och marknadsmyndigheten har lagt fram för Europeiska kommissionen. |
|
(10) |
De europeiska tillsynsmyndigheternas gemensamma kommitté, som avses i artikel 54 i Europaparlamentets och rådets förordning (EU) nr 1093/2010 (4), artikel 54 i Europaparlamentets och rådets förordning (EU) nr 1094/2010 (5) och artikel 54 i Europaparlamentets och rådets förordning (EU) nr 1095/2010 (6), har genomfört öppna offentliga samråd om det förslag till tekniska tillsynsstandarder som denna förordning grundar sig på, analyserat de potentiella kostnaderna för och fördelarna med de föreslagna standarderna och begärt råd från den bankintressentgrupp som inrättats i enlighet med artikel 37 i förordning (EU) nr 1093/2010, den intressentgrupp för försäkring och återförsäkring och den intressentgrupp för tjänstepensioner som inrättats i enlighet med artikel 37 i förordning (EU) nr 1094/2010 samt den intressentgrupp för värdepapper och marknader som inrättats i enlighet med artikel 37 i förordning (EU) nr 1095/2010. |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
Uppgifter för medlemmarna i den gemensamma undersökningsgruppen
1. Medlemmarna i den gemensamma undersökningsgruppen ska utföra sina uppgifter under samordning av den ledande tillsynsmyndighetens samordnare. Dessa uppgifter ska inbegripa fortlöpande stöd till den verksamhet som genomförs av den ledande tillsynsmyndigheten och utförande av särskilda uppgifter. Dessa uppgifter ska vara att
|
a) |
bistå den ledande tillsynsmyndigheten vid förberedelserna och utarbetandet av den årliga individuella tillsynsplan som avses i artikel 33.4 i förordning (EU) 2022/2554, |
|
b) |
bistå den ledande tillsynsmyndigheten vid den bedömning som avses i artikel 33.2 i förordning (EU) 2022/2554, |
|
c) |
bedöma den information som den ledande tillsynsmyndigheten erhållit från den kritiska tredjepartsleverantören av IKT-tjänster i enlighet med artikel 37 i förordning (EU) 2022/2554 och kapitel II i kommissionens delegerade förordning (EU) 2025/295 (7), |
|
d) |
genomföra allmänna utredningar av de kritiska tredjepartsleverantörer av IKT-tjänster som avses i artikel 38 i förordning (EU) 2022/2554, |
|
e) |
genomföra de inspektioner som avses i artikel 39.1 i förordning (EU) 2022/2554, |
|
f) |
utarbeta de rekommendationer som avses i artikel 35.1 d i förordning (EU) 2022/2554, |
|
g) |
bedöma den åtgärdsplan och de lägesrapporter som avses i artikel 4 i delegerad förordning (EU) 2025/295, |
|
h) |
förbereda och utarbeta de begäranden och beslut som avses i artikel 35.6, artikel 37.1, artikel 38.4 och artikel 39.6 i förordning (EU) 2022/2554, |
|
i) |
bistå den ledande tillsynsmyndigheten i dess bidrag till övergripande tillsynsverksamhet, inbegripet vid utarbetandet av de heltäckande referensvärden som avses i artikel 32.3 i förordning (EU) 2022/2554, |
|
j) |
säkerställa att relevant information om finansiella entiteter som utnyttjar de tjänster som tillhandahålls av kritiska tredjepartsleverantörer av IKT-tjänster delas med den ledande tillsynsmyndigheten, |
|
k) |
bistå den ledande tillsynsmyndigheten i oplanerad tillfällig verksamhet som anses nödvändig av den ledande tillsynsmyndigheten för tillsynsändamål. |
2. Om den ledande tillsynsmyndigheten gör en betydande översyn av den årliga individuella tillsynsplanen under året ska den ledande tillsynsmyndigheten involvera medlemmarna i den gemensamma undersökningsgruppen i genomförandet av den årliga individuella tillsynsplanen och i översynen av denna.
Artikel 2
Inrättande av den gemensamma undersökningsgruppen
1. Efter den första klassificeringen av en tredjepartsleverantör av IKT-tjänster som kritisk i enlighet med artikel 31.1 a i förordning (EU) 2022/2554 ska den ledande tillsynsmyndigheten, i samförstånd med det gemensamma tillsynsnätverk som avses i artikel 34.1 i förordning (EU) 2022/2554, inrätta den gemensamma undersökningsgrupp som ansvarar för tillsynen av den kritiska tredjepartsleverantören av IKT-tjänster.
2. Om väsentliga förändringar av situationen för den kritiska tredjepartsleverantören av IKT-tjänster inträffar får den ledande tillsynsmyndigheten, i samförstånd med det gemensamma tillsynsnätverket, uppdatera sammansättningen av den gemensamma undersökningsgrupp som ansvarar för tillsynen av den kritiska tredjepartsleverantören av IKT-tjänster.
Väsentliga ändringar avseende den kritiska tredjepartsleverantören av IKT-tjänster ska avse något av följande:
|
a) |
De tjänster som tillhandahålls av kritiska tredjepartsleverantörer av IKT-tjänster. |
|
b) |
Den verksamhet som utförs av finansiella entiteter som stöds av IKT-tjänster från den kritiska tredjepartsleverantören av IKT-tjänster. |
|
c) |
Förteckningen över kritiska tredjepartsleverantörer av IKT-tjänster på unionsnivå som avses i artikel 31.9 i förordning (EU) 2022/2554. |
3. De myndigheter som avses i artikel 40.2 i förordning (EU) 2022/2554 ska utse en eller flera personer bland sin personal som ska utses till medlemmar i den gemensamma undersökningsgruppen. En person kan nomineras och utnämnas till medlem i en eller flera gemensamma undersökningsgrupper.
4. Den ledande tillsynsmyndigheten ska utse de personer som nominerats till medlemmar i den gemensamma undersökningsgruppen antingen på heltid eller på deltid, beroende på deras tillgänglighet, den ledande tillsynsmyndighetens särskilda behov och överenskommelsen mellan den nominerande myndigheten och den ledande tillsynsmyndigheten.
5. När de myndigheter som avses i artikel 40.2 i förordning (EU) 2022/2554 utser medlemmarna i de gemensamma undersökningsgrupperna ska de bedöma deras tekniska sakkunskap, kvalifikationer och färdigheter inom IKT och relevanta områden, inbegripet kommunikations- och samarbetsfärdigheter, samt revisions- och tillsynsfärdigheter.
6. Den ledande tillsynsmyndigheten får endast kräva att de nominerande myndigheterna ändrar sina nomineringar i motiverade fall och när de nominerade personernas profiler inte motsvarar profilen för den personal som behövs.
7. Den ledande tillsynsmyndigheten och myndigheterna ska vidta alla lämpliga och möjliga åtgärder för att säkerställa att den gemensamma undersökningsgruppen har lämplig personal i enlighet med den årliga individuella tillsynsplanen.
Artikel 3
Medlemmarna i den gemensamma undersökningsgruppen
1. Den ledande tillsynsmyndigheten ska fastställa antalet medlemmar i den gemensamma undersökningsgruppen och dess sammansättning i samförstånd med det gemensamma tillsynsnätverk som avses i artikel 34.1 i förordning (EU) 2022/2554 och i samråd med det tillsynsforum som avses i artikel 32.1 i den förordningen.
2. Den ledande tillsynsmyndigheten ska fastställa antalet medlemmar som en del av förfarandet för att inrätta den gemensamma undersökningsgruppen och, efter behov över tiden, med beaktande av följande:
|
a) |
De uppgifter som ingår i de årliga individuella tillsynsplaner som utarbetas för alla kritiska tredjepartsleverantörer av IKT-tjänster som den gemensamma undersökningsgruppen övervakar. |
|
b) |
De strategiska målen för de fleråriga individuella tillsynsplaner som utarbetas för alla kritiska tredjepartsleverantörer av IKT-tjänster som den gemensamma undersökningsgruppen övervakar. |
3. För att fastställa antalet medlemmar i den gemensamma undersökningsgruppen och deras sammansättning ska den ledande tillsynsmyndigheten åtminstone beakta följande:
|
a) |
Den planerade intensiteten i den tillsynsverksamhet som ska utföras med avseende på alla kritiska tredjepartsleverantörer av IKT-tjänster. |
|
b) |
Storleken på och komplexiteten hos den tredjepartsleverantör av IKT-tjänster som övervakas av den gemensamma undersökningsgruppen och av de europeiska tillsynsmyndigheterna i egenskap av ledande tillsynsmyndigheter. |
|
c) |
De specifika individuella tillsynsbehoven med avseende på den specifika kritiska tredjepartsleverantören av IKT-tjänster, enligt den ledande tillsynsmyndighetens bedömning. |
|
d) |
Stabiliteten i den gemensamma undersökningsgruppens sammansättning, så att kunskapen bevaras på ett korrekt sätt. |
|
e) |
De färdigheter som krävs för att den gemensamma undersökningsgruppen ska kunna utföra uppgifterna, med beaktande av krav på tekniska och icke-tekniska IKT-kunskaper. |
|
f) |
De medlemsstater i vilka den kritiska tredjepartsleverantören av IKT-tjänster tillhandahåller IKT-tjänster som stöder de finansiella entiteternas kritiska eller viktiga funktioner, och de behöriga myndigheter som utövar tillsyn över de finansiella entiteter som utnyttjar dessa tjänster. |
|
g) |
De olika typer av, storlekar på och antal finansiella entiteter till vilka den kritiska tredjepartsleverantören av IKT-tjänster tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner. |
|
h) |
De behöriga myndigheter som utövar tillsyn över de finansiella entiteter som är mest beroende av de IKT-tjänster som tillhandahålls av kritiska tredjepartsleverantörer av IKT-tjänster. |
|
i) |
En proportionell sektorsövergripande representation av de nominerande myndigheterna för den gemensamma undersökningsgruppen. |
4. När de myndigheter som avses i artikel 40.2 i förordning (EU) 2022/2554 utser medlemmar till den gemensamma utredningsgruppen ska de åtminstone beakta punkt 3 c, d, e, g och h.
Artikel 4
Ändringar av sammansättningen i den gemensamma undersökningsgruppen
Regelbundet eller om den ledande tillsynsmyndigheten ändras eller om väsentliga förändringar enligt artikel 2.2 inträffar, ska den ledande tillsynsmyndigheten, efter samråd med medlemmarna i den gemensamma undersökningsgruppen, bedöma de resultat som medlemmarna i den gemensamma undersökningsgruppen har uppnått. Både de nominerande myndigheterna och den ledande tillsynsmyndigheten ska använda resultaten från den bedömningen för att besluta om det är lämpligt att ändra sammansättningen i den gemensamma undersökningsgruppen.
Artikel 5
Arbetsmetoder för medlemmarna i den gemensamma undersökningsgruppen.
1. Medlemmarna i den gemensamma undersökningsgruppen ska utföra sina uppgifter som fastställs i den årliga individuella tillsynsplanen med vederbörlig skicklighet, aktsamhet och omsorg, utan partiskhet och i enlighet med instruktionerna från den ledande tillsynsmyndighetens samordnare som avses i artikel 40.2 andra stycket i förordning (EU) 2022/2554.
2. När medlemmarna i den gemensamma undersökningsgruppen utför tillsynsuppgifter ska de följa tillsynsförfaranden som utarbetats gemensamt av de europeiska tillsynsmyndigheterna med avseende på genomförandet av tillsynsverksamheten och alla relevanta operativa områden, inbegripet specifikationer för användningen av it-verktyg och it-utrustning och tidsplanering.
3. Medlemmarna i den gemensamma undersökningsgruppen ska följa de specifikationer och instruktioner för informations- och datahantering som tillhandahålls av den ledande tillsynsmyndighetens samordnare som avses i artikel 40.2 andra stycket i förordning (EU) 2022/2554 och ska följa de europeiska tillsynsmyndigheternas regler om konfidentialitet.
4. Den ledande tillsynsmyndigheten och de nominerande myndigheterna ska fastställa arrangemang för att genomföra de krav som fastställs i denna förordning, inbegripet arrangemang om den tid som ägnas åt och beräknade kostnader för den tillsynsverksamhet som utförs av den gemensamma undersökningsgruppen, utbildning samt etiska och beteendemässiga överväganden med avseende på den roll som medlemmarna i den gemensamma undersökningsgruppen har, när så är lämpligt.
5. Den ledande tillsynsmyndigheten och de nominerande myndigheterna ska säkerställa att de arrangemang som avses i punkt 4 genomförs, ses över och hålls uppdaterade i tid.
Artikel 6
Ikraftträdande
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
Utfärdad i Bryssel den 16 december 2024.
På kommissionens vägnar
Ursula VON DER LEYEN
Ordförande
(1) EUT L 333, 27.12.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.
(2) Kommissionens delegerade förordning (EU) 2024/1502 av den 22 februari 2024 om komplettering av Europaparlamentets och rådets förordning (EU) 2022/2554 vad gäller specificering av kriterierna för klassificering av tredjepartsleverantörer av IKT-tjänster som kritiska för finansiella entiteter (EUT L, 2024/1502, 30.5.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1502/oj).
(3) Kommissionens delegerade förordning (EU) 2024/1505 av den 22 februari 2024 om komplettering av Europaparlamentets och rådets förordning (EU) 2022/2554 genom fastställande av storleken på de tillsynsavgifter som den ledande tillsynsmyndigheten ska ta ut av kritiska tredjepartsleverantörer av IKT-tjänster och hur dessa avgifter ska betalas (EUT L, 2024/1505, 30.5.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1505/oj).
(4) Europaparlamentets och rådets förordning (EU) nr 1093/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska bankmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/78/EG (EUT L 331, 15.12.2010, s. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).
(5) Europaparlamentets och rådets förordning (EU) nr 1094/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska försäkrings- och tjänstepensionsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/79/EG (EUT L 331, 15.12.2010, s. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).
(6) Europaparlamentets och rådets förordning (EU) nr 1095/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska värdepappers- och marknadsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/77/EG (EUT L 331, 15.12.2010, s. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
(7) Kommissionens delegerade förordning (EU) 2025/295 av den 24 oktober 2024 om komplettering av Europaparlamentets och rådets förordning (EU) 2022/2554 vad gäller tekniska tillsynsstandarder som möjliggör genomförandet av tillsynsverksamhet (EUT L, 2025/295, 13.2.2025, ELI: http://data.europa.eu/eli/reg_del/2025/295/oj).
ELI: http://data.europa.eu/eli/reg_del/2025/420/oj
ISSN 1977-0820 (electronic edition)