ISSN 1977-0820

Europeiska unionens

officiella tidning

L 333

European flag  

Svensk utgåva

Lagstiftning

65 årgången
27 december 2022


Innehållsförteckning

 

I   Lagstiftningsakter

Sida

 

 

FÖRORDNINGAR

 

*

Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 ( 1 )

1

 

 

DIREKTIV

 

*

Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) ( 1 )

80

 

*

Europaparlamentets och rådets direktiv (EU) 2022/2556 av den 14 december 2022 om ändring av direktiven 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 och (EU) 2016/2341 vad gäller digital operativ motståndskraft för finanssektorn ( 1 )

153

 

*

Europaparlamentets och rådets direktiv (EU) 2022/2557 av den 14 december 2022 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG ( 1 )

164

 


 

(1)   Text av betydelse för EES.

SV

De rättsakter vilkas titlar är tryckta med fin stil är sådana rättsakter som har avseende på den löpande handläggningen av jordbrukspolitiska frågor. De har normalt en begränsad giltighetstid.

Beträffande alla övriga rättsakter gäller att titlarna är tryckta med fetstil och föregås av en asterisk.


I Lagstiftningsakter

FÖRORDNINGAR

27.12.2022   

SV

Europeiska unionens officiella tidning

L 333/1


EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2022/2554

av den 14 december 2022

om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011

(Text av betydelse för EES)

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 114,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska centralbankens yttrande (1),

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (2),

i enlighet med det ordinarie lagstiftningsförfarandet (3), och

av följande skäl:

(1)

I den digitala tidsåldern stöder informations- och kommunikationstekniken (IKT) komplexa system som används för dagliga aktiviteter. Den får våra ekonomier att fungera inom viktiga sektorer, inbegripet finanssektorn, och förbättrar den inre marknadens funktion. Ökad digitalisering och sammanlänkning ökar också IKT-risk och gör samhället som helhet – och i synnerhet det finansiella systemet – mer sårbart för cyberhot eller IKT-avbrott. Den allmänt utbredda användningen av IKT-system och hög digitalisering och konnektivitet är i dag centrala inslag i den verksamhet som bedrivs av unionens finansiella entiteter, men deras digitala motståndskraft måste fortfarande hanteras bättre och integreras i deras bredare operativa ramar.

(2)

Användningen av IKT har under de senaste årtiondena fått en avgörande roll inom tillhandahållandet av finansiella tjänster och har nått den punkt där den i dag är avgörande för driften av alla finansiella entiteters vanliga dagliga funktioner. Digitaliseringen omfattar i dag t.ex. betalningar, som i allt högre grad har gått från kontanter och pappersbaserade metoder till användning av digitala lösningar, liksom clearing och avveckling av värdepapper, elektronisk och algoritmisk handel, utlåning och finansiering, peer-to-peer-finansiering, kreditvärdering, skadereglering och back-office-verksamhet. Försäkringssektorn har också omvandlats genom användningen av IKT, från framväxten av försäkringsförmedlare som erbjuder sina tjänster online med hjälp av försäkringsteknik (insurtech), till digital försäkringsgarantiverksamhet. Hela finanssektorn har blivit till stor del digital, och digitaliseringen har också fördjupat sammanlänkningarna och beroendena inom finanssektorn och med tredjepartsinfrastruktur och tredjepartstjänsteleverantörer.

(3)

Europeiska systemrisknämnden (ESRB) bekräftade i en rapport från 2020 om systemrisker på cyberområdet att den nuvarande höga graden av sammanlänkning mellan finansiella entiteter, finansmarknader och finansmarknadsinfrastrukturer, och särskilt det ömsesidiga beroendet mellan deras IKT-system, skulle kunna utgöra en systemsårbarhet, eftersom lokala cyberincidenter snabbt skulle kunna spridas från någon av de cirka 22 000 finansiella entiteterna i unionen till hela det finansiella systemet, utan hinder av geografiska gränser. Allvarliga IKT-relaterade överträdelser inom finanssektorn påverkar inte bara finansiella entiteter var för sig. De underlättar också spridning av lokaliserade sårbarheter i de finansiella överföringskanalerna och kan få negativa konsekvenser för stabiliteten i unionens finansiella system, t.ex. generera likviditetsrusningar och generellt leda till ett minskat förtroende för finansmarknaderna.

(4)

På senare år har IKT-risk uppmärksammats av internationella, unionens och nationella beslutsfattare, tillsynsmyndigheter och standardiseringsorgan i ett försök att öka den digitala motståndskraften, fastställa standarder och samordna reglerings- eller tillsynsarbete. På internationell nivå har Baselkommittén för banktillsyn, kommittén för betalningar och marknadsinfrastruktur, rådet för finansiell stabilitet, Financial Stability Institute samt G7 och G20 som mål att förse behöriga myndigheter och marknadsoperatörer inom olika jurisdiktioner med verktyg för att stärka motståndskraften hos deras finansiella system. Det arbetet har också motiverats av behovet av att vederbörligen beakta IKT-risk i ett globalt finansiellt system som är starkt sammanlänkat och eftersträva större samstämmighet vad gäller relevant bästa praxis.

(5)

Trots unionens och nationella riktade politiska initiativ och lagstiftningsinitiativ fortsätter IKT-risk att utgöra en utmaning för den operativa motståndskraften, prestandan och stabiliteten i unionens finansiella system. De reformer som följde på finanskrisen 2008 stärkte i första hand den finansiella motståndskraften hos unionens finanssektor och syftade till att skydda unionens konkurrenskraft och stabilitet ur ekonomiska och tillsynsmässiga perspektiv samt vad gäller marknadsbeteende. Även om IKT-säkerhet och digital motståndskraft ingår i de operativa riskerna har de inte uppmärksammats lika mycket i lagstiftningsagendan efter finanskrisen och har bara utvecklats inom vissa områden av unionens politik och regelverk för finansiella tjänster, eller endast i ett fåtal medlemsstater.

(6)

I sitt meddelande av den 8 mars 2018 med titeln Handlingsplanen för fintech: – ett viktigt steg mot en mer konkurrenskraftig europeisk finanssektor betonade kommissionen att det är ytterst viktigt att göra unionens finanssektor mer motståndskraftig, inbegripet ur ett operativt perspektiv för att säkerställa dess tekniska säkerhet och goda funktion, och dess snabba återställning efter IKT-relaterade överträdelser och IKT-incidenter, så att finansiella tjänster i förlängningen kan tillhandahållas på ett effektivt och smidigt sätt i hela unionen, inbegripet i stressituationer, samtidigt som konsumenternas och marknadens förtroende bevaras.

(7)

I april 2019 utfärdade gemensamt Europeiska tillsynsmyndigheten (Europeiska bankmyndigheten, EBA) inrättad genom Europaparlamentets och rådets förordning (EU) nr 1093/2010 (4), Europeiska tillsynsmyndigheten (Europeiska försäkrings- och tjänstepensionsmyndigheten, Eiopa) inrättad genom Europaparlamentets och rådets förordning (EU) nr 1094/2010 (5), och Europeiska tillsynsmyndigheten (Europeiska värdepappers- och marknadsmyndigheten, Esma) inrättad genom Europaparlamentets och rådets förordning (EU) nr 1095/2010 (6) (gemensamt kallade de europeiska tillsynsmyndigheterna) teknisk rådgivning och efterlyste ett enhetligt tillvägagångssätt för IKT-risk inom finanssektorn och rekommenderade en proportionell förstärkning av den digitala operativa motståndskraften i sektorn för finansiella tjänster genom ett sektorsspecifikt initiativ från unionen.

(8)

Unionens finansiella sektor regleras genom ett enhetligt regelverk och styrs av ett europeiskt system för finansiell tillsyn. Icke desto mindre är bestämmelserna om digital operativ motståndskraft och IKT-säkerhet ännu inte fullständigt eller konsekvent harmoniserade, trots att den digitala operativa motståndskraften är avgörande för att säkerställa finansiell stabilitet och marknadsintegritet i den digitala tidsåldern, och inte mindre viktiga än t.ex. gemensamma standarder för tillsyn eller marknadsbeteenden. Det enhetliga regelverket och tillsynssystemet bör därför utvecklas så att de även omfattar digital operativ motståndskraft, genom att behöriga myndigheters mandat stärks så att de kan övervaka hanteringen av IKT-risk inom den finansiella sektorn i syfte att skydda den inre marknadens integritet och effektivitet samt för att främja dess korrekta funktion.

(9)

Skillnader i lagstiftning och olika nationella reglerings- eller tillsynsstrategier för IKT-risk skapar hinder för den inre marknadens funktion för finansiella tjänster och hindrar ett smidigt utövande av etableringsfriheten och tillhandahållandet av tjänster för finansiella entiteter som bedriver gränsöverskridande verksamhet. Konkurrensen mellan samma typ av finansiella entiteter med verksamhet i olika medlemsstater skulle också kunna snedvridas. Detta gäller särskilt de områden där unionens harmonisering har varit mycket begränsad, såsom testning av digital operativ motståndskraft, eller saknas, såsom övervakning av IKT-tredjepartsrisk. Skillnader som härrör från den planerade utvecklingen på nationell nivå skulle kunna skapa ytterligare hinder för den inre marknadens funktion, till skada för marknadsaktörer och finansiell stabilitet.

(10)

På grund av att bestämmelser i fråga om IKT-risk endast delvis behandlas på unionsnivå finns för närvarande luckor eller överlappningar på viktiga områden, t.ex. när det gäller IKT-relaterad incidentrapportering och testning av digital operativ motståndskraft, samt bristande konsekvens när skiljaktiga nationella regler utformas eller överlappande regler tillämpas på ett icke kostnadseffektivt sätt. Detta är särskilt skadligt för IKT-intensiva användare som finanssektorn, eftersom teknikrisker inte stannar vid nationsgränser och finanssektorn använder sina tjänster på bred gränsöverskridande basis inom och utanför unionen. Enskilda finansiella entiteter som bedriver gränsöverskridande verksamhet eller som innehar flera tillstånd (en finansiell entitet kan t.ex. ha tillstånd som bank, värdepappersföretag och betalningsinstitut, där varje tillstånd har utfärdats av olika behöriga myndigheter i en eller flera medlemsstater) ställs inför operativa utmaningar när det gäller att på egen hand hantera IKT-risk och mildra IKT-incidenters negativa effekter på ett samstämmigt och kostnadseffektivt sätt.

(11)

Eftersom det enhetliga regelverket inte har åtföljts av en heltäckande IKT-ram eller ram för operativa risker krävs ytterligare harmonisering av viktiga krav på digital operativ motståndskraft för alla finansiella entiteter. Utvecklingen av IKT-kapacitet och övergripande motståndskraft hos finansiella entiteter baserat på dessa viktiga krav för att stå emot driftstörningar skulle bidra till att bevara stabiliteten och integriteten på unionens finansmarknader och därmed bidra till att säkerställa en hög skyddsnivå för investerare och konsumenter i unionen. Eftersom syftet med denna förordning är att bidra till att den inre marknaden fungerar friktionsfritt bör den baseras på artikel 114 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget), så som artikeln tolkats i Europeiska unionens domstols (domstolen) fasta rättspraxis.

(12)

Denna förordning syftar till att konsolidera och uppgradera IKT-riskkraven som en del av de operativa riskkraven, vilka hittills har behandlats separat i olika unionsrättsakter. Även om dessa akter omfattade de huvudsakliga kategorierna av finansiell risk (t.ex. kreditrisk, marknadsrisk, motpartsrisk, likviditetsrisk och marknadsbeteenderisker), behandlades inte alla komponenter i den operativa motståndskraften på ett heltäckande sätt när dessa akter antogs. När reglerna rörande operativa risker närmare utformades i dessa unionsrättsakter föredrogs ofta en traditionell kvantitativ strategi för riskhantering (nämligen fastställande av ett kapitalkrav för att täcka IKT-risk) i stället för riktade kvalitativa regler avseende skydd, upptäckt, begränsning, återställning och avhjälpande av IKT-relaterade incidenter eller avseende rapporteringskapacitet och digital testkapacitet. Dessa akter var i första hand avsedda att omfatta och uppdatera grundläggande regler om tillsyn, marknadsintegritet eller marknadsbeteende. Genom att olika regler för IKT-risk konsolideras och uppgraderas bör alla bestämmelser om digitala risker inom finanssektorn för första gången samlas på ett enhetligt sätt i en enda rättsakt. Denna förordning täpper till luckorna eller avhjälper bristen på konsekvens i vissa av de tidigare rättsakterna, inbegripet i fråga om den terminologi som används i dem och som uttryckligen hänvisar till IKT-risk genom riktade regler om IKT-riskhanteringsförmåga, incidentrapportering, testning av operativ motståndskraft och övervakning av IKT-tredjepartsrisk. Denna förordning bör därför också öka medvetenheten om IKT-risk och understryka att IKT-incidenter och bristande operativ motståndskraft kan äventyra finansiella entiteters sundhet.

(13)

Finansiella entiteter bör följa samma tillvägagångssätt och samma principbaserade regler i sin hantering av IKT-risk med beaktande av sin storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, verksamhet och insatser. Enhetlighet bidrar till att öka förtroendet för det finansiella systemet och bevara dess stabilitet, särskilt i tider av starkt beroende av IKT-system, IKT-plattformar och IKT-infrastrukturer, vilket medför ökad digital risk. Iakttagande av grundläggande cyberhygien bör också leda till att det går att undvika höga kostnader för ekonomin, genom att effekterna av och kostnaderna för IKT-avbrott minimeras.

(14)

En förordning bidrar till att minska lagstiftningens komplexitet, främjar konvergens i tillsynen och ökar rättssäkerheten, och bidrar också till att begränsa efterlevnadskostnaderna, särskilt för finansiella entiteter som bedriver gränsöverskridande verksamhet, och till att minska snedvridningen av konkurrensen. Därför är valet av en förordning för inrättandet av en gemensam ram för finansiella entiteters digitala operativa motståndskraft det lämpligaste sättet att garantera en enhetlig och samstämmig tillämpning av alla delar av IKT-riskhanteringen inom unionens finanssektor.

(15)

Europaparlamentets och rådets direktiv (EU) 2016/1148 (7) var den första övergripande ramen för cybersäkerhet som antogs på unionsnivå och som också tillämpas på tre typer av finansiella entiteter, nämligen kreditinstitut, handelsplatser och centrala motparter. Eftersom det i direktiv (EU) 2016/1148 fastställdes en mekanism för identifiering på nationell nivå av leverantörer av samhällsviktiga tjänster, var det endast vissa kreditinstitut, handelsplatser och centrala motparter som identifierades av medlemsstaterna som inkluderades i direktivets tillämpningsområde i praktiken och därmed är skyldiga att uppfylla de rapporteringskrav i fråga om IKT-säkerhet och IKT-incidenter som fastställs i direktivet. I Europaparlamentets och rådets direktiv (EU) 2022/2555 (8) fastställs enhetliga kriterier för att avgöra vilka entiteter som omfattas av dess tillämpningsområde (storleksbaserad regel) samtidigt som de tre typerna av finansiella entiteter behålls inom dess tillämpningsområde.

(16)

Eftersom denna förordning leder till en ökad harmonisering av de olika komponenterna av digital motståndskraft genom att det införs strängare krav på IKT-riskhantering och IKT-relaterad incidentrapportering än de som fastställs i den nuvarande unionsrätten avseende finansiella tjänster, innebär denna högre nivå en ökad harmonisering även jämfört med kraven i direktiv (EU) 2022/2555. Denna förordning utgör följaktligen lex specialis i förhållande till direktiv (EU) 2022/2555. Det är samtidigt mycket viktigt att upprätthålla en stark koppling mellan finanssektorn och unionens övergripande ram för cybersäkerhet, som för närvarande fastställs i direktiv (EU) 2022/2555 för att säkerställa överensstämmelse med de strategier för cybersäkerhet som antagits av medlemsstaterna och göra det möjligt för finansiella tillsynsmyndigheter att få kännedom om cyberincidenter som påverkar andra sektorer som omfattas av det direktivet.

(17)

I enlighet med artikel 4.2 i fördraget om Europeiska unionen och utan att det påverkar domstolens rättsliga prövning bör denna förordning inte påverka medlemsstaternas ansvar vad gäller väsentliga statliga funktioner rörande allmän säkerhet, försvar och skyddet av den nationella säkerheten, till exempel när det gäller tillhandahållande av information som står i strid med skyddet av den nationella säkerheten.

(18)

För att möjliggöra sektorsövergripande lärande och effektivt ta vara på erfarenheter från andra sektorer när det gäller att hantera cyberhot bör de finansiella entiteter som avses i direktiv (EU) 2022/2555 fortsätta att ingå i ”ekosystemet” i det direktivet (t.ex. samarbetsgrupp samt nätverket av entiteter för hantering av it-säkerhetsincidenter (CSIRT-enheter)). De europeiska tillsynsmyndigheterna och de nationella behöriga myndigheterna bör kunna delta i de strategiska politiska diskussionerna och det tekniska arbetet i samarbetsgruppen enligt det direktivet och kunna utbyta information och samarbeta ytterligare med de gemensamma kontaktpunkter som har utsetts eller inrättats i enlighet med det direktivet. De behöriga myndigheterna enligt denna förordning bör också samråda och samarbeta med CSIRT-enheter. De behöriga myndigheterna bör också kunna begära teknisk rådgivning från de behöriga myndigheter som utsetts eller inrättats i enlighet med direktiv (EU) 2022/2555 samt inrätta samarbetsarrangemang i syfte att säkerställa effektiva och snabba samordningsmekanismer.

(19)

Med tanke på de starka sambanden mellan finansiella entiteters digitala motståndskraft och fysiska motståndskraft krävs ett enhetligt tillvägagångssätt för kritiska entiteters motståndskraft i denna förordning och i Europaparlamentets och rådets direktiv (EU) 2022/2557 (9). Eftersom finansiella entiteters fysiska motståndskraft behandlas övergripande i de skyldigheter rörande IKT-riskhantering och rapportering som omfattas av denna förordning, bör de skyldigheter som fastställs i kapitlen III och IV i direktiv (EU) 2022/2557 inte tillämpas på finansiella entiteter som omfattas av tillämpningsområdet för det direktivet.

(20)

Leverantörer av molntjänster är en kategori av leverantörer av digitala infrastrukturer som omfattas av direktiv (EU) 2022/2555. Den unionstillsynsram (tillsynsramen) som inrättas genom denna förordning är tillämplig på alla kritiska tredjepartsleverantörer av IKT-tjänster, inbegripet leverantörer av molntjänster som tillhandahåller IKT-tjänster till finansiella entiteter, och bör betraktas som ett komplement till den tillsyn som utförs enligt direktiv (EU) 2022/2555. Den tillsynsram som inrättas genom denna förordning bör dessutom omfatta leverantörer av molntjänster, i avsaknad av en unionsomfattande sektorsövergripande ram för inrättande av en digital tillsynsmyndighet.

(21)

För att finansiella entiteter ska kunna upprätthålla full kontroll över IKT-risk måste de ha övergripande kapacitet som möjliggör en kraftfull och effektiv IKT-riskhantering, liksom särskilda mekanismer och riktlinjer för att hantera alla IKT-relaterade incidenter och rapportera allvarliga IKT-relaterade incidenter. På samma sätt bör finansiella entiteter ha inrättat strategier för testning av IKT-system, IKT-kontroller och IKT-processer samt för hantering av IKT-tredjepartsrisk. Referensnivån för digital operativ motståndskraft hos finansiella entiteter bör höjas och samtidigt möjliggöra en proportionell tillämpning av kraven för vissa finansiella entiteter, särskilt mikroföretag, liksom finansiella entiteter som är föremål för en förenklad IKT-riskhanteringsram. För att underlätta en effektiv tillsyn av tjänstepensionsinstitut som är proportionell och tillgodoser behovet att minska de behöriga myndigheternas administrativa bördor bör relevanta nationella tillsynsramar för sådana finansiella entiteter beakta deras storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, verksamhet och insatser, även när de relevanta trösklar som fastställs i artikel 5 i Europaparlamentets och rådets direktiv (EU) 2016/2341 (10) överskrids. Framför allt bör tillsynsverksamhet i första hand inriktas på behovet av att hantera allvarliga risker i samband med IKT-riskhantering i en särskild entitet.

De behöriga myndigheterna bör också upprätthålla ett vaksamt men proportionellt tillvägagångssätt vad gäller tillsyn över tjänstepensionsinstitut som, i enlighet med artikel 31 i direktiv (EU) 2016/2341, utkontrakterar en betydande del av sin kärnverksamhet, till exempel kapitalförvaltning, försäkringstekniska beräkningar, redovisning och databehandling till tjänsteleverantörer.

(22)

Tröskelvärden och taxonomier för rapportering av IKT-relaterade incidenter varierar avsevärt på nationell nivå. Även om en samsyn kan uppnås genom det relevanta arbete som utförs av Europeiska unionens cybersäkerhetsbyrå (Enisa), som inrättats genom Europaparlamentets och rådets förordning (EU) 2019/881 (11), och samarbetsgruppen enligt direktiv (EU) 2022/2555, kan det fortfarande förekomma eller växa fram olika strategier för tröskelvärden och taxonomier för andra finansiella entiteter. Dessa skillnader medför flera krav som finansiella entiteter måste uppfylla, särskilt när de är verksamma i flera medlemsstater och när de ingår i en finansiell koncern. Sådana skillnader kan dessutom hindra inrättandet av ytterligare enhetliga eller centraliserade mekanismer på unionsnivå som påskyndar rapporteringsprocessen och underlättar ett snabbt och smidigt informationsutbyte mellan behöriga myndigheter, vilket är avgörande för att hantera IKT-risk vid storskaliga attacker med eventuella konsekvenser för det finansiella systemet.

(23)

För att minska den administrativa bördan och eventuellt dubbla rapporteringsskyldigheter för vissa finansiella entiteter bör kravet på incidentrapportering enligt Europaparlamentets och rådets direktiv (EU) 2015/2366 (12) upphöra att tillämpas för betaltjänstleverantörer som omfattas av tillämpningsområdet för denna förordning. Därför bör de kreditinstitut, institut för elektroniska pengar, betalningsinstitut och leverantörer av kontoinformationstjänster som avses i artikel 33.1 i det direktivet, från och med tillämpningsdagen för denna förordning rapportera enligt denna förordning, alla betalningsrelaterade operativa incidenter eller säkerhetsincidenter som tidigare rapporterades enligt det direktivet, oavsett om sådana incidenter är IKT-relaterade.

(24)

För att de behöriga myndigheterna ska kunna fullgöra tillsynsuppgifter genom att skaffa sig en fullständig överblick över IKT-relaterade incidenters art, frekvens, betydelse och inverkan och för att förbättra informationsutbytet mellan berörda offentliga myndigheter, inbegripet brottsbekämpande myndigheter och resolutionsmyndigheter, bör denna förordning fastställa regler för att uppnå ett stabilt rapporteringssystem för IKT-relaterade incidenter, där relevanta krav åtgärdar befintliga luckor i rätten avseende finansiella tjänster och undanröjer överlappningar och dubbleringar för att minska kostnaderna. Det är därför viktigt att harmonisera rapporteringssystemet för IKT-relaterade incidenter genom att kräva att alla finansiella entiteter rapporterar till sina behöriga myndigheter genom en harmoniserad ram i enlighet med denna förordning. Dessutom bör de europeiska tillsynsmyndigheterna ges befogenhet att närmare specificera relevanta delar i ramen för rapportering av IKT-relaterade incidenter, såsom taxonomi, tidsramar, datamängder, mallar och tillämpliga tröskelvärden. För att säkerställa fullständig överensstämmelse med direktiv (EU) 2022/2555 bör finansiella entiteter på frivillig basis tillåtas rapportera betydande cyberhot till den relevanta behöriga myndigheten, när de anser att cyberhotet är relevant för det finansiella systemet, tjänsteanvändare eller kunder.

(25)

Krav på testning av digital operativ motståndskraft har utarbetats i vissa finansiella delsektorer med ramar som inte alltid är harmoniserade fullt ut. Detta leder till potentiellt dubbla kostnader för gränsöverskridande finansiella entiteter och gör ett ömsesidigt erkännande av testresultaten för digital operativ motståndskraft komplicerat, vilket i sin tur kan fragmentera den inre marknaden.

(26)

I de fall där det inte krävs någon IKT-testning förblir dessutom sårbarheter oupptäckta och leder till att en finansiell entitet utsätts för IKT-risk, och skapar i förlängningen en högre risk för den finansiella sektorns stabilitet och integritet. Utan unionsåtgärder skulle testningen av digital operativ motståndskraft fortsätta att vara inkonsekvent och det skulle inte finnas något system för ömsesidigt erkännande av IKT-testresultat i olika jurisdiktioner. Eftersom det dessutom är osannolikt att andra finansiella delsektorer skulle anta testsystem i en meningsfull omfattning skulle de också gå miste om de potentiella fördelarna med en testram, t.ex. att avslöja IKT-sårbarheter och IKT-risker, och att testa försvarskapacitet och driftskontinuitet, vilket bidrar till att öka kundernas, leverantörernas och affärspartnernas förtroende. För att åtgärda dessa överlappningar, skillnader och luckor är det nödvändigt att fastställa regler som syftar till ett samordnat testsystem för finansiella entiteter, för att på så sätt underlätta ömsesidigt erkännande av avancerade tester för de finansiella entiteter som uppfyller de krav som fastställs i denna förordning.

(27)

Finansinstitutens beroende av användningen av IKT-tjänster beror delvis på deras behov av att anpassa sig till en framväxande konkurrenskraftig digital global ekonomi, effektivisera sin verksamhet och tillgodose konsumenternas efterfrågan. Karaktären på och omfattningen av ett sådant beroende har utvecklats kontinuerligt under de senaste åren, vilket har drivit fram kostnadsminskningar inom finansiell förmedling, möjliggjort företagsexpansion och skalbarhet vid införandet av finansiell verksamhet och samtidigt gett tillgång till ett brett spektrum av IKT-verktyg för att hantera komplexa interna processer.

(28)

Den omfattande användningen av IKT-tjänster framgår av komplexa kontraktsmässiga arrangemang, där finansiella entiteter ofta stöter på svårigheter med att förhandla om avtalsvillkor som är anpassade till de tillsynsstandarder eller andra lagstadgade krav som de omfattas av, eller på annat sätt hävda särskilda rättigheter, såsom åtkomsträtt eller revisionsrätt, även när dessa är inskrivna i deras kontraktsmässiga arrangemang. Många av de kontraktsmässiga arrangemangen innehåller dessutom inte tillräckliga skyddsåtgärder som möjliggör en fullständig övervakning av utkontrakteringsprocesser, vilket gör att den finansiella entiteten inte har möjlighet att bedöma dessa risker. Eftersom tredjepartsleverantörer av IKT-tjänster ofta tillhandahåller standardiserade tjänster till olika typer av kunder kan det dessutom hända att sådana kontraktsmässiga arrangemang inte alltid tillgodoser finansbranschaktörernas individuella eller särskilda behov.

(29)

Även om unionsrätten avseende finansiella tjänster omfattar vissa allmänna regler om utkontraktering är övervakningen av avtalsdimensionen inte helt förankrad i unionsrätten. Tydliga och skräddarsydda unionsstandarder som är tillämpliga på de kontraktsmässiga arrangemang som har ingåtts med tredjepartsleverantörer av IKT-tjänster saknas, och därmed hanteras inte den externa IKT-riskkällan på ett heltäckande sätt. Det är därför nödvändigt att fastställa vissa nyckelprinciper för att vägleda finansiella entiteters hantering av IKT-tredjepartsrisker, vilka är särskilt viktiga när finansiella entiteter använder tredjepartsleverantörer av IKT-tjänster för att stödja kritiska eller viktiga funktioner. Dessa principer bör åtföljas av en uppsättning grundläggande avtalsenliga rättigheter i samband med flera aspekter av fullgörandet och avslutandet av kontraktsmässiga arrangemang i syfte att tillhandahålla vissa minimiskyddsåtgärder för att stärka finansiella entiteters förmåga att effektivt övervaka alla IKT-risker som uppstår på tredjepartstjänsteleverantörsnivå. De principerna kompletterar den sektorsrätt som är tillämplig på utkontraktering.

(30)

Det är i dagsläget uppenbart att det råder en viss brist på homogenitet och konvergens vad gäller övervakningen av IKT-tredjepartsrisker och beroende av IKT-tredjeparter. Trots ansträngningarna för att hantera utkontraktering, t.ex. EBA:s riktlinjer för utkontraktering från 2019 och Esmas riktlinjer för utkontraktering till molntjänstleverantörer från 2021, behandlas den större frågan om att motverka systemrisker som kan utlösas av finanssektorns exponering mot ett begränsat antal kritiska tredjepartsleverantörer av IKT-tjänster inte i tillräcklig utsträckning i unionsrätten. Denna avsaknad av regler på unionsnivå förvärras av att det inte finns några nationella regler för mandat och verktyg som gör det möjligt för finansiella tillsynsmyndigheter att skaffa sig en god bild av beroendet av IKT-tredjeparter och att på lämpligt sätt övervaka risker som uppstår till följd av koncentration av beroenden av IKT-tredjeparter.

(31)

Med hänsyn till de potentiella systemrisker som den ökade utkontrakteringen och koncentrationen av IKT-tredjeparter medför, och till de otillräckliga nationella mekanismer som ger finansiella tillsynsmyndigheter lämpliga verktyg för att kvantitativt och kvalitativt fastställa och åtgärda konsekvenserna av IKT-risk som uppstår hos kritiska tredjepartsleverantörer av IKT-tjänster, är det nödvändigt att inrätta en lämplig tillsynsram som möjliggör en kontinuerlig övervakning av verksamheten hos tredjepartsleverantörer av IKT-tjänster som är kritiska tredjepartsleverantörer av IKT-tjänster till finansiella entiteter, och samtidigt säkerställa konfidentialitet och säkerhet för kunder som inte är finansiella entiteter. Tillhandahållandet av IKT-tjänster inom en koncern medför specifika risker och fördelar, men det bör inte automatiskt anses mindre riskfyllt än tillhandahållande av IKT-tjänster från leverantörer utanför en finansiell koncern, och bör därför omfattas av samma regelverk. När IKT-tjänster tillhandahålls inom samma finansiella koncern kan dock finansiella entiteter ha större kontroll över koncerninterna leverantörer, vilket bör beaktas vid den övergripande riskbedömningen.

(32)

I och med att IKT-risker blir alltmer komplexa och sofistikerade kommer effektiva åtgärder för att upptäcka och förebygga IKT-risk att i hög grad vara beroende av regelbundet utbyte mellan finansiella entiteter av underrättelser om hot och sårbarhet. Informationsutbyte bidrar till att skapa ökad medvetenhet om cyberhot. Detta ökar i sin tur finansiella entiteters förmåga att förhindra att cyberhot blir verkliga IKT-relaterade incidenter, och gör det möjligt för finansiella entiteter att på ett mer effektivt sätt begränsa IKT-relaterade incidenters inverkan och att återhämta sig snabbare. I avsaknad av vägledning på unionsnivå verkar flera faktorer ha hindrat sådant utbyte av underrättelser, särskilt osäkerhet om förenligheten med dataskyddsregler, antitrustregler och ansvarsregler.

(33)

Dessutom leder tveksamheter om vilken typ av information som kan delas med andra marknadsaktörer, eller med myndigheter som inte är tillsynsmyndigheter (t.ex. Enisa, för analytiskt underlag, eller Europol, för brottsbekämpande ändamål) till att användbar information inte lämnas ut. Omfattningen av och kvaliteten på informationsutbytet är därför i nuläget fortfarande begränsad och fragmenterad, med relevanta utbyten som oftast görs lokalt (via nationella initiativ) och inga enhetliga unionsomfattande arrangemang för informationsutbyte som är anpassade till behoven i ett integrerat finansiellt system. Det är därför viktigt att stärka dessa kommunikationskanaler.

(34)

Finansiella entiteter bör därför uppmuntras att sinsemellan utbyta information och underrättelser om cyberhot, och kollektivt utnyttja sina individuella kunskaper och praktiska erfarenheter på strategisk, taktisk och operativ nivå i syfte att förbättra sin förmåga att på lämpligt sätt bedöma, övervaka, försvara och reagera på cyberhot genom att delta i arrangemang för informationsutbyte. Det är därför nödvändigt att på unionsnivå möjliggöra framväxten av mekanismer för frivilligt informationsutbyte som, när de genomförs i betrodda miljöer, skulle hjälpa finanssektorn att förebygga och kollektivt reagera på cyberhot genom att snabbt begränsa spridningen av IKT-risk och hindra potentiella spridningseffekter genom de finansiella kanalerna. Dessa mekanismer bör överensstämma med unionens tillämpliga konkurrensrättsliga regler som anges i kommissionens meddelande av den 14 januari 2011 med titeln Riktlinjer för tillämpningen av artikel 101 i fördraget om Europeiska unionens funktionssätt på horisontella samarbetsavtal samt med unionens dataskyddsregler, särskilt Europaparlamentets och rådets förordning (EU) 2016/679 (13). De bör fungera på grundval av en eller flera av de rättsliga grunder som fastställs i artikel 6 i den förordningen, till exempel i samband med sådan behandling av personuppgifter som är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, enligt artikel 6.1 f i den förordningen, liksom i samband med den behandling av personuppgifter som är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige, som är nödvändig för att utföra en uppgift i allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, enligt artikel 6.1 c respektive e i den förordningen.

(35)

För att upprätthålla en hög nivå av digital operativ motståndskraft i hela den finansiella sektorn, och samtidigt hålla jämna steg med den tekniska utvecklingen, bör denna förordning hantera de risker som härrör från alla typer av IKT-tjänster. I det syftet bör definitionen av IKT-tjänster inom ramen för denna förordning ges en vid tolkning för att omfatta digitala tjänster och datatjänster som tillhandahålls fortlöpande genom IKT-system till en eller flera interna eller externa användare. Den definitionen bör till exempel omfatta s.k. over-the-top-tjänster, som omfattas av kategorin elektroniska kommunikationstjänster. Den bör endast utesluta den begränsade kategori av traditionella analoga telefonitjänster som räknas som tjänster inom det allmänna telefonnätet (PSTN), tjänster inom fasta nät, konventionella telefontjänster (POTS) eller telefonitjänster inom fasta nät.

(36)

Trots den breda täckning som föreskrivs i denna förordning bör vid tillämpningen av reglerna om digital operativ motståndskraft beaktas betydande skillnader mellan finansiella entiteter i fråga om deras storlek och allmänna riskprofil. Som en allmän princip bör finansiella entiteter, när de fördelar resurser och kapacitet till genomförandet av IKT-riskhanteringsramen, på lämpligt sätt väga sina IKT-relaterade behov mot sin storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, verksamhet och insatser medan de behöriga myndigheterna bör fortsätta att bedöma och se över tillvägagångssättet för en sådan fördelning.

(37)

Leverantörer av kontoinformationstjänster, som avses i artikel 33.1 i direktiv (EU) 2015/2366, omfattas uttryckligen av denna förordnings tillämpningsområde, med hänsyn till den specifika arten av deras verksamhet och de risker som den ger upphov till. Dessutom omfattas institut för elektroniska pengar och betalningsinstitut och som är undantagna enligt artikel 9.1 i Europaparlamentets och rådets direktiv 2009/110/EG (14) och artikel 32.1 i direktiv (EU) 2015/2366 av tillämpningsområdet för denna förordning även om de inte har beviljats auktorisation i enlighet med direktiv 2009/110/EG att ge ut elektroniska pengar, eller om de inte har auktoriserats i enlighet med direktiv (EU) 2015/2366 att tillhandahålla och genomföra betaltjänster. De postgiroinstitut som avses i artikel 2.5.3 i Europaparlamentets och rådets direktiv 2013/36/EU (15) är dock undantagna från denna förordnings tillämpningsområde. Den behöriga myndigheten för betalningsinstitut som är undantagna enligt direktiv (EU) 2015/2366, institut för elektroniska pengar som är undantagna enligt direktiv 2009/110/EG och leverantörer av kontoinformationstjänster som avses i artikel 33.1 i direktiv (EU) 2015/2366, bör vara den behöriga myndighet som utsetts i enlighet med artikel 22 i direktiv (EU) 2015/2366.

(38)

Eftersom större finansiella entiteter skulle kunna ha mer omfattande resurser och snabbt kan använda medel för att utveckla styrningsstrukturer och inrätta olika företagsstrategier, bör endast finansiella entiteter som inte är mikroföretag i den mening som avses i denna förordning vara skyldiga att inrätta mer komplexa styrformer. Framför allt är sådana entiteter bättre rustade att inrätta särskilda ledningsfunktioner för att övervaka arrangemang med tredjepartsleverantörer av IKT-tjänster eller för att sköta krishantering, organisera sin IKT-riskhantering enligt modellen med tre försvarslinjer, eller inrätta en intern riskhanterings- och kontrollmodell och låta sin IKT- riskhanteringsram undergå interna revisioner.

(39)

Vissa finansiella entiteter är undantagna från eller omfattas av ett mycket begränsat regelverk enligt relevant sektorsspecifik unionsrätt. Sådana finansiella entiteter omfattar förvaltare av alternativa investeringsfonder som avses i artikel 3.2 i Europaparlamentets och rådets direktiv 2011/61/EU (16), försäkrings- och återförsäkringsföretag som avses i artikel 4 i Europaparlamentets och rådets direktiv 2009/138/EG (17) samt tjänstepensionsinstitut som förvaltar pensionsplaner som tillsammans inte har fler än totalt 15 medlemmar. Mot bakgrund av dessa undantag skulle det inte vara proportionellt att inkludera sådana finansiella entiteter i denna förordnings tillämpningsområde. Denna förordning erkänner dessutom försäkringsförmedlingsmarknadens särdrag, vilket innebär att försäkringsförmedlare, återförsäkringsförmedlare och försäkringsförmedlare som bedriver förmedling som sidoverksamhet och som räknas som mikroföretag eller som små eller medelstora företag inte bör omfattas av denna förordning.

(40)

Eftersom de entiteter som avses i artikel 2.5.4–2.5.23 i direktiv 2013/36/EU är undantagna från det direktivets tillämpningsområde bör medlemsstaterna därför kunna välja att från denna förordning undanta sådana institut som är belägna inom deras respektive territorier.

(41)

För att anpassa denna förordning till tillämpningsområdet för Europaparlamentets och rådets direktiv 2014/65/EU (18) är det också lämpligt att från denna förordnings tillämpningsområde utesluta de fysiska och juridiska personer som avses i artiklarna 2 och 3 i det direktivet och som får tillhandahålla investeringstjänster utan att behöva erhålla auktorisation enligt direktiv 2014/65/EU. Dock utesluts även enligt artikel 2 i direktiv 2014/65/EU från tillämpningsområdet för det direktivet entiteter som räknas som finansiella entiteter enligt denna förordning, till exempel värdepapperscentraler, företag för kollektiva investeringar eller försäkrings- och återförsäkringsföretag. Uteslutningen från denna förordnings tillämpningsområde för personer och entiteter som avses i artiklarna 2 och 3 i det direktivet bör inte omfatta dessa värdepapperscentraler, företag för kollektiva investeringar eller försäkrings- och återförsäkringsföretag.

(42)

Enligt sektorsspecifik unionsrätt omfattas vissa finansiella entiteter av förenklade krav eller undantag av skäl som rör deras storlek eller de tjänster de tillhandahåller. Den kategorin av finansiella entiteter omfattar små och icke sammanlänkade värdepappersföretag, små tjänstepensionsinstitut som får uteslutas från tillämpningsområdet för direktiv (EU) 2016/2341 enligt de villkor som fastställs i artikel 5 i det direktivet av den berörda medlemsstaten och som har pensionsplaner som tillsammans inte omfattar fler än 100 personer totalt, liksom institut som är undantagna enligt direktiv 2013/36/EU. Det är därför lämpligt att, i enlighet med proportionalitetsprincipen och för att bevara andan av sektorsspecifik unionsrätt, låta de finansiella entiteterna omfattas av en förenklad IKT-riskhanteringsram enligt denna förordning. Den proportionella karaktären i den förenklade IKT-riskhanteringsram som omfattar dessa finansiella entiteter bör inte ändras av de lagstadgade tekniska standarder som ska utarbetas av de europeiska tillsynsmyndigheterna. I enlighet med proportionalitetsprincipen är det dessutom lämpligt att även låta de betalningsinstitut som avses i artikel 32.1 i direktiv (EU) 2015/2366 och de institut för elektroniska pengar som avses i artikel 9 i direktiv 2009/110/EG som är undantagna i enlighet med nationellt rätt som införlivar dessa unionsrättsakter omfattas av en förenklad IKT-riskhanteringsram enligt denna förordning, medan betalningsinstitut och institut för elektroniska pengar som inte har undantagits i enlighet med respektive nationell rätt som införlivar sektorsspecifik unionsrätt bör följa den allmänna ram som fastställs i denna förordning.

(43)

På samma sätt bör finansiella entiteter som räknas som mikroföretag eller som omfattas av den förenklade IKT-riskhanteringsramen enligt denna förordning inte vara skyldiga att inrätta en funktion för att övervaka de arrangemang som de ingått med IKT-tredjepartsleverantörer för användning av IKT-tjänster; eller att utse en medlem av den högre ledningen till ansvarig för att övervaka den åtföljande riskexponeringen och relevant dokumentation; att överföra ansvaret för att hantera och övervaka IKT-risk till en kontrollfunktion och säkerställa en lämplig nivå av oberoende för den kontrollfunktionen för att undvika intressekonflikter; att minst en gång om året dokumentera och se över IKT-riskhanteringsramen; att regelbundet låta IKT-riskhanteringsramen undergå en internrevision; att göra djupgående bedömningar efter större förändringar i deras infrastruktur och processer för nätverks- och informationssystem; att regelbundet genomföra riskanalyser av befintliga IKT-system; att låta genomförandet av åtgärds- och återställningsplaner avseende IKT undergå oberoende interna granskningar; att inrätta en krishanteringsfunktion, att utöka testningen av driftskontinuitet och åtgärds- och återställningsplaner för att fånga upp överflyttningsscenarier mellan primär IKT-infrastruktur och reservanläggningar, att på begäran av de behöriga myndigheterna lämna en uppskattning av de totala årliga kostnader och förluster som orsakas av allvarliga IKT-relaterade incidenter, att upprätthålla IKT-reservkapacitet; att till de nationella behöriga myndigheterna meddela vilka förändringar som genomfördes efter efterhandsöversyner av IKT-relaterade incidenter; att kontinuerligt övervaka relevant teknisk utveckling, att inrätta ett heltäckande program för testning av digital operativ motståndskraft som en integrerad del av den IKT-riskhanteringsram som föreskrivs i den här förordningen, eller att anta och regelbundet se över en strategi för IKT-tredjepartsrisk. Mikroföretag ska dessutom endast bedöma behovet av att upprätthålla sådan IKT-reservkapacitet med utgångspunkt i vilken riskprofil de har. Mikroföretag bör omfattas av ett mer flexibelt system vad gäller program för testning av digital operativ motståndskraft. När de överväger vilken typ och frekvens av testning som ska utföras bör de vederbörligen väga målet att upprätthålla en hög digital operativ motståndskraft, de tillgängliga resurserna och sin allmänna riskprofil. Mikroföretag och finansiella entiteter som omfattas av den förenklade IKT-riskhanteringsramen enligt denna förordning bör undantas från kravet på avancerad testning av IKT-verktyg, IKT-system och IKT-processer baserad på hotbildsstyrd penetrationstestning, eftersom endast finansiella entiteter som uppfyller de krav som fastställs i denna förordning bör vara skyldiga att utföra sådan testning. Mot bakgrund av sin begränsade kapacitet bör mikroföretag kunna komma överens med tredjepartsleverantören av IKT-tjänster att delegera den finansiella entiteten rätt till tillgång, inspektion och revision till en oberoende tredje part som utsetts av tredjepartsleverantören av IKT-tjänster, under förutsättning att den finansiella entiteten, när som helst, kan begära all relevant information och försäkran om tredjepartsleverantörens prestanda från respektive oberoende tredje part.

(44)

Eftersom endast de finansiella entiteter som har identifierats vid tillämpning av avancerad testning av digital motståndskraft bör vara skyldiga att utföra hotbildsstyrda penetrationstester, bör dessutom de administrativa processer och finansiella kostnader som genomförandet av sådana tester medför överföras till en liten andel av finansiella entiteter.

(45)

För att säkerställa fullständig anpassning och övergripande konsekvens mellan finansiella entiteters affärsstrategier, å ena sidan, och genomförandet av IKT-riskhantering, å andra sidan, bör finansiella entiteters ledningsorgan vara skyldiga att ha en central och aktiv roll i styrningen och anpassningen av IKT-riskhanteringsramen och den övergripande strategin för digital operativ motståndskraft. Ledningsorganens strategi bör inte enbart vara inriktad på hur IKT-systemens motståndskraft säkerställs, utan även omfatta människor och processer genom en uppsättning strategier som, på varje företagsnivå och för all personal, främjar en stark känsla av medvetenhet om cyberrisker och ett åtagande att tillämpa en strikt cyberhygien på alla nivåer. Ledningsorganets yttersta ansvar för att hantera en finansiell entitets IKT-risk bör utgöra en övergripande princip för den heltäckande strategin och omsättas i ett fortlöpande engagemang hos ledningen för att kontrollera övervakningen av IKT-riskhanteringen.

(46)

Principen om ledningsorganets fullständiga och slutgiltiga ansvar för hanteringen av IKT-risken för en finansiell entitet går hand i hand med behovet av att säkerställa en nivå för IKT-relaterade investeringar och en övergripande budget för den finansiella entiteten som skulle möjliggöra för den finansiella entiteten att uppnå en hög nivå av digital operativ motståndskraft.

(47)

Med inspiration från relevanta internationella, nationella och branschspecifika bästa praxis, riktlinjer, rekommendationer och strategier för hantering av cyberrisker, förordas i denna förordning en uppsättning principer som underlättar den övergripande struktureringen av IKT-riskhanteringen. Så länge finansiella entiteters huvudsakliga kapacitet uppfyller de olika funktionerna för IKT-riskhantering (identifiering, skydd och förebyggande, upptäckt, åtgärd och återställning, lärande och utveckling samt kommunikation) som anges i denna förordning, bör det följaktligen stå finansiella entiteter fritt att använda IKT-riskhanteringsmodeller som utformas eller kategoriseras på olika sätt.

(48)

För att hålla jämna steg med den föränderliga cyberhotbilden bör finansiella entiteter upprätthålla uppdaterade IKT-system som är tillförlitliga och har kapacitet, inte bara för att garantera den behandling av data som krävs för deras tjänster, utan också för att säkerställa tillräcklig teknisk motståndskraft som gör det möjligt för dem att på ett adekvat sätt hantera ytterligare databehandlingsbehov på grund av stressade marknadsförhållanden eller andra ogynnsamma situationer.

(49)

Effektiva kontinuitets- och återställningsplaner krävs för att finansiella entiteter snabbt ska kunna åtgärda IKT-relaterade incidenter, särskilt cyberangrepp, genom att begränsa skador och prioritera återupptagande av verksamhet och återställningsåtgärder i enlighet med sina beredskapsplaner. Ett sådant återupptagande bör dock inte på något sätt äventyra integriteten och säkerheten i nätverks- eller informationssystemen eller uppgifternas tillgänglighet, äkthet, integritet eller konfidentialitet.

(50)

Denna förordning innebär att finansiella entiteter kan fastställa sina mål för återställningstid och återskapandepunkt på ett flexibelt sätt och därvid fullt ut ta hänsyn till den berörda funktionens egenskaper och kritikalitet och till eventuella särskilda verksamhetsbehov, men det bör också krävas att de gör en bedömning av den eventuella övergripande inverkan på marknadseffektiviteten när sådana mål fastställs.

(51)

Spridare av cyberangrepp tenderar att eftersträva ekonomisk vinning direkt vid källan, vilket utsätter finansiella entiteter för betydande konsekvenser. I syfte att förhindra att IKT-system förlorar integritet eller blir otillgängliga, och därmed undvika dataintrång och skador för den fysiska IKT-infrastrukturen, bör finansiella entiteters rapportering av allvarliga IKT-relaterade incidenter avsevärt förbättras och förenklas. IKT-relaterad incidentrapportering bör harmoniseras genom införande av ett krav för alla finansiella entiteter att rapportera direkt till sina berörda behöriga myndigheter. Om en finansiell entitet är föremål för tillsyn av mer än en nationell behörig myndighet bör medlemsstaterna utse en enda behörig myndighet som mottagare av sådan rapportering. Kreditinstitut som klassificerats som betydande i enlighet med artikel 6.4 i rådets förordning (EU) nr 1024/2013 (19) bör förelägga de nationella behöriga myndigheterna sådan rapportering, och dessa bör därefter översända rapporten till Europeiska centralbanken (ECB).

(52)

Direkt rapportering bör göra det möjligt för finansiella tillsynsmyndigheter att få omedelbar tillgång till information om allvarliga IKT-relaterade incidenter. Finansiella tillsynsmyndigheter bör i sin tur vidarebefordra närmare detaljer om allvarliga IKT-relaterade incidenter till offentliga icke-finansiella myndigheter (t.ex. behöriga myndigheter och gemensamma kontaktpunkter enligt direktiv (EU) 2022/2555, nationella dataskyddsmyndigheter och brottsbekämpande myndigheter för allvarliga IKT-relaterade incidenter av brottslig karaktär) för att öka dessa myndigheters medvetenhet om sådana incidenter, och vad gäller CSIRT-enheter, för att underlätta snabbt stöd som kan ges till finansiella entiteter när så är lämpligt. Dessutom bör medlemsstaterna kunna avgöra huruvida finansiella entiteter själva bör tillhandahålla sådan information till offentliga myndigheter utanför området för finansiella tjänster. Dessa informationsflöden bör göra det möjligt för finansiella entiteter att snabbt dra fördel av relevanta tekniska uppgifter, råd om åtgärder och uppföljning från sådana myndigheter. Informationen om allvarliga IKT-relaterade incidenter bör förmedlas ömsesidigt: de finansiella tillsynsmyndigheterna bör ge all nödvändig återkoppling eller vägledning till den finansiella entiteten, medan de europeiska tillsynsmyndigheterna bör dela anonymiserade uppgifter om cyberhot och sårbarheter i samband med en incident, till stöd för ett bredare kollektivt försvar.

(53)

Även om det bör krävas att alla finansiella entiteter rapporterar incidenter förväntas inte det kravet påverka dem alla på samma sätt. Relevanta väsentlighetströsklar och rapporteringsfrister bör vederbörligen anpassas, inom ramen för delegerade akter grundade på tekniska standarder för tillsyn som utarbetas av de europeiska tillsynsmyndigheterna, med syftet att endast omfatta allvarliga IKT-relaterade incidenter. Dessutom bör finansiella entiteters särdrag beaktas när fristerna för rapporteringsskyldigheter fastställs.

(54)

Denna förordning bör innehålla krav på att kreditinstitut, betalningsinstitut, leverantörer av kontoinformationstjänster och institut för elektroniska pengar rapporterar alla betalningsrelaterade operativa incidenter eller säkerhetsincidenter – som tidigare rapporterades enligt direktiv (EU) 2015/2366 – oavsett om incidenten är IKT-relaterad eller inte.

(55)

De europeiska tillsynsmyndigheterna bör få i uppdrag att bedöma genomförbarheten av och villkoren för en eventuell centralisering av IKT-relaterade incidentrapporter på unionsnivå. Sådan centralisering kan bestå av en gemensam EU-knutpunkt för rapportering av allvarliga IKT-relaterade incidenter, som antingen direkt tar emot relevanta rapporter och automatiskt underrättar nationella behöriga myndigheter, eller som enbart centraliserar relevanta rapporter från de nationella behöriga myndigheterna och därmed fyller en samordnande funktion. De europeiska tillsynsmyndigheterna bör få i uppdrag att i samråd med ECB och Enisa utarbeta en gemensam rapport om möjligheten att inrätta en gemensam EU-knutpunkt.

(56)

För att uppnå en hög nivå av digital operativ motståndskraft, och i linje med både relevanta internationella standarder (t.ex. G7-gruppens Fundamental Elements for Threat-Led Penetration Testing), och med de ramar som tillämpas inom unionen, till exempel TIBER-EU bör finansiella entiteter regelbundet testa sina IKT-system och sin personal med IKT-ansvar med avseende på hur effektiv deras kapacitet är för förebyggande, upptäckt, åtgärd och återställning, för att upptäcka och åtgärda potentiella IKT-sårbarheter. För att återspegla de skillnader som finns mellan och inom de olika finansiella undersektorerna vad gäller nivån på finansiella entiteters cybersäkerhetsberedskap bör testerna omfatta ett brett spektrum av verktyg och åtgärder, alltifrån en bedömning av grundläggande krav (t.ex. sårbarhetsbedömningar och skanningar, analyser av öppen källkod, nätverkssäkerhetsbedömningar, bristanalyser, fysiska säkerhetsgranskningar, frågeformulär och programvarulösningar för skanning, källkodsgranskningar när så är möjligt, scenariobaserade tester, kompatibilitetstester, prestandatester eller tester ändpunkt till ändpunkt (end-to-end)) till mer avancerade tester genom hotbildsstyrd penetrationstestning. Sådana avancerade tester bör krävas endast av finansiella entiteter som är tillräckligt mogna ur ett IKT-perspektiv för att utföra dem på ett rimligt sätt. Den testning av den digitala operativa motståndskraften som krävs enligt denna förordning bör därför vara mer krävande för de finansiella entiteterna som uppfyller de krav som fastställs i denna förordning (t.ex. stora, systematiska och IKT-mogna kreditinstitut, fondbörser, värdepapperscentraler och centrala motparter) än för andra finansiella entiteter. Samtidigt bör testning av digital operativ motståndskraft genom hotbildsstyrd penetrationstestning vara mer relevant för finansiella entiteter som är verksamma inom delsektorer för centrala finansiella tjänster och som har en central betydelse för systemet (t.ex. betalningar, bankverksamhet, och clearing och avveckling) och mindre relevant för andra delsektorer (t.ex. kapitalförvaltare och kreditvärderingsinstitut).

(57)

Finansiella entiteter som bedriver gränsöverskridande verksamhet och som utövar friheten att etablera sig eller tillhandahålla tjänster inom unionen bör uppfylla en enda uppsättning avancerade testkrav (t.ex. hotbildsstyrd penetrationstestning) i sin hemmedlemsstat, vilka bör omfatta IKT-infrastrukturerna i alla jurisdiktioner i unionen där den gränsöverskridande finansiella koncernen bedriver verksamhet, vilket innebär att relaterade IKT-testningskostnader uppstår i endast en jurisdiktion för sådana gränsöverskridande finansiella koncerner.

(58)

För att dra nytta av den expertis som redan förvärvats av vissa behöriga myndigheter, särskilt med avseende på genomförandet av TIBER-EU-ramen, bör denna förordning ge medlemsstaterna möjligheten att utse en enda offentlig myndighet med ansvar för den finansiella sektorn, på nationell nivå, för alla frågor som rör hotbildsstyrd penetrationstestning eller, om ingen sådan myndighet utsetts, för behöriga myndigheter att delegera uppgifter som rör hotbildsstyrd penetrationstestning till en annan nationell finansiell behörig myndighet.

(59)

Eftersom denna förordning inte kräver att finansiella entiteter täcker alla kritiska eller viktiga funktioner i en enda hotbildsstyrd penetrationstestning, bör finansiella entiteter vara fria att avgöra vilka och hur många kritiska eller viktiga funktioner som bör omfattas av ett sådant test.

(60)

Gemensam testning i den mening som avses i denna förordning – som inbegriper deltagande av flera finansiella entiteter i en hotbildsstyrd penetrationstestning och för vilken en tredjepartsleverantör av IKT-tjänster direkt kan ingå kontraktsmässiga arrangemang med en extern testare – bör endast tillåtas om kvaliteten eller säkerheten för de tjänster som utförs av tredjepartsleverantören av IKT-tjänster åt kunder som är entiteter utanför denna förordnings tillämpningsområde, eller för konfidentialiteten för data som är relaterade till sådana tjänster, rimligen kan förväntas påverkas negativt, gemensam testning bör också omfattas av skyddsåtgärder (under ledning av en utsedd finansiell entitet, med kalibrering av antalet deltagande finansiella entiteter) för att för de berörda finansiella entiteterna säkerställa ett strikt testutförande som uppfyller målen för den hotbildsstyrda penetrationstestningen enligt denna förordning.

(61)

För att dra fördel av de interna resurser som är tillgängliga på företagsnivå, bör denna förordning tillåta användningen av interna testare i syfte att utföra hotbildsstyrd penetrationstestning, under förutsättning att tillsynsmyndigheten godkänner det, att inga intressekonflikter föreligger och att användningen av interna och externa testare alternerar periodiskt (vart tredje test), och samtidigt kräver att den som tillhandahåller underrättelser om hot för den hotbildsstyrda penetrationstestningen alltid är extern i förhållande till den finansiella entiteten. Ansvaret för att genomföra hotbildsstyrd penetrationstestning bör till fullo ligga kvar hos den finansiella entiteten. Intyg från myndigheterna bör användas enbart för ömsesidigt erkännande och bör inte utesluta några uppföljningsåtgärder som krävs för att hantera den IKT-risk som den finansiella entiteten är utsatt för, och inte heller betraktas som tillsynsmyndighetens godkännande av den finansiella entitetens kapacitet att hantera och begränsa IKT-risk.

(62)

För att säkerställa en sund övervakning av IKT-tredjepartsrisk i den finansiella sektorn är det nödvändigt att fastställa en uppsättning principbaserade regler för att vägleda finansiella entiteter vid övervakning av risker som uppstår i samband med funktioner som utkontrakterats till tredjepartsleverantörer av IKT-tjänster, särskilt för IKT-tjänster som stöder kritiska eller viktiga funktioner, liksom mer allmänt inom ramen för alla IKT-tredjepartsberoenden.

(63)

För att hantera komplexiteten i de olika källorna till IKT-risk, och samtidigt ta hänsyn till den mångfald av leverantörer av tekniska lösningar som möjliggör ett smidigt tillhandahållande av finansiella tjänster, bör denna förordning omfatta många olika tredjepartsleverantörer av IKT-tjänster, inbegripet leverantörer av molntjänster, programvara, dataanalystjänster och leverantörer av datacentraltjänster. Eftersom finansiella entiteter effektivt och konsekvent bör identifiera och hantera alla typer av risker, inbegripet i samband med IKT-tjänster som tillhandahålls inom en finansiell koncern, bör det på samma sätt klargöras att företag som ingår i en finansiell koncern och som tillhandahåller IKT-tjänster främst till sitt moderföretag, eller till dess dotterbolag eller filialer, liksom finansiella entiteter som tillhandahåller IKT-tjänster till andra finansiella entiteter, också bör betraktas som tredjepartsleverantörer av IKT-tjänster enligt denna förordning. Slutligen bör, mot bakgrund av att marknaden för betaltjänster blir mer och mer beroende av komplexa tekniska lösningar, och med beaktande av framväxande typer av betaltjänster och betalningsrelaterade lösningar, deltagare i ekosystemet för betaltjänster som tillhandahåller betalningshanteringstjänster, eller som driver betalningsinfrastrukturer, också anses som tredjepartsleverantörer av IKT-tjänster enligt denna förordning, med undantag för centralbankers hantering av betalningssystem eller system för värdepappersavveckling, samt offentliga myndigheters tillhandahållande av IKT-relaterade tjänster vid uppfyllandet av statliga funktioner.

(64)

En finansiell entitet bör alltid ha det fulla ansvaret för att uppfylla sina skyldigheter enligt denna förordning. Finansiella entiteter bör tillämpa ett proportionellt tillvägagångssätt vid övervakningen av de risker som uppstår hos tredjepartsleverantörer av IKT-tjänster, genom att vederbörlig hänsyn tas till karaktären på och omfattningen av, komplexiteten hos och betydelsen av sina IKT-relaterade beroenden, kritikaliteten hos eller betydelsen av de tjänster, processer eller funktioner som omfattas av de kontraktsmässiga arrangemangen och, i förlängningen, på grundval av en noggrann bedömning av eventuella effekter på kontinuiteten och kvaliteten hos finansiella tjänster på individuell nivå och koncernnivå, beroende på vad som är lämpligt.

(65)

Denna övervakning bör följa ett strategiskt tillvägagångssätt för IKT-tredjepartsrisker som inrättas formellt genom att den finansiella entitetens ledningsorgan antar en särskild strategi för IKT-tredjepartsrisker som bygger på en kontinuerlig granskning av alla beroenden av IKT-tredjeparter. För att öka tillsynsmyndigheternas medvetenhet om beroenden av IKT-tredjeparter och ytterligare stödja arbetet i samband med den tillsynsram som inrättas genom denna förordning, bör alla finansiella entiteter ha skyldighet att upprätthålla ett informationsregister med alla kontraktsmässiga arrangemang som rör användningen av IKT-tjänster som tillhandahålls av tredjepartsleverantörer av IKT-tjänster. Finansiella tillsynsmyndigheter bör kunna begära tillgång till hela registret eller be om särskilda avsnitt av registret, och därigenom få viktig information för en bredare förståelse av finansiella entiteters IKT-relaterade beroenden.

(66)

En grundlig förhandsanalys bör underbygga och föregå formellt ingående av kontraktsmässiga arrangemang, särskilt genom fokusering på inslag som kritikalitet eller betydelse av de tjänster som understöds av det planerade IKT-kontraktet, nödvändiga godkännanden från tillsynsmyndigheter eller andra villkor, den eventuella koncentrationsrisk som detta medför, liksom due diligence-granskning i förfarandet för urval och bedömning av tredjepartsleverantörer av IKT-tjänster och bedömning av potentiella intressekonflikter. Vad gäller kontraktsmässiga arrangemang rörande kritiska eller viktiga funktioner bör finansiella entiteter beakta tredjepartsleverantörer av IKT-tjänsters användning av de senaste och högsta standarderna för informationssäkerhet. Uppsägning av kontraktsmässiga arrangemang kan föranledas av åtminstone ett antal omständigheter som visar på brister hos tredjepartsleverantören av IKT-tjänster, särskilt betydande överträdelser av lagar eller avtalsvillkor, omständigheter som påvisar en potentiell förändring av prestandan i de funktioner som avses i de kontraktsmässiga arrangemangen, bevis på svagheter hos tredjepartsleverantören av IKT-tjänster i den övergripande hanteringen av IKT-risk, eller omständigheter som tyder på att den berörda behöriga myndigheten inte har förmåga att effektivt övervaka den finansiella entiteten.

(67)

För att hantera systemeffekterna av koncentrationsrisken för IKT-tredjeparter främjar denna förordning en balanserad lösning genom en flexibel och gradvis strategi för sådana koncentrationsrisker, eftersom införandet av strikta tak eller strikta begränsningar kan hindra företagens affärsverksamhet och begränsa avtalsfriheten. Finansiella entiteter bör göra en grundlig bedömning av sina planerade kontraktsmässiga arrangemang för att fastställa sannolikheten för att en sådan risk uppstår, bland annat genom djupgående analyser av underleverantörsavtal, särskilt när de ingås med tredjepartsleverantörer av IKT-tjänster som är etablerade i ett tredjeland. I detta skede, och i syfte att uppnå en rimlig balans mellan kravet på att bevara avtalsfriheten och kravet på att garantera finansiell stabilitet, anses det inte lämpligt att fastställa regler för strikta tak och gränser för exponeringar mot IKT-tredjeparter. I samband med översynsramen bör en ledande tillsynsmyndighet, som utsetts enligt denna förordning, med avseende på kritiska tredjepartsleverantörer av IKT-tjänster ägna särskild uppmärksamhet åt att fullt ut förstå omfattningen av ömsesidiga beroenden, upptäcka specifika fall där en hög koncentration av kritiska tredjepartsleverantörer av IKT-tjänster i unionen sannolikt kommer att sätta press på stabiliteten och integriteten i unionens finansiella system och upprätthålla en dialog med kritiska tredjepartsleverantörer av IKT-tjänster där denna specifika risk har identifierats.

(68)

För att regelbundet utvärdera och övervaka förmågan hos en tredjepartsleverantör av IKT-tjänster att säkert tillhandahålla tjänster till en finansiell entitet utan negativa effekter på den finansiella entitetens digitala operativa motståndskraft, bör flera centrala avtalsdelar med tredjepartsleverantörer av IKT-tjänster harmoniseras. En sådan harmonisering bör omfatta åtminstone de områden som är avgörande för att den finansiella entiteten ska kunna bedriva en fullständig övervakning av de risker som kan uppstå genom tredjepartsleverantören av IKT-tjänster, utifrån en finansiell entitets behov av att säkerställa sin digitala motståndskraft eftersom den är beroende av stabiliteten, funktionaliteten, tillgängligheten och säkerheten hos de IKT-tjänster som den använder.

(69)

När de omförhandlar kontraktsmässiga arrangemang för att anpassa sig till kraven i denna förordning bör finansiella entiteter och tredjepartsleverantören av IKT-tjänster säkerställa att de viktiga avtalsbestämmelser som anges i denna förordning omfattas.

(70)

Den definition av kritisk eller viktig funktion som anges i denna förordning omfattar de kritiska funktioner som anges i artikel 2.1.35 i Europaparlamentets och rådets direktiv 2014/59/EU (20). I enlighet med detta är de funktioner som anses vara kritiska enligt direktiv 2014/59/EU inbegripna i definitionen av kritiska funktioner i den mening som avses i denna förordning.

(71)

Oavsett kritikaliteten hos eller betydelsen av den funktion som stöds av IKT-tjänsterna bör kontraktsmässiga arrangemang särskilt innehålla en specifikation med heltäckande beskrivningar av funktioner och tjänster, platser där sådana funktioner tillhandahålls och där uppgifterna kommer att behandlas, samt beskrivningar av servicenivån. Andra grundläggande delar för att möjliggöra en finansiell entitets övervakning av IKT-tredjepartsrisker är: avtalsbestämmelser som anger hur åtkomst, tillgänglighet, integritet, säkerhet och skydd av personuppgifter säkerställs av tredjepartsleverantören av IKT-tjänster, bestämmelser som fastställer relevanta garantier för att säkerställa åtkomst, återvinning och återlämnande av uppgifter vid insolvens, resolution eller nedläggning av affärsverksamheten hos tredjepartsleverantören av IKT-tjänster samt bestämmelser som kräver att tredjepartsleverantören av IKT-tjänster ger stöd vid IKT-incidenter i samband med de tjänster som tillhandahålls, utan ytterligare kostnad eller till en kostnad som fastställts på förhand, bestämmelser om skyldigheten för tredjepartsleverantören av IKT-tjänster att samarbeta fullt ut med de behöriga myndigheterna och resolutionsmyndigheterna för den finansiella entiteten, samt bestämmelser om uppsägningsrätt och tillhörande minsta uppsägningstid för kontraktsmässiga arrangemang, i enlighet med de behöriga myndigheternas och resolutionsmyndigheternas förväntningar.

(72)

Utöver sådana avtalsbestämmelser, och i syfte att säkerställa att finansiella entiteter behåller full kontroll över all utveckling som sker på tredjepartsnivå och som kan försämra deras IKT-säkerhet, bör avtalen om tillhandahållande av IKT-tjänster som stöder kritiska eller viktiga funktioner också innehålla bestämmelser om fullständiga beskrivningar av servicenivån, med exakta kvantitativa och kvalitativa prestationsmål, för att utan onödigt dröjsmål möjliggöra lämpliga korrigerande åtgärder om de överenskomna servicenivåerna inte uppnås, relevanta tidsfrister för anmälan och rapporteringsskyldigheter för tredjepartsleverantören av IKT-tjänster för händelser som kan ha en väsentlig inverkan på tredjepartsleverantörens förmåga att effektivt tillhandahålla respektive IKT-tjänster, ett krav på att tredjepartsleverantören av IKT-tjänster ska genomföra och testa beredskapsplaner för verksamheten och införa IKT-säkerhetsåtgärder, IKT-verktyg och IKT-strategier som möjliggör ett säkert tillhandahållande av tjänster, samt delta och samarbeta fullt ut i den hotbildsstyrda penetrationstestningen som utförs av den finansiella entiteten.

(73)

Avtalen om tillhandahållande av IKT-tjänster som stöder kritiska eller viktiga funktioner bör också innehålla bestämmelser om den finansiella entitetens eller en utsedd tredjeparts rätt till åtkomst, inspektion och revision samt rätten att ta kopior som avgörande verktyg i finansiella entiteters fortlöpande övervakning av IKT-tredjepartsleverantörens prestanda, i kombination med att den sistnämnda samarbetar fullt ut under inspektionerna. På samma sätt bör den finansiella entitetens behöriga myndighet ha rätt att, på grundval av anmälningar, kontrollera och granska tredjepartsleverantören av IKT-tjänster, med förbehåll för sekretesskrav.

(74)

Sådana kontraktsmässiga arrangemang bör också innehålla särskilda exitstrategier som i synnerhet möjliggör obligatoriska övergångsperioder under vilka tredjepartsleverantörer av IKT-tjänster bör fortsätta att tillhandahålla relevanta tjänster för att minska risken för avbrott på finansiell enhetsnivå eller göra det möjligt för den finansiella entiteten att på ett effektivt sätt byta till andra tredjepartsleverantörer av IKT-tjänster, eller byta till interna lösningar som är förenliga med den tillhandahållna IKT- tjänstens komplexitet. Dessutom bör finansiella entiteter som omfattas av direktiv 2014/59/EU säkerställa att relevanta avtal för IKT-tjänster är solida och kan hävdas i händelse av resolution av finansiella entiteter. I linje med resolutionsmyndigheternas förväntningar bör dessa finansiella entiteter därför säkerställa att relevanta avtal för IKT-tjänster är motståndskraftiga mot resolution. Så länge de fortsätter att uppfylla sina betalningsskyldigheter bör dessa finansiella entiteter bland annat säkerställa att relevanta avtal för IKT-tjänster innehåller klausuler om att de inte får sägas upp, inte får upphävas tillfälligt och inte ändras på grund av omstrukturering eller resolution.

(75)

Dessutom kan frivillig användning av standardavtalsklausuler som offentliga myndigheter eller unionens institutioner har utarbetat, särskilt användningen av avtalsklausuler som kommissionen har utarbetat för molntjänster, underlätta ytterligare för finansiella entiteter och tredjepartsleverantörer av IKT-tjänster genom att öka rättssäkerheten avseende den finansiella sektorns användning av molntjänster, i fullständig överensstämmelse med de krav och förväntningar som fastställs i unionsrätten avseende finansiella tjänster. Utarbetandet av standardavtalsklausuler bygger på åtgärder som planerades redan i 2018 års handlingsplan för fintech, där kommissionen tillkännagav sin avsikt att uppmuntra och underlätta utarbetandet av standardavtalsklausuler för finansiella entiteters utkontraktering till molntjänster, genom att bygga på de branschöverskridande ansträngningar från molntjänstintressenternas sida som kommissionen redan har bidragit till med den finansiella sektorns medverkan.

(76)

I syfte att främja konvergens och effektivitet när det gäller tillsynsstrategier för IKT-tredjepartsrisker i den finansiella sektorn, och för att stärka den digitala operativa motståndskraften hos finansiella entiteter som är beroende av kritiska tredjepartsleverantörer av IKT-tjänster för att tillhandahålla IKT-tjänster som stöder tillhandahållandet av finansiella tjänster, och därmed bidra till att bevara stabiliteten i unionens finansiella system och integriteten på den inre marknaden för finansiella tjänster, bör kritiska tredjepartsleverantörer av IKT-tjänster omfattas av en tillsynsram på unionsnivå. Inrättandet av tillsynsramen motiveras av mervärdet av att vidta åtgärder på unionsnivå och av särdragen hos användningen av IKT-tjänster och den roll de spelar vid tillhandahållandet av finansiella tjänster, men det bör samtidigt erinras om att denna lösning endast förefaller vara lämplig inom ramen för denna förordning, som specifikt behandlar digital operativ motståndskraft inom finanssektorn. En sådan tillsynsram bör dock inte betraktas som en ny modell för unionstillsyn på andra områden av finansiella tjänster och finansiell verksamhet.

(77)

Tillsynsramen bör endast tillämpas på kritiska tredjepartsleverantörer av IKT-tjänster. Det bör därför inrättas en klassificeringsmekanism för att ta hänsyn till omfattningen och arten av den finansiella sektorns beroende av sådana tredjepartsleverantörer av IKT-tjänster. Den mekanismen bör inbegripa en uppsättning kvantitativa och kvalitativa kriterier för att fastställa kritikalitetsparametrarna som en grund för inkludering i tillsynsramen. För att säkerställa att den bedömningen är korrekt, och oavsett företagsstrukturen hos tredjepartsleverantören av IKT-tjänster, bör sådana kriterier, när det gäller en tredjepartsleverantör av IKT-tjänster som ingår i en större koncern, beakta hela koncernstrukturen hos tredjepartsleverantören av IKT-tjänster. Å ena sidan bör kritiska tredjepartsleverantörer av IKT-tjänster som inte automatiskt utses genom tillämpning av dessa kriterier ha möjlighet att på frivillig basis delta i tillsynsramen, å andra sidan bör de tredjepartsleverantörer av IKT-tjänster som redan omfattas av tillsynsramar för fullgörandet av Europeiska centralbankssystemet uppgifter enligt artikel 127.2 i EUF-fördraget undantas.

(78)

På samma sätt bör finansiella entiteter som tillhandahåller IKT-tjänster till andra finansiella entiteter, även om de tillhör kategorin tredjepartsleverantörer av IKT-tjänster enligt denna förordning, också undantas från tillsynsramen eftersom de redan omfattas av tillsynsmekanismer som inrättats genom relevant unionsrätt avseende finansiella tjänster. I tillämpliga fall bör de behöriga myndigheterna inom ramen för sin tillsynsverksamhet beakta den IKT-risk som finansiella entiteter som tillhandahåller IKT-tjänster utgör för finansiella entiteter. På samma sätt bör, på grund av de befintliga riskövervakningsmekanismerna på koncernnivå, samma undantag införas för tredjepartsleverantörer av IKT-tjänster som huvudsakligen tillhandahåller tjänster till entiteter i den egna koncernen. Tredjepartsleverantörer av IKT-tjänster som endast tillhandahåller IKT-tjänster i en medlemsstat till finansiella entiteter som endast är verksamma i den medlemsstaten bör också undantas från klassificeringsmekanismen på grund av sin begränsade verksamhet och avsaknad av gränsöverskridande inverkan.

(79)

Digitaliseringen av finansiella tjänster har lett till en användning och ett beroende av IKT-tjänster som aldrig tidigare skådats. Eftersom det har blivit otänkbart att tillhandahålla finansiella tjänster utan användning av molntjänster, programvarulösningar och datarelaterade tjänster, har unionens finansiella ekosystem i sig blivit beroende av vissa IKT-tjänster som tillhandahålls av leverantörer av IKT-tjänster. Vissa av dessa leverantörer är innovatörer när det gäller att utveckla och tillämpa IKT-baserad teknik, och spelar en viktig roll i tillhandahållandet av finansiella tjänster eller har integrerats i värdekedjan för finansiella tjänster. De har därför blivit kritiska för stabiliteten och integriteten i unionens finansiella system. Detta utbredda beroende av tjänster som tillhandahålls av kritiska tredjepartsleverantörer av IKT-tjänster, i kombination med det ömsesidiga beroendet mellan olika marknadsoperatörers informationssystem, skapar en direkt och potentiellt allvarlig risk för unionens system för finansiella tjänster och för kontinuiteten i tillhandahållandet av finansiella tjänster, om kritiska tredjepartsleverantörer av IKT-tjänster skulle påverkas av operativa störningar eller allvarliga cyberincidenter. Cyberincidenter har en särskild förmåga att föröka sig och sprida sig i hela det finansiella systemet i en betydligt snabbare takt än andra typer av risker som övervakas inom finanssektorn och kan sträcka sig över sektorer och över geografiska gränser. De har potential att utvecklas till en systemkris där förtroendet för det finansiella systemet har urholkats på grund av störningar i funktioner som stöder realekonomin, eller betydande finansiella förluster som når en nivå som det finansiella systemet inte kan klara, eller som kräver omfattande åtgärder för att absorbera stora chocker. För att förhindra att dessa scenarier inträffar och därmed äventyrar unionens finansiella stabilitet och integritet, är det viktigt att skapa konvergens i tillsynspraxis för IKT-tredjepartsrisker inom finanssektorn, särskilt genom nya regler som möjliggör unionstillsyn av kritiska tredjepartsleverantörer av IKT-tjänster.

(80)

Tillsynsramen är till stor del beroende av graden av samarbete mellan den ledande tillsynsmyndigheten och den kritiska tredjepartsleverantör av IKT-tjänster som levererar tjänster till finansiella entiteter som påverkar tillhandahållandet av finansiella tjänster. En framgångsrik tillsyn är beroende av bland annat den ledande tillsynsmyndighetens förmåga att effektivt genomföra övervakningsuppdrag och inspektioner för att bedöma de regler, kontroller och processer som används av kritiska tredjepartsleverantörer av IKT-tjänster, samt bedöma den potentiella kumulativa effekten av deras verksamhet på den finansiella stabiliteten och det finansiella systemets integritet. Samtidigt är det mycket viktigt att kritiska tredjepartsleverantörer av IKT-tjänster följer den ledande tillsynsmyndighetens rekommendationer och åtgärdar dess farhågor. Eftersom bristande samarbete från en kritisk tredjepartsleverantör av IKT-tjänster som tillhandahåller tjänster som påverkar tillhandahållandet av finansiella tjänster, såsom vägran att bevilja tillträde till sina lokaler eller att lämna information, i slutändan skulle beröva den ledande tillsynsmyndigheten dess grundläggande verktyg för att bedöma IKT-tredjepartsrisker och skulle kunna inverka negativt på det finansiella systemets stabilitet och integritet, är det nödvändigt att även föreskriva ett proportionellt sanktionssystem.

(81)

Mot denna bakgrund bör den ledande tillsynsmyndighetens behov av att ålägga viten för att tvinga kritiska tredjepartsleverantörer av IKT-tjänster att uppfylla de skyldigheter rörande transparens och tillträde som fastställs i denna förordning inte äventyras av svårigheter som uppstår till följd av verkställandet av dessa viten i förhållande till kritiska tredjepartsleverantörer av IKT-tjänster som är etablerade i tredjeländer. För att säkerställa sådana sanktioners verkställbarhet, och för att möjliggöra ett snabbt införande av förfaranden som upprätthåller de kritiska IKT-tredjepartsleverantörernas rätt till försvar inom ramen för klassificeringsmekanismen och utfärdandet av rekommendationer, bör de kritiska tredjepartsleverantörerna av IKT-tjänster som tillhandahåller tjänster till finansiella entiteter som påverkar tillhandahållandet av finansiella tjänster vara skyldiga att upprätthålla en tillräcklig verksamhet i unionen. På grund av tillsynens karaktär och avsaknaden av jämförbara arrangemang i andra jurisdiktioner finns det inga lämpliga alternativa mekanismer som säkerställer detta mål genom ett effektivt samarbete med finansiella tillsynsmyndigheter i tredjeländer när det gäller övervakningen av effekterna av de digitala operativa risker som systemviktiga tredjepartsleverantörer av IKT-tjänster, vilka räknas som kritiska tredjepartsleverantörer av IKT-tjänster som är etablerade i tredjeländer, utgör. I syfte att fortsätta att tillhandahålla IKT-tjänster till finansiella entiteter i unionen bör därför en tredjepartsleverantör av IKT-tjänster som är etablerad i tredjeländer som klassificerats som kritisk i enlighet med denna förordning vidta, inom tolv månader efter en sådan klassificering, alla nödvändiga arrangemang för att säkerställa dess inkorporering i unionen genom att inrätta en filial, enligt unionens regelverk, närmare bestämt i Europaparlamentets och rådets direktiv 2013/34/EU (21).

(82)

Kravet på att inrätta ett dotterbolag i unionen bör inte hindra den kritiska tredjepartsleverantören av IKT-tjänster från att tillhandahålla IKT-tjänster och tillhörande teknisk support från anläggningar och infrastruktur utanför unionen. Denna förordning inför inte någon datalokaliseringsplikt eftersom den inte kräver att datalagring eller databehandling ska utföras i unionen.

(83)

Kritiska tredjepartsleverantörer av IKT-tjänster bör kunna tillhandahålla IKT-tjänster från vilken plats som helst i världen, och inte nödvändigtvis eller inte bara från lokaler som är belägna i unionen. Tillsynsverksamheten bör först genomföras i lokaler som är belägna i unionen och genom interaktion med entiteter som är belägna i unionen, inbegripet dotterbolag som inrättats av kritiska tredjepartsleverantörer av IKT-tjänster enligt denna förordning. Sådana åtgärder inom unionen kan dock vara otillräckliga för att den ledande tillsynsmyndigheten fullt ut och effektivt ska kunna utföra sina uppgifter enligt denna förordning. Den ledande tillsynsmyndigheten bör därför också kunna utöva sina relevanta tillsynsbefogenheter i tredjeländer. Utövandet av dessa befogenheter i tredjeländer bör göra det möjligt för den ledande tillsynsmyndigheten att undersöka de faciliteter från vilka IKT-tjänsterna eller teknisk supporttjänsterna faktiskt tillhandahålls eller förvaltas av den kritiska tredjepartsleverantören av IKT-tjänster och bör ge den ledande tillsynsmyndigheten en heltäckande och operativ förståelse av IKT-riskhanteringen hos den kritiska tredjepartsleverantören av IKT-tjänster. Möjligheten för den ledande tillsynsmyndigheten, i egenskap av unionsbyrå, att utöva befogenheter utanför unionens territorium bör vederbörligen avgränsas av relevanta villkor, särskilt samtycke från den berörda kritiska tredjepartsleverantören av IKT-tjänster. På samma sätt bör de berörda myndigheterna i tredjelandet informeras om, och inte ha invänt mot, utövandet av den ledande tillsynsmyndighetens verksamhet på tredjelandets eget territorium. För att säkerställa ett effektivt genomförande, och utan att det påverkar unionsinstitutionernas och medlemsstaternas respektive befogenheter, måste dock sådana befogenheter också vara fullt förankrade i ingåendet av avtal om administrativt samarbete med de relevanta myndigheterna i det berörda tredjelandet. Denna förordning bör därför göra det möjligt för de europeiska tillsynsmyndigheterna att ingå avtal om administrativt samarbete med relevanta myndigheter i tredjeländer, vilka inte på annat sätt bör skapa rättsliga skyldigheter för unionen och dess medlemsstater.

(84)

För att underlätta kommunikationen med den ledande tillsynsmyndigheten och säkerställa lämplig representation bör kritiska tredjepartsleverantörer av IKT-tjänster som ingår i en koncern utse en juridisk person till sin samordningspunkt.

(85)

Tillsynsramen bör inte påverka medlemsstaternas behörighet att utföra egna tillsyns- eller övervakningsuppdrag avseende tredjepartsleverantörer av IKT-tjänster som inte klassificeras som kritiska enligt denna förordning, men som anses vara viktiga på nationell nivå.

(86)

För att utnyttja den flerskiktade institutionella strukturen på området finansiella tjänster bör de europeiska tillsynsmyndigheternas gemensamma kommitté fortsätta att säkerställa den övergripande sektorsövergripande samordningen i alla frågor som rör IKT-risk, i enlighet med sina uppgifter i fråga om cybersäkerhet. Detta arbete bör stödjas av en ny underkommitté (tillsynsforumet) som utför förberedande arbete både för de enskilda beslut som riktar sig till kritiska tredjepartsleverantörer av IKT-tjänster, och för utfärdande av kollektiva rekommendationer, särskilt i förhållande till riktmärkning av tillsynsprogram för kritiska tredjepartsleverantörer av IKT-tjänster, och fastställande av bästa praxis för hantering av IKT-koncentrationsrisker.

(87)

För att säkerställa att kritiska tredjepartsleverantörer av IKT-tjänster lämpligt och effektivt övervakas på unionsnivå föreskriver denna förordning att var och en av de tre europeiska tillsynsmyndigheterna kan utses till ledande tillsynsmyndighet. Den enskilda tilldelningen av en kritisk tredjepartsleverantör av IKT-tjänster till en av de tre europeiska tillsynsmyndigheterna bör vara resultatet av en bedömning av den övervägande andelen finansiella entiteter som är verksamma inom de finansiella sektorer för vilka den europeiska tillsynsmyndigheten har ansvar. Detta tillvägagångssätt bör leda till en välavvägd fördelning av uppgifter och ansvar mellan de tre europeiska tillsynsmyndigheterna i samband med utövandet av tillsynsfunktionerna och bör på bästa sätt utnyttja de personalresurser och den tekniska expertis som finns i var och en av de tre europeiska tillsynsmyndigheterna.

(88)

Ledande tillsynsmyndigheter bör tilldelas de befogenheter som krävs för att genomföra undersökningar, inspektioner på plats och på annan plats i kritiska tredjepartsleverantörer av IKT-tjänsters lokaler och platser och få fullständig och uppdaterad information. De befogenheterna bör göra det möjligt för den ledande tillsynsmyndigheten att få verklig inblick i typen, omfattningen och effekten av den IKT-tredjepartsrisk som finansiella entiteter och i förlängningen unionens finansiella system utsätts för. Att de europeiska tillsynsmyndigheterna anförtros den ledande tillsynsrollen är en förutsättning för att kunna få grepp om och ta itu med den systemrelaterade dimensionen av IKT-risk inom finanssektorn. Den inverkan som kritiska tredjepartsleverantörer av IKT-tjänster har på unionens sektor för finansiella tjänster och de potentiella problemen med den därmed förknippade IKT-koncentrationsrisken kräver en gemensam strategi på unionsnivå. Det samtidiga utförandet av ett stort antal revisioner och åtkomsträttigheter som utnyttjas separat av en mängd behöriga myndigheter med liten eller ingen samordning sinsemellan, skulle förhindra finansiella tillsynsmyndigheter från att erhålla en fullständig och övergripande överblick över IKT-tredjepartsriskerna inom unionen, och skulle samtidigt innebära redundans, börda och komplexitet för kritiska tredjepartsleverantörer av IKT-tjänster om dessa vore föremål för en mängd förfrågningar om övervakning och inspektion.

(89)

På grund av den betydande inverkan som klassificeringen som kritisk har, bör denna förordning säkerställa att rättigheterna för kritiska tredjepartsleverantörer av IKT-tjänster respekteras inom hela genomförandet av tillsynsramen. Innan sådana leverantörer klassificeras som kritiska bör de t.ex. ha rätt att till den ledande tillsynsmyndigheten lämna in ett motiverat utlåtande med all information som är relevant för den bedömning som rör klassificeringen. Eftersom den ledande tillsynsmyndigheten bör ha befogenhet att lämna rekommendationer om IKT-riskfrågor och lämpliga åtgärder för hantering av dessa, vilket inbegriper befogenheten att motsätta sig vissa avtalsarrangemang som i slutändan påverkar stabiliteten i den finansiella entiteten eller det finansiella systemet, bör kritiska tredjepartsleverantörer av IKT-tjänster också, innan de rekommendationerna färdigställs, ges möjlighet att lämna förklaringar om vilka effekter de föreslagna lösningarna i rekommendationerna förväntas ha på kunder som är entiteter som faller utanför denna förordnings tillämpningsområde samt utarbeta lösningar för att minska riskerna. Kritiska tredjepartsleverantörer av IKT-tjänster som invänder mot rekommendationerna bör lämna en motiverad förklaring gällande deras avsikt att inte godta rekommendationen. Om en sådan motiverad förklaring inte lämnas eller där den bedöms vara otillräcklig bör den ledande tillsynsmyndigheten utfärda ett offentligt meddelande med en kortfattad beskrivning av den bristande efterlevnaden.

(90)

De behöriga myndigheterna bör vederbörligen låta uppgiften att kontrollera den faktiska efterlevnaden av rekommendationer som utfärdats av den ledande tillsynsmyndigheten ingå i deras uppdrag i fråga om tillsyn över finansiella entiteter. De behöriga myndigheterna bör kunna begära att finansiella entiteter vidtar ytterligare åtgärder för att hantera de risker som har identifierats i den ledande tillsynsmyndighetens rekommendationer, och bör i sinom tid utfärda meddelanden om detta. Om den ledande tillsynsmyndigheten riktar rekommendationer till kritiska tredjepartsleverantörer av IKT-tjänster som står under tillsyn enligt direktiv (EU) 2022/2555 bör de behöriga myndigheterna, på frivillig basis och innan ytterligare åtgärder antas, kunna samråda med de behöriga myndigheterna enligt det direktivet i syfte att främja en samordnad strategi för hantering av de berörda kritiska tredjepartsleverantörerna av IKT-tjänster.

(91)

Utövandet av tillsyn bör styras av tre operativa principer som syftar till att säkerställa a) nära samordning mellan de europeiska tillsynsmyndigheterna i deras roller som ledande tillsynsmyndigheter, genom ett gemensamt tillsynsnätverk, b) överensstämmelse med den ram som inrättas genom direktiv (EU) 2022/2555 (genom frivilligt samråd med organ enligt det direktivet i syfte att undvika överlappning av åtgärder som är riktade till kritiska tredjepartsleverantörer av IKT-tjänster), och c) omsorg för att minimera den potentiella risken för avbrott i tjänster som kritiska tredjepartsleverantörer av IKT-tjänster tillhandahåller kunder som är entiteter som faller utanför denna förordnings tillämpningsområde.

(92)

Tillsynsramen bör inte ersätta eller på något sätt eller i någon del användas i stället för kravet på att finansiella entiteter själva ska hantera de risker som är förknippade med användningen av tredjepartsleverantörer av IKT-tjänster, inbegripet deras skyldighet att upprätthålla en fortlöpande övervakning av avtal med kritiska tredjepartsleverantörer av IKT-tjänster. På motsvarande sätt bör tillsynsramen inte påverka finansiella entiteters fulla ansvar för att efterleva och uppfylla alla rättsliga skyldigheter som fastställs i denna förordning och i den relevanta rätten avseende finansiella tjänster.

(93)

För att undvika dubbelarbete och överlappningar bör de behöriga myndigheterna avstå från att enskilt vidta åtgärder som syftar till att övervaka riskerna i samband med den kritiska tredjepartsleverantören av IKT-tjänster och bör i detta avseende förlita sig på den relevanta ledande tillsynsmyndighetens bedömning. Alla åtgärder bör under alla förhållanden i förväg samordnas och överenskommas med den ledande tillsynsmyndigheten vid fullgörandet av uppgifter inom tillsynsramen.

(94)

För att främja konvergens på internationell nivå när det gäller användning av bästa praxis vid granskningen och övervakningen av den digitala riskhanteringen hos tredjepartsleverantörer av IKT-tjänster bör de europeiska tillsynsmyndigheterna uppmuntras att ingå samarbetsavtal med relevanta tillsynsmyndigheter och reglerande myndigheter i tredjeländer.

(95)

För att dra nytta av den särskilda kompetensen, de tekniska färdigheterna och expertisen hos personal som är specialiserad på operativa risker och IKT-risk inom de behöriga myndigheterna bör de tre europeiska tillsynsmyndigheterna och, på frivillig basis, de behöriga myndigheterna enligt direktiv (EU) 2022/2555, den ledande tillsynsmyndigheten ta vara på nationell tillsynsförmåga och tillsynskunskap och inrätta särskilda granskningsgrupper för varje kritisk tredjepartsleverantör av IKT-tjänster, för att samla sektorsövergripande grupper till stöd för förberedelserna och genomförandet av tillsynsverksamhet, inbegripet allmänna utredningar och inspektioner av kritiska tredjepartsleverantörer av IKT-tjänster, samt för eventuell nödvändig uppföljning av dem.

(96)

Medan kostnader som uppstår till följd av tillsynsuppgifter till fullo skulle finansieras genom avgifter som tas ut av kritiska tredjepartsleverantörer av IKT-tjänster, kommer de europeiska tillsynsmyndigheterna sannolikt, innan tillsynsramen börjar tillämpas, att ådra sig kostnader för genomförandet av särskilda IKT-system till stöd för den kommande tillsynen, eftersom särskilda IKT-system skulle behöva utvecklas och införas i förväg. I denna förordning föreskrivs därför en hybridfinansieringsmodell, enligt vilken själva tillsynsramen till fullo skulle finansieras genom avgifter, medan utvecklingen av de europeiska tillsynsmyndigheternas IKT-system skulle finansieras genom bidrag från unionen och nationella behöriga myndigheter.

(97)

De behöriga myndigheterna bör ha alla tillsyns-, utrednings- och sanktionsbefogenheter som krävs för att säkerställa ett korrekt fullgörande av sina skyldigheter enligt denna förordning. De bör i princip offentliggöra meddelanden om de administrativa sanktioner som de ålägger. Eftersom finansiella entiteter och tredjepartsleverantörer av IKT-tjänster kan vara etablerade i olika medlemsstater och övervakas av olika behöriga myndigheter bör tillämpningen av denna förordning underlättas, å ena sidan, av ett nära samarbete mellan de relevanta behöriga myndigheterna, inbegripet ECB när det gäller särskilda uppgifter som den tilldelas genom rådets förordning (EU) nr 1024/2013, och, å andra sidan, av samråd med de europeiska tillsynsmyndigheterna genom ömsesidigt informationsutbyte och bistånd inom ramen för den relevanta tillsynsverksamheten.

(98)

För att ytterligare kvantitativt och kvalitativt fastställa kriterierna för klassificering av tredjepartsleverantörer av IKT-tjänster som kritiska och harmonisera tillsynsavgifterna bör befogenheten att anta akter i enlighet med artikel 290 i EUF-fördraget delegeras till kommissionen för att komplettera denna förordning med närmare specificering av den systempåverkan som ett fel eller en driftstörning hos en tredjepartsleverantör av IKT-tjänster skulle kunna ha på de finansiella entiteter som den levererar IKT-tjänster till, antalet globala systemviktiga institut, eller andra systemviktiga institut, som är beroende av respektive tredjepartsleverantör av IKT-tjänster, antalet tredjepartsleverantörer av IKT-tjänster som är verksamma på en viss marknad, kostnaderna för att migrera data och IKT-arbetsbelastningar till en annan tredjepartsleverantör av IKT-tjänster samt tillsynsavgifternas storlek och hur de ska betalas. Det är särskilt viktigt att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå, och att dessa samråd genomförs i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning (22). För att säkerställa lika stor delaktighet i förberedelsen av delegerade akter bör Europaparlamentet och rådet erhålla alla handlingar samtidigt som medlemsstaternas experter, och deras experter bör ges systematiskt tillträde till möten i kommissionens expertgrupper som arbetar med förberedelse av delegerade akter.

(99)

Tekniska standarder för tillsyn bör säkerställa en konsekvent harmonisering av kraven i denna förordning. De europeiska tillsynsmyndigheterna bör i sina roller som organ med högspecialiserad expertis utarbeta förslag till tekniska standarder för tillsyn som inte inbegriper några politiska val, och som ska läggas fram för kommissionen. Tekniska standarder för tillsyn bör utarbetas inom områdena IKT-riskhantering, rapportering av allvarliga IKT-relaterade incidenter och testning samt med avseende på nyckelkrav för en sund övervakning av IKT-tredjepartsrisker. Kommissionen och de europeiska tillsynsmyndigheterna bör säkerställa att dessa standarder och krav kan tillämpas av alla finansiella entiteter på ett sätt som står i proportion till deras storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, verksamhet och insatser. Kommissionen bör ges befogenhet att anta dessa tekniska standarder för tillsyn genom delegerade akter i enlighet med artikel 290 i EUF-fördraget och i enlighet med artiklarna 10–14 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

(100)

För att göra det lättare att jämföra rapporter om allvarliga IKT-relaterade incidenter och allvarliga betalningsrelaterade operativa incidenter eller säkerhetsincidenter, samt säkerställa insyn avseende avtalsarrangemang för användningen av IKT-tjänster som tillhandahålls av tredjepartsleverantörer av IKT-tjänster, bör de europeiska tillsynsmyndigheterna utarbeta förslag till tekniska standarder för genomförande där det fastställs standardiserade mallar, formulär och förfaranden för finansiella entiteter för rapportering av allvarliga IKT-relaterade incidenter och allvarliga betalningsrelaterade operativa incidenter eller säkerhetsincidenter, samt standardiserade mallar för registrering av information. När de europeiska tillsynsmyndigheterna utarbetar dessa standarder bör de ta hänsyn till den finansiella entitetens storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, verksamhet och insatser. Kommissionen bör ges befogenhet att anta dessa tekniska standarder för genomförande genom genomförandeakter i enlighet med artikel 291 i EUF-fördraget och i enlighet med artikel 15 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

(101)

Eftersom ytterligare krav redan har specificerats genom delegerade akter och genomförandeakter baserade på tekniska standarder för tillsyn och genomförande i Europaparlamentets och rådets förordningar (EG) nr 1060/2009 (23), (EU) nr 648/2012 (24), (EU) nr 600/2014 (25) och (EU) nr 909/2014 (26) är det lämpligt att ge de europeiska tillsynsmyndigheterna i uppdrag att, antingen enskilt eller gemensamt genom den gemensamma kommittén, överlämna tekniska standarder för tillsyn och genomförande till kommissionen för antagande av delegerade akter och genomförandeakter för att överföra och uppdatera befintliga IKT-riskhanteringsregler.

(102)

Eftersom denna förordning, tillsammans med Europaparlamentets och rådets direktiv (EU) 2022/2556 (27), innebär en konsolidering av IKT-riskhanteringsbestämmelser i flera förordningar och direktiv i unionens regelverk om finansiella tjänster, inbegripet förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014 och (EU) nr 909/2014 samt Europaparlamentets och rådets förordning (EU) 2016/1011 (28), bör dessa förordningar ändras för att säkerställa fullständig enhetlighet och klargöra att de tillämpliga bestämmelserna om IKT-risker fastställs i den här förordningen.

(103)

Följaktligen bör tillämpningsområdet för de relevanta artiklar som rör operativ risk, för vilka delegerade akter och genomförandeakter ska antas enligt befogenheterna i förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011, begränsas så att alla bestämmelser som omfattar aspekter av digital operativ motståndskraft och som i dag ingår i de förordningarna överförs till den här förordningen.

(104)

Den potentiella systemrisk på cyberområdet som är förknippad med användningen av IKT-infrastrukturer som möjliggör drift av betalningssystem och tillhandahållande av betalningshantering bör vederbörligen hanteras på unionsnivå genom harmoniserade regler om digital motståndskraft. I detta syfte bör kommissionen snabbt bedöma behovet av en översyn av denna förordnings tillämpningsområde och samtidigt anpassa en sådan översyn till resultatet av den omfattande översyn som avses i direktiv (EU) 2015/2366. Många storskaliga attacker som genomförts under det senaste årtiondet visar hur betalningssystemen har blivit en ingång för cyberhot. Betalningssystem och betalningshantering, som ligger i centrum av betaltjänstkedjan och uppvisar en hög grad av sammanlänkning med det övergripande finansiella systemet, har fått en avgörande betydelse för unionens finansmarknaders funktion. Cyberangrepp mot sådana system kan orsaka allvarliga driftstörningar i verksamheten med direkta konsekvenser för viktiga ekonomiska funktioner, såsom underlättande av betalningar, och indirekta effekter på därmed sammanhängande ekonomiska processer. Till dess att ett harmoniserat system för och tillsyn över operatörer av betalningssystem och hanteringsentiteter har införts på unionsnivå, får medlemsstaterna, i syfte att tillämpa liknande marknadspraxis, hämta inspiration från de krav på digital operativ motståndskraft som fastställs i denna förordning när de tillämpar regler på operatörer av betalningssystem och hanteringsentiteter som står under tillsyn inom deras egna jurisdiktioner.

(105)

Eftersom målet för denna förordning, dvs. att uppnå en hög nivå av digital operativ motståndskraft för reglerade finansiella entiteter, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna eftersom det kräver harmonisering av en mängd olika regler i unionsrätten och nationell rätt, utan snarare, på grund av dess omfattning och verkningar, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå detta mål.

(106)

Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 (29) och avgav ett yttrande den 10 maj 2021 (30).

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I

Allmänna bestämmelser

Artikel 1

Innehåll

1.   I syfte att uppnå en hög gemensam nivå av digital operativ motståndskraft fastställs i denna förordning enhetliga krav avseende säkerhet i nätverks- och informationssystem som stöder finansiella entiteters affärsprocesser enligt följande:

a)

Krav som är tillämpliga på finansiella entiteter i fråga om

i)

riskhantering inom informations- och kommunikationsteknik (IKT),

ii)

rapportering av allvarliga IKT-relaterade incidenter och underrättande om, på frivillig grund, betydande cyberhot till de behöriga myndigheterna,

iii)

rapportering av allvarliga betalningsrelaterade operativa incidenter eller säkerhetsincidenter till de behöriga myndigheterna av de finansiella entiteter som avses i artikel 2.1 a–d,

iv)

testning av digital operativ motståndskraft,

v)

utbyte av information och underrättelser i samband med cyberhot och cybersårbarheter,

vi)

åtgärder för en sund hantering av tredjepartsrelaterad IKT-risk.

b)

Krav i samband med de kontraktsmässiga arrangemang som har ingåtts mellan tredjepartsleverantörer av IKT-tjänster och finansiella entiteter.

c)

Regler för inrättandet och genomförandet av tillsynsramen för kritiska tredjepartsleverantörer av IKT-tjänster när de tillhandahåller tjänster till finansiella entiteter.

d)

Regler om samarbete mellan behöriga myndigheter och regler om behöriga myndigheters tillsyn och kontroll av efterlevnaden i alla frågor som omfattas av denna förordning.

2.   När det gäller finansiella entiteter som har identifierats som leverantörer av väsentliga eller viktiga entiteter enligt nationella regler som införlivar artikel 3 i direktiv (EU) 2022/2555 ska denna förordning betraktas som en sektorsspecifik unionsrättsakt vid tillämpningen av artikel 4 i det direktivet.

3.   Denna förordning påverkar inte medlemsstaternas ansvar vad gäller väsentliga statliga funktioner inom områdena allmän säkerhet, försvar och nationell säkerhet i enlighet med unionsrätten.

Artikel 2

Tillämpningsområde

1.   Utan att det påverkar tillämpningen av punkterna 3 och 4 är denna förordning tillämplig på följande entiteter:

a)

Kreditinstitut.

b)

Betalningsinstitut, inbegripet sådana betalningsinstitut som är undantagna enligt direktiv (EU) 2015/2366.

c)

Leverantörer av kontoinformationstjänster.

d)

Institut för elektroniska pengar, inbegripet sådana institut för elektroniska pengar som är undantagna enligt direktiv 2009/110/EG.

e)

Värdepappersföretag.

f)

Leverantörer av kryptotillgångstjänster, auktoriserade enligt en Europaparlamentets och rådets förordning om marknader för kryptotillgångar och om ändring av förordningarna (EU) nr 1093/2010 och (EU) nr 1095/2010 och direktiven 2013/36/EU och (EU) 2019/1937 (förordningen om kryptotillgångar) och emittenter av tillgångsanknutna token.

g)

Värdepapperscentraler.

h)

Centrala motparter.

i)

Handelsplatser.

j)

Transaktionsregister.

k)

Förvaltare av alternativa investeringsfonder.

l)

Förvaltningsbolag.

m)

Leverantörer av datarapporteringstjänster.

n)

Försäkrings- och återförsäkringsföretag.

o)

Försäkringsförmedlare, återförsäkringsförmedlare och försäkringsförmedlare som bedriver förmedling som sidoverksamhet.

p)

Tjänstepensionsinstitut.

q)

Kreditvärderingsinstitut.

r)

Administratörer av kritiska referensvärden.

s)

Leverantörer av gräsrotsfinansieringstjänster.

t)

Värdepapperiseringsregister.

u)

Tredjepartsleverantörer av IKT-tjänster.

2.   Vid tillämpningen av denna förordning ska de entiteter som avses i punkt 1 a–t tillsammans benämnas finansiella entiteter.

3.   Denna förordning är inte tillämplig på

a)

förvaltare av alternativa investeringsfonder som avses i artikel 3.2 i direktiv 2011/61/EU,

b)

försäkrings- och återförsäkringsföretag som avses i artikel 4 i direktiv 2009/138/EG,

c)

tjänstepensionsinstitut som förvaltar pensionsplaner som tillsammans inte har fler än totalt 15 medlemmar,

d)

fysiska eller juridiska personer som är undantagna enligt artiklarna 2 och 3 i direktiv 2014/65/EU,

e)

försäkringsförmedlare, återförsäkringsförmedlare och försäkringsförmedlare som bedriver förmedling som sidoverksamhet som är mikroföretag eller små eller medelstora företag,

f)

postgiroinstitut som avses i artikel 2.5.3 i direktiv 2013/36/EU.

4.   Medlemsstaterna får från tillämpningsområdet för denna förordning utesluta sådana enheter som avses i artikel 2.5.4–2.5.23 i direktiv 2013/36/EU om de är belägna inom deras respektive territorier. Om en medlemsstat utnyttjar en sådan möjlighet ska den informera kommissionen om detta samt om eventuella senare ändringar av detta. Kommissionen ska offentliggöra informationen på sin webbplats eller på annat lättillgängligt vis.

Artikel 3

Definitioner

I denna förordning gäller följande definitioner:

1.

digital operativ motståndskraft: en finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott.

2.

nätverks- och informationssystem: ett nätverks- och informationssystem enligt definitionen i artikel 6.1 i direktiv (EU) 2022/2555.

3.

äldre IKT-system: ett IKT-system som har nått slutet på sin livscykel, som inte lämpar sig för uppgraderingar eller justeringar, av tekniska eller kommersiella skäl, eller som inte längre stöds av leverantören eller av en tredjepartsleverantör av IKT-tjänster, men som fortfarande används och stöder den finansiella entitetens funktioner.

4.

säkerhet i nätverks- och informationssystem: ett säkerhet i nätverks- och informationssystem enligt definitionen i artikel 6.2 i direktiv (EU) 2022/2555.

5.

IKT-risk: varje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön.

6.

informationstillgång: en samling materiell eller immateriell skyddsvärd information.

7.

IKT-tillgång: en programvaru- eller maskinvarutillgång i nätverks- och informationssystemen som används av den finansiella entiteten.

8.

IKT-relaterad incident: en enskild händelse eller en serie sammankopplade händelser som inte planerats av den finansiella entiteten och som äventyrar säkerheten i nätverks- och informationssystemen och har negativ inverkan på tillgängligheten, äktheten, integriteten eller konfidentialiteten vad gäller datan eller de tjänster som tillhandahålls av den finansiella entiteten.

9.

betalningsrelaterad operativ incident eller säkerhetsincident: en enskild händelse eller en serie sammankopplade händelser som inte planerats av de finansiella entiteter som avses i artikel 2.1 a–d och som kan vara IKT-relaterade men inte behöver vara det och har negativ inverkan på tillgängligheten, äktheten, integriteten eller konfidentialiteten vad gäller betalningsrelaterade data eller de betalningsrelaterade tjänster som tillhandahålls av den finansiella entiteten.

10.

allvarlig IKT-relaterad incident: en IKT-relaterad incident som har stor negativ inverkan på nätverks- och informationssystem som stöder den finansiella entitetens kritiska eller viktiga funktioner.

11.

allvarlig betalningsrelaterad operativ incident eller säkerhetsincident: en betalningsrelaterad operativ incident eller säkerhetsincident som har stor negativ inverkan på de betalningsrelaterade tjänster som tillhandahålls.

12.

cyberhot: ett cyberhot enligt definitionen i artikel 2.8 i förordning (EU) 2019/881.

13.

betydande cyberhot: ett cyberhot vars tekniska egenskaper indikerar att det potentiellt kan leda till en allvarlig IKT-relaterad incident eller allvarlig betalningsrelaterad operativ incident eller säkerhetsincident.

14.

cyberangrepp: en skadlig IKT-relaterad incident orsakad av ett försök av en fientlig aktör att förstöra, exponera, ändra, deaktivera, stjäla eller få obehörig åtkomst till eller obehörigt utnyttja en tillgång.

15.

underrättelser om hot: information som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv.

16.

sårbarhet: en svaghet, mottaglighet eller brist hos en tillgång, ett system, en process eller en kontroll som kan utnyttjas.

17.

hotbildsstyrd penetrationstestning: en ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten.

18.

IKT-tredjepartsrisk: en IKT-risk som kan uppstå för en finansiell entitet i samband med dess användning av IKT-tjänster som tillhandahålls av tredjepartsleverantörer av IKT-tjänster eller av underleverantörer till sådana leverantörer, inbegripet genom utkontrakteringsarrangemang.

19.

tredjepartsleverantör av IKT-tjänster: ett företag som tillhandahåller IKT-tjänster.

20.

koncernintern IKT-tjänsteleverantör: ett företag som ingår i en finansiell koncern och som huvudsakligen tillhandahåller IKT-tjänster till finansiella entiteter inom samma koncern eller till finansiella entiteter som tillhör samma institutionella skyddssystem, inbegripet till deras moderföretag, dotterföretag, filialer eller andra entiteter som står under samma ägarskap eller kontroll.

21.

IKT-tjänster: digitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster.

22.

kritisk eller viktig funktion: en funktion vars avbrott väsentligt skulle försämra den finansiella entitetens finansiella resultat eller sundheten eller kontinuiteten i dess tjänster och verksamhet, eller om funktionens upphörande, brister eller misslyckande väsentligt skulle försämra en finansiell entitets fortsatta efterlevnad av villkoren och skyldigheterna i auktorisationen eller av dess övriga skyldigheter enligt tillämplig rätt avseende finansiella tjänster.

23.

kritisk tredjepartsleverantör av IKT-tjänster: en tredjepartsleverantör av IKT-tjänster som har klassificerats som kritisk i enlighet med artikel 31.

24.

tredjepartsleverantör av IKT-tjänster som är etablerad i ett tredjeland: en tredjepartsleverantör av IKT-tjänster som är en juridisk person som är etablerad i ett tredjeland och som har ingått ett kontraktsmässigt arrangemang med en finansiell entitet om tillhandahållande av IKT-tjänster.

25.

dotterföretag: ett dotterföretag i den mening som avses i artiklarna 2.10 och 22 i direktiv 2013/34/EU.

26.

koncern: en koncern enligt definitionen i artikel 2.11 i direktiv 2013/34/EU.

27.

moderföretag: ett moderföretag i den mening som avses i artiklarna 2.9 och 22 i direktiv 2013/34/EU.

28.

IKT-underleverantör etablerad i ett tredjeland: en IKT-underleverantör som är en juridisk person som är etablerad i ett tredjeland och som har ingått ett kontraktsmässigt arrangemang antingen med en tredjepartsleverantör av IKT-tjänster eller med en tredjepartsleverantör av IKT-tjänster som är etablerad i ett tredjeland.

29.

IKT-koncentrationsrisk: exponering mot enskilda eller flera närstående kritiska tredjepartsleverantörer av IKT-tjänster som skapar ett visst beroende av sådana leverantörer, så att otillgänglighet, fel eller annan typ av brist hos sådana leverantörer kan komma att äventyra förmågan hos en finansiell entitet att tillhandahålla kritiska eller viktiga funktioner eller leda till andra typer av negativa effekter, inbegripet stora förluster, eller äventyra den finansiella stabiliteten i unionen som helhet.

30.

ledningsorgan: ett ledningsorgan enligt definitionen i artikel 4.1.36 i direktiv 2014/65/EU, artikel 3.1.7 i direktiv 2013/36/EU, artikel 2.1 s i Europaparlamentets och rådets direktiv 2009/65/EG (31), artikel 2.1.45 i förordning (EU) nr 909/2014, artikel 3.1.20 i förordning (EU) 2016/1011 och i de relevanta bestämmelserna i förordningen om kryptotillgångar, eller motsvarande personer som i praktiken leder entiteten eller har nyckelfunktioner i enlighet med relevant unionsrätt eller nationell rätt.

31.

kreditinstitut: ett kreditinstitut enligt definitionen i artikel 4.1.1 i Europaparlamentets och rådets förordning (EU) nr 575/2013 (32).

32.

institut undantaget enligt direktiv 2013/36/EU: en sådan enhet som avses i artikel 2.5.4–2.5.23 i direktiv 2013/36/EU.

33.

värdepappersföretag: ett värdepappersföretag enligt definitionen i artikel 4.1.1 i direktiv 2014/65/EU.

34.

litet och icke-sammanlänkat värdepappersföretag: ett värdepappersföretag som uppfyller villkoren i artikel 12.1 i Europaparlamentets och rådets förordning (EU) 2019/2033 (33).

35.

betalningsinstitut: ett betalningsinstitut enligt definitionen i artikel 4.4 i direktiv (EU) 2015/2366.

36.

betalningsinstitut undantaget enligt direktiv (EU) 2015/2366: sådana betalningsinstitut som är undantagna enligt artikel 32.1 i direktiv (EU) 2015/2366.

37.

leverantör av kontoinformationstjänster: sådana leverantörer av kontoinformationstjänster som avses i artikel 33.1 i direktiv (EU) 2015/2366.

38.

institut för elektroniska pengar: ett institut för elektroniska pengar enligt definitionen i artikel 2.1 i Europaparlamentets och rådets direktiv 2009/110/EG.

39.

institut för elektroniska pengar undantaget enligt direktiv 2009/110/EG: ett institut för elektroniska pengar som omfattas av ett undantag enligt artikel 9.1 i direktiv 2009/110/EG.

40.

central motpart: en central motpart enligt definitionen i artikel 2.1 förordning (EU) nr 648/2012.

41.

transaktionsregister: ett transaktionsregister enligt definitionen i artikel 2.2 i förordning (EU) nr 648/2012.

42.

värdepapperscentral: en värdepapperscentral enligt definitionen i artikel 2.1.1 i förordning (EU) nr 909/2014.

43.

handelsplats: en handelsplats enligt definitionen i artikel 4.1.24 i direktiv 2014/65/EU.

44.

förvaltare av alternativa investeringsfonder: en förvaltare av alternativa investeringsfonder enligt definitionen i artikel 4.1 b i direktiv 2011/61/EU.

45.

förvaltningsbolag: ett förvaltningsbolag enligt definitionen i artikel 2.1 b i direktiv 2009/65/EG.

46.

leverantör av datarapporteringstjänster: en leverantör av datarapporteringstjänster i enlighet med vad som avses i artikel 2.1.34–36 i förordning (EU) nr 600/2014.

47.

försäkringsföretag: ett försäkringsföretag enligt definitionen i artikel 13.1 i direktiv 2009/138/EG.

48.

återförsäkringsföretag: ett återförsäkringsföretag enligt definitionen i artikel 13.4 i direktiv 2009/138/EG.

49.

försäkringsförmedlare: en försäkringsförmedlare enligt definitionen i artikel 2.1.3 i Europaparlamentets och rådets direktiv (EU) 2016/97 (34).

50.

försäkringsförmedlare som bedriver förmedling som sidoverksamhet: en försäkringsförmedlare som bedriver förmedling som sidoverksamhet enligt definitionen i artikel 2.1.4 i direktiv (EU) 2016/97.

51.

återförsäkringsförmedlare: en återförsäkringsförmedlare enligt definitionen i artikel 2.1.5 i direktiv (EU) 2016/97.

52.

tjänstepensionsinstitut: ett tjänstepensionsinstitut enligt definitionen i artikel 6.1 i direktiv (EU) 2016/2341.

53.

litet tjänstepensionsinstitut: ett tjänstepensionsinstitut som förvaltar pensionsplaner som tillsammans inte har fler än totalt 100 medlemmar.

54.

kreditvärderingsinstitut: ett kreditvärderingsinstitut enligt definitionen i artikel 3.1 b i förordning (EG) nr 1060/2009.

55.

leverantör av kryptotillgångstjänster: en leverantör av kryptotillgångstjänster enligt definitionen i de relevanta bestämmelserna i förordningen om kryptotillgångar.

56.

emittent av tillgångsanknutna token: en emittent av tillgångsanknutna token enligt definitionen i de relevanta bestämmelserna i förordningen om kryptotillgångar.

57.

administratör av kritiska referensvärden: en administratör av kritiska referensvärden enligt definitionen i artikel 3.1.25 i förordning (EU) 2016/1011.

58.

leverantör av gräsrotsfinansieringstjänster: en leverantör av gräsrotsfinansieringstjänster enligt definitionen i artikel 2.1 e i Europaparlamentets och rådets förordning (EU) 2020/1503 (35).

59.

värdepapperiseringsregister: ett värdepapperiseringsregister enligt definitionen i artikel 2.23 i Europaparlamentets och rådets förordning (EU) 2017/2402 (36).

60.

mikroföretag: en finansiell entitet, som inte är en handelsplats, en central motpart, ett transaktionsregister eller en värdepapperscentral, och som har färre än 10 anställda och en årsomsättning och/eller årlig balansomslutning som inte överstiger 2 miljoner EUR.

61.

ledande tillsynsmyndighet: den europeiska tillsynsmyndighet som utses i enlighet med artikel 31.1 b i denna förordning.

62.

den gemensamma kommittén: den kommitté som avses i artikel 54 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

63.

litet företag: en finansiell entitet med tio eller fler anställda men färre än 50 anställda och en årsomsättning och/eller årlig balansomslutning som överstiger 2 miljoner EUR men som inte överstiger 10 miljoner EUR.

64.

medelstort företag: en finansiell entitet som inte är ett litet företag och som har färre än 250 anställda och en årsomsättning som inte överstiger 50 miljoner EUR och/eller en årlig balansomslutning som inte överstiger 43 miljoner EUR.

65.

offentlig myndighet: alla statliga entiteter eller andra entiteter inom offentlig förvaltning, inbegripet nationella centralbanker.

Artikel 4

Proportionalitetsprincipen

1.   Finansiella entiteter ska genomföra reglerna i kapitel II i enlighet med proportionalitetsprincipen, och med beaktande av sin storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, sin verksamhet och sina insatser.

2.   Dessutom ska finansiella entiteters tillämpning av kapitlen III, IV och V, avsnitt I, stå i proportion till deras storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, verksamhet och insatser, i enlighet med vad som specificeras i de relevanta reglerna i dessa kapitel.

3.   De behöriga myndigheterna ska beakta finansiella entiteters tillämpning av proportionalitetsprincipen när de ser över enhetligheten i IKT-riskhanteringsramen baserat på de rapporter som lämnats in på begäran av de behöriga myndigheterna enligt artiklarna 6.5 och 16.2.

KAPITEL II

IKT-riskhantering

Avsnitt I

Artikel 5

Styrning och organisation

1.   Finansiella entiteter ska ha en intern styrnings- och kontrollram som säkerställer en effektiv och ansvarsfull hantering av IKT-risk i enlighet med artikel 6.4, i syfte att åstadkomma en hög nivå av digital operativ motståndskraft.

2.   Den finansiella entitetens ledningsorgan ska fastställa, godkänna, övervaka och ansvara för genomförandet av alla arrangemang som rör den IKT-riskhanteringsram som avses i artikel 6.1.

Vid tillämpning av det första stycket ska ledningsorganet

a)

ha det slutliga ansvaret för att hantera den finansiella entitetens IKT-risk,

b)

införa strategier som syftar till att säkerställa bibehållandet av höga standarder för tillgänglighet, äkthet, integritet och konfidentialitet för data,

c)

fastställa tydliga roller och ansvarsområden för alla IKT-relaterade funktioner och inrätta lämpliga styrformer för att säkerställa kommunikation, samarbete och samordning på ett effektivt och skyndsamt sätt mellan dessa funktioner,

d)

ha det övergripande ansvaret för att fastställa och godkänna strategin för digital operativ motståndskraft enligt artikel 6.8, inbegripet fastställandet av en lämplig risktoleransnivå för IKT-risk för den finansiella entiteten, enligt vad som avses i artikel 6.8 b,

e)

godkänna, övervaka och regelbundet se över genomförandet av den IKT-kontinuitetspolicy och de åtgärds- och återställningsplaner avseende IKT för den finansiella entiteten som avses i artikel 11.1 respektive 11.3, vilka kan antas som särskilda specifika planer och utgöra integrerade delar av den finansiella entitetens övergripande kontinuitetsplan och åtgärds- och återställningsplan,

f)

godkänna och regelbundet se över den finansiella entitetens IKT-internrevisionsplaner, IKT-revisioner och väsentliga ändringar av dessa,

g)

anslå och regelbundet se över den lämpliga budgeten för att uppfylla den finansiella entitetens behov av digital operativ motståndskraft när det gäller alla typer av resurser, inbegripet relevanta program för medvetenhet om IKT-säkerhet och sådan utbildning om digital operativ motståndskraft som avses i artikel 13.6 och IKT-färdigheter för all personal,

h)

godkänna och regelbundet se över den finansiella entitetens riktlinjer för arrangemang vad gäller användningen av IKT-tjänster som tillhandahålls av tredjepartsleverantörer av IKT-tjänster,

i)

på verksamhetsnivå etablera rapporteringskanaler som gör det möjligt att vederbörligen informeras om

i)

arrangemang som har ingåtts med tredjepartsleverantörer av IKT-tjänster om användningen av IKT-tjänster,

ii)

alla relevanta planerade väsentliga ändringar som rör tredjepartsleverantörerna av IKT-tjänster,

iii)

den potentiella effekten av sådana ändringar på de kritiska eller viktiga funktioner som omfattas av dessa arrangemang, inbegripet en sammanfattning av riskanalysen för att bedöma effekterna av dessa ändringar och åtminstone allvarliga IKT-relaterade incidenter och deras inverkan liksom åtgärder, återställande och korrigerande åtgärder.

3.   Andra finansiella entiteter än mikroföretag ska inrätta en funktion för att övervaka de arrangemang som har ingåtts med tredjepartsleverantörer av IKT-tjänster om användningen av IKT-tjänster, eller utse en medlem av den verkställande ledningen som ansvarig för att övervaka den åtföljande riskexponeringen och relevant dokumentation.

4.   Medlemmarna i den finansiella entitetens ledningsorgan ska aktivt upprätthålla tillräckliga och aktuella kunskaper och färdigheter för att förstå och bedöma IKT-risk och deras inverkan på den finansiella entitetens verksamhet, inbegripet genom att regelbundet genomgå särskild utbildning som står i proportion till den IKT-risk som hanteras.

Avsnitt II

Artikel 6

IKT-riskhanteringsram

1.   Finansiella entiteter ska ha en sund, heltäckande och väldokumenterad IKT-riskhanteringsram som en del av sitt övergripande riskhanteringssystem och den ska göra det möjligt för dem att snabbt, effektivt och heltäckande hantera IKT-risk och säkerställa en hög nivå av digital operativ motståndskraft.

2.   IKT-riskhanteringsramen ska omfatta åtminstone de strategier, riktlinjer, förfaranden, IKT-protokoll och IKT-verktyg som är nödvändiga för att på ett vederbörligt och adekvat sätt skydda alla informations- och IKT-tillgångar, inbegripet datorprogramvara, datormaskinvara och servrar, och skydda alla relevanta fysiska komponenter och infrastrukturer, såsom lokaler, datacentraler och känsliga angivna områden, för att säkerställa att alla informations- och IKT-tillgångar är tillräckligt skyddade mot risker, inbegripet skada och obehörig åtkomst eller användning.

3.   I enlighet med sin IKT-riskhanteringsram ska finansiella entiteter minimera effekterna av IKT-risk genom att införa lämpliga strategier, riktlinjer, förfaranden, IKT-protokoll och verktyg. De ska tillhandahålla fullständig och uppdaterad information om IKT-risk och om sin IKT-riskhanteringsram till de behöriga myndigheterna när dessa begär det.

4.   Andra finansiella entiteter än mikroföretag ska överföra ansvaret för att hantera och övervaka IKT-risk till en kontrollfunktion och säkerställa en lämplig nivå av oberoende för den kontrollfunktionen för att undvika intressekonflikter. Finansiella entiteter ska säkerställa lämplig åtskillnad mellan och lämpligt oberoende för riskhanteringsfunktioner, kontrollfunktioner och interna revisionsfunktioner avseende IKT, enligt modellen med tre försvarslinjer eller en intern riskhanterings- och kontrollmodell.

5.   IKT-riskhanteringsramen ska dokumenteras och ses över minst en gång per år, eller regelbundet när det gäller mikroföretag, liksom vid uppkomsten av allvarliga IKT-relaterade incidenter, och i enlighet med tillsynsinstruktioner eller slutsatser från relevanta testnings- eller revisionsprocesser för digital operativ motståndskraft. Ramen ska förbättras fortlöpande baserat på erfarenheterna från genomförande och övervakning. En rapport om översynen av IKT-riskhanteringsramen ska överlämnas till den behöriga myndigheten på dess begäran.

6.   IKT-riskhanteringsramen hos andra finansiella entiteter än mikroföretag ska vara föremål för en internrevision av revisorer på regelbunden basis och i enlighet med finansiella entiteters revisionsplan. Dessa revisorer ska ha tillräckliga kunskaper, färdigheter och expertis om IKT-risker, samt ha en lämplig nivå av oberoende. IKT-revisionernas frekvens och inriktning ska stå i proportion till den finansiella entitetens IKT-risk.

7.   Finansiella entiteter ska baserat på slutsatserna från den interna revisionsrapporten inrätta en formell uppföljningsprocess, inbegripet regler för snabb kontroll och snabbt åtgärdande av kritiska resultat från IKT-revisionen.

8.   IKT-riskhanteringsramen ska omfatta en strategi för digital operativ motståndskraft där det anges hur ramen ska genomföras. För detta ändamål ska strategin för digital operativ motståndskraft inbegripa metoder för att hantera IKT-risk och uppnå specifika IKT-mål på följande sätt:

a)

Förklara hur IKT-riskhanteringsramen stöder den finansiella entitetens affärsstrategi och mål.

b)

Fastställa risktoleransnivån för IKT-risk i enlighet med den finansiella entitetens riskbenägenhet och analysera toleransen mot effekterna av IKT-avbrott.

c)

Fastställa tydliga informationssäkerhetsmål, inbegripet nyckelprestationsindikatorer och viktiga riskmått.

d)

Förklara IKT-referensarkitekturen och eventuella förändringar som krävs för att uppnå specifika verksamhetsmål.

e)

Beskriva de olika mekanismer som har införts för att upptäcka IKT-relaterade incidenter, förebygga deras effekter och ge skydd däremot.

f)

Lägga fram bevis för den befintliga situationen vad gäller digital operativ motståndskraft baserat på antalet rapporterade allvarliga IKT-relaterade incidenter och de förebyggande åtgärdernas effektivitet.

g)

Genomföra tester av den digitala operativa motståndskraften, i enlighet med kapitel IV i denna förordning.

h)

Beskriva en kommunikationsstrategi vid IKT-relaterade incidenter; vars offentliggörande föreskrivs i artikel 14.

9.   Finansiella entiteter får, när det gäller den strategi för digital operativ motståndskraft som avses i punkt 8, utforma en holistisk strategi med flera olika leverantörer av IKT-tjänster på koncern- eller entitetsnivå som visar de viktigaste beroendena av tredjepartsleverantörer av IKT-tjänster och förklarar logiken bakom upphandlingsmixen av tredjepartsleverantörer av IKT-tjänster.

10.   Finansiella entiteter får, i enlighet med unionsrätten och den nationella rätten på området utkontraktera uppgiften att kontrollera efterlevnaden av IKT-riskhanteringskraven till koncerninterna eller externa företag. Vid sådan utkontraktering bär den finansiella entiteten det fulla ansvaret för kontrollen av efterlevnaden av IKT-riskhanteringskraven.

Artikel 7

IKT-system, IKT-protokoll och IKT-verktyg

Finansiella entiteter ska för att åtgärda och hantera IKT-risk använda och upprätthålla uppdaterade IKT-system, IKT-protokoll och IKT-verktyg som

a)

är lämpliga med hänsyn till omfattningen hos de transaktioner som ligger till grund för deras verksamhet, i enlighet med den proportionalitetsprincip som anges i artikel 4,

b)

är tillförlitliga,

c)

har tillräcklig kapacitet för att korrekt behandla de uppgifter som krävs för att bedriva verksamheten och skyndsamt tillhandahålla tjänster, och vid behov hantera toppar i order-, meddelande- eller transaktionsvolymer, även vid införande av ny teknik,

d)

är tekniskt motståndskraftiga för att på lämpligt sätt hantera ytterligare informationsbehandlingsbehov när detta krävs under stressade marknadsförhållanden eller andra ogynnsamma situationer.

Artikel 8

Identifiering

1.   Som en del av den IKT-riskhanteringsram som avses i artikel 6.1 ska finansiella entiteter identifiera, klassificera och på lämpligt sätt dokumentera alla IKT-stödda affärsfunktioner, roller och ansvarsområden, de informationstillgångar och IKT-tillgångar som stöder dessa funktioner och deras roller och beroenden i förhållande till IKT-risk. Finansiella entiteter ska vid behov, och minst en gång per år, granska lämpligheten i denna klassificering och i all relevant dokumentation.

2.   Finansiella entiteter ska fortlöpande identifiera alla källor till IKT-risk, särskilt riskexponeringen mot och från andra finansiella entiteter, och bedöma cyberhot och IKT-sårbarheter som är relevanta för deras IKT-stödda affärsfunktioner, informationstillgångar och IKT-tillgångar. Finansiella entiteter ska regelbundet och minst en gång per år se över de riskscenarier som påverkar dem.

3.   Andra finansiella entiteter än mikroföretag ska göra en riskbedömning vid varje större förändring av nätverks- och informationssystemets infrastruktur, av de processer eller förfaranden som påverkar deras IKT-stödda affärsfunktioner, informationstillgångar eller IKT-tillgångar.

4.   Finansiella entiteter ska identifiera alla informationstillgångar och IKT-tillgångar, inbegripet sådana på fjärrplatser, nätverksresurser och maskinvaruutrustning, och kartlägga de som anses vara kritiska. De ska kartlägga informationstillgångarnas och IKT-tillgångarnas konfiguration samt länkarna och det ömsesidiga beroendet mellan de olika informationstillgångarna och IKT-tillgångarna.

5.   Finansiella entiteter ska identifiera och dokumentera alla processer som är beroende av tredjepartsleverantörer av IKT-tjänster och identifiera kopplingar till de tredjepartsleverantörer av IKT-tjänster som tillhandahåller tjänster som stöder kritiska eller viktiga funktioner.

6.   Vid tillämpning av punkterna 1, 4 och 5 ska finansiella entiteter upprätthålla relevanta inventeringar och uppdatera dem regelbundet och varje gång en sådan större förändring som avses i punkt 3 inträffar.

7.   Andra finansiella entiteter än mikroföretag ska regelbundet, och minst en gång per år, genomföra en särskild IKT-riskbedömning av alla äldre IKT-system, och i varje fall före och efter sammanlänkning av tekniker, tillämpningar eller system.

Artikel 9

Skydd och förebyggande

1.   För att skydda IKT-system på lämpligt sätt och organisera motåtgärder ska finansiella entiteter kontinuerligt övervaka och kontrollera IKT-systemens och IKT-verktygens säkerhet och funktion och ska minimera effekterna av IKT-risk på IKT-system genom att införa lämpliga verktyg, riktlinjer och förfaranden för IKT-säkerhet.

2.   Finansiella entiteter ska utforma, upphandla och genomföra IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg som syftar till att säkerställa IKT-systemens motståndskraft, kontinuitet och tillgänglighet, i synnerhet för de system som stöder kritiska eller viktiga funktioner, och upprätthålla höga standarder för tillgänglighet, äkthet, integritet och konfidentialitet avseende data, oberoende av om de är i vila, i bruk eller under överföring.

3.   För att uppnå de mål som avses i punkt 2 ska finansiella entiteter använda IKT-lösningar och IKT-processer som är lämpliga i enlighet med artikel 4. Dessa IKT-lösningar och IKT-processer ska

a)

säkerställa skyddet vid dataöverföring,

b)

minimera risken för förvanskning eller förlust av uppgifter, obehörig åtkomst och tekniska brister som kan hindra affärsverksamheten,

c)

förhindra bristen på tillgänglighet, försvagandet av äkthet och integritet, överträdelserna av konfidentialitet, och förlusten av data,

d)

säkerställa att uppgifterna skyddas mot risker som uppstår från datahanteringen, inbegripet bristfällig förvaltning, processrelaterade risker och den mänskliga faktorn.

4.   Som en del av den IKT-riskhanteringsram som avses i artikel 6.1 ska finansiella entiteter

a)

utarbeta och dokumentera riktlinjer för informationssäkerhet där det fastställs regler för att skydda tillgängligheten, äktheten, integriteten och konfidentialiteten hos data, informationstillgångar och IKT-tillgångar, inbegripet hos deras kunder, när så är tillämpligt,

b)

enligt en riskbaserad strategi upprätta en sund struktur för förvaltning av nätverk och infrastruktur med hjälp av lämpliga tekniker, metoder och protokoll, vilket kan inbegripa införande av automatiserade mekanismer för att isolera berörda informationstillgångar vid cyberangrepp,

c)

genomföra strategier för att begränsa den fysiska eller logiska åtkomsten till informationstillgångar och IKT-tillgångar till enbart det som krävs för legitima och godkända funktioner och verksamheter, och för detta ändamål fastställa en uppsättning strategier, förfaranden och kontroller för åtkomsträttigheter och säkerställa en sund förvaltning av dessa,

d)

genomföra strategier och protokoll för starka äkthetsmekanismer, baserade på relevanta standarder och särskilda kontrollsystem, samt skyddsåtgärder för kryptografiska nycklar där data krypteras baserat på resultat från godkända processer för klassificering och IKT-riskbedömning,

e)

genomföra dokumenterade strategier, förfaranden och kontroller för hantering av IKT-förändringar, inbegripet ändringar av programvara, maskinvara, fasta programvarukomponenter, system eller säkerhetsparametrar, som bygger på en riskbedömningsmetod och är en integrerad del av den finansiella entitetens övergripande förändringshanteringsprocess, för att säkerställa att alla ändringar av IKT-system registreras, testas, bedöms, godkänns, genomförs och verifieras på ett kontrollerat sätt,

f)

ha lämpliga och heltäckande dokumenterade strategier för programfixar och uppdateringar.

Vid tillämpning av första stycket led b ska finansiella entiteter utforma infrastrukturen för nätanslutning på ett sätt som gör att den omedelbart kan avskiljas eller segmenteras i syfte att minimera och förhindra spridning, särskilt för sammanlänkade finansiella processer.

Vid tillämpning av första stycket led e ska processen för hantering av IKT-förändringar godkännas av lämpliga ledningsnivåer och ska ha särskilda protokoll på plats

Artikel 10

Upptäckt

1.   Finansiella entiteter ska ha mekanismer för att snabbt upptäcka onormal verksamhet i enlighet med artikel 17, inbegripet frågor som rör IKT-nätverkens prestanda och IKT-relaterade incidenter, och för att identifiera potentiella väsentliga systemkritiska felpunkter (single points of failure).

Alla upptäcktsmekanismer som avses i första stycket ska testas regelbundet i enlighet med artikel 25.

2.   De upptäcktsmekanismer som avses i punkt 1 ska möjliggöra flera kontrollnivåer, innehålla fastställda varningströskelvärden och varningskriterier för att utlösa och inleda processer för hantering av IKT-relaterade incidenter, inbegripet automatiska varningsmekanismer för relevant personal med ansvar för hantering av IKT-relaterade incidenter.

3.   Finansiella entiteter ska avsätta tillräckligt med resurser och kapacitet för att övervaka användarnas verksamhet, förekomsten av IKT-avvikelser och IKT-relaterade incidenter, särskilt cyberangrepp.

4.   Leverantörer av datarapporteringstjänster ska dessutom ha system som på ett effektivt sätt gör det möjligt att kontrollera handelsrapporters fullständighet, hitta fall av utelämnad information och uppenbara fel och begära omsändning av dessa rapporter.

Artikel 11

Åtgärder och återställande

1.   Som en del av den IKT-riskhanteringsram som avses i artikel 6.1 och baserat på identifieringskraven i artikel 8 ska finansiella entiteter införa en heltäckande IKT-kontinuitetspolicy, vilken kan antas som en särskild specifik plan och utgöra en integrerad del av den finansiella entitetens övergripande kontinuitetsplan.

2.   Finansiella entiteter ska genomföra IKT-kontinuitetspolicyn genom särskilda, lämpliga och dokumenterade arrangemang, planer, förfaranden och mekanismer som syftar till att

a)

säkerställa kontinuiteten i den finansiella entitetens kritiska eller viktiga funktioner,

b)

snabbt, lämpligt och effektivt reagera på och lösa alla IKT-relaterade incidenter på ett sätt som begränsar skador och prioriterar återupptagandet av verksamhet och återställningsåtgärder,

c)

utan dröjsmål aktivera särskilda planer som möjliggör begränsningsåtgärder, processer och teknik som är anpassade till varje typ av IKT-relaterad incident och som förhindrar ytterligare skador, samt skräddarsydda åtgärds- och återställningsförfaranden som har fastställts i enlighet med artikel 12,

d)

beräkna preliminära effekter, skador och förluster,

e)

fastställa kommunikations- och krishanteringsinsatser som säkerställer att uppdaterad information överförs till all berörd intern personal och alla externa berörda parter i enlighet med artikel 14 och rapportera till behöriga myndigheter i enlighet med artikel 19.

3.   Som en del av den IKT-riskhanteringsram som avses i artikel 6.1 ska finansiella entiteter genomföra åtföljande åtgärds- och återställningsplaner avseende IKT som, när det gäller andra finansiella entiteter än mikroföretag, ska bli föremål för oberoende interna granskningar.

4.   Finansiella entiteter ska införa, upprätthålla och regelbundet testa lämpliga IKT-kontinuitetsplaner, särskilt när det gäller kritiska eller viktiga funktioner som har utkontrakterats eller kontrakterats genom arrangemang med tredjepartsleverantörer av IKT-tjänster.

5.   Finansiella entiteter ska som en del av sin övergripande IKT-kontinuitetspolicy genomföra en verksamhetskonsekvensanalys av hur exponerade de är mot allvarliga störningar i verksamheten. I verksamhetskonsekvensanalysen ska finansiella entiteter bedöma vilka potentiella följder som allvarliga störningar i verksamheten kan få genom kvantitativa och kvalitativa kriterier och med hjälp av interna och externa data och scenarioanalys, beroende på vad som är lämpligt. I verksamhetskonsekvensanalysen ska hänsyn tas till kritikaliteten i de identifierade och kartlagda affärsfunktionerna, stödprocesserna, tredjepartsberoendena och informationstillgångarna, samt deras ömsesidiga beroende. Finansiella entiteter ska säkerställa att IKT-tillgångarna och IKT-tjänsterna är utformade och används i full samstämmighet med verksamhetskonsekvensanalysen, särskilt vad gäller att i tillräcklig utsträckning säkerställa reservkapaciteten för alla kritiska komponenter.

6.   Som en del av sin övergripande IKT-riskhantering ska finansiella entiteter

a)

testa IKT-kontinuitetsplanerna och åtgärds- och återställningsplanerna avseende IKT för de IKT-system som stöder alla funktioner minst en gång per år samt i samband med omfattande ändringar av de IKT-system som stöder kritiska eller viktiga funktioner,

b)

testa de kriskommunikationsplaner som har upprättats i enlighet med artikel 14.

Vid tillämpning av första stycket led a ska andra finansiella entiteter än mikroföretag i testplanerna inkludera scenarier för cyberangrepp och byten mellan den primära IKT-infrastrukturen och den reservkapacitet, de säkerhetskopior och reservanläggningar som krävs för att uppfylla de skyldigheter som anges i artikel 12.

Finansiella entiteter ska regelbundet se över sin IKT-kontinuitetspolicy och sina åtgärds- och återställningsplaner avseende IKT med hänsyn till resultatet av tester som har utförts i enlighet med första stycket och rekommendationer från revisionskontroller eller tillsynsgranskningar.

7.   Andra finansiella entiteter än mikroföretag ska ha en krishanteringsfunktion som, om deras IKT-kontinuitetsplaner eller åtgärds- och återställningsplaner avseende IKT aktiveras, bland annat ska innehålla tydliga förfaranden för hantering av intern och extern kriskommunikation i enlighet med artikel 14.

8.   Finansiella entiteter ska ha lättillgänglig dokumentation om den verksamhet som pågår före och under avbrott när deras IKT-kontinuitetsplaner och åtgärds- och återställningsplaner avseende IKT aktiveras.

9.   Värdepapperscentraler ska förse de behöriga myndigheterna med kopior av resultatet av IKT-kontinuitetstesterna eller liknande övningar.

10.   Andra finansiella entiteter än mikroföretag ska på begäran till de behöriga myndigheterna lämna en uppskattning av de totala årliga kostnader och förluster som orsakas av allvarliga IKT-relaterade incidenter.

11.   I enlighet med artikel 16 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010 ska de europeiska tillsynsmyndigheterna genom den gemensamma kommittén senast den 17 juli 2024 utarbeta gemensamma riktlinjer om uppskattningen av de totala årliga kostnaderna och förlusterna som avses i punkt 10.

Artikel 12

Strategier och förfaranden för säkerhetskopiering och förfaranden och metoder för återskapande och återställning

1.   För att säkerställa att IKT-system och data kan återställas med minsta möjliga driftstopp, begränsade avbrott och förluster ska finansiella entiteter som en del i sin IKT-riskhanteringsram utarbeta och dokumentera

a)

strategier och förfaranden för säkerhetskopiering där de anger omfattningen av de data som ska säkerhetskopieras och minimifrekvensen för säkerhetskopieringen, baserat på informationens kritikalitet eller uppgifternas konfidentialitetsnivå,

b)

förfaranden och metoder för återskapande och återställning.

2.   Finansiella entiteter ska skapa säkerhetskopieringssystem som kan aktiveras i enlighet med strategierna och förfarandena för säkerhetskopiering samt med förfarande och metoder för återskapande och återställning. Aktiveringen av säkerhetskopieringssystem får inte äventyra säkerheten i nätverks- och informationssystemen eller datans tillgänglighet, äkthet, integritet eller konfidentialitet. Testning av säkerhetskopieringsförfarandena och förfarande och metoder för återskapande och återställning och metoderna ska genomföras regelbundet.

3.   När finansiella entiteter återställer säkerhetskopierade data med hjälp av egna system ska de använda IKT-system som är fysiskt och logiskt segregerade från det IKT-system som är källan. IKT-systemen ska ha ett säkert skydd mot obehörig åtkomst eller IKT-förvanskning och medge ett snabbt återupptagande av tjänster, med hjälp av säkerhetskopior av data och system efter behov.

För centrala motparter ska återställningsplanerna göra det möjligt att återställa alla transaktioner så som de var vid tidpunkten för avbrottet, så att den centrala motpartens verksamhet är fortsatt säker och avvecklingen kan fullföljas vid fastställd tidpunkt.

Leverantörer av datarapporteringstjänster ska dessutom ha tillräckliga resurser och ha anläggningar för säkerhetskopiering och återskapande, så att de alltid kan erbjuda och upprätthålla sina tjänster.

4.   Andra finansiella entiteter än mikroföretag ska upprätthålla IKT-reservkapacitet med resurser, förmåga och funktioner som är adekvata för att säkerställa verksamhetens behov. Mikroföretag ska bedöma behovet av att upprätthålla sådan IKT-reservkapacitet med utgångspunkt i vilken riskprofil de har.

5.   Värdepapperscentraler ska ha minst ett sekundärt driftsställe med adekvata resurser, kapacitet, funktioner och personalarrangemang för att säkerställa verksamhetens behov.

Det sekundära driftsstället ska

a)

vara beläget på ett geografiskt avstånd från det primära driftsstället som gör det möjligt för det sekundära driftsstället att ha en åtskild riskprofil och hindrar det från att påverkas av den händelse som påverkar det primära driftsstället,

b)

kunna säkra driftskontinuiteten i kritiska eller viktiga funktioner som är identiska med det primära driftsstället eller tillhandahålla den servicenivå som är nödvändig för att säkerställa att den finansiella entiteten kan bedriva sin kritiska verksamhet inom ramen för återställningsmålen,

c)

vara omedelbart tillgängligt för den finansiella entitetens personal i syfte att säkra driftskontinuitet i dess kritiska eller viktiga funktioner om det primära driftsstället inte är tillgängligt.

6.   När finansiella entiteter fastställer återställningstid och återställningspunktmål för varje funktion ska de ta hänsyn till huruvida det är en kritisk eller viktig funktion och den eventuella övergripande inverkan på marknadseffektiviteten. Tidsmålen ska säkerställa att de överenskomna servicenivåerna uppnås i extrema scenarier.

7.   När finansiella entiteter återställer verksamheten efter en IKT-relaterad incident ska de göra nödvändiga kontroller, inbegripet flera kontroller och avstämningar, för att säkerställa att dataintegriteten håller högsta nivå. Dessa kontroller ska också utföras när data från externa berörda parter rekonstrueras för att säkerställa att alla data stämmer överens mellan systemen.

Artikel 13

Lärande och utveckling

1.   Finansiella entiteter ska ha lämplig kapacitet och personal för att samla in information om sårbarheter och cyberhot, IKT-relaterade incidenter, särskilt cyberangrepp, och analysera vilken inverkan de kan förmodas ha på den digitala operativa motståndskraften.

2.   Finansiella entiteter ska införa efterhandsöversyner av IKT-relaterade incidenter efter det att en allvarlig IKT-relaterad incident medför ett avbrott i kärnverksamheten, så att orsakerna till avbrotten kan analyseras och nödvändiga förbättringar av IKT-verksamheten eller i den IKT-kontinuitetspolicy som avses i artikel 11 identifieras.

Andra finansiella entiteter än mikroföretag ska på begäran till de behöriga myndigheterna meddela vilka ändringar som genomfördes efter de efterhandsöversyner av IKT-relaterade incidenter som avses i första stycket.

De efterhandsöversyner av IKT-relaterade incidenter som avses i första stycket ska fastställa om de fastställda förfarandena följdes och om de åtgärder som vidtogs var effektiva, bl.a. när det gäller

a)

svarstiden för att reagera på säkerhetsvarningar och fastställa konsekvenserna av IKT-relaterade incidenter och deras allvarlighetsgrad,

b)

kvalitet och snabbhet i utförandet av kriminaltekniska analyser, om så är lämpligt,

c)

incidenteskaleringens effektivitet inom den finansiella entiteten,

d)

effektiviteten i intern och extern kommunikation.

3.   Lärdomar av den testning av digital operativ motståndskraft som har utförts i enlighet med artiklarna 26 och 27 och av verkliga IKT-relaterade incidenter, särskilt cyberangrepp, samt utmaningar i samband med aktivering av IKT-kontinuitetsplaner och åtgärds- och återställningsplaner avseende IKT och relevant information som har utväxlats med motparter och bedömts under tillsynsgranskningar, ska införlivas fortlöpande i IKT-riskbedömningsprocessen. Dessa resultat ska utgöra en grund för lämpliga översyner av relevanta delar i den IKT-riskhanteringsram som avses i artikel 6.1.

4.   Finansiella entiteter ska övervaka effektiviteten i genomförandet av den strategi för digital operativ motståndskraft som anges i artikel 6.8. De ska kartlägga IKT-riskens utveckling över tid, analysera IKT-relaterade incidenters frekvens, typ, omfattning och utveckling, särskilt cyberangrepp och deras mönster, i syfte att förstå graden av IKT-riskexponering, särskilt när det gäller kritiska eller viktiga funktioner, och öka den finansiella entitetens cybermognad och cyberberedskap.

5.   Senior IKT-personal ska minst en gång per år rapportera till ledningsorganet om de resultat som avses i punkt 3 och lägga fram rekommendationer.

6.   Finansiella entiteter ska utarbeta program för medvetenhet om IKT-säkerhet och utbildning om digital operativ motståndskraft som obligatoriska moduler i sina personalutbildningsprogram. Dessa program och utbildningar ska gälla för alla anställda och personer i ledande ställning, och deras komplexitet ska motsvara behörigheten för personens roll. När så är lämpligt ska finansiella entiteter också inkludera tredjepartsleverantörer av IKT-tjänster i sina relevanta utbildningar, i enlighet med artikel 30.2 i.

7.   Andra finansiella entiteter än mikroföretag ska kontinuerligt övervaka relevant teknisk utveckling, även i syfte att förstå vilka konsekvenser införandet av sådan ny teknik kan få för IKT-säkerhetskraven och den digitala operativa motståndskraften. De ska hålla sig uppdaterade om de senaste IKT-riskhanteringsprocesserna för att effektivt bekämpa nuvarande eller nya former av cyberangrepp.

Artikel 14

Kommunikation

1.   Som en del av den IKT-riskhanteringsram som avses i artikel 6.1 ska finansiella entiteter ha kriskommunikationsplaner som gör det möjligt att på ett ansvarsfullt sätt informera kunder och motparter samt allmänheten om åtminstone allvarliga IKT-relaterade incidenter eller sårbarheter, beroende på vad som är lämpligt.

2.   Som en del av IKT-riskhanteringsramen ska finansiella entiteter genomföra kommunikationsstrategier för intern personal och externa berörda parter. I sina kommunikationsstrategier för personalen ska hänsyn tas till behovet av att skilja mellan personal som deltar i IKT-riskhantering, framför allt personalen med ansvar för åtgärder och återställande, och personal som behöver information.

3.   Minst en person i den finansiella entiteten ska ha i uppgift att genomföra kommunikationsstrategin för IKT-relaterade incidenter och fungera som talesperson gentemot allmänheten och medierna i detta syfte.

Artikel 15

Ytterligare harmonisering av verktyg, metoder, processer och strategier för IKT-riskhantering

De europeiska tillsynsmyndigheterna ska, genom den gemensamma kommittén och i samråd med Europeiska unionens cybersäkerhetsbyrå (Enisa), utarbeta gemensamma förslag till tekniska standarder för tillsyn i syfte att

a)

närmare specificera delar som ska ingå i de IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg som avses i artikel 9.2 i syfte att säkerställa säkerheten i nätverk, möjliggöra lämpliga skyddsåtgärder mot intrång och missbruk av uppgifter, bevara uppgifternas tillgänglighet, äkthet, integritet och konfidentialitet, inbegripet krypteringsmetoder, och garantera en korrekt och snabb dataöverföring utan allvarliga avbrott och onödiga dröjsmål,

b)

utveckla ytterligare komponenter i den hantering av kontroll av åtkomsträttigheter som avses i artikel 9.4 c och tillhörande personalpolitik där det specificeras åtkomsträttigheter, förfaranden för beviljande och återkallande av rättigheter, övervakning av onormalt beteende i förhållande till IKT-risk genom lämpliga indikatorer, inbegripet mönster för nätanvändning, tidpunkter, it-verksamhet och okänd utrustning,

c)

vidareutveckla de mekanismer som anges i artikel 10.1 för att möjliggöra en snabb upptäckt av onormal verksamhet och de kriterier som fastställs i artikel 10.2 som utlöser processer för upptäckt och hantering av IKT-relaterade incidenter,

d)

närmare specificera komponenterna i den IKT-kontinuitetspolicy som avses i artikel 11.1,

e)

närmare specificera de tester av IKT-kontinuitetsplaner som avses i artikel 11.6 för att säkerställa att det vid sådan testning tas tillräckligt stor hänsyn till scenarier där kvaliteten på tillhandahållandet av en kritisk eller viktig funktion försämras till en oacceptabel nivå eller tillhandahållandet avbryts, och till de potentiella konsekvenserna av insolvens eller andra fel hos en relevant tredjepartsleverantör av IKT-tjänster och, i förekommande fall, de politiska riskerna i respektive leverantörers jurisdiktioner,

f)

närmare specificera komponenterna i de åtgärds- och återställningsplaner avseende IKT som avses i artikel 11.3,

g)

närmare specificera innehållet i och formatet för den rapport om översynen av IKT-riskhanteringsramen som avses i artikel 6.5.

När de europeiska tillsynsmyndigheterna utarbetar dessa förslag till tekniska standarder för tillsyn ska de beakta den finansiella entitetens storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i dess tjänster, verksamhet och insatser, samtidigt som vederbörlig hänsyn tas till eventuella särdrag som härrör från den särskilda karaktären på verksamheten i olika sektorer för finansiella tjänster.

De europeiska tillsynsmyndigheterna ska överlämna dessa förslag till tekniska standarder för tillsyn till kommissionen senast den 17 januari 2024.

Kommissionen ges befogenhet att komplettera denna förordning genom att anta de tekniska standarder för tillsyn som avses i första stycket i enlighet med artiklarna 10–14 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

Artikel 16

Förenklad IKT-riskhanteringsram

1.   Artiklarna 5–15 i denna förordning ska inte tillämpas på små och icke-sammanlänkade värdepappersföretag, betalningsinstitut undantagna enligt direktiv (EU) 2015/2366, institut undantagna enligt direktiv 2013/36/EU och för vilka medlemsstaterna har beslutat att inte tillämpa den möjlighet som anges i artikel 2.4 i denna förordning; institut för elektroniska pengar undantagna enligt direktiv 2009/110/EG och små tjänstepensionsinstitut.

Utan att det påverkar tillämpningen av första stycket ska de enheter som förtecknas i första stycket

a)

inrätta och upprätthålla en sund och dokumenterad IKT-riskhanteringsram som specificerar de mekanismer och åtgärder som syftar till att ge en snabb, effektiv och heltäckande hantering av IKT-risk, inbegripet vad gäller skyddet av relevanta fysiska komponenter och infrastrukturer,

b)

kontinuerligt övervaka alla IKT-systems säkerhet och funktion,

c)

minimera effekterna av IKT-risk genom användningen av sunda, motståndskraftiga och uppdaterade IKT-system, IKT-protokoll och IKT-verktyg som lämpar sig för att stödja utförandet av verksamheten och tillhandahållandet av tjänster och på ett tillräckligt sätt skydda konfidentialitet, tillgänglighet, integritet eller äkthet hos datan i nätverks- och informationssystemen,

d)

göra det möjligt att snabbt identifiera och upptäcka IKT-risk och avvikelser i nätverks- och informationssystemen och att snabbt hantera IKT-relaterade incidenter,

e)

identifiera de viktigaste beroendena av tredjepartsleverantörer av IKT-tjänster,

f)

säkerställa kontinuiteten för kritiska eller viktiga funktioner genom kontinuitetsplaner och åtgärds- och återställningsåtgärder, vilket bland annat innefattar säkerhetskopiering och återskapande,

g)

regelbundet testa de planer och åtgärder som avses i led f, samt effektiviteten i de kontroller som genomförts i enlighet med leden a och c,

h)

i enlighet med vad som är lämpligt genomföra relevanta operativa slutsatser som härrör från de test som avses i led g och från efteranalyser av incidenter i IKT-riskbedömningsprocessen, och utifrån behoven och IKT-riskprofilen utarbeta program för medvetenhet om IKT-säkerhet och utbildning om digital operativ motståndskraft för personal och ledning.

2.   Den IKT-riskhanteringsram som avses i punkt 1 andra stycket a, ska dokumenteras och ses över regelbundet och vid uppkomsten av allvarliga IKT-relaterade incidenter, i enlighet med tillsynsinstruktionerna. Ramen ska förbättras fortlöpande baserat på erfarenheterna från genomförande och övervakning. En rapport om översynen av IKT-riskhanteringsramen ska överlämnas till den behöriga myndigheten på dess begäran.

3.   De europeiska tillsynsmyndigheterna ska, genom den gemensamma kommittén och i samråd med Enisa, utarbeta gemensamma förslag till tekniska standarder för tillsyn i syfte att

a)

närmare specificera vilka komponenter som ska ingå i den IKT-riskhanteringsram som avses i punkt 1 andra stycket a,

b)

närmare specificera komponenterna i förhållande till system, protokoll och verktyg för att minimera effekterna av IKT-risk som avses i punkt 1 andra stycket c, i syfte att säkerställa säkerheten i nätverken, möjliggöra lämpliga skyddsåtgärder mot intrång och missbruk av data och bevara datans tillgänglighet, äkthet, integritet och konfidentialitet,

c)

närmare specificera komponenterna i de IKT-kontinuitetsplaner som avses i punkt 1 andra stycket f,

d)

närmare specificera reglerna för testningen av kontinuitetsplanerna och säkerställa att de kontroller som avses i punkt 1 andra stycket g är effektiva, och säkerställa att det vid sådan testning tas tillräckligt stor hänsyn till scenarier där kvaliteten på tillhandahållandet av en kritisk eller viktig funktion försämras till en oacceptabel nivå eller tillhandahållandet avbryts,

e)

närmare specificera innehållet i och formatet för den rapport om översynen av IKT-riskhanteringsramen som avses i punkt 2.

När de europeiska tillsynsmyndigheterna utarbetar dessa förslag till tekniska standarder för tillsyn ska de ta hänsyn till den finansiella entitetens storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i dess tjänster, verksamhet och insatser.

De europeiska tillsynsmyndigheterna ska överlämna dessa förslag till tekniska standarder för tillsyn till kommissionen senast den 17 januari 2024.

Kommissionen ges befogenhet att komplettera denna förordning genom att anta de tekniska standarder för tillsyn som avses i första stycket i enlighet med artiklarna 10–14 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

KAPITEL III

Hantering av, klassificering av och rapportering om IKT-relaterade incidenter

Artikel 17

Process för hantering av IKT-relaterade incidenter

1.   Finansiella entiteter ska fastställa, inrätta och genomföra en process för hantering av IKT-relaterade incidenter för att upptäcka, hantera och rapportera IKT-relaterade incidenter.

2.   Finansiella entiteter ska registrera alla IKT-relaterade incidenter och betydande cyberhot. Finansiella entiteter ska inrätta lämpliga förfaranden och processer för att säkerställa en konsekvent och integrerad övervakning, hantering och uppföljning av IKT-relaterade incidenter, för att säkerställa att grundorsakerna identifieras, dokumenteras och åtgärdas i syfte att förhindra att sådana incidenter inträffar.

3.   Den process för hantering av IKT-relaterade incidenter som avses i punkt 1 ska

a)

införa indikatorer för tidig varning,

b)

innehålla fastställda förfaranden för att identifiera, spåra, logga, kategorisera och klassificera IKT-relaterade incidenter enligt deras prioritetsordning och allvar och enligt de berörda tjänsternas kritikalitet i enlighet med de kriterier som fastställs i artikel 18.1,

c)

innehålla en fördelning av roller och ansvarsområden som behöver aktiveras för olika IKT-relaterade incidenttyper och scenarier,

d)

innehålla planer för kommunikation till personal, externa berörda parter och medier i enlighet med artikel 14 och för anmälan till kunder, för interna eskaleringsförfaranden, inbegripet IKT-relaterade kundklagomål, samt för tillhandahållande av information till finansiella entiteter som fungerar som motparter, beroende på vad som är lämpligt,

e)

säkerställa att åtminstone allvarliga IKT-relaterade incidenter rapporteras till relevant senior ledning och att ledningsorganet informeras om åtminstone allvarliga IKT-relaterade incidenter, med en förklaring av effekter, åtgärder och ytterligare kontroller som ska fastställas till följd av sådana IKT-relaterade incidenter,

f)

innehålla fastställda förfaranden för åtgärder vid IKT-relaterade incidenter för att mildra effekterna och säkerställa att tjänsterna snabbt kan tas i drift och är säkra.

Artikel 18

Klassificering av IKT-relaterade incidenter och cyberhot

1.   Finansiella entiteter ska klassificera IKT-relaterade incidenter och fastställa deras inverkan baserat på följande kriterier:

a)

Antalet och/eller betydelsen av kunder eller finansiella motparter som påverkas, och i tillämpliga fall, mängden eller antalet transaktioner som påverkas av den IKT-relaterade incidenten, och om anseendet har påverkats av den IKT-relaterade incidenten.

b)

Den IKT-relaterade incidentens varaktighet, inklusive driftstopp.

c)

Den geografiska spridningen med avseende på de områden som påverkas av den IKT-relaterade incidenten, särskilt om den påverkar fler än två medlemsstater.

d)

De dataförluster som den IKT-relaterade incidenten medför, vad gäller tillgänglighet, äkthet, integritet eller konfidentialitet vad gäller datan

e)

De berörda tjänsternas kritikalitet, inbegripet den finansiella entitetens transaktioner och verksamhet.

f)

De ekonomiska effekterna, särskilt direkta och indirekta kostnader och förluster, av den IKT-relaterade incidenten i absoluta och relativa tal.

2.   Finansiella entiteter ska klassificera cyberhot som betydande baserat på de hotade tjänsternas kritikalitet, inbegripet den finansiella entitetens transaktioner och verksamhet, antalet och/eller betydelsen av kunder eller finansiella motparter som hotas och den geografiska spridningen av de hotade områdena.

3.   De europeiska tillsynsmyndigheterna ska, genom den gemensamma kommittén och i samråd med ECB och Enisa, utarbeta gemensamma förslag till tekniska standarder för tillsyn som ytterligare specificerar följande:

a)

De kriterier som anges i punkt 1, inbegripet väsentlighetströsklar för att fastställa allvarliga IKT-relaterade incidenter eller, i tillämpliga fall, allvarliga betalningsrelaterade operativa incidenter eller säkerhetsincidenter, som omfattas av rapporteringsskyldigheten i artikel 19.1.

b)

De kriterier som de behöriga myndigheterna ska tillämpa för att bedöma allvarliga IKT-relaterade incidenters eller, i tillämpliga fall, allvarliga betalningsrelaterade operativa incidenters eller säkerhetsincidenters relevans för de relevanta behöriga myndigheterna i andra medlemsstater och de detaljer i rapporter om allvarliga IKT-relaterade incidenter eller, i tillämpliga fall, allvarliga betalningsrelaterade operativa incidenter eller säkerhetsincidenter som ska delas med andra behöriga myndigheter enligt artikel 19.6 och 19.7.

c)

De kriterier som anges i punkt 2 i denna artikel, inbegripet höga väsentlighetströsklar för att fastställa betydande cyberhot.

4.   När de europeiska tillsynsmyndigheterna utarbetar de gemensamma förslag till tekniska standarder för tillsyn som avses i punkt 3 i denna artikel ska de ta hänsyn till kriterierna i artikel 4.2 samt internationella standarder, riktlinjer och specifikationer som har utarbetats och offentliggjorts av Enisa, inbegripet, när så är lämpligt, specifikationer för andra ekonomiska sektorer. Vid tillämpningen av kriterierna i artikel 4.2 ska de europeiska tillsynsmyndigheterna vederbörligen beakta behovet av att mikroföretag och små och medelstora företag mobiliserar tillräckliga resurser och tillräcklig kapacitet för att säkerställa att IKT-relaterade incidenter hanteras snabbt.

De europeiska tillsynsmyndigheterna ska överlämna dessa gemensamma förslag till tekniska standarder för tillsyn till kommissionen senast den 17 januari 2024.

Kommissionen ges befogenhet att komplettera denna förordning genom att anta de tekniska standarder för tillsyn som avses i punkt 3 i enlighet med artiklarna 10–14 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

Artikel 19

Rapportering av allvarliga IKT-relaterade incidenter och frivillig anmälan av betydande cyberhot

1.   Finansiella entiteter ska rapportera allvarliga IKT-relaterade incidenter till den relevanta behöriga myndighet som avses i artikel 46 i enlighet med punkt 4 i den här artikeln.

Om en finansiell entitet är föremål för tillsyn av mer än en sådan nationell behörig myndighet som avses i artikel 46 ska medlemsstaterna utse en enda behörig myndighet till relevant behörig myndighet med ansvar för att utföra de funktioner och skyldigheter som föreskrivs i denna artikel.

Kreditinstitut som klassificeras som betydande i enlighet med artikel 6.4 i förordning (EU) nr 1024/2013 ska rapportera allvarliga IKT-relaterade incidenter till den relevanta nationella behöriga myndighet som utsetts i enlighet med artikel 4 i direktiv 2013/36/EU, och myndigheten ska omedelbart översända den rapporten till ECB.

Vid tillämpning av första stycket ska finansiella entiteter, efter att ha samlat in och analyserat all relevant information, utarbeta den första anmälan och de rapporter som avses i punkt 4 i denna artikel med hjälp av de mallar som avses i artikel 20 och överlämna dem till den behöriga myndigheten. Om det visar sig vara tekniskt omöjligt att överföra den första anmälan med hjälp av mallen ska finansiella entiteter anmäla till den behöriga myndigheten på annat vis.

Den första anmälan och de rapporter som avses i punkt 4 ska innehålla all information som är nödvändig för att den behöriga myndigheten ska kunna fastställa betydelsen av den allvarliga IKT-relaterade incidenten och bedöma eventuella gränsöverskridande konsekvenser.

Utan att det påverkar den finansiella entitetens rapportering enligt första stycket till den relevanta behöriga myndigheten får medlemsstaterna även besluta att vissa eller alla finansiella entiteter dessutom till den första anmälan och de rapporter som avses i punkt 4 i denna artikel ska använda de mallar som avses i artikel 20 när de överlämnar anmälan och rapporterna till de behöriga myndigheterna eller de CSIRT-enheter som utsetts eller inrättats i enlighet med direktiv (EU) 2022/2555.

2.   Finansiella entiteter får på frivillig basis rapportera betydande cyberhot till den relevanta behöriga myndigheten, när de anser att hotet är relevant för det finansiella systemet, tjänsteanvändarna eller kunderna. Den relevanta behöriga myndigheten får lämna sådan information till de andra relevanta myndigheter som avses i punkt 6.

Kreditinstitut som klassificeras som betydande i enlighet med artikel 6.4 i förordning (EU) nr 1024/2013 får på frivillig basis rapportera betydande cyberhot till den relevanta nationella behöriga myndighet som utsetts i enlighet med artikel 4 i direktiv 2013/36/EU, och myndigheten ska omedelbart översända den anmälan till ECB.

Medlemsstaterna får fastställa att de finansiella entiteter som rapporterar på frivillig basis i enlighet med första stycket också får vidarebefordra den anmälan till de CSIRT-enheter som utsetts eller inrättats i enlighet med direktiv (EU) 2022/2555.

3.   Om en allvarlig IKT-relaterad incident inträffar och påverkar kunders ekonomiska intressen ska finansiella entiteter utan onödigt dröjsmål så snart de blir medvetna om den informera sina kunder om den allvarliga IKT-relaterade incidenten och om de åtgärder som har vidtagits för att mildra de negativa effekterna av en sådan incident.

I händelse av ett betydande cyberhot ska finansiella entiteter, i tillämpliga fall, informera de kunder som kan påverkas om alla lämpliga skyddsåtgärder som de sistnämnda kan överväga att vidta.

4.   Finansiella entiteter ska, inom de tidsfrister som ska fastställas i enlighet med artikel 20 första stycket a ii, lämna följande till den relevanta behöriga myndigheten:

a)

En första anmälan.

b)

En delrapport efter den första anmälan som avses i led a, så snart statusen för den ursprungliga incidenten har förändrats avsevärt eller hanteringen av den allvarliga IKT-relaterade incidenten har förändrats på grund av ny tillgänglig information, när så är lämpligt åtföljd av uppdaterade anmälningar varje gång en relevant statusuppdatering finns tillgänglig, samt på särskild begäran av den behöriga myndigheten.

c)

En slutrapport, när analysen av grundorsakerna har slutförts, oavsett om begränsande åtgärder redan har vidtagits, och när de faktiska påverkanssiffrorna finns tillgängliga för att ersätta uppskattningar.

5.   Finansiella entiteter får i enlighet med unionsrätten och nationell rätt på området utkontraktera rapporteringsskyldigheterna enligt denna artikel till en tredjepartsleverantör av tjänster. Vid sådan utkontraktering bär den finansiella entiteten det fulla ansvaret för efterlevnaden av incidentrapporteringskraven.

6.   Efter mottagandet av den första anmälan och av varje rapport som avses i punkt 4 ska den behöriga myndigheten skyndsamt lämna närmare uppgifter om den allvarliga IKT-relaterade incidenten till följande mottagare, i tillämpliga fall på grundval av deras respektive behörigheter:

a)

EBA, Esma eller Eiopa,

b)

ECB när det gäller de finansiella entiteter som avses i artikel 2.1 a, b och d,

c)

de behöriga myndigheter, de gemensamma kontaktpunkter eller de CSIRT-enheter som utsetts eller inrättats i enlighet med direktiv (EU) 2022/2555,

d)

de resolutionsmyndigheter som avses i artikel 3 i direktiv 2014/59/EU och den gemensamma resolutionsnämnden när det gäller sådana enheter som avses i artikel 7.2 i Europaparlamentets och rådets förordning (EU) nr 806/2014 (37) och när det gäller sådana enheter och koncerner som avses i artikel 7.4 b och 7.5 i förordning (EU) nr 806/2014 om sådana detaljer gäller incidenter som utgör en risk för säkerställandet av kritiska funktioner i den mening som avses i artikel 2.1.35 i direktiv 2014/59/EU, och

e)

andra relevanta offentliga myndigheter enligt nationell rätt.

7.   Efter att ha mottagit information i enlighet med punkt 6 ska EBA, Esma eller Eiopa och ECB, i samråd med Enisa och i samarbete med den relevanta behöriga myndigheten, bedöma huruvida den allvarliga IKT-relaterade incidenten är relevant för behöriga myndigheter i andra medlemsstater. Efter denna bedömning ska EBA, Esma eller Eiopa så snart som möjligt underrätta de relevanta behöriga myndigheterna i andra medlemsstater i ärendet. ECB ska underrätta medlemmarna i Europeiska centralbankssystemet om frågor som är relevanta för betalningssystemet. Baserat på denna underrättelse ska de behöriga myndigheterna vid behov vidta alla nödvändiga åtgärder för att skydda det finansiella systemets omedelbara stabilitet.

8.   Den anmälan som Esma ska göra enligt punkt 7 i denna artikel ska inte påverka den behöriga myndighetens skyldighet att skyndsamt översända uppgifterna om den allvarliga IKT-relaterade incidenten till den relevanta myndigheten i värdmedlemsstaten, om en värdepapperscentral har betydande gränsöverskridande verksamhet i värdmedlemsstaten, om den allvarliga IKT-relaterade incidenten sannolikt kommer att medföra allvarliga konsekvenser för finansmarknaderna i värdmedlemsstaten och om det finns samarbetsarrangemang mellan behöriga myndigheter som gäller tillsynen av finansiella entiteter.

Artikel 20

Harmonisering av rapporteringsinnehåll och mallar

De europeiska tillsynsmyndigheterna ska, genom den gemensamma kommittén och i samråd med Enisa och ECB, utarbeta

a)

gemensamma förslag till tekniska standarder för tillsyn för att

i)

fastställa innehållet i rapporterna om allvarliga IKT-relaterade incidenter, för att återspegla de kriterier som fastställts i artikel 18.1 och införliva ytterligare beståndsdelar, såsom detaljerna för att fastställa huruvida rapporteringen är relevant för andra medlemsstater och huruvida det utgör en allvarliga betalningsrelaterad operativ incident eller säkerhetsincident eller inte,

ii)

fastställa tidsfristerna för den första anmälan och för varje rapport som avses i artikel 19.4,

iii)

fastställa innehållet i anmälan om betydande cyberhot.

Vid utarbetandet av dessa förslag till tekniska standarder för tillsyn ska de europeiska tillsynsmyndigheterna ta hänsyn till den finansiella entitetens storlek och allmänna riskprofil samt karaktären på, omfattningen av och komplexiteten i dess tjänster, verksamhet och insatser, särskilt för att säkerställa att olika tidsfrister för tillämpningen av detta stycke led a ii, beroende på vad som är lämpligt, kan återspegla de finansiella sektorernas särdrag, utan att det påverkar upprätthållandet av en enhetlig strategi för IKT-relaterad incidentrapportering enligt denna förordning och i direktiv (EU) 2022/2555. De europeiska tillsynsmyndigheterna ska, beroende på vad som är tillämpligt, lämna en motivering när de avviker från de metoder som tillämpas inom ramen för det direktivet.

b)

gemensamma förslag till tekniska standarder för genomförande i syfte att fastställa standardformulär, mallar och förfaranden för finansiella entiteter för rapportering av en allvarlig IKT-relaterad incident eller anmälan av ett betydande cyberhot.

De europeiska tillsynsmyndigheterna ska överlämna de gemensamma förslag till tekniska standarder för tillsyn som avses i första stycket a och de gemensamma förslag till tekniska genomförandestandarder som avses i första stycket b till kommissionen senast den 17 juli 2024.

Kommissionen ges befogenhet att komplettera denna förordning genom att anta de gemensamma tekniska standarder för tillsyn som avses i första stycket a i enlighet med artiklarna 10–14 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

Kommissionen ges befogenhet att anta de gemensamma tekniska standarder för genomförande som avses i första stycket b i enlighet med artikel 15 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

Artikel 21

Centralisering av rapportering av allvarliga IKT-relaterade incidenter

1.   De europeiska tillsynsmyndigheterna ska, genom den gemensamma kommittén och i samråd med ECB och Enisa, utarbeta en gemensam rapport med en bedömning av genomförbarheten av ytterligare centralisering av incidentrapporteringen genom inrättandet av en gemensam EU-knutpunkt för finansiella entiteters rapportering av allvarliga IKT-relaterade incidenter. Den gemensamma rapporten ska innehålla en undersökning av olika sätt att underlätta flödet av IKT-relaterad incidentrapportering, minska de därmed sammanhängande kostnaderna och underbygga tematiska analyser i syfte att öka konvergensen i tillsynen.

2.   Den gemensamma rapport som avses i punkt 1 ska innehålla minst följande:

a)

Förutsättningar för att inrätta en gemensam EU-knutpunkt.

b)

Fördelar, begränsningar och risker, inbegripet risker förknippade med hög koncentration av känslig information.

c)

Nödvändig kapacitet för att säkerställa interoperabilitet med andra relevanta rapporteringssystem.

d)

Inslag i den operativa förvaltningen.

e)

Villkor för medlemskap.

f)

Tekniska arrangemang för att finansiella entiteter och nationella behöriga myndigheter ska få tillgång till den gemensamma EU-knutpunkten.

g)

En preliminär bedömning av de finansiella kostnaderna för inrättandet av den operativa plattformen till stöd för den gemensamma EU-knutpunkten, inklusive den sakkunskap som krävs.

3.   De europeiska tillsynsmyndigheterna ska överlämna den rapport som avses i punkt 1 till Europaparlamentet, rådet och kommissionen senast den 17 januari 2025.

Artikel 22

Återkoppling från tillsynsmyndigheterna

1.   Utan att det påverkar de tekniska uppgifterna, råden eller åtgärderna och efterföljande uppföljning, som i tillämpliga fall kan tillhandahållas i enlighet med nationell rätt, av CSIRT-enheterna enligt direktiv (EU) 2022/2555, ska den behöriga myndigheten, efter mottagandet av den första anmälan och av varje rapport som avses i artikel 19.4, bekräfta mottagandet och får, när så är möjligt, skyndsamt tillhandahålla relevant och proportionell återkoppling eller vägledning på hög nivå till den finansiella entiteten, särskilt genom att göra tillgänglig all eventuell relevant anonymiserad information och underrättelser om liknande hot, och får diskutera åtgärder som tillämpas på finansiell entitetsnivå, och sätt att minimera och mildra de negativa effekterna i den finansiella sektorn. Utan att det påverkar den återkoppling som mottagits från tillsynsmyndigheterna ska finansiella entiteter förbli fullt ansvariga för hanteringen av och konsekvenserna av IKT-relaterade incidenter som rapporteras enligt artikel 19.1.

2.   De europeiska tillsynsmyndigheterna ska genom den gemensamma kommittén årligen lämna anonymiserade och aggregerade rapporter om allvarliga IKT-relaterade incidenter, vars detaljer ska komma från behöriga myndigheter i enlighet med artikel 19.6, med angivande av åtminstone antalet allvarliga IKT-relaterade incidenter och deras art, inverkan på finansiella entiteters eller kunders verksamhet, vidtagna avhjälpande åtgärder och uppkomna kostnader.

De europeiska tillsynsmyndigheterna ska utfärda varningar och ta fram statistik på hög nivå till stöd för IKT-hot- och sårbarhetsbedömningar.

Artikel 23

Betalningsrelaterade operativa incidenter eller säkerhetsincidenter som gäller kreditinstitut, betalningsinstitut, leverantörer av kontoinformationstjänster och institut för elektroniska pengar

De krav som fastställs i detta kapitel ska också tillämpas på betalningsrelaterade operativa incidenter eller säkerhetsincidenter och på allvarliga betalningsrelaterade operativa incidenter eller säkerhetsincidenter, om de gäller kreditinstitut, betalningsinstitut, leverantörer av kontoinformationstjänster och institut för elektroniska pengar.

KAPITEL IV

Testning av digital operativ motståndskraft

Artikel 24

Allmänna krav för testning av digital operativ motståndskraft

1.   För att bedöma beredskapen för hantering av IKT-relaterade incidenter, identifiera svagheter, brister och luckor i den digitala operativa motståndskraften och snabbt genomföra korrigerande åtgärder ska andra finansiella entiteter än mikroföretag, med hänsyn till de kriterier som fastställs i artikel 4.2, inrätta, upprätthålla och se över ett sunt och heltäckande program för testning av digital operativ motståndskraft som en integrerad del av den IKT-riskhanteringsram som avses i artikel 6.

2.   Programmet för testning av digital operativ motståndskraft ska omfatta en rad bedömningar, tester, metoder, praxis och verktyg som ska tillämpas i enlighet med artiklarna 25 och 26.

3.   När andra finansiella entiteter än mikroföretag genomför det testprogram för digital operativ motståndskraft som avses i punkt 1 i denna artikel ska de följa en riskbaserad metod med hänsyn tagen till kriterierna i artikel 4.2 med vederbörligt beaktande av IKT-riskens utveckling, eventuella specifika risker som den berörda finansiella entiteten är eller kan bli exponerad för, kritikaliteten hos informationstillgångar och tillhandahållna tjänster samt varje annan faktor som den finansiella entiteten anser lämplig.

4.   Andra finansiella entiteter än mikroföretag ska se till att testerna utförs av oberoende parter, oavsett om de är interna eller externa. När tester utförs av en intern testare ska finansiella entiteter avsätta tillräckliga resurser och säkerställa att intressekonflikter kan undvikas under testets utformning och genomförande.

5.   Andra finansiella entiteter än mikroföretag ska fastställa förfaranden och strategier för prioritering, klassificering och åtgärdande av alla problem som visar sig under genomförandet av testerna och ska införa interna valideringsmetoder för att säkerställa att alla identifierade svagheter, brister eller luckor åtgärdas fullt ut.

6.   Andra finansiella entiteter än mikroföretag ska säkerställa, åtminstone årligen, att lämpliga tester utförs på alla IKT-system och IKT-tillämpningar som stöder kritiska eller viktiga funktioner.

Artikel 25

Testning av IKT-verktyg och IKT-system

1.   Det program för testning av digital operativ motståndskraft som avses i artikel 24 ska, i enlighet med kriterierna i artikel 4.2, innehålla bestämmelser om utförande av lämpliga tester, såsom sårbarhetsanalyser och skanningar, analyser av öppen källkod, nätverkssäkerhetsbedömningar, gapanalyser, fysiska säkerhetsgranskningar, frågeformulär och programvarulösningar för skanning, källkodsgranskningar när så är möjligt, scenariobaserade tester, kompatibilitetstester, prestandatester, tester ändpunkt till ändpunkt (end-to-end) och penetrationstester.

2.   Värdepapperscentraler och centrala motparter ska utföra sårbarhetsbedömningar före eventuellt införande eller återinförande av nya eller befintliga tillämpningar och infrastrukturkomponenter, och IKT-tjänster som stöder den finansiella entitetens kritiska eller viktiga funktioner,.

3.   Mikroföretag ska utföra de tester som avses i punkt 1 genom att kombinera en riskbaserad metod med strategisk planering av IKT-testning, genom att vederbörligen beakta behovet av att upprätthålla en balans mellan å ena sidan omfattningen av de resurser och den tid som ska avsättas för IKT-testning som föreskrivs i denna artikel och å andra sidan skyndsamheten, typen av risk, kritikaliteten hos informationstillgångarna och de tillhandahållna tjänsterna samt alla andra relevanta faktorer, inbegripet den finansiella entitetens förmåga att ta beräknade risker.

Artikel 26

Avancerad testning av IKT-verktyg, IKT-system och IKT-processer baserad på hotbildsstyrd penetrationstestning

1.   Andra finansiella entiteter än de entiteter som avses i artikel 16.1 första stycket och mikroföretag, vilka har identifierats i enlighet med punkt 8 tredje stycket i den här artikeln ska minst vart tredje år genomföra avancerade tester med hjälp av hotbildsstyrd penetrationstestning. Baserat på den finansiella entitetens riskprofil och med beaktande av de operativa omständigheterna får den behöriga myndigheten vid behov begära att den finansiella entiteten minskar eller ökar denna frekvens.

2.   Varje hotbildsstyrt penetrationstest ska omfatta flera eller alla av en finansiell entitets kritiska eller viktiga funktioner och ska utföras på produktionssystem i drift som stöder sådana funktioner.

Finansiella entiteter ska identifiera alla relevanta underliggande IKT-system, IKT-processer och IKT-tekniker som stöder kritiska eller viktiga funktioner och IKT-tjänster, inbegripet de som stöder de kritiska eller viktiga funktioner som har utkontrakterats eller kontrakterats till tredjepartsleverantörer av IKT-tjänster.

Finansiella entiteter ska bedöma vilka kritiska eller viktiga funktioner som behöver omfattas av den hotbildsstyrda penetrationstestningen. Resultatet av denna bedömning ska fastställa den exakta omfattningen av den hotbildsstyrda penetrationstestningen och ska valideras av de behöriga myndigheterna.

3.   Om tredjepartsleverantörer av IKT-tjänster omfattas av den hotbildsstyrda penetrationstestningen ska den finansiella entiteten vidta nödvändiga åtgärder och skyddsåtgärder för att säkerställa att sådana tredjepartsleverantörer av IKT-tjänster deltar i den hotbildsstyrda penetrationstestningen och ska alltid ha fullt ansvar för att säkerställa att denna förordning efterlevs.

4.   Utan att det påverkar tillämpningen av punkt 2 första och andra styckena får den finansiella entiteten och en tredjepartsleverantör av IKT-tjänster, om tredjepartsleverantörens deltagande i den hotbildsstyrda penetrationstestningen som avses i punkt 3 kan förväntas få negativ inverkan på kvaliteten eller säkerheten för de tjänster som tredjepartsleverantören av IKT-tjänster tillhandahåller till kunder som är entiteter som inte omfattas av denna förordning, eller för konfidentialiteten för data som är relaterade till sådana tjänster, skriftligen enas om att tredjepartsleverantören av IKT-tjänster ingår avtal med en extern testare i syfte att, under ledning av en utsedd finansiell entitet, genomföra en gemensam hotbildsstyrd penetrationstestning med flera finansiella entiteter (gemensam testning) till vilka tredjepartsleverantören av IKT-tjänster tillhandahåller IKT-tjänster.

Den gemensamma testningen ska omfatta det relevanta spektrum av IKT-tjänster som stöder kritiska eller viktiga funktioner som de finansiella entiteterna har ingått avtal om med respektive tredjepartsleverantör av IKT-tjänster. Den gemensamma testningen ska betraktas som hotbildsstyrd penetrationstestning utförd av de finansiella entiteter som deltar i den gemensamma testningen.

Antalet finansiella entiteter som deltar i den gemensamma testningen ska vederbörligen kalibreras med beaktande av de berörda tjänsternas komplexitet och typ.

5.   De finansiella entiteterna ska, i samarbete med tredjepartsleverantörer av IKT-tjänster och andra berörda parter, inbegripet testarna men exklusive de behöriga myndigheterna, tillämpa effektiva riskhanteringskontroller för att minska riskerna för möjliga effekter på data, skador på tillgångar och avbrott i kritiska eller viktiga funktioner, tjänster eller transaktioner hos den finansiella entiteten själv, dess motpart eller den finansiella sektorn.

6.   När testet har avslutats och efter det att rapporter och åtgärdsplaner har godkänts ska den finansiella entiteten och, i tillämpliga fall, de externa testarna förse den myndighet som utsetts i enlighet med punkt 9 eller 10 med en sammanfattning av de relevanta resultaten, åtgärdsplanerna och dokumentation som visar att den hotbildsstyrda penetrationstestningen har utförts i enlighet med kraven.

7.   Myndigheter ska förse finansiella entiteter med ett intyg som bekräftar att testet genomfördes i enlighet med kraven, vilket ska framgå av dokumentationen, i syfte att möjliggöra ömsesidigt erkännande av hotbildsstyrd penetrationstestning mellan behöriga myndigheter. Den finansiella entiteten ska underrätta den relevanta behöriga myndigheten om intyget, sammanfattningen av de relevanta resultaten och åtgärdsplanerna.

Utan att det påverkar tillämpligheten av ett sådant intyg ska de finansiella entiteterna alltid ha det fulla ansvaret för effekterna av de tester som avses i punkt 4.

8.   Finansiella entiteter ska anlita testare i syfte att genomföra hotbildsstyrd penetrationstestning i enlighet med artikel 27. Om finansiella entiteter använder interna testare för att genomföra hotbildsstyrd penetrationstestning ska de anlita externa testare vid vart tredje test.

De kreditinstitut som klassificeras som betydande i enlighet med artikel 6.4 i förordning (EU) nr 1024/2013 ska endast använda externa testare i enlighet med artikel 27.1 a–e.

De behöriga myndigheterna ska identifiera de finansiella entiteter som är skyldiga att genomföra hotbildsstyrd penetrationstestning med beaktande av kriterierna i artikel 4.2, baserat på en bedömning av följande:

a)

Påverkansfaktorer, särskilt i vilken utsträckning de tjänster som tillhandahålls och den verksamhet som bedrivs av den finansiella entiteten påverkar den finansiella sektorn.

b)

Eventuella farhågor om den finansiella stabiliteten, inbegripet den finansiella entitetens betydelse för systemet som helhet på unionsnivå eller nationell nivå, beroende på vad som är tillämpligt.

c)

Den berörda finansiella entitetens specifika IKT-riskprofil, IKT-mognadsgrad och tekniska funktioner.

9.   Medlemsstaterna får utse en enda offentlig myndighet inom finanssektorn som ska ansvara för frågor som rör hotbildsstyrd penetrationstestning inom den finansiella sektorn på nationell nivå och ska ge myndigheten alla befogenheter och uppgifter i detta syfte.

10.   Om det inte har utsetts någon myndighet i enlighet med punkt 9 i denna artikel, och utan att det påverkar befogenheten att välja ut vilka finansiella entiteter som är skyldiga att utföra hotbildsstyrd penetrationstestning, får en behörig myndighet delegera vissa eller alla av de uppgifter som avses i denna artikel och artikel 27 till en annan nationell myndighet inom den finansiella sektorn.

11.   De europeiska tillsynsmyndigheterna ska, i samförstånd med ECB, utarbeta gemensamma förslag till tekniska standarder för tillsyn i enlighet med TIBER-EU-ramen i syfte att närmare specificera

a)

de kriterier som används för tillämpningen av punkt 8 andra stycket,

b)

kraven och standarderna för användning av interna testare

c)

kraven i fråga om

i)

omfattningen av den hotbildsstyrda penetrationstestning som avses i punkt 2,

ii)

den testmetod och det tillvägagångssätt som ska följas för varje specifik fas i testprocessen,

iii)

testningens resultat och avslutnings- och åtgärdsfaser,

d)

den typ av tillsynssamarbete och annat relevant samarbete som krävs för genomförandet av hotbildsstyrd penetrationstestning och för underlättande av det ömsesidiga erkännandet av sådan testning när det gäller finansiella entiteter som är verksamma i mer än en medlemsstat, för att det ska gå att införa lämplig nivå av tillsynsengagemang och ett flexibelt genomförande i syfte att ta hänsyn till särdragen hos finansiella delsektorer eller lokala finansmarknader.

När de europeiska tillsynsmyndigheterna utvecklar dessa förslag till tekniska standarder för tillsyn ska de ta vederbörlig hänsyn till eventuella särdrag som härrör från den särskilda karaktären på verksamheten i olika sektorer för finansiella tjänster.

De europeiska tillsynsmyndigheterna ska överlämna dessa förslag till tekniska standarder för tillsyn till kommissionen senast den 17 juli 2024.

Kommissionen ges befogenhet att komplettera denna förordning genom att anta de tekniska standarder för tillsyn som avses i första stycket i enlighet med artiklarna 10–14 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

Artikel 27

Krav för testare vid utförandet av hotbildsstyrd penetrationstestning

1.   Finansiella entiteter ska endast utföra sådana testare för att utföra hotbildsstyrd penetrationstestning som

a)

är allra bäst lämpade och har högst anseende,

b)

har teknisk och organisatorisk kapacitet och uppvisar särskild sakkunskap om underrättelser om hot, penetrationstestning och red-team-testning,

c)

har certifierats av ett ackrediteringsorgan i en medlemsstat eller ansluter sig till formella uppförandekoder eller etiska ramar,

d)

lämnar en oberoende försäkran eller en revisionsberättelse om sund riskhantering i samband med utförandet av hotbildsstyrd penetrationstestning, inbegripet relevant skydd av den finansiella entitetens konfidentiella information och ersättning för den finansiella entitetens affärsrisker,

e)

har en relevant och heltäckande ansvarsförsäkring som omfattar risker för fel och försummelser i yrkesutövningen.

2.   Vid användandet av interna testare ska finansiella entiteter säkerställa att, utöver villkoren i punkt 1, följande villkor är uppfyllda:

a)

Sådan användning av dem har godkänts av den relevanta behöriga myndigheten eller av den enda offentliga myndighet som utsetts i enlighet med artikel 26.9 och 26.10.

b)

Den relevanta behöriga myndigheten har verifierat att den finansiella entiteten har avsatt tillräckliga resurser och säkerställt att intressekonflikter kan undvikas under testets utformning och genomförande.

c)

Leverantören av underrättelser om hot är extern i förhållande till den finansiella entiteten.

3.   Finansiella entiteter ska se till att avtal som ingås med externa testare innehåller krav på en sund förvaltning av resultaten av den hotbildsstyrda penetrationstestningen och att all databehandling av dem, inbegripet generering, lagring, aggregering, utkast, rapportering, kommunikation eller förstörelse, inte skapar risker för den finansiella entiteten.

KAPITEL V

Hantering av IKT-tredjepartsrisker

Avsnitt I

Huvudprinciper för en sund hantering av IKT-tredjepartsrisker

Artikel 28

Allmänna principer

1.   Finansiella entiteter ska hantera IKT-tredjepartsrisker som en integrerad del av IKT-risken inom sin IKT-riskhanteringsram som avses i artikel 6.1, och i enlighet med följande principer:

a)

De finansiella entiteter som har ingått ett kontraktsmässigt arrangemang om användningen av IKT-tjänster för att bedriva sin affärsverksamhet ska alltid ha det fulla ansvaret för uppfyllandet och fullgörandet av alla skyldigheter enligt denna förordning och tillämplig rätt avseende finansiella tjänster.

b)

Finansiella entiteters hantering av IKT-tredjepartsrisker ska genomföras med hänsyn till proportionalitetsprincipen, med beaktande av

i)

IKT-relaterade beroendens karaktär, omfattning, komplexitet och betydelse,

ii)

de risker som uppstår till följd av kontraktsmässiga arrangemang om användningen av IKT-tjänster som har ingåtts med tredjepartsleverantörer av IKT-tjänster, med hänsyn till den kritikaliteten eller betydelsen av respektive tjänst, process eller funktion, och den potentiella inverkan på kontinuiteten och tillgängligheten hos finansiella tjänster och verksamheter, på individuell nivå och på koncernnivå.

2.   Som en del av sin IKT-riskhanteringsram ska andra finansiella entiteter än de enheter som avses i artikel 16.1 första stycket och mikroföretag anta och regelbundet se över en strategi för IKT-tredjepartsrisk, med beaktande av den strategi för flera olika leverantörer som avses i artikel 6.9 i tillämpliga fall. Strategin för IKT-tredjepartsrisk ska omfatta riktlinjer för användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner och som tillhandahålls av tredjepartsleverantörer av IKT-tjänster och ska tillämpas individuellt och, i förekommande fall, på undergrupps- och gruppnivå. Ledningsorganet ska, baserat på en bedömning av den finansiella entitetens allmänna riskprofil samt omfattningen av och komplexiteten i entitetens affärstjänster, regelbundet se över de risker som har identifierats vad gäller kontraktsmässiga arrangemang för användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner.

3.   Som en del av sin IKT-riskhanteringsram ska finansiella entiteter upprätthålla och uppdatera ett register med information på entitetsnivå, undergrupps- och gruppnivå om alla kontraktsmässiga arrangemang som rör användningen av IKT-tjänster som tillhandahålls av tredjepartsleverantörer av IKT-tjänster.

De kontraktsmässiga arrangemang som avses i första stycket ska dokumenteras på lämpligt sätt, varvid åtskillnad ska göras mellan de kontraktsmässiga arrangemang som omfattar kritiska eller viktiga funktioner och de som inte gör det.

Finansiella entiteter ska minst en gång per år rapportera till de behöriga myndigheterna om antalet nya arrangemang för användningen av IKT-tjänster, kategorierna av tredjepartsleverantörer av IKT-tjänster, typen av kontraktsmässigt arrangemang och de IKT-tjänster och funktioner som tillhandahålls.

Finansiella entiteter ska på begäran ge den behöriga myndigheten tillgång till det fullständiga registret eller angivna avsnitt av registret, tillsammans med all information som anses nödvändig för att möjliggöra en effektiv tillsyn av den finansiella entiteten.

Finansiella entiteter ska i god tid informera den behöriga myndigheten om eventuella planerade kontraktsmässiga arrangemang för användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner samt när en funktion har blivit kritisk eller viktig.

4.   Innan finansiella entiteter ingår ett kontraktsmässigt arrangemang om användning av IKT-tjänster ska de

a)

bedöma om det kontraktsmässiga arrangemanget omfattar användningen av IKT-tjänster som stöder en kritisk eller viktig funktion,

b)

bedöma om tillsynsvillkoren för utkontraktering är uppfyllda,

c)

identifiera och bedöma alla relevanta risker i samband med det kontraktsmässiga arrangemanget, inbegripet möjligheten att sådana kontraktsmässiga arrangemang kan bidra till att förstärka IKT-koncentrationsrisken enligt artikel 29,

d)

genomföra all due diligence-granskning av potentiella tredjepartsleverantörer av IKT-tjänster och under urvals- och bedömningsprocesserna se till att tredjepartsleverantören av IKT-tjänster är lämplig,

e)

identifiera och bedöma intressekonflikter som det kontraktsmässiga arrangemanget kan orsaka.

5.   Finansiella entiteter får endast ingå kontraktsmässiga arrangemang med tredjepartsleverantörer av IKT-tjänster som uppfyller lämpliga standarder för informationssäkerhet. När dessa kontraktsmässiga arrangemang gäller kritiska eller viktiga funktioner ska finansiella entiteter, innan de ingår arrangemangen, vederbörligen beakta huruvida tredjepartsleverantörerna av IKT-tjänster använder de senaste och mest högkvalitativa standarderna för informationssäkerhet.

6.   När finansiella entiteter utövar åtkomst-, inspektions- och revisionsrättigheter gentemot tredjepartsleverantören av IKT-tjänster ska de baserat på en riskbaserad metod på förhand fastställa frekvensen för revisioner och inspektioner samt de områden som ska granskas genom att följa allmänt accepterade revisionsstandarder i enlighet med eventuella tillsynsinstruktioner om användning och införlivande av sådana revisionsstandarder.

Om kontraktsmässiga arrangemang som ingås med tredjepartsleverantörer av IKT-tjänster om användningen av IKT-tjänster medför hög teknisk komplexitet ska den finansiella entiteten kontrollera att revisorer, oavsett om de är interna eller externa eller ingår i en pool av revisorer, har lämpliga färdigheter och kunskaper för att effektivt kunna utföra de relevanta revisionerna och bedömningarna.

7.   Finansiella entiteter ska se till att kontraktsmässiga arrangemang om användning av IKT-tjänster kan avslutas under någon av följande omständigheter:

a)

Tredjepartsleverantören av IKT-tjänster bryter på ett betydande sätt mot tillämpliga lagar, förordningar eller avtalsvillkor.

b)

Omständigheter har identifierats under övervakningen av IKT-tredjepartsrisker som bedöms kunna ändra prestandan hos de funktioner som tillhandahålls genom det kontraktsmässiga arrangemanget, inbegripet väsentliga förändringar som påverkar arrangemanget eller situationen för tredjepartsleverantören av IKT-tjänster.

c)

IKT-tredjepartsleverantören har påvisade svagheter vad gäller sin övergripande IKT-riskhantering och i synnerhet det sätt på vilket den säkerställer tillgänglighet, äkthet, integritet och konfidentialitet för data, oavsett om det är personuppgifter eller på annat sätt känsliga uppgifter eller icke-personuppgifter.

d)

Om den behöriga myndigheten inte längre effektivt kan utöva tillsyn över den finansiella entiteten till följd av villkoren i eller omständigheter relaterade till respektive kontraktsmässiga arrangemang.

8.   När det gäller IKT-tjänster som stöder kritiska eller viktiga funktioner ska finansiella entiteter införa exitstrategier. Exitstrategierna ska ta hänsyn till risker som kan uppstå hos tredjepartsleverantörerna av IKT-tjänster, i synnerhet eventuella fel hos dessa, försämring av kvaliteten på de IKT-tjänster som tillhandahålls, eventuella avbrott i verksamheten på grund av olämpligt eller misslyckat tillhandahållande av IKT-tjänster eller eventuella väsentliga risker som uppstår i samband med en lämplig och kontinuerlig användning av respektive IKT-tjänst, eller uppsägning av kontraktsmässiga arrangemang med tredjepartsleverantörer av IKT-tjänster under någon av de omständigheter som anges i punkt 7.

Finansiella entiteter ska säkerställa att de kan säga upp kontraktsmässiga arrangemang utan

a)

avbrott i sin affärsverksamhet,

b)

begränsning av efterlevnaden av lagstadgade krav,

c)

skada på kontinuiteten och kvaliteten hos de tjänster som tillhandahålls kunder.

Exitplanerna ska vara heltäckande och dokumenterade och de ska, i enlighet med kriterierna i artikel 4.2, vara tillräckligt testade och ska regelbundet ses över.

Finansiella entiteter ska identifiera alternativa lösningar och utarbeta övergångsplaner som gör det möjligt för dem att avlägsna de kontrakterade IKT-tjänsterna och relevanta data från tredjepartsleverantören av IKT-tjänster och på ett säkert och fullständigt sätt överföra dem till alternativa leverantörer eller återintegrera dem internt.

Finansiella entiteter ska ha lämpliga beredskapsåtgärder på plats för att upprätthålla kontinuiteten i verksamheten vid uppkomst av de omständigheter som avses i första stycket.

9.   De europeiska tillsynsmyndigheterna ska genom den gemensamma kommittén utarbeta förslag till tekniska standarder för genomförande för att fastställa standardmallar för det register över uppgifter som avses i punkt 3, inbegripet uppgifter som är gemensamma för alla kontraktsmässiga arrangemang om användning av IKT-tjänster. De europeiska tillsynsmyndigheterna ska överlämna dessa förslag till tekniska standarder för genomförande till kommissionen senast den 17 januari 2024.

Kommissionen ges befogenhet att anta de tekniska standarder för genomförande som avses i första stycket i enlighet med artikel 15 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

10.   De europeiska tillsynsmyndigheterna ska genom den gemensamma kommittén utarbeta förslag till tekniska standarder för tillsyn för att närmare specificera det detaljerade innehållet i de riktlinjer som avses i punkt 2 i fråga om de kontraktsmässiga arrangemangen för användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner och som tillhandahålls av tredjepartsleverantörer av IKT-tjänster.

När de europeiska tillsynsmyndigheterna utarbetar dessa förslag till tekniska standarder för tillsyn ska de ta hänsyn till den finansiella entitetens storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i dess tjänster, verksamhet och insatser. De europeiska tillsynsmyndigheterna ska överlämna dessa förslag till tekniska standarder för tillsyn till kommissionen senast den 17 januari 2024.

Kommissionen ges befogenhet att komplettera denna förordning genom att anta de tekniska standarder för tillsyn som avses i första stycket i enlighet med artiklarna 10–14 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

Artikel 29

Preliminär bedömning av IKT-koncentrationsrisker på entitetsnivå

1.   När finansiella entiteter utför den identifiering och bedömning av risk som avses i artikel 28.4 c ska de även ta hänsyn till om det planerade ingåendet av ett kontraktsmässigt arrangemang avseende IKT-tjänster som stöder kritiska eller viktiga funktioner skulle leda till något av följande:

a)

Avtal med en tredjepartsleverantör av IKT-tjänster som inte är lätt utbytbar.

b)

Flera kontraktsmässiga arrangemang gällande tillhandahållande av IKT-tjänster som stöder kritiska eller viktiga funktioner med samma tredjepartsleverantör av IKT-tjänster eller med nära anknutna tredjepartsleverantörer av IKT-tjänster.

Finansiella entiteter ska väga fördelarna och kostnaderna med alternativa lösningar, t.ex. användning av olika tredjepartsleverantörer av IKT-tjänster, med hänsyn till om och hur planerade lösningar motsvarar de affärsbehov och mål som anges i deras strategi för digital motståndskraft.

2.   Om de kontraktsmässiga arrangemangen om användning av IKT-tjänster som stöder kritiska eller viktiga funktioner inbegriper möjligheten att en tredjepartsleverantör av IKT-tjänster lägger ut IKT-tjänster som stöder kritisk eller viktig funktion på underentreprenad till andra tredjepartsleverantörer av IKT-tjänster, ska finansiella entiteter väga de fördelar och risker som kan uppstå i samband med en sådan underentreprenad, särskilt när det gäller en IKT-underleverantör som är etablerad i ett tredjeland.

Om de kontraktsmässiga arrangemangen gäller IKT-tjänster som stöder kritiska eller viktiga funktioner ska finansiella entiteter vederbörligen ta hänsyn till de insolvensrättsliga bestämmelser som skulle vara tillämpliga om IKT-tjänsteleverantören går i konkurs samt eventuella begränsningar som kan uppstå när det gäller skyndsam återställning av den finansiella entitetens data.

Om kontraktsmässiga arrangemang om användning av IKT-tjänster som stöder kritiska eller viktiga funktioner ingås med en tredjepartsleverantör av IKT-tjänster som är etablerad i ett tredjeland ska finansiella entiteter utöver de hänsynstaganden som avses i andra stycket även beakta överensstämmelsen med unionens dataskyddsregler och den faktiska efterlevnaden av rätten i det tredjelandet.

Om de kontraktsmässiga arrangemangen om användning av IKT-tjänster som stöder kritiska eller viktiga funktioner medger underentreprenad, ska finansiella entiteter bedöma om och hur potentiellt långa eller komplexa underentreprenadskedjor kan påverka deras förmåga att till fullo övervaka de avtalade funktionerna och den behöriga myndighetens förmåga att effektivt övervaka den finansiella entiteten i detta avseende.

Artikel 30

Viktiga avtalsbestämmelser

1.   Rättigheterna och skyldigheterna för den finansiella entiteten och tredjepartsleverantören av IKT-tjänster ska vara tydligt fördelade och skriftligen angivna. Det fullständiga avtalet ska omfatta servicenivåavtalen och dokumenteras i ett skriftligt dokument som parterna ska ha tillgång till på papper eller i ett dokument med ett annat nedladdningsbart, varaktigt och tillgängligt format.

2.   De kontraktsmässiga arrangemangen för användning av IKT-tjänster ska innehålla åtminstone följande delar:

a)

En tydlig och fullständig beskrivning av alla funktioner och IKT-tjänster som ska tillhandahållas av tredjepartsleverantören av IKT-tjänster, med uppgift om huruvida underentreprenad av en IKT-tjänst som stöder en kritisk eller viktig funktion eller väsentliga delar därav, är tillåten och, när så är fallet, de villkor som gäller för sådan underentreprenad.

b)

De platser, nämligen regioner eller länder, där de funktioner och IKT-tjänster som har utkontrakterats eller lagts ut på underentreprenad ska tillhandahållas och var uppgifterna ska behandlas, inklusive lagringsplatsen, och ett krav på att tredjepartsleverantören av IKT-tjänster på förhand ska underrätta den finansiella entiteten om den planerar att ändra sådana platser.

c)

Bestämmelser om tillgänglighet, äkthet, integritet och konfidentialitet vad gäller skydd av data, inbegripet personuppgifter.

d)

Bestämmelser om säkerställande av åtkomst, återställande och återlämnande i ett lättillgängligt format av personuppgifter och andra uppgifter än personuppgifter som behandlas av den finansiella entiteten i händelse av insolvens, resolution eller nedläggning av verksamheten vad avser tredjepartsleverantören av IKT-tjänster, eller i händelse av uppsägning av de kontraktsmässiga arrangemangen.

e)

Beskrivningar av servicenivå, inbegripet uppdateringar och revideringar av dessa.

f)

Skyldigheten för tredjepartsleverantören av IKT-tjänster att tillhandahålla assistans till den finansiella entiteten utan extra kostnad, eller till en kostnad som fastställs på förhand, när en IKT-incident med anknytning till den IKT-tjänst som tillhandahålls den finansiella entiteten inträffar.

g)

Skyldigheten för tredjepartsleverantören av IKT-tjänster att samarbeta fullt ut med de behöriga myndigheterna och resolutionsmyndigheterna för den finansiella entiteten, inbegripet personer som har utsetts av dem.

h)

Uppsägningsrätt och tillhörande minsta uppsägningstid för uppsägning av det kontraktsmässiga arrangemanget, i enlighet med de behöriga myndigheternas och resolutionsmyndigheternas förväntningar.

i)

Villkoren för deltagande av tredjepartsleverantörer av IKT-tjänster i finansiella entiteters program för medvetenhet om IKT-säkerhet och utbildning om digital operativ motståndskraft i enlighet med artikel 13.6.

3.   De kontraktsmässiga arrangemangen om användning av IKT-tjänster som stöder kritiska eller viktiga funktioner ska, utöver de delar som avses i punkt 2, innehålla åtminstone följande:

a)

Beskrivningar av fullständig servicenivå, inklusive uppdateringar och revideringar av dessa, med exakta kvantitativa och kvalitativa prestationsmål inom de överenskomna servicenivåerna för att göra det möjligt för den finansiella entiteten att effektivt övervaka IKT-tjänster och göra det möjligt att utan onödigt dröjsmål vidta lämpliga korrigerande åtgärder när överenskomna servicenivåer inte uppnås.

b)

Anmälningsperioder och rapporteringsskyldigheter för tredjepartsleverantören av IKT-tjänster till den finansiella entiteten, inbegripet underrättelse om varje händelse som kan ha en väsentlig inverkan på IKT-tredjepartsleverantörens förmåga att effektivt tillhandahålla IKT-tjänster som stöder kritiska eller viktiga funktioner i linje med överenskomna servicenivåer.

c)

Krav på att tredjepartsleverantören av IKT-tjänster ska genomföra och testa beredskapsplaner för verksamheten och ha infört IKT-säkerhetsåtgärder, IKT-verktyg och IKT-strategier som ger en lämplig säkerhetsnivå vid tillhandahållande av tjänster från den finansiella entitetens sida i enlighet med dess regelverk.

d)

Skyldigheten för tredjepartsleverantören av IKT-tjänster att delta och fullt ut samarbeta i den finansiella entitetens hotbildsstyrda penetrationstestning enligt artiklarna 26 och 27.

e)

Rätten att fortlöpande övervaka prestandan hos tredjepartsleverantören av IKT-tjänster, vilket omfattar följande:

i)

Obegränsad rätt till tillgång till, inspektion och revision för den finansiella entiteten eller en utsedd tredjepart, och för den behöriga myndigheten, och rätt att ta kopior av relevant dokumentation på plats om de är kritiska för verksamheten hos tredjepartsleverantören av IKT-tjänster, vars faktiska utövande inte hindras eller begränsas av andra kontraktsmässiga arrangemang eller strategier för genomförande.

ii)

Rätten att komma överens om alternativa garantinivåer om andra kunders rättigheter påverkas.

iii)

Skyldigheten för tredjepartsleverantören av IKT-tjänster att samarbeta fullt ut under de inspektioner och revisioner på plats som utförs av de behöriga myndigheterna, den ledande tillsynsmyndigheten, den finansiella entiteten eller en utsedd tredjepart.

iv)

Skyldigheten att tillhandahålla närmare uppgifter om omfattningen, de förfaranden som ska följas och frekvensen för sådana inspektioner och revisioner.

f)

Exitstrategier, särskilt inrättande av en obligatorisk lämplig övergångsperiod

i)

under vilken tredjepartsleverantören av IKT-tjänster kommer att fortsätta att tillhandahålla respektive funktioner eller IKT-tjänster i syfte att minska risken för avbrott hos den finansiella entiteten, eller säkerställa en effektiv resolution och omstrukturering av denna,

ii)

som gör det möjligt för den finansiella entiteten att migrera till en annan tredjepartsleverantör av IKT-tjänster eller byta till interna lösningar som är förenliga med komplexiteten hos den tillhandahållna tjänsten.

Genom undantag från led e får tredjepartsleverantören av IKT-tjänster och en finansiell entitet som är ett mikroföretag komma överens om att den finansiella entitetens rätt till tillgång, inspektion och revision kan delegeras till en oberoende tredjepart som utsetts av tredjepartsleverantören av IKT-tjänster, och att den finansiella entiteten när som helst kan begära information och försäkran om IKT-tredjepartsleverantörens prestanda från den tredje parten.

4.   När finansiella entiteter och tredjepartsleverantörer av IKT-tjänster förhandlar om kontraktsmässiga arrangemang ska de överväga att använda standardavtalsklausuler som har utarbetats av offentliga myndigheter för specifika tjänster.

5.   De europeiska tillsynsmyndigheterna ska genom den gemensamma kommittén utarbeta förslag till tekniska standarder för tillsyn för att närmare specificera de delar som avses i punkt 2 a och som en finansiell entitet måste fastställa och bedöma när den lägger ut IKT-tjänster som stöder kritiska eller viktiga funktioner på underentreprenad.

När de europeiska tillsynsmyndigheterna utarbetar dessa förslag till tekniska standarder för tillsyn ska de ta hänsyn till den finansiella entitetens storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i dess tjänster, verksamhet och insatser.

De europeiska tillsynsmyndigheterna ska överlämna dessa förslag till tekniska standarder för tillsyn till kommissionen senast den 17 juli 2024.

Kommissionen ges befogenhet att komplettera denna förordning genom att anta de tekniska standarder för tillsyn som avses i första stycket i enlighet med artiklarna 10–14 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

Avsnitt II

Tillsynsram för kritiska tredjepartsleverantörer av IKT-tjänster

Artikel 31

Klassificering av tredjepartsleverantörer av IKT-tjänster som kritiska

1.   De europeiska tillsynsmyndigheterna ska, genom den gemensamma kommittén och på rekommendation av det tillsynsforum som har inrättats enligt artikel 32.1,

a)

klassificera tredjepartsleverantörer av IKT-tjänster som kritiska för finansiella entiteter, efter en bedömning som tar hänsyn till de kriterier som anges i punkt 2,

b)

utse till ledande tillsynsmyndighet för varje kritisk tredjepartsleverantör av IKT-tjänster den europeiska tillsynsmyndighet som är ansvarig enligt förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 eller (EU) nr 1095/2010 för de finansiella entiteter som tillsammans har den största andelen av de totala tillgångarna av värdet av de totala tillgångarna hos alla finansiella entiteter som utnyttjar tjänster från den relevanta kritiska tredjepartsleverantören av IKT-tjänster, i enlighet med vad som framgår av summan av dessa finansiella entiteters enskilda balansräkningar.

2.   Den klassificering som avses i punkt 1 a ska baseras på samtliga följande kriterier när det gäller IKT-tjänster som tillhandahålls av tredjepartsleverantören av IKT-tjänster:

a)

Systempåverkan på stabiliteten, kontinuiteten eller kvaliteten på tillhandahållandet av finansiella tjänster om den berörda tredjepartsleverantören av IKT-tjänster skulle drabbas av ett omfattande driftsavbrott i tillhandahållandet av tjänster, med tanke på antalet finansiella entiteter och det totala värdet av tillgångarna hos de finansiella entiteter som den berörda tredjepartsleverantören av IKT-tjänster tillhandahåller tjänster till.

b)

Påverkan på eller betydelsen för systemet av de finansiella entiteter som är beroende av den berörda tredjepartsleverantören av IKT-tjänster, bedömt enligt följande parametrar:

i)

Antalet globala systemviktiga institut eller andra systemviktiga institut som är beroende av respektive tredjepartsleverantör av IKT-tjänster.

ii)

Det ömsesidiga beroendet mellan de globala systemviktiga institut eller andra systemviktiga institut som avses i led i och andra finansiella entiteter, inbegripet situationer där de globala systemviktiga instituten eller andra systemviktiga instituten tillhandahåller finansiella infrastrukturtjänster till andra finansiella entiteter.

c)

Finansiella entiteters beroende av de tjänster som tillhandahålls av den berörda tredjepartsleverantören av IKT-tjänster i förhållande till kritiska eller viktiga funktioner hos de finansiella entiteter som i sista hand involverar samma tredjepartsleverantör av IKT-tjänster, oavsett om finansiella entiteter direkt eller indirekt är beroende av dessa tjänster, med hjälp av eller genom underleverantörsavtal.

d)

Graden av utbytbarhet hos tredjepartsleverantören av IKT-tjänster, med beaktande av följande parametrar:

i)

Avsaknad av verkliga alternativ, även delvis, på grund av det begränsade antalet tredjepartsleverantörer av IKT-tjänster som är verksamma på en viss marknad, eller marknadsandelen för den berörda tredjepartsleverantören av IKT-tjänster, eller den tekniska komplexiteten eller avancerade karaktären, inbegripet i förhållande till eventuell proprietär teknik, eller särdragen hos IKT-tredjepartsleverantörens organisation eller verksamhet.

ii)

Svårigheter när det gäller att helt eller delvis migrera relevanta data och arbetsbelastningar från den berörda tredjepartsleverantören av IKT-tjänster till en annan tredjepartsleverantör av IKT-tjänster, på grund av betydande finansiella kostnader, tidsåtgång eller andra resurser som migrationsprocessen kan medföra, eller på grund av ökad IKT-risk eller andra operativa risker som den finansiella entiteten kan utsättas för genom sådan migration.

3.   Om tredjepartsleverantören av IKT-tjänster ingår i en koncern ska de kriterier som avses i punkt 2 beaktas vad avser de IKT-tjänster som koncernen som helhet tillhandahåller.

4.   Kritiska tredjepartsleverantörer av IKT-tjänster som ingår i en koncern ska utse en juridisk person till samordningspunkt för att säkerställa lämplig representation och kommunikation med den ledande tillsynsmyndigheten.

5.   Den ledande tillsynsmyndigheten ska underrätta tredjepartsleverantören av IKT-tjänster om resultatet av den bedömning som leder till den klassificering som avses i punkt 1 a. Inom sex veckor från dagen för anmälan får tredjepartsleverantören av IKT-tjänster lämna in ett motiverat uttalande till den ledande tillsynsmyndigheten med all relevant information för bedömningen. Den ledande tillsynsmyndigheten ska beakta det motiverade uttalandet och får begära att ytterligare information lämnas inom 30 kalenderdagar efter mottagandet av ett sådant uttalande.

Efter att ha klassificerat en tredjepartsleverantör av IKT-tjänster som kritisk ska de europeiska tillsynsmyndigheterna, genom den gemensamma kommittén, underrätta tredjepartsleverantören av IKT-tjänster om klassificeringen och från och med vilket datum tredjepartsleverantören faktiskt kommer att omfattas av tillsynsverksamhet. Detta startdatum ska inträffa senast en månad efter anmälan. Tredjepartsleverantören av IKT-tjänster ska underrätta de finansiella entiteter som den tillhandahåller tjänster om att den klassificeras som kritisk.

6.   Kommissionen ges befogenhet att anta en delegerad akt i enlighet med artikel 57 för att komplettera denna förordning genom att närmare specificera kriterierna i punkt 2 i den här artikeln senast den 17 juli 2024.

7.   Den klassificering som avses i punkt 1 a får inte användas förrän kommissionen har antagit en delegerad akt i enlighet med punkt 6.

8.   Den klassificering som avses i punkt 1 a får inte tillämpas på följande:

i)

Finansiella entiteter som tillhandahåller IKT-tjänster till andra finansiella entiteter.

ii)

Tredjepartsleverantörer av IKT-tjänster som omfattas av tillsynsramar som har inrättats till stöd för de uppgifter som avses i artikel 127.2 i fördraget om Europeiska unionens funktionssätt.

iii)

Koncerninterna IKT-tjänsteleverantörer.

iv)

Tredjepartsleverantörer av IKT-tjänster som endast tillhandahåller IKT-tjänster i en medlemsstat till finansiella entiteter som endast är verksamma i den medlemsstaten.

9.   De europeiska tillsynsmyndigheterna ska genom den gemensamma kommittén upprätta, offentliggöra och årligen uppdatera förteckningen över kritiska tredjepartsleverantörer av IKT-tjänster på unionsnivå.

10.   Vid tillämpning av punkt 1 a ska de behöriga myndigheterna årligen och i aggregerad form översända de rapporter som avses i artikel 28.3 tredje stycket till det tillsynsforum som har inrättats enligt artikel 32. Tillsynsforumet ska bedöma finansiella entiteters IKT-beroende gentemot tredjepart baserat på den information som har mottagits från de behöriga myndigheterna.

11.   De tredjepartsleverantörer av IKT-tjänster som inte ingår i den förteckning som avses i punkt 9 får begära att bli klassificerade som kritiska i enlighet med punkt 1 a.

Vid tillämpning av första stycket ska tredjepartsleverantören av IKT-tjänster lämna in en motiverad ansökan till EBA, Esma eller Eiopa, som genom den gemensamma kommittén ska besluta huruvida den tredjepartsleverantören av IKT-tjänster ska klassificeras som kritisk i enlighet med punkt 1 a.

Det beslut som avses i andra stycket ska antas och meddelas tredjepartsleverantören av IKT-tjänster inom sex månader från mottagandet av ansökan.

12.   Finansiella entiteter ska endast använda sig av de tjänster som en tredjepartsleverantör av IKT-tjänster som är etablerad i ett tredjeland och som har klassificerats som kritisk i enlighet med punkt 1 a erbjuder om den har etablerat ett dotterföretag i unionen inom tolv månader efter klassificeringen.

13.   Den kritiska tredjepartsleverantör av IKT-tjänster som avses i punkt 12 ska underrätta den ledande tillsynsmyndigheten om eventuella ändringar av ledningsstrukturen för det dotterföretag som är etablerat i unionen.

Artikel 32

Tillsynsramens struktur

1.   Den gemensamma kommittén ska i enlighet med artikel 57.1 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010, inrätta tillsynsforumet som en underkommitté för att stödja arbetet i den gemensamma kommittén och i den ledande tillsynsmyndighet som avses i artikel 31.1 b inom området för IKT-tredjepartsrisker i alla finansiella sektorer. Tillsynsforumet ska utarbeta utkast till gemensamma ståndpunkter och utkast till gemensamma akter från den gemensamma kommittén på detta område.

Tillsynsforumet ska regelbundet diskutera relevant utveckling när det gäller IKT-risk och IKT-sårbarheter och främja en konsekvent strategi för övervakning av IKT-tredjepartsrisk på unionsnivå.

2.   Tillsynsforumet ska årligen göra en gemensam bedömning av resultaten och slutsatserna av den tillsynsverksamhet som genomförts för alla kritiska tredjepartsleverantörer av IKT-tjänster och främja samordningsåtgärder för att öka finansiella entiteters digitala operativa motståndskraft, främja bästa praxis för hantering av IKT-koncentrationsrisker och undersöka riskreducerande åtgärder för sektorsövergripande risköverföring.

3.   Tillsynsforumet ska lägga fram heltäckande referensvärden för kritiska tredjepartsleverantörer av IKT-tjänster som ska antas av den gemensamma kommittén i form av gemensamma ståndpunkter från de europeiska tillsynsmyndigheterna i enlighet med artikel 56.1 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

4.   Tillsynsforumet ska bestå av följande:

a)

Ordförandena för de europeiska tillsynsmyndigheterna.

b)

En företrädare på hög nivå för den tjänstgörande personalen på den relevanta behöriga myndighet som avses i artikel 46 i varje medlemsstat.

c)

De verkställande direktörerna för varje europeisk tillsynsmyndighet och en företrädare för kommissionen, ESRB, ECB och Enisa som observatörer.

d)

När så är lämpligt, ytterligare en företrädare från en behörig myndighet som avses i artikel 46 i varje medlemsstat som observatör.

e)

I tillämpliga fall, en företrädare från de behöriga myndigheter som i enlighet med direktiv (EU) 2022/2555 har utsetts eller inrättats till ansvariga för tillsynen av en väsentlig eller viktig entitet om inte annat följer av det direktivet som har klassificerats som kritisk tredjepartsleverantör av IKT-tjänster som observatör.

Tillsynsforumet får, när så är lämpligt, rådfråga oberoende experter som utsetts i enlighet med punkt 6.

5.   Varje medlemsstat ska utse den relevanta behöriga myndighet vars anställde ska vara den företrädare på hög nivå som avses i punkt 4 första stycket b, och ska informera den ledande tillsynsmyndigheten om detta.

De europeiska tillsynsmyndigheterna ska på sin webbplats offentliggöra förteckningen över de företrädare på hög nivå från den befintliga personalen vid den relevanta behöriga myndigheten som utsetts av medlemsstaterna.

6.   De oberoende experter som avses i punkt 4 andra stycket ska utses av tillsynsforumet bland en pool av experter som väljs ut efter ett offentligt och transparent ansökningsförfarande.

De oberoende experterna ska utses baserat på sin sakkunskap om finansiell stabilitet, digital operativ motståndskraft och IKT-säkerhet. De ska handla oberoende och objektivt och uteslutande i hela unionens intresse och varken begära eller ta emot instruktioner från unionens institutioner eller organ, regeringen i någon medlemsstat eller något annat offentligt eller privat organ.

7.   I enlighet med artikel 16 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010 ska de europeiska tillsynsmyndigheterna senast den 17 juli 2024 vid tillämpningen av detta avsnitt utfärda riktlinjer för samarbetet mellan de europeiska tillsynsmyndigheterna och de behöriga myndigheterna som omfattar detaljerade förfaranden och villkor för fördelningen och utförandet av uppgifter mellan behöriga myndigheter och de europeiska tillsynsmyndigheterna och närmare uppgifter om det informationsutbyte som är nödvändiga för att de behöriga myndigheterna ska kunna säkerställa uppföljningen av de rekommendationer som riktas till kritiska tredjepartsleverantörer av IKT-tjänster enligt artikel 35.1 d.

8.   De krav som fastställs i detta avsnitt ska inte påverka tillämpningen av direktiv (EU) 2022/2555 och andra unionsregler om tillsyn som är tillämpliga på leverantörer av molntjänster.

9.   De europeiska tillsynsmyndigheterna ska, genom den gemensamma kommittén och på grundval av det förberedande arbete som utförs av tillsynsforumet, varje år lägga fram en rapport om tillämpningen av detta avsnitt för Europaparlamentet, rådet och kommissionen.

Artikel 33

Den ledande tillsynsmyndighetens uppgifter

1.   Den ledande tillsynsmyndigheten, som utsetts i enlighet med artikel 31.1 b, ska utöva tillsyn över de kritiska tredjepartsleverantörer av IKT-tjänster som den tilldelats och ska, när det gäller alla frågor som rör tillsynen, vara den huvudsakliga kontaktpunkten för dessa kritiska tredjepartsleverantörer av IKT-tjänster.

2.   Vid tillämpning av punkt 1 ska den ledande tillsynsmyndigheten bedöma huruvida varje kritisk tredjepartsleverantör av IKT-tjänster har infört heltäckande, sunda och effektiva regler, förfaranden, mekanismer och arrangemang för att hantera den IKT-risk som den kan medföra för finansiella entiteter.

Den bedömning som avses i första stycket ska huvudsakligen inriktas på IKT-tjänster som tillhandahålls av den kritiska tredjepartsleverantör av IKT-tjänster som stöder finansiella entiteters kritiska eller viktiga funktioner. Om det är nödvändigt för att hantera alla relevanta risker ska den bedömningen även omfatta IKT-tjänster som stöder andra funktioner än de som är kritiska eller viktiga.

3.   Den bedömning som avses i punkt 2 ska omfatta:

a)

IKT-krav för att i synnerhet säkerställa säkerhet, tillgänglighet, kontinuitet, skalbarhet och kvalitet hos de tjänster som den kritiska tredjepartsleverantören av IKT-tjänster tillhandahåller finansiella entiteter, samt förmåga att alltid upprätthålla höga standarder för tillgänglighet, äkthet, integritet eller konfidentialitet.

b)

Den fysiska säkerhet som bidrar till att säkerställa IKT-säkerheten, inbegripet säkerheten i lokaler, anläggningar och datacenter.

c)

Riskhanteringsprocesser, inbegripet IKT-riskhanteringsstrategier, IKT-kontinuitetspolicy och åtgärds- och återställningsplaner avseende IKT.

d)

Styrformer, inbegripet en organisationsstruktur med tydliga, transparenta och konsekventa regler för ansvar och ansvarsskyldighet som möjliggör en effektiv IKT-riskhantering.

e)

Identifiering, övervakning och snabb rapportering av väsentliga IKT-relaterade incidenter till finansiella entiteter, hantering och avhjälpande av dessa incidenter, särskilt cyberangrepp.

f)

Mekanismer för dataportabilitet, tillämpningsportabilitet och interoperabilitet, som säkerställer att finansiella entiteter effektivt kan utöva sin uppsägningsrätt.

g)

Testning av IKT-system, IKT-infrastruktur och IKT-kontroller.

h)

IKT-revisioner.

i)

Användning av relevanta nationella och internationella standarder som är tillämpliga på tillhandahållandet av leverantörens IKT-tjänster till finansiella entiteter.

4.   Baserat på den bedömning som avses i punkt 2, och i samordning med det gemensamma tillsynsnätverk som avses i artikel 34.1, ska den ledande tillsynsmyndigheten anta en tydlig, detaljerad och motiverad individuell tillsynsplan med en beskrivning av de årliga tillsynsmålen och de huvudsakliga tillsynsinsatser som planeras för varje kritisk tredjepartsleverantör av IKT-tjänster. Planen ska varje år meddelas den kritiska tredjepartsleverantören av IKT-tjänster.

Innan tillsynsplanen antas ska den ledande tillsynsmyndigheten överlämna utkastet till tillsynsplan till den kritiska tredjepartsleverantören av IKT-tjänster.

Vid mottagandet av utkastet till tillsynsplan får den kritiska tredjepartsleverantören av IKT-tjänster lämna in ett motiverat uttalande inom 15 kalenderdagar som dels styrker den förväntade inverkan på de kunder som är entiteter som faller utanför denna förordnings tillämpningsområde och dels, i förekommande fall, formulerar lösningar för att minska riskerna.

5.   När de årliga tillsynsplaner som avses i punkt 4 har antagits och anmälts till de kritiska tredjepartsleverantörerna av IKT-tjänster får de behöriga myndigheterna vidta åtgärder avseende sådana kritiska tredjepartsleverantörer av IKT-tjänster endast i samförstånd med den ledande tillsynsmyndigheten.

Artikel 34

Operativ samordning mellan ledande tillsynsmyndigheter

1.   För att säkerställa ett konsekvent tillvägagångssätt för tillsynsverksamheten och i syfte att möjliggöra samordnade allmänna tillsynsstrategier och sammanhängande operativa tillvägagångssätt och arbetsmetoder, ska de tre ledande tillsynsmyndigheter som utsetts i enlighet med artikel 31.1 b inrätta ett gemensamt tillsynsnätverk för att sinsemellan samordna de förberedande faserna och samordna genomförandet av tillsynsverksamheten för de respektive kritiska tredjepartsleverantörer av IKT-tjänster som de granskar, samt inom ramen för eventuella åtgärder som kan behövas enligt artikel 42.

2.   Vid tillämpning av punkt 1 ska de ledande tillsynsmyndigheterna utarbeta ett gemensamt tillsynsprotokoll som anger de detaljerade förfaranden som ska följas för den dagliga samordningen och för att säkerställa snabba utbyten och reaktioner. Protokollet ska regelbundet ses över för att återspegla de operativa behoven, särskilt utvecklingen av arrangemangen för den praktiska tillsynen.

3.   De ledande tillsynsmyndigheterna får från fall till fall uppmana ECB och Enisa att tillhandahålla teknisk rådgivning, dela med sig av praktiska erfarenheter eller delta i specifika samordningsmöten för det gemensamma tillsynsnätverket.

Artikel 35

Den ledande tillsynsmyndighetens befogenheter

1.   För att fullgöra de uppgifter som anges i detta avsnitt ska den ledande tillsynsmyndigheten vad gäller de kritiska tredjepartsleverantörerna av IKT-tjänster ha befogenhet att

a)

begära all relevant information och dokumentation i enlighet med artikel 37,

b)

genomföra allmänna utredningar och inspektioner i enlighet med artiklarna 38 respektive 39,

c)

efter det att tillsynsverksamheten har slutförts begära rapporter med angivande av de åtgärder som har vidtagits eller de avhjälpande åtgärder som har vidtagits av de kritiska tredjepartsleverantörerna av IKT-tjänster i samband med de rekommendationer som avses i led d i denna punkt,

d)

utfärda rekommendationer på de områden som avses i artikel 33.3, särskilt

i)

om tillämpning av specifika IKT-säkerhets- och kvalitetskrav eller IKT-processer, särskilt i samband med införandet av programfixar, uppdateringar, kryptering och andra säkerhetsåtgärder som den ledande tillsynsmyndigheten anser vara relevanta för att säkerställa IKT-säkerheten för tjänster som tillhandahålls till finansiella entiteter,

ii)

om användning av villkor, inbegripet deras tekniska genomförande, enligt vilka kritiska tredjepartsleverantörer av IKT-tjänster tillhandahåller IKT-tjänster till finansiella entiteter, som den ledande tillsynsmyndighetens bedömer är relevanta för att förhindra uppkomsten av felkritiska systemdelar (single points of failure) eller en förstärkning av dessa eller för att minimera de eventuella systemeffekterna inom unionens finansiella sektor i händelse av IKT-koncentrationsrisk,

iii)

om eventuell planerad underentreprenad, när den ledande tillsynsmyndigheten bedömer att ytterligare underentreprenad, inbegripet underentreprenadsavtal som de kritiska tredjepartsleverantörerna av IKT-tjänster planerar att ingå med tredjepartsleverantörer av IKT-tjänster eller med IKT-underleverantörer som är etablerade i ett tredjeland, kan utlösa risker för den finansiella entitetens tillhandahållande av tjänster eller risker för den finansiella stabiliteten, på grundval av granskningen av den information som samlas in i enlighet med artiklarna 37 och 38,

iv)

om att avstå från att ingå ytterligare underleverantörsavtal, om följande kumulativa villkor är uppfyllda, nämligen

den planerade underleverantören är en tredjepartsleverantör av IKT-tjänster eller en IKT-underleverantör som är etablerad i ett tredjeland,

underentreprenaden avser kritiska eller viktiga funktioner hos den finansiella entiteten, och

den ledande tillsynsmyndigheten anser att användningen av sådan underentreprenad utgör en klar och allvarlig risk för unionens finansiella stabilitet eller för finansiella entiteter, inbegripet finansiella entiteters förmåga att uppfylla tillsynskraven.

Vid tillämpning av led iv i detta led ska tredjepartsleverantörer av IKT-tjänster, med hjälp av den mall som avses i artikel 41.1 b, överföra informationen om underentreprenad till den ledande tillsynsmyndigheten.

2.   Vid utövandet av de befogenheter som avses i denna artikel ska den ledande tillsynsmyndigheten

a)

säkerställa regelbunden samordning inom det gemensamma tillsynsnätverket, och i synnerhet eftersträva konsekventa tillvägagångssätt, när så är lämpligt, vad gäller tillsynen av kritiska tredjepartsleverantörer av IKT-tjänster,

b)

ta vederbörlig hänsyn till den ram som fastställs i direktiv (EU) 2022/2555 och vid behov samråda med de relevanta behöriga myndigheter som utsetts eller inrättats i enlighet med det direktivet, för att undvika överlappning av tekniska och organisatoriska åtgärder som skulle kunna tillämpas på kritiska tredjepartsleverantörer av IKT-tjänster enligt det direktivet,

c)

sträva efter att i möjligaste mån minimera risken för avbrott i tjänster som kritiska tredjepartsleverantörer av IKT-tjänster tillhandahåller kunder som är entiteter som faller utanför denna förordnings tillämpningsområde.

3.   Den ledande tillsynsmyndigheten ska samråda med tillsynsforumet innan den utövar de befogenheter som avses i punkt 1.

Innan den ledande tillsynsmyndigheten utfärdar rekommendationer i enlighet med punkt 1 d ska den ge tredjepartsleverantören av IKT-tjänster möjlighet att inom 30 kalenderdagar tillhandahålla relevant information som dels styrker den förväntade inverkan på de kunder som är entiteter som faller utanför denna förordnings tillämpningsområde och dels, i förekommande fall, formulerar lösningar för att minska riskerna.

4.   Den ledande tillsynsmyndigheten ska informera det gemensamma tillsynsnätverket om resultatet av utövandet av de befogenheter som avses i punkt 1 a och b. Den ledande tillsynsmyndigheten ska utan onödigt dröjsmål översända de rapporter som avses i punkt 1 c till det gemensamma tillsynsnätverket och till de behöriga myndigheterna för de finansiella entiteter som använder de IKT-tjänster som tillhandahålls av den kritiska tredjepartsleverantören av IKT-tjänster.

5.   Kritiska tredjepartsleverantörer av IKT-tjänster ska samarbeta lojalt med den ledande tillsynsmyndigheten och bistå den vid fullgörandet av dess uppgifter.

6.   Den ledande tillsynsmyndigheten ska, vid helt eller delvis bristande efterlevnad av de åtgärder som ska vidtas enligt utövandet av befogenheterna i punkt 1 a, b och c och efter utgången av en period på minst 30 kalenderdagar från den dag då den kritiska tredjepartsleverantören av IKT-tjänster mottog anmälan om åtgärderna, anta ett beslut om föreläggande av vite för att tvinga den kritiska tredjepartsleverantören av IKT-tjänster att efterleva dessa åtgärder.

7.   Det vite som avses i punkt 6 ska åläggas dagligen till dess att efterlevnad har uppnåtts och i högst sex månader efter det att beslutet om vite har anmälts till den kritiska tredjepartsleverantören av IKT-tjänster.

8.   Vitesbeloppet, beräknat från det datum som anges i beslutet om föreläggande av vitet, ska vara upp till 1 % av den genomsnittliga globala omsättningen per dag för den kritiska tredjepartsleverantören av IKT-tjänster under det föregående räkenskapsåret. Den ledande tillsynsmyndigheten ska när den fastställer vitesbeloppet beakta följande kriterier för bristande efterlevnad av de åtgärder som avses i punkt 6:

a)

Den bristande efterlevnadens allvarlighetsgrad och varaktighet.

b)

Huruvida den bristande efterlevnaden är uppsåtlig eller beror på oaktsamhet.

c)

Viljan hos tredjepartsleverantören av IKT-tjänster att samarbeta med den ledande tillsynsmyndigheten.

Vid tillämpning av första stycket ska den ledande tillsynsmyndigheten samråda inom det gemensamma tillsynsnätverket för att säkerställa en konsekvent strategi.

9.   Vitet ska vara av administrativ karaktär och ska vara verkställbart. Verkställigheten ska följa de civilprocessrättsliga regler som gäller i den medlemsstat inom vars territorium inspektionerna och åtkomsten ska genomföras. Domstolarna i den berörda medlemsstaten ska vara behöriga att pröva klagomål som rör oegentligheter i verkställigheten. De belopp som åläggs i form av viten ska tillfalla Europeiska unionens allmänna budget.

10.   Den ledande tillsynsmyndigheten ska offentliggöra alla viten som har förelagts utom i de fall då offentliggörandet skulle skapa allvarlig oro på de finansiella marknaderna eller orsaka de berörda parterna oproportionellt stor skada.

11.   Innan ett vite åläggs enligt punkt 6 ska den ledande tillsynsmyndigheten ge företrädarna för den kritiska tredjepartsleverantör av IKT-tjänster som är föremål för förfarandet möjlighet att höras om de omständigheter som tillsynsmyndigheterna har påtalat, och den ska grunda sina beslut endast på omständigheter som den kritiska tredjepartsleverantören av IKT-tjänster som är föremål för förfarandet har haft möjlighet att yttra sig över.

Rätten till försvar för personer som är föremål för förfarandet ska iakttas fullt ut under förfarandet. Den kritiska tredjepartsleverantör av IKT-tjänster som är föremål för förfarandet ska ha rätt att få tillgång till ärendehandlingarna, med förbehåll för andra personers berättigade intresse av att deras affärshemligheter skyddas. Tillgången till ärendehandlingarna ska inte omfatta konfidentiella uppgifter eller ledande tillsynsmyndighetens interna förberedande handlingar.

Artikel 36

Den ledande tillsynsmyndighetens utövande av befogenheter utanför unionen

1.   Om tillsynsmålen inte kan uppnås genom samverkan med det dotterföretag som har etablerats i enlighet med artikel 31.12 eller genom utövande av tillsynsverksamhet i lokaler som är belägna i unionen, får den ledande tillsynsmyndigheten utöva de befogenheter som anges i följande bestämmelser i alla lokaler som är belägna i ett tredjeland och som ägs eller på något sätt används av en kritisk tredjepartsleverantör av IKT-tjänster i syfte att tillhandahålla tjänster till finansiella entiteter i unionen i samband med dess affärsverksamhet, funktioner eller tjänster, inbegripet alla administrativa kontor, företagslokaler eller driftställen, anläggningar, mark, byggnader eller annan egendom:

a)

I artikel 35.1 a.

b)

I artikel 35.1 b, i enlighet med artikel 38.2 a, b och d, artikel 39.1 och 39.2 a.

De befogenheter som avses i första stycket får utövas om samtliga följande villkor är uppfyllda:

i)

Den ledande tillsynsmyndigheten anser att en inspektion i ett tredjeland är nödvändig för att den fullt ut och på ett ändamålsenligt sätt ska kunna utföra sina uppgifter enligt denna förordning.

ii)

Inspektionen i ett tredjeland har ett direkt samband med tillhandahållandet av IKT-tjänster till finansiella entiteter i unionen.

iii)

Den berörda kritiska tredjepartsleverantören av IKT-tjänster samtycker till att en inspektion genomförs i ett tredjeland.

iv)

Den relevanta myndigheten i det berörda tredjelandet har underrättats officiellt av den ledande tillsynsmyndigheten och har inte gjort några invändningar mot detta.

2.   Utan att det påverkar unionsinstitutionernas och medlemsstaternas befogenheter ska EBA, Esma eller Eiopa vid tillämpningen av punkt 1 ingå arrangemang för administrativt samarbete med den relevanta myndigheten i det tredjelandet för att göra det möjligt för den ledande tillsynsmyndigheten och den grupp som den har utsett för uppdraget i det berörda tredjelandet att på ett smidigt sätt genomföra inspektioner i det tredjelandet. Dessa samarbetsarrangemang får inte medföra några rättsliga skyldigheter för unionen och dess medlemsstater eller hindra medlemsstaterna och deras behöriga myndigheter från att ingå bilaterala eller multilaterala arrangemang med dessa tredjeländer och deras relevanta myndigheter.

I dessa samarbetsarrangemang ska åtminstone följande anges:

a)

Förfarandena för samordning av den tillsynsverksamhet som genomförs enligt denna förordning och all motsvarande övervakning av IKT-tredjepartsrisker i den finansiella sektorn som utövas av den relevanta myndigheten i det berörda tredjelandet, inbegripet uppgifter för översändande av den sistnämndas samtycke så att den ledande tillsynsmyndigheten och dess utsedda grupp kan genomföra allmänna utredningar och inspektioner på plats enligt punkt 1 första stycket på det territorium som omfattas av dess jurisdiktion.

b)

Mekanismen för översändande av relevant information mellan EBA, Esma eller Eiopa och den relevanta myndigheten i det berörda tredjelandet, särskilt i samband med information som den ledande tillsynsmyndigheten kan begära enligt artikel 37.

c)

Mekanismerna för omedelbar anmälan till EBA, Esma eller Eiopa från den relevanta myndigheten i det berörda tredjelandet av fall där en tredjepartsleverantör av IKT-tjänster som är etablerad i ett tredjeland och har klassificerats som kritisk i enlighet med artikel 31.1 a anses ha åsidosatt de krav som den enligt det berörda tredjelandets tillämpliga rätt är skyldig att följa när den tillhandahåller tjänster till finansiella institut i det tredjelandet samt de avhjälpande åtgärder och sanktioner som tillämpas.

d)

Regelbundet översändande av uppdateringar om utvecklingen på reglerings- eller tillsynsområdet när det gäller övervakningen av IKT-tredjepartsrisker för finansiella institut i det berörda tredjelandet.

e)

Uppgifter som vid behov gör det möjligt för en företrädare för den relevanta myndigheten i det berörda tredjelandet att delta i de inspektioner som den ledande tillsynsmyndigheten och den utsedda gruppen genomför.

3.   När den ledande tillsynsmyndigheten inte kan genomföra sådan tillsynsverksamhet utanför unionen som avses i punkterna 1 och 2, ska den ledande tillsynsmyndigheten

a)

utöva sina befogenheter enligt artikel 35 på grundval av alla sakförhållanden som den känner till och dokument som den har tillgång till,

b)

dokumentera och förklara eventuella konsekvenser av att den inte är i stånd att genomföra den planerade tillsynsverksamhet som avses i denna artikel.

De potentiella konsekvenser som avses i led b i denna punkt ska beaktas i den ledande tillsynsmyndighetens rekommendationer, som utfärdas enligt artikel 35.1 d.

Artikel 37

Begäran om information

1.   Den ledande tillsynsmyndigheten får genom en enkel begäran eller genom ett beslut kräva att de kritiska tredjepartsleverantörerna av IKT-tjänster tillhandahåller all information som är nödvändig för att den ledande tillsynsmyndigheten ska kunna utföra sina uppgifter enligt denna förordning, inbegripet alla relevanta affärshandlingar och operativa dokument, avtal, strategier, dokumentation, rapporter från IKT-säkerhetsgranskningar, IKT-relaterade incidentrapporter samt all information som rör parter till vilka den kritiska tredjepartsleverantören av IKT-tjänster har utkontrakterat operativa funktioner eller verksamheter.

2.   När den ledande tillsynsmyndigheten skickar en enkel begäran om information enligt punkt 1 ska den

a)

hänvisa till denna artikel som rättslig grund för begäran,

b)

ange syftet med begäran,

c)

specificera vilka uppgifter som begärs,

d)

ange en tidsfrist inom vilken uppgifterna ska lämnas,

e)

underrätta företrädaren för den kritiska tredjepartsleverantör av IKT-tjänster av vilken uppgifterna begärs om att den inte är skyldig att lämna informationen, men att den information som lämnas vid ett frivilligt svar på begäran inte får vara oriktig eller vilseledande.

3.   När den ledande tillsynsmyndigheten begär uppgifter genom ett beslut enligt punkt 1 ska den

a)

hänvisa till denna artikel som rättslig grund för begäran,

b)

ange syftet med begäran,

c)

specificera vilka uppgifter som begärs,

d)

ange en tidsfrist inom vilken uppgifterna ska lämnas,

e)

ange de viten som föreskrivs i artikel 35.6 om den begärda informationen är ofullständig eller om informationen inte tillhandahålls inom den tidsfrist som anges i led d i den här punkten,

f)

informera om rätten att överklaga beslutet till de europeiska tillsynsmyndigheternas överklagandenämnd och att få beslutet prövat av Europeiska unionens domstol (domstolen) i enlighet med artiklarna 60 och 61 i förordning (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

4.   Företrädarna för de kritiska tredjepartsleverantörerna av IKT-tjänster ska tillhandahålla den begärda informationen. I behörig ordning befullmäktigade advokater får lämna de begärda uppgifterna på sina huvudmäns vägnar. Den kritiska tredjepartsleverantören av IKT-tjänster förblir ansvarig fullt ut om de lämnade uppgifterna är ofullständiga, oriktiga eller vilseledande.

5.   Den ledande tillsynsmyndigheten ska utan dröjsmål översända en kopia av beslutet om tillhandahållande av information till de behöriga myndigheterna för de finansiella entiteter som använder berörd kritisk tredjepartsleverantörs IKT-tjänster och till det gemensamma tillsynsnätverket.

Artikel 38

Allmänna utredningar

1.   För att fullgöra sina uppgifter enligt denna förordning får den ledande tillsynsmyndigheten, med bistånd av den gemensamma undersökningsgrupp som avses i artikel 40.1, vid behov genomföra utredningar av kritiska tredjepartsleverantörer av IKT-tjänster.

2.   Den ledande tillsynsmyndigheten ska ha befogenhet att

a)

granska handlingar, uppgifter, rutiner och allt annat material av relevans för utförandet av dess uppgifter oberoende av i vilken form de föreligger,

b)

ta eller erhålla bestyrkta kopior av, eller utdrag ur, sådana handlingar, uppgifter, dokumenterade förfaranden och allt annat material,

c)

kalla till sig företrädare för den kritiska tredjepartsleverantören av IKT-tjänster och be dem om muntliga eller skriftliga förklaringar angående sakförhållanden eller dokument som rör föremålet för och syftet med utredningen samt nedteckna svaren,

d)

höra varje annan fysisk eller juridisk person som går med på att höras i syfte att samla in information om föremålet för utredningen,

e)

begära in uppgifter om tele- och datatrafik.

3.   De tjänstemän och andra personer som av den ledande tillsynsmyndigheten har bemyndigats att genomföra sådana utredningar som avses i punkt 1 ska utöva sina befogenheter mot uppvisande av ett skriftligt tillstånd där utredningens föremål och syfte anges.

I tillståndet ska även anges de viten som föreskrivs i artikel 35.6 om den dokumentation, de uppgifter, de dokumenterade förfaranden eller annat material som krävs eller svaren på frågor till företrädare för tredjepartsleverantören av IKT-tjänster inte tillhandahålls eller är ofullständiga.

4.   Företrädarna för kritiska tredjepartsleverantörer av IKT-tjänster är skyldiga att underkasta sig utredningarna på grundval av ett beslut av den ledande tillsynsmyndigheten. Beslutet ska ange föremålet för och syftet med utredningen, de viten som föreskrivs i artikel 35.6, de rättsmedel som finns tillgängliga enligt förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010 samt rätten att få beslutet prövat av domstolen.

5.   Den ledande tillsynsmyndigheten ska i god tid innan utredningen inleds underrätta de behöriga myndigheterna för de finansiella entiteter som använder de IKT-tjänster som tillhandahålls av den kritiska tredjepartsleverantören av IKT-tjänster om den planerade utredningen och namnge de bemyndigade personerna.

Den ledande tillsynsmyndigheten ska underrätta det gemensamma tillsynsnätverket om all information som översänds enligt första stycket.

Artikel 39

Inspektioner

1.   För att utföra sina uppgifter enligt denna förordning får den ledande tillsynsmyndigheten, med bistånd av de gemensamma undersökningsgrupper som avses i artikel 40.1, inleda och genomföra alla nödvändiga inspektioner på plats i företagslokaler, på mark eller egendom som tillhör tredjepartsleverantörerna av IKT-tjänster, såsom huvudkontor, driftscentrum och sekundära lokaler, samt genomföra skrivbordsinspektioner.

Vid utövandet av de befogenheter som avses i första stycket ska den ledande tillsynsmyndigheten samråda med det gemensamma tillsynsnätverket.

2.   Tjänstemän och andra personer som av den ledande tillsynsmyndigheten har bemyndigats att genomföra en inspektion på plats ska ha befogenhet att

a)

bereda sig tillträde till företagslokaler, mark eller egendom och att

b)

försegla sådana företagslokaler, räkenskaper eller affärshandlingar under den tid och i den utsträckning som krävs för inspektionen.

Tjänstemän och andra personer som har bemyndigats av den ledande tillsynsmyndigheten ska utöva sina befogenheter mot uppvisande av ett skriftligt tillstånd som anger inspektionens föremål och syften liksom de viten som föreskrivs i artikel 35.6 om företrädarna för de berörda kritiska tredjepartsleverantörerna av IKT-tjänster inte underkastar sig inspektionen.

3.   Den ledande tillsynsmyndigheten ska i god tid innan inspektionen inleds informera de behöriga myndigheterna för de finansiella entiteter som använder denna tredjepartsleverantör av IKT-tjänster.

4.   Inspektionerna ska omfatta alla relevanta IKT-system, nätverk, anordningar, information och data som används för eller bidrar till tillhandahållandet av IKT-tjänster till finansiella entiteter.

5.   Före en planerad inspektion på plats ska den ledande tillsynsmyndigheten i rimlig tid underrätta de kritiska tredjepartsleverantörerna av IKT-tjänster, såvida detta inte är omöjligt på grund av en nöd- eller krissituation, eller om det skulle leda till en situation där inspektionen eller revisionen inte längre skulle vara effektiv.

6.   Den kritiska tredjepartsleverantören av IKT-tjänster ska underkasta sig inspektioner på plats som har beordrats genom beslut av den ledande tillsynsmyndigheten. Beslutet ska ange föremålet för och syftet med inspektionen, fastställa den dag då inspektionen ska inledas och ange de viten som föreskrivs i artikel 35.6, de rättsmedel som finns tillgängliga enligt förordning (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010 samt rätten att få beslutet prövat av domstolen.

7.   Om de tjänstemän och andra personer som har bemyndigats av den ledande tillsynsmyndigheten finner att en kritisk tredjepartsleverantör av IKT-tjänster motsätter sig en inspektion som har beordrats enligt denna artikel, ska den ledande tillsynsmyndigheten informera den kritiska tredjepartsleverantören av IKT-tjänster om konsekvenserna av att den motsätter sig kontrollen, inbegripet möjligheten för de berörda finansiella entiteternas behöriga myndigheter att kräva att de finansiella entiteterna säger upp de kontraktsmässiga arrangemang som har ingåtts med den kritiska tredjepartsleverantören av IKT-tjänster.

Artikel 40

Fortlöpande tillsyn

1.   Vid tillsynsverksamhet, särskilt allmänna utredningar eller inspektioner ska den ledande tillsynsmyndigheten bistås av en gemensam undersökningsgrupp som har inrättats för varje kritisk tredjepartsleverantör av IKT-tjänster.

2.   Den gemensamma undersökningsgrupp som avses i punkt 1 ska bestå av personal från

a)

de europeiska tillsynsmyndigheterna,

b)

de relevanta behöriga myndigheter som utövar tillsyn över de finansiella entiteter till vilka den kritiska tredjepartsleverantören av IKT-tjänster tillhandahåller IKT-tjänster,

c)

den nationella behöriga myndighet som avses i artikel 32.4 e, på frivillig basis,

d)

en nationell behörig myndighet från den medlemsstat där den kritiska tredjepartsleverantören av IKT-tjänster är etablerad, på frivillig basis.

Medlemmar i den gemensamma undersökningsgruppen ska ha sakkunskap om IKT-frågor och om operativa risker. Den gemensamma undersökningsgruppen ska samordnas av en utsedd anställd vid den ledande tillsynsmyndigheten (den ledande tillsynsmyndighetens samordnare).

3.   Inom tre månader efter slutförandet av en utredning eller inspektion ska den ledande tillsynsmyndigheten, efter samråd med tillsynsforumet, anta rekommendationer som ska riktas till den kritiska tredjepartsleverantören av IKT-tjänster enligt de befogenheter som avses i artikel 35.

4.   De rekommendationer som avses i punkt 3 ska omedelbart meddelas den kritiska tredjepartsleverantören av IKT-tjänster och de behöriga myndigheterna för de finansiella entiteter till vilka den tillhandahåller IKT-tjänster.

För att genomföra tillsynsverksamheten får den ledande tillsynsmyndigheten ta hänsyn till relevanta tredjepartscertifieringar och interna eller externa IKT-revisionsrapporter som den kritiska tredjepartsleverantören av IKT-tjänster har gjort tillgängliga.

Artikel 41

Harmonisering av villkor som möjliggör genomförandet för tillsynsverksamheten

1.   De europeiska tillsynsmyndigheterna ska genom den gemensamma kommittén utarbeta förslag till tekniska standarder för tillsyn för att specificera

a)

den information som ska tillhandahållas av en tredjepartsleverantör av IKT-tjänster i ansökan om frivillig begäran om att bli klassificerad som kritisk enligt artikel 31.11,

b)

innehållet, strukturen och formatet avseende den information som tredjepartsleverantörerna av IKT-tjänster ska lämna in, offentliggöra eller rapportera enligt artikel 35.1, inbegripet mallen för tillhandahållande av information om underleverantörsavtal,

c)

kriterierna för fastställande av den gemensamma undersökningsgruppens sammansättning, vilka säkerställer ett balanserat deltagande av personal från de europeiska tillsynsmyndigheterna och från de relevanta behöriga myndigheterna samt deras utseende, uppgifter och arbetsmetoder,

d)

närmare uppgifter om de behöriga myndigheternas bedömning av de åtgärder som har vidtagits av kritiska tredjepartsleverantörer av IKT-tjänster på grundval av rekommendationerna från den ledande tillsynsmyndigheten enligt artikel 42.3.

2.   De europeiska tillsynsmyndigheterna ska överlämna dessa förslag till tekniska standarder för tillsyn till kommissionen senast den 17 juli 2024.

Kommissionen ges befogenhet att komplettera denna förordning genom att anta de tekniska standarder för tillsyn som avses i punkt 1 i enlighet med det förfarande som fastställs i artiklarna 10–14 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

Artikel 42

Behöriga myndigheters uppföljning

1.   Inom 60 kalenderdagar från mottagandet av de rekommendationer som har utfärdats av den ledande tillsynsmyndigheten enligt artikel 35.1 d ska kritiska tredjepartsleverantörer av IKT-tjänster antingen underrätta den ledande tillsynsmyndigheten om sin avsikt att följa rekommendationerna eller lämna en motiverad förklaring till varför de inte följer sådana rekommendationer. Den ledande tillsynsmyndigheten ska omedelbart vidarebefordra denna information till de berörda finansiella entiteternas behöriga myndigheter.

2.   Den ledande tillsynsmyndigheten ska offentliggöra fall där en kritisk tredjepartsleverantör av IKT-tjänster underlåter att underrätta den ledande tillsynsmyndigheten i enlighet med punkt 1 eller där den förklaring som lämnats av den kritiska tredjepartsleverantören av IKT-tjänster inte bedöms vara tillräcklig. Den offentliggjorda informationen ska avslöja identiteten på den kritiska tredjepartsleverantören av IKT-tjänster samt information om typen och arten av den bristande efterlevnaden. Sådan information ska begränsas till vad som är relevant och proportionellt för att säkerställa allmänhetens medvetenhet, såvida inte ett sådant offentliggörande skulle kunna orsaka de berörda parterna oproportionellt stor skada eller allvarligt skulle kunna äventyra finansmarknadernas korrekta funktion och integritet eller stabiliteten i hela eller delar av unionens finansiella system.

Den ledande tillsynsmyndigheten ska underrätta tredjepartsleverantören av IKT-tjänster om detta offentliggörande.

3.   De behöriga myndigheterna ska informera de berörda finansiella entiteterna om de risker som har identifierats i rekommendationerna till kritiska tredjepartsleverantörer av IKT-tjänster i enlighet med artikel 35.1 d.

Finansiella entiteter ska när de hanterar IKT-tredjepartsrisker ta hänsyn till de risker som avses i första stycket.

4.   Om en behörig myndighet bedömer att en finansiell entitet i sin hantering av IKT-tredjepartsrisker inte tar hänsyn till eller i tillräcklig utsträckning hanterar de specifika risker som identifierats i rekommendationerna, ska den underrätta den finansiella entiteten om att det inom 60 kalenderdagar efter mottagandet av en sådan underrättelse kan fattas ett beslut enligt punkt 6 i avsaknad av lämpliga kontraktsmässiga arrangemang för hantering av sådana risker.

5.   De behöriga myndigheterna får efter att ha mottagit de rapporter som avses i artikel 35.1 c, och innan de fattar ett beslut som avses i punkt 6 i den här artikeln, på frivillig basis samråda med de behöriga myndigheter som i enlighet med direktiv (EU) 2022/2555 har utsetts eller inrättats till ansvariga för tillsynen av en väsentlig eller viktig entitet om inte annat följer av det direktivet, som har klassificerats som kritisk tredjepartsleverantör av IKT-tjänster.

6.   De behöriga myndigheterna får, som en sista utväg efter underrättelsen och i förekommande fall samrådet enligt punkterna 4 och 5 i denna artikel, i enlighet med artikel 50 fatta ett beslut om att finansiella entiteter tillfälligt, helt eller delvis, ska avbryta användningen eller införandet av en tjänst som tillhandahålls av den kritiska tredjepartsleverantörer av IKT-tjänster till dess att de risker som identifieras i rekommendationerna till kritiska tredjepartsleverantörer av IKT-tjänster har åtgärdats. Vid behov får de kräva att finansiella entiteter helt eller delvis ska avsluta de relevanta kontraktsmässiga arrangemang som har ingåtts med de kritiska tredjepartsleverantörerna av IKT-tjänster.

7.   Om en kritisk tredjepartsleverantör av IKT-tjänster vägrar att godta rekommendationer baserat på en annan strategi än den som den ledande tillsynsmyndigheten rekommenderar och en sådan annan strategi kan inverka negativt på ett stort antal finansiella entiteter eller en betydande del av den finansiella sektorn, och enskilda varningar från de behöriga myndigheterna inte har lett till konsekventa strategier som minskar den potentiella risken för den finansiella stabiliteten, får den ledande tillsynsmyndigheten efter samråd med tillsynsforumet när så är lämpligt utfärda icke-bindande och icke-offentliga yttranden till behöriga myndigheter för att främja konsekventa och samstämmiga uppföljningsåtgärder avseende tillsyn.

8.   Efter att ha mottagit de rapporter som avses i artikel 35.1 c ska de behöriga myndigheterna när de fattar ett beslut som avses i punkt 6 i den här artikeln ta hänsyn till typen och omfattningen av den risk som inte hanteras av den kritiska tredjepartsleverantören av IKT-tjänster, samt hur allvarlig den bristande efterlevnaden är, med beaktande av följande kriterier:

a)

Den bristande efterlevnadens allvarlighetsgrad och varaktighet.

b)

Huruvida den bristande efterlevnaden har påvisat allvarliga brister i den kritiska tredjepartsleverantörens förfaranden, ledningssystem, riskhantering eller interna kontroller.

c)

Huruvida ekonomisk brottslighet har underlättats eller orsakats av eller på annat sätt tillskrivs den bristande efterlevnaden.

d)

Huruvida den bristande efterlevnaden är uppsåtlig eller beror på oaktsamhet.

e)

Huruvida det tillfälliga upphävandet eller uppsägningen av de kontraktsmässiga arrangemangen hotar kontinuiteten i den finansiella entitetens affärsverksamhet trots den finansiella entitetens ansträngningar att undvika avbrott i tillhandahållandet av tjänster.

f)

I tillämpliga fall, det yttrande som på frivillig basis har inhämtats i enlighet med punkt 5 i denna artikel från de behöriga myndigheter som i enlighet med direktiv (EU) 2022/2555 har utsetts eller inrättats till ansvariga för tillsynen av en väsentlig eller viktig entitet om inte annat följer av det direktivet, som har klassificerats som kritisk tredjepartsleverantör av IKT-tjänster.

De behöriga myndigheterna ska ge finansiella entiteter den tid som krävs för att de ska kunna anpassa sina kontraktsmässiga arrangemang med kritiska tredjepartsleverantörer av IKT-tjänster i syfte att undvika negativa effekter på den digitala operativa motståndskraften och för att de ska kunna införa sådana exitstrategier och övergångsplaner som avses i artikel 28.

9.   Det beslut som avses i punkt 6 i denna artikel ska meddelas medlemmarna i det tillsynsforum som avses i artikel 32.4 a, b och c och det gemensamma tillsynsnätverket.

De kritiska tredjepartsleverantörer av IKT-tjänster som påverkas av de beslut som avses i punkt 6 ska samarbeta fullt ut med de berörda finansiella entiteterna, särskilt i samband med tillfälligt upphävande eller uppsägning av deras kontraktsmässiga arrangemang.

10.   De behöriga myndigheterna ska regelbundet informera den ledande tillsynsmyndigheten om de metoder och åtgärder som de har vidtagit i sina tillsynsuppgifter när det gäller finansiella entiteter samt om de kontraktsmässiga arrangemang som finansiella entiteter har ingått om kritiska tredjepartsleverantörer av IKT-tjänster helt eller delvis inte har godtagit rekommendationerna till dem från den ledande tillsynsmyndigheten.

11.   Den ledande tillsynsmyndigheten får på begäran lämna ytterligare klargöranden om de utfärdade rekommendationerna för att ge de behöriga myndigheterna vägledning i uppföljningsåtgärderna.

Artikel 43

Tillsynsavgifter

1.   Den ledande tillsynsmyndigheten ska i enlighet med den delegerade akt som avses i punkt 2 i denna artikel från de kritiska tredjepartsleverantörerna av IKT-tjänster ta ut avgifter som till fullo täcker den ledande tillsynsmyndighetens nödvändiga utgifter i samband med fullgörandet av tillsynsuppgifter enligt denna förordning, inbegripet ersättning för eventuella kostnader som kan uppstå till följd av arbete som utförs av den gemensamma undersökningsgrupp som avses i artikel 40 samt kostnaderna för den rådgivning som tillhandahålls av de oberoende experter som avses i artikel 32.4 andra stycket i frågor som omfattas av direkt tillsynsverksamhet.

Det avgiftsbelopp som tas ut av en kritisk tredjepartsleverantör av IKT-tjänster ska täcka alla kostnader för fullgörandet av de uppgifter som anges i detta avsnitt och stå i proportion till leverantörens omsättning.

2.   Kommissionen ges befogenhet att anta en delegerad akt i enlighet med artikel 57 för att komplettera denna förordning genom att senast den 17 juli 2024 fastställa avgiftsbeloppen och hur de ska betalas.

Artikel 44

Internationellt samarbete

1.   Utan att det påverkar tillämpningen av artikel 36 får EBA, Esma och Eiopa, i enlighet med artikel 33 i förordningarna (EU) nr 1093/2010, (EU) nr 1095/2010 och (EU) nr 1094/2010, ingå administrativa arrangemang med tredjeländers reglerings- och tillsynsmyndigheter för att främja internationellt samarbete om IKT-tredjepartsrisker inom olika finansiella sektorer, särskilt genom att utveckla bästa praxis för översyn av IKT-riskhanteringsmetoder och IKT-kontroller, begränsningsåtgärder och incidenthantering.

2.   De europeiska tillsynsmyndigheterna ska genom den gemensamma kommittén vart femte år lämna en gemensam konfidentiell rapport till Europaparlamentet, rådet och kommissionen med en sammanfattning av resultaten av de relevanta diskussioner som har förts med de myndigheter i tredjeländer som avses i punkt 1, med fokus på utvecklingen av IKT-tredjepartsrisker och konsekvenserna för den finansiella stabiliteten, marknadsintegriteten, investerarskyddet och den inre marknadens funktion.

KAPITEL VI

Arrangemang för informationsutbyte

Artikel 45

Arrangemang för utbyte av information och underrättelser om cyberhot

1.   Finansiella entiteter får sinsemellan utbyta information och underrättelser om cyberhot, inbegripet indikatorer på äventyrad säkerhet, taktiker, tekniker och förfaranden, cybersäkerhetsvarningar och konfigurationsverktyg, i den mån sådant utbyte av information och underrättelser

a)

syftar till att förbättra finansiella entiteters digitala operativa motståndskraft, särskilt genom att öka medvetenheten om cyberhot, begränsa eller hindra cyberhotens spridningsförmåga, varvid försvarsförmåga, metoder för att upptäcka hot, begränsningsstrategier eller åtgärds- och återställningsfaser stöds,

b)

äger rum inom betrodda grupper av finansiella entiteter,

c)

genomförs genom arrangemang för informationsutbyte som skyddar den potentiellt känsliga karaktären hos den information som utbyts och som styrs av uppföranderegler med full respekt för affärshemligheter, skydd av personuppgifter i enlighet med förordning (EU) 2016/679 och riktlinjer för konkurrenspolitiken.

2.   Vid tillämpning av punkt 1 c ska arrangemangen för informationsutbyte innehålla fastställda villkor för deltagande och, när så är lämpligt, närmare uppgifter om offentliga myndigheters deltagande och på vilket sätt dessa kan knytas till arrangemangen för informationsutbyte, om deltagandet av tredjepartsleverantörer av IKT-tjänster och om operativa delar, inbegripet användningen av särskilda it-plattformar.

3.   Finansiella entiteter ska underrätta de behöriga myndigheterna om sitt deltagande i de arrangemang för informationsutbyte som avses i punkt 1, när deras medlemskap har godkänts eller, i tillämpliga fall, när medlemskapet upphör, så snart så har skett.

KAPITEL VII

Behöriga myndigheter

Artikel 46

Behöriga myndigheter

Utan att det påverkar tillämpningen av de bestämmelser om tillsynsramen för kritiska tredjepartsleverantörer av IKT-tjänster som avses i kapitel V avsnitt II i denna förordning ska efterlevnaden av denna förordning säkerställas av följande behöriga myndigheter i enlighet med de befogenheter som tilldelats genom respektive rättsakt:

a)

För kreditinstitut och för institut undantagna enligt direktiv 2013/36/EU: den behöriga myndighet som har utsetts i enlighet med artikel 4 i det direktivet. För kreditinstitut som har klassificerats som betydande i enlighet med artikel 6.4 i förordning (EU) nr 1024/2013: ECB i enlighet med de befogenheter och uppgifter som har tilldelats genom den förordningen.

b)

För betalningsinstitut, inbegripet betalningsinstitut undantagna enligt direktiv (EU) 2015/2366, institut för elektroniska pengar, inbegripet de som är undantagna enligt direktiv 2009/110/EG, och leverantörer av kontoinformationstjänster som avses i artikel 33.1 i direktiv (EU) 2015/2366: den behöriga myndighet som har utsetts i enlighet med artikel 22 i direktiv (EU) 2015/2366.

c)

För värdepappersföretag: den behöriga myndighet som har utsetts i enlighet med artikel 4 i Europaparlamentets och rådets direktiv (EU) 2019/2034 (38).

d)

För leverantörer av kryptotillgångstjänster som har auktoriserats enligt förordningen om kryptotillgångar och emittenter av tillgångsanknutna token: den behöriga myndighet som har utsetts i enlighet med de relevanta bestämmelserna i den förordningen.

e)

För värdepapperscentraler: den behöriga myndighet som har utsetts i enlighet med artikel 11 i förordning (EU) nr 909/2014.

f)

För centrala motparter: den behöriga myndighet som har utsetts i enlighet med artikel 22 i förordning (EU) nr 648/2012.

g)

För handelsplatser och leverantörer av datarapporteringstjänster: den behöriga myndighet som har utsetts i enlighet med artikel 67 i direktiv 2014/65/EU och den behöriga myndigheten enligt definitionen i artikel 2.1.18 i förordning (EU) nr 600/2014.

h)

För transaktionsregister: den behöriga myndighet som har utsetts i enlighet med artikel 22 i förordning (EU) nr 648/2012.

i)

För förvaltare av alternativa investeringsfonder: den behöriga myndighet som har utsetts i enlighet med artikel 44 i direktiv 2011/61/EU.

j)

För förvaltningsbolag: den behöriga myndighet som har utsetts i enlighet med artikel 97 i direktiv 2009/65/EG.

k)

För försäkrings- och återförsäkringsföretag: den behöriga myndighet som har utsetts i enlighet med artikel 30 i direktiv 2009/138/EG.

l)

För försäkringsförmedlare, återförsäkringsförmedlare och försäkringsförmedlare som bedriver förmedling som sidoverksamhet: den behöriga myndighet som har utsetts i enlighet med artikel 12 i direktiv (EU) 2016/97.

m)

För tjänstepensionsinstitut: den behöriga myndighet som har utsetts i enlighet med artikel 47 i direktiv (EU) 2016/2341.

n)

För kreditvärderingsinstitut: den behöriga myndighet som har utsetts i enlighet med artikel 21 i förordning (EG) nr 1060/2009.

o)

För administratörer av kritiska referensvärden: den behöriga myndighet som har utsetts i enlighet med artiklarna 40 och 41 i förordning (EU) 2016/1011.

p)

För leverantörer av gräsrotsfinansieringstjänster: den behöriga myndighet som har utsetts i enlighet med artikel 29 i förordning (EU) 2020/1503.

q)

För värdepapperiseringsregister: den behöriga myndighet som har utsetts i enlighet med artiklarna 10 och artikel 14.1 i förordning (EU) 2017/2402.

Artikel 47

Samarbete med strukturer och myndigheter som har inrättats genom direktiv (EU) 2022/2555

1.   För att främja samarbete och möjliggöra tillsynsutbyten mellan de behöriga myndigheter som har utsetts enligt denna förordning och den samarbetsgrupp som har inrättats genom artikel 14 i direktiv (EU) 2022/2555 får de europeiska tillsynsmyndigheterna och de behöriga myndigheterna delta i samarbetsgruppens verksamhet i frågor som rör deras tillsynsverksamhet i samband med finansiella entiteter. De europeiska tillsynsmyndigheterna och de behöriga myndigheterna får begära att bli inbjudna att delta i samarbetsgruppens verksamhet i väsentliga eller viktiga frågor som rör entiteter om inte annat följer av direktiv (EU) 2022/2555 och som har klassificerats som kritiska tredjepartsleverantörer av IKT-tjänster enligt artikel 31 i denna förordning.

2.   De behöriga myndigheterna får när så är lämpligt samråda och utbyta information med den gemensamma kontaktpunkten och de CSIRT-enheter som utsetts eller inrättats i enlighet med direktiv (EU) 2022/2555.

3.   De behöriga myndigheterna får när så är lämpligt begära relevant teknisk rådgivning och tekniskt stöd från de behöriga myndigheter som har utsetts eller inrättats i enlighet med direktiv (EU) 2022/2555 och ingå samarbetsarrangemang som gör det möjligt att inrätta effektiva och snabba samordningsmekanismer.

4.   De arrangemang som avses i punkt 3 i denna artikel kan bland annat ange förfarandena för samordning av tillsynsverksamheten i samband med väsentliga eller viktiga entiteter om inte annat följer av] direktiv (EU) 2022/2555 och som har klassificerats som kritiska tredjepartsleverantörer av IKT-tjänster enligt artikel 31 i denna förordning, bl.a. för genomförande av utredningar och inspektioner på plats i enlighet med nationell rätt och för mekanismer för informationsutbyte mellan de behöriga myndigheterna enligt denna förordning och de behöriga myndigheter som har utsetts eller inrättats i enlighet med det direktivet, inbegripet tillgång till information som de senare myndigheterna har begärt.

Artikel 48

Samarbete mellan myndigheter

1.   De behöriga myndigheterna ska ha ett nära samarbete sinsemellan och, i tillämpliga fall, med den ledande tillsynsmyndigheten.

2.   De behöriga myndigheterna och den ledande tillsynsmyndigheten ska i god tid ömsesidigt utbyta all relevant information om kritiska tredjepartsleverantörer av IKT-tjänster som är nödvändig för att de ska kunna utföra sina respektive uppgifter enligt denna förordning, särskilt om identifierade risker, strategier och åtgärder som vidtas som en del av den ledande tillsynsmyndighetens tillsynsuppgifter.

Artikel 49

Övningar, kommunikation och samarbete mellan finansiella sektorer

1.   De europeiska tillsynsmyndigheterna får, genom den gemensamma kommittén och i samarbete med behöriga myndigheter, resolutionsmyndigheter som avses i artikel 3 i direktiv 2014/59/EU, ECB, Gemensamma resolutionsnämnden, när det gäller information som rör entiteter som omfattas av tillämpningsområdet för förordning (EU) nr 806/2014, ESRB och Enisa, när så är lämpligt, inrätta mekanismer för att möjliggöra utbyte av effektiv praxis mellan olika finansiella sektorer för att öka situationsmedvetenheten och identifiera gemensamma sårbarheter och risker på it-området.

De får utveckla krishanterings- och beredskapsövningar som inbegriper cyberangrepp i syfte att utveckla kommunikationskanaler och gradvis möjliggöra en effektiv samordnad reaktion på unionsnivå i händelse av en allvarlig gränsöverskridande IKT-relaterad incident eller därmed sammanhängande hot som har en systempåverkan på unionens finansiella sektor som helhet.

Dessa övningar kan när så är lämpligt även innefatta test av den finansiella sektorns beroendeförhållanden till andra ekonomiska sektorer.

2.   De behöriga myndigheterna, de europeiska tillsynsmyndigheterna och ECB ska ha ett nära samarbete och utbyta information för att fullgöra sina uppgifter enligt artiklarna 47–54. De ska nära samordna sin tillsyn för att identifiera och åtgärda överträdelser av denna förordning, utarbeta och främja bästa praxis, underlätta samarbete, främja en konsekvent tolkning och tillhandahålla bedömningar över jurisdiktionsgränserna om det uppstår meningsskiljaktigheter.

Artikel 50

Administrativa sanktioner och avhjälpande åtgärder

1.   De behöriga myndigheterna ska ha alla tillsyns-, utrednings- och sanktionsbefogenheter som krävs för att de ska kunna fullgöra sina skyldigheter enligt denna förordning.

2.   De befogenheter som avses i punkt 1 ska omfatta åtminstone följande befogenheter:

a)

Få tillgång till alla dokument eller uppgifter i vilken form som helst som enligt den behöriga myndigheten är relevanta för fullgörandet av dess uppgifter och få eller ta en kopia av dem.

b)

Utföra kontroller eller inspektioner på plats, som ska omfatta men inte vara begränsade till att

i)

kalla till sig företrädare för finansiella entiteter och be dem om muntliga eller skriftliga förklaringar angående sakförhållanden eller dokument som rör föremålet för och syftet med utredningen samt nedteckna svaren,

ii)

höra vilken annan fysisk eller juridisk person som helst som går med på att höras i syfte att samla in information om föremålet för utredningen.

c)

Kräva korrigerande och avhjälpande åtgärder vid överträdelser av kraven i denna förordning.

3.   Utan att det påverkar medlemsstaternas rätt att ålägga straffrättsliga påföljder i enlighet med artikel 52 ska medlemsstaterna fastställa regler om lämpliga administrativa sanktioner och avhjälpande åtgärder vid överträdelser av denna förordning och säkerställa att de genomförs effektivt.

Sådana sanktioner och åtgärder ska vara effektiva, proportionella och avskräckande.

4.   Medlemsstaterna ska ge behöriga myndigheter befogenhet att tillämpa åtminstone följande administrativa sanktioner eller avhjälpande åtgärder vid överträdelser av denna förordning:

a)

Utfärda ett föreläggande enligt vilket det krävs att den fysiska eller juridiska personen upphör med det agerande som strider mot denna förordning och inte upprepar detta agerande.

b)

Kräva att varje praxis eller beteende som den behöriga myndigheten anser strider mot bestämmelserna i denna förordning tillfälligt eller permanent upphör och förhindra en upprepning av denna praxis eller detta beteende.

c)

Vidta vilken typ av åtgärd som helst, även av ekonomisk art, för att säkerställa att finansiella entiteter fortsätter att uppfylla rättsliga krav.

d)

Kräva tillgång till, i den mån det är tillåtet enligt nationell rätt, befintliga uppgifter om datatrafik som innehas av en teleoperatör om det föreligger en rimlig misstanke om överträdelse av denna förordning och om dessa uppgifter kan vara relevanta för en utredning av överträdelser av denna förordning.

e)

Utfärda offentliga meddelanden, inbegripet offentliga uttalanden, med uppgift om den fysiska eller juridiska personens identitet och överträdelsens art.

5.   Om punkt 2 c och punkt 4 är tillämpliga på juridiska personer ska medlemsstaterna ge de behöriga myndigheterna befogenhet att tillämpa administrativa sanktioner och avhjälpande åtgärder, med förbehåll för de villkor som föreskrivs i nationell rätt, på medlemmar i ledningsorganet och på andra personer som enligt nationell rätt är ansvariga för överträdelsen.

6.   Medlemsstaterna ska säkerställa att alla beslut om att ålägga administrativa sanktioner eller avhjälpande åtgärder enligt punkt 2 c är vederbörligen motiverade och kan överklagas.

Artikel 51

Utövande av befogenheten att ålägga administrativa sanktioner och avhjälpande åtgärder

1.   De behöriga myndigheterna ska utöva sina befogenheter att ålägga de administrativa sanktioner och avhjälpande åtgärder som avses i artikel 50 i enlighet med sina nationella rättsliga ramar, när så är lämpligt, på något av följande sätt:

a)

Direkt.

b)

I samarbete med andra myndigheter.

c)

På eget ansvar genom delegering till andra myndigheter.

d)

Genom hänvändelse till de behöriga rättsliga myndigheterna.

2.   De behöriga myndigheterna ska, när de fastställer typen av och nivån på en administrativ sanktion eller avhjälpande åtgärd som ska åläggas enligt artikel 50, ta hänsyn till i vilken utsträckning överträdelsen är avsiktlig eller beror på försummelse och till alla andra relevanta omständigheter, bland annat följande, när så är lämpligt:

a)

Överträdelsens väsentlighet, svårighetsgrad och varaktighet.

b)

Graden av ansvar hos den fysiska eller juridiska person som gjort sig skyldig till överträdelsen.

c)

Den finansiella styrkan hos den fysiska eller juridiska person som gjort sig skyldig till överträdelsen.

d)

Omfattningen av de vinster som erhållits eller av förluster som undvikits av den fysiska eller juridiska person som har gjort sig skyldig till överträdelsen, i den mån de kan bestämmas.

e)

Förluster för tredje parter orsakade av överträdelsen, i den mån de kan fastställas.

f)

Viljan hos den ansvariga fysiska eller juridiska person att samarbeta med den behöriga myndigheten, utan att det påverkar behovet av att säkerställa återföring av den vinst som den fysiska eller juridiska personen gjort eller de förluster som denne undvikit.

g)

Tidigare överträdelser av den fysiska eller juridiska person som har gjort sig skyldig till överträdelsen.

Artikel 52

Straffrättsliga påföljder

1.   Medlemsstaterna får besluta att inte fastställa regler för administrativa sanktioner eller avhjälpande åtgärder för överträdelser som omfattas av straffrättsliga påföljder i deras nationella rätt.

2.   Om medlemsstaterna har valt att fastställa straffrättsliga påföljder för överträdelser av denna förordning, ska de säkerställa att lämpliga åtgärder har vidtagits så att de behöriga myndigheterna har alla nödvändiga befogenheter att samarbeta med rättsliga myndigheter, åklagarmyndigheter eller straffrättsliga myndigheter inom sin jurisdiktion för att få specifik information om brottsutredningar eller straffrättsliga förfaranden som har inletts på grund av överträdelser av denna förordning, och att lämna samma information till andra behöriga myndigheter samt EBA, Esma eller Eiopa för att uppfylla sina skyldigheter att samarbeta enligt denna förordning.

Artikel 53

Underrättelseskyldigheter

Medlemsstaterna ska underrätta kommissionen, Esma, EBA och Eiopa om de lagar och andra författningar som genomför detta kapitel, inbegripet alla relevanta straffrättsliga bestämmelser senast den 17 januari 2025. Medlemsstaterna ska utan onödigt dröjsmål underrätta kommissionen, Esma, EBA och Eiopa om eventuella ändringar av dessa.

Artikel 54

Offentliggörande av administrativa sanktioner

1.   De behöriga myndigheterna ska utan onödigt dröjsmål på sina officiella webbplatser offentliggöra alla beslut om att ålägga en administrativ sanktion som inte kan överklagas efter det att sanktionens adressat har underrättats om beslutet.

2.   Det offentliggörande som avses i punkt 1 ska innehålla information om överträdelsens typ och art, de ansvariga personernas identitet och ålagda sanktioner.

3.   Om den behöriga myndigheten efter en bedömning av det enskilda fallet anser att ett offentliggörande av de juridiska personernas identitet eller av de fysiska personernas identitet och personuppgifter är oproportionellt, inbegripet riskerna när det gäller skyddet av personuppgifter, kan hota stabiliteten på de finansiella marknaderna eller äventyra en pågående brottsutredning eller, i den mån detta kan bestämmas, vålla den berörda personen oproportionell skada, ska den behöriga myndigheten vidta någon av följande åtgärder i fråga om beslutet om att ålägga en administrativ sanktion:

a)

Skjuta upp offentliggörandet av beslutet tills det inte längre finns någon anledning att inte offentliggöra det.

b)

Offentliggöra beslutet på anonym grund på ett sätt som överensstämmer med nationell rätt.

c)

Avstå från att offentliggöra beslutet om de alternativ som anges i leden a och b inte anses vara tillräckliga för att säkerställa att det inte innebär något hot mot finansmarknadernas stabilitet eller om offentliggörandet inte är proportionellt när det gäller mindre stränga sanktioner.

4.   Vid ett beslut om att offentliggöra en administrativ sanktion på anonym grund i enlighet med punkt 3 b får offentliggörandet av de relevanta uppgifterna skjutas upp.

5.   Om en behörig myndighet offentliggör ett beslut om åläggande av en administrativ sanktion som överklagas till de relevanta rättsliga myndigheterna, ska de behöriga myndigheterna omedelbart på sin officiella webbplats lägga till denna information och i senare skeden all efterföljande tillhörande information om resultatet av ett sådant överklagande. Varje rättsligt beslut om ogiltigförklaring av ett beslut om åläggande av en administrativ sanktion ska också offentliggöras.

6.   De behöriga myndigheterna ska säkerställa att alla offentliggöranden som avses i punkterna 1–4 finns kvar på deras officiella webbplats endast under den tidsperiod som är nödvändig vid tillämpning av denna artikel. Denna period får inte överstiga fem år efter offentliggörandet.

Artikel 55

Tystnadsplikt

1.   All konfidentiell information som är föremål för mottagande, utbyte eller förmedling enligt denna förordning ska omfattas av de villkor för tystnadsplikt som föreskrivs i punkt 2.

2.   Tystnadsplikten ska tillämpas för alla personer som arbetar eller har arbetat för de behöriga myndigheterna enligt denna förordning, eller för en myndighet eller ett marknadsföretag eller en fysisk eller juridisk person som dessa behöriga myndigheter har delegerat sina befogenheter till, inbegripet revisorer och experter som arbetar på den behöriga myndighetens uppdrag.

3.   Information som omfattas av tystnadsplikt, inbegripet informationsutbyte mellan behöriga myndigheter enligt denna förordning och behöriga myndigheter som har utsetts eller inrättats i enlighet med direktiv (EU) 2022/2555, får inte lämnas ut till någon annan person eller myndighet utom när detta föreskrivs i unionsrätt eller nationell rätt.

4.   All information som utbyts mellan de behöriga myndigheterna enligt denna förordning och som avser affärs- eller driftsförhållanden och andra ekonomiska eller personliga förhållanden ska anses vara konfidentiell och omfattas av tystnadsplikt, utom när den behöriga myndigheten vid den tidpunkt då informationen lämnas anger att informationen får lämnas ut eller om det är nödvändigt att lämna ut informationen i samband med rättsliga förfaranden.

Artikel 56

Dataskydd

1.   De europeiska tillsynsmyndigheterna och de behöriga myndigheterna får endast behandla personuppgifter om det är nödvändigt för att de ska kunna fullgöra sina respektive skyldigheter och uppgifter enligt denna förordning, särskilt när det gäller utredning, inspektion, begäran om information, kommunikation, offentliggörande, utvärdering, verifiering, bedömning och utarbetande av tillsynsplaner. Personuppgifterna ska behandlas i enlighet med förordning (EU) 2016/679 eller förordning (EU) 2018/1725, beroende på vilken som är tillämplig.

2.   Utom där annat föreskrivs i andra sektorsspecifika rättsakter ska de personuppgifter som avses i punkt 1 lagras till dess att de tillämpliga tillsynsuppgifterna fullgjorts och under alla omständigheter i högst 15 år, utom i fall av pågående domstolsförfaranden som kräver ytterligare lagring av sådana uppgifter.

KAPITEL VIII

Delegerade akter

Artikel 57

Utövande av delegeringen

1.   Befogenheten att anta delegerade akter ges till kommissionen med förbehåll för de villkor som anges i denna artikel.

2.   Den befogenhet att anta delegerade akter som avses i artiklarna 31.6 och 43.2 ska ges till kommissionen för en period på fem år från och med den 17 januari 2024. Kommissionen ska utarbeta en rapport om delegeringen av befogenhet senast nio månader före utgången av perioden på fem år. Delegeringen av befogenhet ska genom tyst medgivande förlängas med perioder av samma längd, såvida inte Europaparlamentet eller rådet motsätter sig en sådan förlängning senast tre månader före utgången av perioden i fråga.

3.   Den delegering av befogenhet som avses i artiklarna 31.6 och 43.2 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning eller vid ett senare, i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft.

4.   Innan kommissionen antar en delegerad akt ska den samråda med experter som utsetts av varje medlemsstat i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning.

5.   Så snart kommissionen antar en delegerad akt ska den samtidigt delge Europaparlamentet och rådet denna.

6.   En delegerad akt som antas enligt artiklarna 31.6 och 43.2 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period på tre månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med tre månader på Europaparlamentets eller rådets initiativ.

KAPITEL IX

Övergångs- och slutbestämmelser

Avsnitt I

Artikel 58

Översynsklausul

1.   Senast den 17 januari 2028 ska kommissionen, efter samråd med de europeiska tillsynsmyndigheterna och ESRB, när så är lämpligt, genomföra en översyn och överlämna en rapport till Europaparlamentet och rådet, när så är lämpligt åtföljd av ett lagstiftningsförslag. Översynen ska minst omfatta följande:

a)

Kriterierna för att klassificera tredjepartsleverantörer av IKT-tjänster som kritiska i enlighet med artikel 31.2.

b)

Den frivilliga karaktären hos den anmälan av betydande cyberhot som avses i artikel 19.

c)

Den ordning som avses i artikel 31.12 och de befogenheter för den ledande tillsynsmyndigheten som föreskrivs i artikel 35.1 d iv första strecksatsen, i syfte att utvärdera om dessa bestämmelser är ändamålsenliga för att säkerställa en effektiv tillsyn av kritiska tredjepartsleverantörer av IKT-tjänster som är etablerade i ett tredjeland och om det är nödvändigt att etablera ett dotterföretag i unionen.

Vid tillämpning av första stycket i detta led ska översynen omfatta en analys av den ordning som avses i artikel 31.12, inbegripet vad gäller åtkomst för finansiella entiteter i unionen till tjänster från tredjeländer och tillgång till sådana tjänster på marknaden i unionen, och den ska ta hänsyn till den fortsatta utvecklingen på marknaderna för de tjänster som omfattas av denna förordning, finansiella entiteters och de finansiella tillsynsmyndigheternas praktiska erfarenheter av tillämpningen respektive tillsynen av den ordningen samt all relevant utveckling inom reglering och tillsyn som äger rum på internationell nivå.

d)

Lämpligheten i att i tillämpningsområdet för denna förordning inkludera sådana finansiella entiteter som avses i artikel 2.3 e som använder automatiska försäljningssystem, mot bakgrund av den framtida marknadsutvecklingen när det gäller användningen av sådana system.

e)

Det gemensamma tillsynsnätverkets funktion och ändamålsenlighet när det gäller att stödja konsekvens i tillsynen och effektivitet i informationsutbytet inom tillsynsramen.

2.   I samband med översynen av direktiv (EU) 2015/2366 ska kommissionen bedöma behovet av ökad cyberresiliens i betalningssystem och betalningshantering och lämpligheten i att utvidga tillämpningsområdet för denna förordning till att även omfatta betalningssystemsoperatörer och enheter som deltar i betalningshantering. Mot bakgrund av denna bedömning ska kommissionen, som en del av översynen av direktiv (EU) 2015/2366, lägga fram en rapport för Europaparlamentet och rådet senast den 17 juli 2023.

Baserat på den översynsrapporten och efter samråd med de europeiska tillsynsmyndigheterna, ECB och ESRB får kommissionen, när så är lämpligt och som en del av det lagstiftningsförslag som den får anta i enlighet med artikel 108 andra stycket i direktiv (EU) 2015/2366, lägga fram ett förslag för att säkerställa att alla betalningssystemsoperatörer och entiteter som deltar i betalningshantering är föremål för lämplig tillsyn, samtidigt som hänsyn tas till den befintliga tillsynen av centralbanken.

3.   Senast den 17 januari 2026 ska kommissionen, efter samråd med de europeiska tillsynsmyndigheterna och kommittén för europeiska tillsynsorgan för revisorer, genomföra en översyn och överlämna en rapport till Europaparlamentet och rådet, vid behov åtföljd av ett lagstiftningsförslag, om huruvida det är lämpligt att stärka kraven för lagstadgade revisorer och revisionsföretag när det gäller digital operativ motståndskraft genom att inkludera lagstadgade revisorer och revisionsföretag i tillämpningsområdet för denna förordning eller genom att ändra Europaparlamentets och rådets direktiv 2006/43/EG (39).

Avsnitt II

Ändringar

Artikel 59

Ändringar av förordning (EG) nr 1060/2009

Förordning (EG) nr 1060/2009 ska ändras på följande sätt:

1.

I bilaga I avsnitt A punkt 4 ska första stycket ersättas med följande:

”Ett kreditvärderingsinstitut ska tillämpa sunda förfaranden för förvaltning och redovisning samt ha mekanismer för internkontroll och effektiva riskbedömningsmetoder samt effektiva kontroll- och skyddssystem för förvaltningen av sina IKT-system i enlighet med Europaparlamentets och rådets förordning (EU) 2022/2554 (*1).

(*1)  Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 (EUT L 333, 27.12.2022, s. 1).”"

2.

I bilaga III ska punkt 12 ersättas med följande:

”12.

Ett kreditvärderingsinstitut bryter mot artikel 6.2, jämförd med bilaga I avsnitt A punkt 4, om det inte tillämpar sunda förfaranden för förvaltning eller redovisning eller inte har mekanismer för internkontroll eller effektiva riskbedömningsmetoder samt effektiva kontroll- eller skyddssystem för förvaltningen av sina IKT-system i enlighet med förordning (EU) 2022/2554, eller om det inte tillämpar eller upprätthåller beslutsförfaranden och organisationsstrukturer enligt vad som krävs i den punkten.”

Artikel 60

Ändringar av förordning (EU) nr 648/2012

Förordning (EU) nr 648/2012 ska ändras på följande sätt:

1.

Artikel 26 ska ändras på följande sätt:

a)

Punkt 3 ska ersättas med följande:

”3.   En central motpart ska upprätthålla en organisationsstruktur som säkerställer en kontinuerlig och väl fungerande verksamhet och tillhandahållande av tjänster. Den ska använda lämpliga och proportionella system, resurser och förfaranden, inbegripet IKT-system som förvaltas i enlighet med Europaparlamentets och rådets förordning (EU) 2022/2554 (*2).

(*2)  Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 (EUT L 333, 27.12.2022. s. 1).”"

b)

Punkt 6 ska utgå.

2.

Artikel 34 ska ändras på följande sätt:

a)

Punkt 1 ska ersättas med följande:

”1.   En central motpart ska etablera, genomföra och upprätthålla lämpliga riktlinjer för kontinuerlig verksamhet och en lämplig katastrofplan, vilket ska innefatta IKT-kontinuitetspolicy och åtgärds- och återställningsplaner avseende IKT som har upprättats och genomförts i enlighet med förordning (EU) 2022/2554, för att säkerställa verksamheten, snabbt återuppta den och fullgöra den centrala motpartens skyldigheter.”

b)

I punkt 3 ska första stycket ersättas med följande:

”3.   För att säkerställa en konsekvent tillämpning av denna artikel ska Esma, efter samråd med ECBS-medlemmarna, utarbeta förslag till tekniska standarder för tillsyn med närmare uppgifter om minimiinnehåll och krav avseende riktlinjerna för kontinuerlig verksamhet och katastrofplanen, exklusive IKT-kontinuitetspolicy och IKT-katastrofplanerna.”

3.

I artikel 56.3 ska första stycket ersättas med följande:

”3.   För att säkerställa en konsekvent tillämpning av denna artikel ska Esma utarbeta förslag till tekniska standarder för tillsyn med närmare uppgifter om den ansökan om registrering som avses i punkt 1, utom för krav som rör IKT-riskhantering.”

4.

I artikel 79 ska punkterna 1 och 2 ersättas med följande:

”1.   Ett transaktionsregister ska kartlägga operativa riskkällor och minimera dem genom att utveckla lämpliga system, kontroller och förfaranden, inbegripet IKT-system som förvaltas i enlighet med förordning (EU) 2022/2554.

2.   Ett transaktionsregister ska utforma, tillämpa och upprätthålla tillräckliga riktlinjer för kontinuerlig verksamhet och en katastrofplan, inbegripet IKT-kontinuitetspolicy och åtgärds- och återställningsplaner avseende IKT som har upprättats i enlighet med förordning (EU) 2022/2554, för att säkerställa verksamheten, snabbt kunna återuppta den och fullgöra transaktionsregistrets skyldigheter.”

5.

I artikel 80 ska punkt 1 utgå.

6.

I bilaga I ska avsnitt II ändras på följande sätt:

a)

Leden a och b ska ersättas med följande:

”a)

Ett transaktionsregister bryter mot artikel 79.1 om det inte identifierar operativa riskkällor eller inte minimerar dessa risker genom att utveckla lämpliga system, kontroller och förfaranden, inbegripet IKT-system som förvaltas i enlighet med förordning (EU) 2022/2554.

b)

Ett transaktionsregister bryter mot artikel 79.2 om det inte utformar, tillämpar eller upprätthåller en lämplig strategiplan för kontinuerlig verksamhet och en katastrofplan som har upprättats i enlighet med förordning (EU) 2022/2554, för att säkerställa verksamheten, snabbt kunna återuppta den och fullgöra transaktionsregistrets skyldigheter.”

b)

Led c ska utgå.

7.

Bilaga III ska ändras på följande sätt:

a)

Avsnitt II ska ändras på följande sätt:

i)

Led c ska ersättas med följande:

”c)

En central motpart i kategori 2 överträder artikel 26.3 om den inte upprätthåller en organisationsstruktur som säkerställer en kontinuerlig och väl fungerande verksamhet och tillhandahållande av tjänster, eller om den inte använder lämpliga och proportionella system, resurser eller förfaranden, inbegripet IKT-system som förvaltas i enlighet med förordning (EU) 2022/2554.”

ii)

Led f ska utgå.

b)

I avsnitt III ska led a ersättas med följande:

”a)

En central motpart i kategori 2 överträder artikel 34.1 om den inte utformar, genomför eller upprätthåller lämpliga riktlinjer för kontinuerlig verksamhet och en åtgärds- och återställningsplan som har upprättats i enlighet med förordning (EU) 2022/2554, för att säkerställa verksamheten, snabbt kunna återuppta den och fullgöra den centrala motpartens skyldigheter, vilket åtminstone ger möjlighet att återställa alla transaktioner till vad de var vid tidpunkten för störningen, så att den centrala motpartens verksamhet är fortsatt säker och den kan fullfölja avvecklingen vid fastställt datum.”

Artikel 61

Ändringar av förordning (EU) nr 909/2014

Artikel 45 i förordning (EU) nr 909/2014 ska ändras på följande sätt:

1.

Punkt 1 ska ersättas med följande:

”1.   En värdepapperscentral ska identifiera källor till operativ risk, såväl interna som externa, och minimera deras effekt genom att använda lämpliga IKT-verktyg, IKT-processer och IKT-strategier som har inrättats och förvaltas i enlighet med Europaparlamentets och rådets förordning (EU) 2022/2554 (*3), samt andra relevanta lämpliga verktyg, kontroller och förfaranden för andra typer av operativa risker, inbegripet för samtliga avvecklingssystem för värdepapper som den driver.

(*3)  Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 (EUT L 333, 27.12.2022, s. 1).”"

2.

Punkt 2 ska utgå.

3.

Punkterna 3 och 4 ska ersättas med följande:

”3.   En värdepapperscentral ska för tjänster som den tillhandahåller samt för varje avvecklingssystem för värdepapper som den driver upprätta, genomföra och upprätthålla ändamålsenliga riktlinjer för driftskontinuitet och en plan för katastrofberedskap, inbegripet IKT-kontinuitetspolicy och åtgärds- och återställningsplaner avseende IKT som har inrättats i enlighet med förordning (EU) 2022/2554, för att se till att dess tjänster kan upprätthållas, driften snabbt kan återupptas och värdepapperscentralens skyldigheter kan fullgöras vid händelser som medför en betydande risk för avbrott i verksamheten.

4.   Den plan som avses i punkt 3 ska göra det möjligt att återupprätta alla transaktioner och deltagares positioner vid tidpunkten för avbrottet, så att värdepapperscentralens deltagare kan fortsätta sin verksamhet på ett säkert sätt och avvecklingen kan fullföljas på fastställd dag, inbegripet genom att säkerställa att driften av avgörande it-system kan återupptas från och med tidpunkten för avbrottet i enlighet med vad som föreskrivs i artikel 12.5 och 12.7 i förordning (EU) 2022/2554.”

4.

Punkt 6 ska ersättas med följande:

”6.   En värdepapperscentral ska identifiera, övervaka och hantera de risker för verksamheten som de viktigaste deltagarna i det avvecklingssystem för värdepapper som den driver samt tjänsteleverantörer, andra värdepapperscentraler eller andra marknadsinfrastrukturer kan utgöra för dess verksamhet. Den ska på begäran tillhandahålla behöriga och relevanta myndigheter information om varje sådan risk som har identifierats. Den ska även utan dröjsmål informera den behöriga myndigheten och de relevanta myndigheterna om alla operativa incidenter till följd av sådana risker, med undantag för IKT-risk.”

5.

I punkt 7 ska första stycket ersättas med följande:

”7.   Esma ska i nära samarbete med medlemmarna i ECBS utarbeta förslag till tekniska standarder för tillsyn i syfte att fastställa de operativa risker som avses i punkterna 1 och 6, med undantag för IKT-risker, och de metoder för att testa, hantera och minimera de riskerna, inbegripet de riktlinjer för driftskontinuitet och planer för katastrofberedskap som avses i punkterna 3 och 4 samt metoderna för att bedöma dessa.”

Artikel 62

Ändringar av förordning (EU) nr 600/2014

Förordning (EU) nr 600/2014 ska ändras på följande sätt:

1.

Artikel 27g ska ändras på följande sätt:

a)

Punkt 4 ska ersättas med följande:

”4.

APA ska uppfylla de krav avseende säkerhet i nätverks- och informationssystem som fastställs i Europaparlamentets och rådets förordning (EU) 2022/2554 (*4).

(*4)  Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 (EUT L 333, 27.12.2022, s. 1).”"

b)

Punkt 8 c ska ersättas med följande:

”c)

De konkreta organisatoriska krav som avses i punkterna 3 och 5.”

2.

Artikel 27h ska ändras på följande sätt:

a)

Punkt 5 ska ersättas med följande:

”5.   CTP ska uppfylla de krav avseende säkerhet i nätverks- och informationssystem som fastställs i förordning (EU) 2022/2554.”

b)

Punkt 8 e ska ersättas med följande:

”e)

De konkreta organisatoriska krav som avses i punkt 4.”

3.

Artikel 27i ska ändras på följande sätt:

a)

Punkt 3 ska ersättas med följande:

”3.   ARM ska uppfylla de krav avseende säkerhet i nätverks- och informationssystem som fastställs i förordning (EU) 2022/2554.”

b)

Punkt 5 b ska ersättas med följande:

”b)

De konkreta organisatoriska krav som avses i punkterna 2 och 4.”

Artikel 63

Ändringar av förordning (EU) 2016/1011

I artikel 6 i förordning (EU) 2016/1011 ska följande punkt läggas till:

”6.

För kritiska referensvärden ska administratören tillämpa sunda förfaranden för förvaltning och redovisning samt ha mekanismer för internkontroll och effektiva riskbedömningsmetoder samt effektiva kontroll- och skyddssystem för förvaltningen av IKT-system i enlighet med Europaparlamentets och rådets förordning (EU) 2022/2554 (*5).

Artikel 64

Ikraftträdande och tillämpning

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Den ska tillämpas från och med den 17 januari 2025.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Strasbourg den 14 december 2022.

På Europaparlamentets vägnar

R. METSOLA

Ordförande

På rådets vägnar

M. BEK

Ordförande


(1)  EUT C 343, 26.8.2021, s. 1.

(2)  EUT C 155, 30.4.2021, s. 38.

(3)  Europaparlamentets ståndpunkt av den 10 november 2022 (ännu inte offentliggjord i EUT) och rådets beslut av den 28 november 2022.

(4)  Europaparlamentets och rådets förordning (EU) nr 1093/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska bankmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/78/EG (EUT L 331, 15.12.2010, s. 12).

(5)  Europaparlamentets och rådets förordning (EU) nr 1094/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska försäkrings- och tjänstepensionsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/79/EG (EUT L 331, 15.12.2010, s. 48).

(6)  Europaparlamentets och rådets förordning (EU) nr 1095/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska värdepappers- och marknadsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/77/EG (EUT L 331, 15.12.2010, s. 84).

(7)  Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (EUT L 194, 19.7.2016, s. 1).

(8)  Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972, och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) (se sidan 80 i detta nummer av EUT).

(9)  Europaparlamentets och rådets direktiv (EU) 2022/2557 av den 14 december 2022 om kritiska entiteters motståndskraft och upphävande av rådets direktiv 2008/114/EG (se sidan 164 i detta nummer av EUT).

(10)  Europaparlamentets och rådets direktiv (EU) 2016/2341 av den 14 december 2016 om verksamhet i och tillsyn över tjänstepensionsinstitut (EUT L 354, 23.12.2016, s. 37).

(11)  Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) (EUT L 151, 7.6.2019, s. 15).

(12)  Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG (EUT L 337, 23.12.2015, s. 35).

(13)  Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).

(14)  Europaparlamentets och rådets direktiv 2009/110/EG av den 16 september 2009 om rätten att starta och driva affärsverksamhet i institut för elektroniska pengar samt om tillsyn av sådan verksamhet, om ändring av direktiven 2005/60/EG och 2006/48/EG och om upphävande av direktiv 2000/46/EG (EUT L 267, 10.10.2009, s. 7).

(15)  Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 om behörighet att utöva verksamhet i kreditinstitut och om tillsyn av kreditinstitut, om ändring av direktiv 2002/87/EG och om upphävande av direktiv 2006/48/EG och 2006/49/EG (EUT L 176, 27.6.2013, s. 338).

(16)  Europaparlamentets och rådets direktiv 2011/61/EU av den 8 juni 2011 om förvaltare av alternativa investeringsfonder samt om ändring av direktiv 2003/41/EG och 2009/65/EG och förordningarna (EG) nr 1060/2009 och (EU) nr 1095/2010 (EUT L 174, 1.7.2011, s. 1).

(17)  Europaparlamentets och rådets direktiv 2009/138/EG av den 25 november 2009 om upptagande och utövande av försäkrings- och återförsäkringsverksamhet (Solvens II) (EUT L 335, 17.12.2009, s. 1).

(18)  Europaparlamentets och rådets direktiv 2014/65/EU av den 15 maj 2014 om marknader för finansiella instrument och om ändring av direktiv 2002/92/EG och av direktiv 2011/61/EU (EUT L 173, 12.6.2014, s. 349).

(19)  Rådets förordning (EU) nr 1024/2013 av den 15 oktober 2013 om tilldelning av särskilda uppgifter till Europeiska centralbanken i fråga om politiken för tillsyn över kreditinstitut (EUT L 287, 29.10.2013, s. 63).

(20)  Europaparlamentets och rådets direktiv 2014/59/EU av den 15 maj 2014 om inrättande av en ram för återhämtning och resolution av kreditinstitut och värdepappersföretag och om ändring av rådets direktiv 82/891/EEG och Europaparlamentets och rådets direktiv 2001/24/EG, 2002/47/EG, 2004/25/EG, 2005/56/EG, 2007/36/EG, 2011/35/EU, 2012/30/EU och 2013/36/EU samt Europaparlamentets och rådets förordningar (EU) nr 1093/2010 och (EU) nr 648/2012 (EUT L 173, 12.6.2014, s. 190).

(21)  Europaparlamentets och rådets direktiv 2013/34/EU av den 26 juni 2013 om årsbokslut, koncernredovisning och rapporter i vissa typer av företag, om ändring av Europaparlamentets och rådets direktiv 2006/43/EG och om upphävande av rådets direktiv 78/660/EEG och 83/349/EEG (EUT L 182, 29.6.2013, s. 19).

(22)  EUT L 123, 12.5.2016, s. 1.

(23)  Europaparlamentets och rådets förordning (EG) nr 1060/2009 av den 16 september 2009 om kreditvärderingsinstitut (EUT L 302, 17.11.2009, s. 1).

(24)  Europaparlamentets och rådets förordning (EU) nr 648/2012 av den 4 juli 2012 om OTC-derivat, centrala motparter och transaktionsregister (EUT L 201, 27.7.2012, s. 1).

(25)  Europaparlamentets och rådets förordning (EU) nr 600/2014 av den 15 maj 2014 om marknader för finansiella instrument och om ändring av förordning (EU) nr 648/2012 (EUT L 173, 12.6.2014, s. 84).

(26)  Europaparlamentets och rådets förordning (EU) nr 909/2014 av den 23 juli 2014 om förbättrad värdepappersavveckling i Europeiska unionen och om värdepapperscentraler samt ändring av direktiv 98/26/EG och 2014/65/EU och förordning (EU) nr 236/2012 (EUT L 257, 28.8.2014, s. 1).

(27)  Europaparlamentets och rådets direktiv (EU) 2022/2556 av den 14 december 2022 om ändring av direktiven 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 och (EU) 2016/2341 vad gäller digital operativ motståndskraft för finanssektorn (se sidan 153 i detta nummer av EUT).

(28)  Europaparlamentets och rådets förordning (EU) 2016/1011 av den 8 juni 2016 om index som används som referensvärden för finansiella instrument och finansiella avtal eller för att mäta investeringsfonders resultat, och om ändring av direktiven 2008/48/EG och 2014/17/EU och förordning (EU) nr 596/2014 (EUT L 171, 29.6.2016, s. 1).

(29)  Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).

(30)  EUT C 229, 15.6.2021, s. 16.

(31)  Europaparlamentets och rådets direktiv 2009/65/EG av den 13 juli 2009 om samordning av lagar och andra författningar som avser företag för kollektiva investeringar i överlåtbara värdepapper (fondföretag) (EUT L 302, 17.11.2009, s. 32).

(32)  Europaparlamentets och rådets förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och om ändring av förordning (EU) nr 648/2012 (EUT L 176, 27.6.2013, s. 1).

(33)  Europaparlamentets och rådets förordning (EU) 2019/2033 av den 27 november 2019 om tillsynskrav för värdepappersföretag och om ändring av förordningarna (EU) nr 1093/2010, (EU) nr 575/2013, (EU) nr 600/2014 och (EU) nr 806/2014 (EUT L 314, 5.12.2019, s. 1).

(34)  Europaparlamentets och rådets direktiv (EU) 2016/97 av den 20 januari 2016 om försäkringsdistribution (EUT L 26, 2.2.2016, s. 19).

(35)  Europaparlamentets och rådets förordning (EU) 2020/1503 av den 7 oktober 2020 om europeiska leverantörer av gräsrotsfinansieringstjänster för företag och om ändring av förordning (EU) 2017/1129 och direktiv (EU) 2019/1937 (EUT L 347, 20.10.2020, s. 1).

(36)  Europaparlamentets och rådets förordning (EU) 2017/2402 av den 12 december 2017 om ett allmänt ramverk för värdepapperisering och om inrättande av ett särskilt ramverk för enkel, transparent och standardiserad värdepapperisering samt om ändring av direktiven 2009/65/EG, 2009/138/EG och 2011/61/EU och förordningarna (EG) nr 1060/2009 och (EU) nr 648/2012 (EUT L 347, 28.12.2017, s. 35).

(37)  Europaparlamentets och rådets förordning (EU) nr 806/2014 av den 15 juli 2014 om fastställande av enhetliga regler och ett enhetligt förfarande för resolution av kreditinstitut och vissa värdepappersföretag inom ramen för en gemensam resolutionsmekanism och en gemensam resolutionsfond och om ändring av förordning (EU) nr 1093/2010 (EUT L 225, 30.7.2014, s. 1).

(38)  Europaparlamentets och rådets direktiv (EU) 2019/2034 av den 27 november 2019 om tillsyn av värdepappersföretag och om ändring av direktiven 2002/87/EG, 2009/65/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU och 2014/65/EU (EUT L 314, 5.12.2019, s. 64).

(39)  Europaparlamentets och rådets direktiv 2006/43/EG av den 17 maj 2006 om lagstadgad revision av årsbokslut och sammanställd redovisning och om ändring av rådets direktiv 78/660/EEG och 83/349/EEG samt om upphävande av rådets direktiv 84/253/EEG (EUT L 157, 9.6.2006, s. 87).


DIREKTIV

27.12.2022   

SV

Europeiska unionens officiella tidning

L 333/80


EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV (EU) 2022/2555

av den 14 december 2022

om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet)

(Text av betydelse för EES)

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 114,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska centralbankens yttrande (1),

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (2),

efter att ha hört Regionkommittén,

i enlighet med det ordinarie lagstiftningsförfarandet (3), och

av följande skäl:

(1)

Syftet med Europaparlamentets och rådets direktiv (EU) 2016/1148 (4) var att bygga upp cybersäkerhetskapaciteten i hela unionen, begränsa hoten mot nätverks- och informationssystem som används för att tillhandahålla samhällsviktiga tjänster i centrala sektorer och säkerställa kontinuiteten i sådana tjänster när de utsätts för incidenter, och därigenom bidra till unionens säkerhet och till att dess ekonomi och samhälle kan fungera effektivt.

(2)

Sedan direktiv (EU) 2016/1148 trädde i kraft har betydande framsteg gjorts med att öka unionens nivå av cyberresiliens. Översynen av det direktivet har visat att det har fungerat som katalysator för den institutionella och lagstiftningsmässiga strategin för cybersäkerhet i unionen och har banat väg för en betydande attitydförändring. Direktivet har säkerställt fullbordandet av nationella ramar för säkerhet i nätverks- och informationssystem genom att fastställa nationella strategier för säkerhet i nätverks- och informationssystem och inrätta nationell kapacitet och genom att genomföra lagstiftningsåtgärder som omfattar väsentliga infrastrukturer och entiteter som identifierats av varje medlemsstat. Direktiv (EU) 2016/1148 har också bidragit till samarbete på unionsnivå genom inrättandet av samarbetsgruppen samt nätverket av nationella it-incidentcentrum. Trots dessa framsteg har översynen av direktiv (EU) 2016/1148 avslöjat inneboende brister som hindrar det från att effektivt hantera befintliga och framväxande utmaningar på cybersäkerhetsområdet.

(3)

Nätverks- och informationssystem har utvecklats till ett centralt inslag i vardagslivet i och med den snabba digitala omställningen och sammankopplingen av samhället, vilket även gäller vid gränsöverskridande utbyten. Denna utveckling har lett till en utvidgad cyberhotbild, som medfört nya utmaningar som kräver anpassade, samordnade och innovativa svarsåtgärder i alla medlemsstater. Incidenter, som blir allt fler och mer omfattande, sofistikerade och vanliga och får allt större inverkan, utgör ett allvarligt hot mot nätverks- och informationssystemens funktion. Därför kan sådana incidenter hindra utövandet av ekonomisk verksamhet på den inre marknaden, generera ekonomisk förlust, undergräva användarnas förtroende och orsaka allvarlig skada för unionens ekonomi och samhälle. Beredskap och ändamålsenlighet på cybersäkerhetsområdet är därför nu viktigare än någonsin för att den inre marknaden ska fungera väl. Cybersäkerhet är dessutom en viktig förutsättning för att många kritiska sektorer ska kunna tillgodogöra sig den digitala omställningen och fullt ut utnyttja digitaliseringens ekonomiska, sociala och hållbarhetsmässiga fördelar.

(4)

Den rättsliga grunden för direktiv (EU) 2016/1148 var artikel 114 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget), vars mål är att upprätta den inre marknaden och säkerställa dess funktion genom att förbättra åtgärderna för tillnärmning av nationella regler. De cybersäkerhetskrav som åläggs entiteter som tillhandahåller tjänster eller utför verksamhet som är ekonomiskt betydelsefull varierar avsevärt mellan medlemsstaterna vad gäller typen av krav, kravens utförlighet och tillsynsmetoden. Dessa skillnader medför extra kostnader och gör det svårt för entiteterna att erbjuda varor och tjänster över gränserna. Krav som ställs av en medlemsstat och som skiljer sig från, eller till och med står i strid med, krav som ställs av en annan medlemsstat kan väsentligt påverka sådan gränsöverskridande verksamhet. Det är dessutom sannolikt att otillräckligt utformade eller genomförda cybersäkerhetskrav i en medlemsstat kommer att få återverkningar för cybersäkerhetsnivån i andra medlemsstater, särskilt med tanke på det intensiva utbytet över gränserna. Översynen av direktiv (EU) 2016/1148 har visat på stora skillnader i medlemsstaternas genomförande, även vad gäller dess tillämpningsområde, då avgränsningen av detta i stor utsträckning har överlåtits på medlemsstaterna. Direktiv (EU) 2016/1148 gav också medlemsstaterna mycket stort utrymme för skönsmässig bedömning vad gäller genomförandet av de säkerhets- och incidentrapporteringsskyldigheter som fastställs i det. Dessa skyldigheter genomfördes därför på väsentligt skilda sätt på nationell nivå. Det finns liknande skillnader i genomförandet av bestämmelserna om tillsyn och efterlevnadskontroll i direktiv (EU) 2016/1148.

(5)

Alla dessa skillnader medför en fragmentering av den inre marknaden och kan ha en skadlig inverkan på dess funktion, vilket påverkar i synnerhet tillhandahållandet av tjänster över gränserna och nivån av cyberresiliens till följd av tillämpningen av ett spektrum av åtgärder. Dessa skillnader kan till sist leda till att vissa medlemsstater har större sårbarhet för cyberhot, med potentiella spridningseffekter i hela unionen. Direktivets mål är att undanröja dessa stora skillnader mellan medlemsstaterna, särskilt genom att föreskriva minimiregler för ett fungerande samordnat regelverk genom att fastställa mekanismer för effektivt samarbete mellan de ansvariga myndigheterna i varje medlemsstat, genom att uppdatera förteckningen över sektorer och verksamheter som omfattas av skyldigheter vad gäller cybersäkerhet och genom att föreskriva effektiva rättsmedel och efterlevnadskontrollåtgärder, vilket är centralt för att upprätthålla en effektiv kontroll av att dessa skyldigheter efterlevs. Därför bör direktiv (EU) 2016/1148 upphävas och ersättas av det här direktivet.

(6)

I och med upphävandet av direktiv (EU) 2016/1148 bör tillämpningsområdet med avseende på olika sektorer utvidgas till en större del av ekonomin så att den ger en omfattande täckning av sektorer och tjänster som är av avgörande betydelse för viktiga samhälleliga och ekonomiska verksamheter på den inre marknaden. I synnerhet syftar det här direktivet till att åtgärda bristerna i fråga om differentieringen mellan leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster, vilken har visat sig vara inaktuell eftersom den inte speglar den betydelse som dessa sektorer och tjänster har för samhälleliga och ekonomiska verksamheter på den inre marknaden.

(7)

Enligt direktiv (EU) 2016/1148 hade medlemsstaterna ansvaret för att identifiera de entiteter som uppfyllde kriterierna för att klassificeras som leverantörer av samhällsviktiga tjänster. För att undanröja de stora skillnaderna mellan medlemsstaterna i detta avseende och säkerställa rättslig säkerhet vad gäller riskhanteringsåtgärderna för cybersäkerhet och rapporteringsskyldigheterna för alla relevanta entiteter, bör det fastställas ett enhetligt kriterium för vilka entiteter som ska omfattas av tillämpningsområdet för detta direktiv. Kriteriet bör bestå i tillämpningen av en storleksbaserad regel som innebär att alla entiteter som betraktas som medelstora företag enligt artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG (5), eller överstiger de trösklar för medelstora företag som fastställs i punkt 1 i den artikeln, och som är verksamma i de sektorer och tillhandahåller de typer av tjänster eller bedriver de verksamheter som omfattas av det här direktivet också omfattas av tillämpningsområdet för det här direktivet. Medlemsstaterna bör även föreskriva att vissa små företag och mikroföretag, enligt definitionen i artikel 2.2 och 2.3 i den bilagan, som uppfyller specifika kriterier som visar deras nyckelroll för samhället, ekonomin eller för särskilda sektorer eller typer av tjänster ska omfattas av tillämpningsområdet för det här direktivet.

(8)

Undantaget för offentliga förvaltningsentiteter från detta direktivs tillämpningsområde bör omfatta entiteter vars verksamhet till övervägande del bedrivs på områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inbegripet verksamhet som rör utredning, förebyggande, upptäckt och lagföring av brott. Offentliga förvaltningsentiteter vars verksamhet endast marginellt hänför sig till dessa områden bör dock inte vara undantagna från direktivets tillämpningsområde. Vid tillämpningen av detta direktiv anses entiteter med tillsynsbefogenheter inte bedriva verksamhet på brottsbekämpningsområdet, och de är därför inte undantagna från tillämpningsområdet för detta direktiv. Offentliga förvaltningsentiteter som inrättats gemensamt med ett tredjeland i enlighet med ett internationellt avtal är undantagna från detta direktivs tillämpningsområde. Detta direktiv är inte tillämpligt på medlemsstaters diplomatiska och konsulära beskickningar i tredjeländer eller på deras nätverks- och informationssystem, såvida dessa system är belägna inom beskickningen eller drivs för användare i ett tredjeland.

(9)

Medlemsstaterna bör kunna vidta de åtgärder som är nödvändiga för att skydda väsentliga nationella säkerhetsintressen, upprätthålla allmän ordning och säkerhet och möjliggöra förebyggande, utredning, upptäckt och lagföring av brott. I detta syfte bör medlemsstaterna kunna undanta särskilda entiteter som bedriver verksamhet på områdena, nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inbegripet förebyggande, utredning, upptäckt och lagföring av brott, från vissa skyldigheter i detta direktiv med avseende på sådan verksamhet. Om en entitet tillhandahåller tjänster uteslutande för en offentlig förvaltningsentitet som är undantagen från detta direktivs tillämpningsområde bör medlemsstaterna kunna undanta den entiteten från vissa skyldigheter enligt detta direktiv med avseende på dessa tjänster. Vidare bör ingen medlemsstat vara skyldig att lämna information vars avslöjande skulle strida mot dess väsentliga intressen i fråga om nationell säkerhet, allmän säkerhet eller försvar. Unionsregler eller nationella regler till skydd för säkerhetsskyddsklassificerade uppgifter, sekretessavtal samt informella sekretessavtal såsom Traffic Light Protocol bör beaktas i detta sammanhang. Traffic Light Protocol bör ses som ett medel för att informera om eventuella begränsningar i vidarespridningen av information. Det används inom nästan alla enheter för hantering av it-säkerhetsincidenter (CSIRT-enheter) och av vissa informations- och analyscentraler.

(10)

Även om detta direktiv tillämpas på entiteter som bedriver verksamhet inom produktion av el från kärnkraftverk kan viss verksamhet vara kopplad till den nationella säkerheten. När så är fallet bör en medlemsstat kunna utöva sitt ansvar för att skydda den nationella säkerheten i samband med sådan verksamhet, inklusive verksamhet inom kärnenergins värdekedja, i enlighet med fördragen.

(11)

Vissa entiteter bedriver verksamhet på områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inbegripet förebyggande, utredning, upptäckt och lagföring av brott, samtidigt som de även tillhandahåller betrodda tjänster. Tillhandahållare av betrodda tjänster som omfattas av Europaparlamentets och rådets förordning (EU) nr 910/2014 (6) bör omfattas av detta direktiv för att säkerställa samma nivå på säkerhetskraven och tillsynen som den som tidigare fastställdes i den förordningen vad gäller tillhandahållare av betrodda tjänster. I överensstämmelse med undantaget för vissa specifika tjänster från förordning (EU) nr 910/2014 bör detta direktiv inte vara tillämpligt på tillhandahållande av betrodda tjänster som på grund av nationell rätt eller avtal mellan en avgränsad grupp deltagare endast används inom slutna system.

(12)

Tillhandahållare av posttjänster enligt definitionen i Europaparlamentets och rådets direktiv 97/67/EG (7), inklusive tillhandahållare av budtjänster, bör omfattas av detta direktiv om de tillhandahåller minst ett led i postleveranskedjan, särskilt insamling, sortering, transport eller distribution av postförsändelser, inklusive upphämtning, samtidig som hänsyn tas till den grad i vilken de är beroende av nätverks- och informationssystem. Transporttjänster som inte utförs i samband med något av dessa led bör vara undantagna från tillämpningsområdet för posttjänster.

(13)

Med tanke på att cyberhoten intensifieras och blir alltmer sofistikerade bör medlemsstaterna sträva efter att säkerställa att entiteter som är undantagna från detta direktivs tillämpningsområde uppnår en hög cybersäkerhetsnivå och stödja tillämpningen av likvärdiga riskhanteringsåtgärder för cybersäkerhet som speglar dessa entiteters känsliga natur.

(14)

Unionens dataskyddslagstiftning och integritetslagstiftning är tillämplig på all behandling av personuppgifter inom ramen för detta direktiv. I synnerhet påverkar detta direktiv inte tillämpningen av Europaparlamentets och rådets förordning (EU) 2016/679 (8) och Europaparlamentets och rådets direktiv 2002/58/EG (9). Därför bör detta direktiv inte påverka exempelvis uppgifterna och befogenheterna för de myndigheter som är behöriga att övervaka efterlevnaden av unionens tillämpliga dataskyddslagstiftning och integritetslagstiftning.

(15)

De entiteter som omfattas av tillämpningsområdet för detta direktiv med avseende på efterlevnad av riskhanteringsåtgärder för cybersäkerhet och rapporteringsskyldigheter bör indelas i två kategorier, väsentliga entiteter och viktiga entiteter, vilket speglar i vilken mån de är av kritisk betydelse med avseende på sektor eller de typer av tjänster de tillhandahåller samt deras storlek. I detta avseende bör vederbörlig hänsyn i förekommande fall tas till eventuella relevanta sektorsspecifika riskbedömningar eller vägledning från de behöriga myndigheterna. Tillsyns- och efterlevnadskontrollsystemen för dessa båda kategorier av entiteter bör differentieras för att säkerställa en rättvis balans mellan riskbaserade krav och skyldigheter å ena sidan och den administrativa börda som följer av tillsynen av efterlevnaden å den andra.

(16)

För att undvika att entiteter som har partnerföretag eller som är anknutna företag betraktas som väsentliga eller viktiga entiteter när detta vore oproportionellt kan medlemsstaterna ta hänsyn till vilken grad av oberoende som entiteten åtnjuter i förhållande till sin partner eller de anknutna företagen vid tillämpningen av artikel 6.2 i bilagan till rekommendation 2003/361/EG. I synnerhet kan medlemsstaterna ta hänsyn till att en entitet är oberoende av sin partner eller de anknutna företagen med avseende på de nätverks- och informationssystem som entiteten använder vid tillhandahållandet av sina tjänster och med avseende på de tjänster som entiteten tillhandahåller. På grundval av detta kan medlemsstaterna när det är lämpligt anse att en sådan entitet inte betraktas som ett medelstort företag enligt artikel 2 i bilagan till rekommendation 2003/361/EG, eller inte överstiger de trösklar för ett medelstort företag som fastställs i punkt 1 i den artikeln, om entiteten, med hänsyn tagen till dess grad av oberoende, inte skulle ha ansetts betraktas som ett medelstort företag eller överstiga dessa trösklar om bara dess egna data hade tagits i beaktande. Detta påverkar inte skyldigheterna enligt detta direktiv för partnerföretag och anknutna företag som omfattas av direktivets tillämpningsområde.

(17)

Medlemsstaterna bör kunna besluta att entiteter som före detta direktivs ikraftträdande har identifierats som leverantörer av samhällsviktiga tjänster i enlighet med direktiv (EU) 2016/1148 ska betraktas som väsentliga entiteter.

(18)

För att skapa en tydlig överblick över entiteter som omfattas av detta direktivs tillämpningsområde bör medlemsstaterna upprätta en förteckning över väsentliga och viktiga entiteter samt entiteter som tillhandahåller domännamnsregistreringstjänster. I detta syfte bör medlemsstaterna ålägga entiteter att till de behöriga myndigheterna lämna åtminstone följande information: namn, adress och aktuella kontaktuppgifter, inklusive entitetens e-postadresser, IP-adressintervall och telefonnummer, och i tillämpliga fall den relevanta sektor och delsektor som avses i de bilagorna samt i tillämpliga fall en förteckning över de medlemsstater där de tillhandahåller tjänster som omfattas av detta direktivs tillämpningsområde. I detta syfte bör kommissionen, med bistånd från Europeiska unionens cybersäkerhetsbyrå (Enisa), utan onödigt dröjsmål tillhandahålla riktlinjer och mallar avseende skyldigheten att lämna information. I syfte att underlätta upprättandet och uppdateringen av förteckningen över väsentliga och viktiga entiteter samt entiteter som tillhandahåller domännamnsregistreringstjänster bör medlemsstaterna kunna fastställa nationella mekanismer för att entiteter ska kunna registrera sig själva. Om det finns register på nationell nivå kan medlemsstaterna besluta om lämpliga mekanismer som gör det möjligt att identifiera entiteter som omfattas av detta direktiv.

(19)

Medlemsstaterna bör ansvara för att förse kommissionen åtminstone med uppgifter om antalet väsentliga och viktiga entiteter för varje sektor och delsektor enligt bilagorna samt relevant information om antalet identifierade entiteter och den bestämmelse i detta direktiv på vars grundval dessa identifierats, och den typ av tjänster de tillhandahåller. Medlemsstaterna uppmuntras att utbyta information med kommissionen om väsentliga och viktiga entiteter och, i händelse av en storskalig cybersäkerhetsincident, relevant information såsom den berörda entitetens namn.

(20)

Kommissionen bör, i samarbete med samarbetsgruppen och efter samråd med relevanta intressenter, tillhandahålla riktlinjer om genomförandet av de kriterier som ska tillämpas på mikroföretag och små företag för att bedöma om de omfattas av detta direktiv. Kommissionen bör även säkerställa att mikroföretag och små företag som omfattas av detta direktiv får lämplig vägledning. Kommissionen bör, med bistånd från medlemsstaterna, göra information tillgänglig för mikroföretag och små företag i detta avseende.

(21)

Kommissionen kan tillhandahålla vägledning för att bistå medlemsstaterna med att genomföra bestämmelserna i detta direktiv om tillämpningsområde och med att utvärdera proportionaliteten i de åtgärder som ska vidtas i enlighet med direktivet, särskilt vad gäller entiteter med komplexa affärsmodeller eller driftsmiljöer, varvid en entitet samtidigt kan uppfylla kriterierna för både väsentliga och viktiga entiteter eller samtidigt kan bedriva viss verksamhet som omfattas av, och viss verksamhet som är undantagen från, detta direktiv.

(22)

I detta direktiv fastställs referensscenariot för riskhanteringsåtgärder för cybersäkerhet och rapporteringsskyldigheter i alla sektorer som omfattas av dess tillämpningsområde. För att undvika fragmentering av cybersäkerhetsbestämmelserna i unionsrättsakter bör kommissionen, när ytterligare sektorsspecifika unionsrättsakter om riskhanteringsåtgärder för cybersäkerhet och rapporteringsskyldigheter anses nödvändiga för att säkerställa en hög cybersäkerhetsnivå i hela unionen, bedöma om sådana ytterligare bestämmelser kan fastställas i en genomförandeakt inom ramen för detta direktiv. Om en sådan genomförandeakt inte är lämplig för detta ändamål skulle sektorsspecifika unionsrättsakter kunna bidra till att säkerställa en hög cybersäkerhetsnivå i hela unionen, samtidigt som de berörda sektorernas särdrag och komplexitet beaktas fullt ut. Därför hindrar detta direktiv inte antagandet av ytterligare sektorsspecifika unionsrättsakter innehållande riskhanteringsåtgärder för cybersäkerhet och rapporteringsskyldigheter som tar vederbörlig hänsyn till behovet av en övergripande och konsekvent cybersäkerhetsram. Detta direktiv påverkar inte de befintliga genomförandebefogenheter som har tilldelats kommissionen med avseende på ett antal sektorer, däribland transport och energi.

(23)

Om en sektorsspecifik unionsrättsakt innehåller bestämmelser som föreskriver att väsentliga eller viktiga entiteter ska anta riskhanteringsåtgärder för cybersäkerhet eller anmäla betydande incidenter, och om dessa krav har minst samma verkan som de skyldigheter som fastställs i detta direktiv, bör de bestämmelserna, inbegripet om tillsyn och efterlevnadskontroll, tillämpas på sådana entiteter. Om en sektorsspecifik unionsrättsakt inte omfattar alla entiteter inom en viss sektor som omfattas av detta direktivs tillämpningsområde bör de relevanta bestämmelserna i detta direktiv fortsätta att tillämpas på de entiteter som inte omfattas av den rättsakten.

(24)

Om bestämmelserna i en sektorsspecifik unionsrättsakt föreskriver att väsentliga eller viktiga entiteter ska uppfylla rapporteringskrav som har minst samma verkan som rapporteringsskyldigheterna enligt detta direktiv bör samstämdhet och ändamålsenlighet säkerställas vid hanteringen av incidentanmälningar. I detta syfte bör den sektorsspecifika unionsrättsaktens bestämmelser om incidentanmälan föreskriva att CSIRT-enheterna, de behöriga myndigheterna eller de gemensamma kontaktpunkterna för cybersäkerhet (de gemensamma kontaktpunkterna) enligt detta direktiv ska ha omedelbar tillgång till de incidentanmälningar som lämnats in i enlighet med den sektorsspecifika unionsrättsakten. I synnerhet kan sådan omedelbar tillgång säkerställas om incidentanmälningar vidarebefordras utan onödigt dröjsmål till CSIRT-enheten, den behöriga myndigheten eller den gemensamma kontaktpunkten enligt detta direktiv. När det är lämpligt bör medlemsstaterna införa en automatisk och direkt rapporteringsmekanism som säkerställer systematisk och omedelbar informationsdelning med CSIRT-enheterna, de behöriga myndigheterna eller de gemensamma kontaktpunkterna angående hanteringen av sådana incidentanmälningar. I syfte att förenkla rapporteringen och genomföra den automatiska och direkta rapporteringsmekanismen kan medlemsstaterna, i enlighet med den sektorsspecifika unionsrättsakten, använda en gemensam kontaktpunkt.

(25)

Sektorsspecifika unionsrättsakter som föreskriver riskhanteringsåtgärder för cybersäkerhet eller rapporteringsskyldigheter som minst har samma verkan som de som fastställs i detta direktiv kan föreskriva att behöriga myndigheter inom ramen för de rättsakterna utövar sina tillsyns- och efterlevnadskontrollbefogenheter avseende sådana åtgärder eller skyldigheter med bistånd av de behöriga myndigheterna enligt detta direktiv. De berörda behöriga myndigheterna kan upprätta samarbetsarrangemang för detta ändamål. Sådana samarbetsarrangemang kan bland annat specificera förfarandena för samordning av tillsynsverksamheten, inbegripet förfarandena för utredningar och för inspektioner på plats i enlighet med nationell rätt och en mekanism för utbyte av relevant information om tillsyn och efterlevnadskontroll mellan de behöriga myndigheterna, inklusive tillgång till cyberrelaterad information som begärts av de behöriga myndigheterna enligt detta direktiv.

(26)

Om sektorsspecifika unionsrättsakter innehåller skyldigheter eller incitament för entiteter att anmäla betydande cyberhot bör medlemsstaterna även uppmuntra till informationsdelning om betydande cyberhot med CSIRT-enheterna, de behöriga myndigheterna eller de gemensamma kontaktpunkterna enligt detta direktiv för att öka dessa organs medvetenhet om cyberhotbilden och göra det möjligt för dem att reagera ändamålsenligt och i lämplig tid om de betydande cyberhoten skulle bli verklighet.

(27)

Framtida sektorsspecifika unionsrättsakter bör ta vederbörlig hänsyn till de definitioner och den ram för tillsyn och efterlevnadskontroll som fastställs i detta direktiv.

(28)

Europaparlamentets och rådets förordning (EU) 2022/2554 (10) bör betraktas som en sektorsspecifik unionsrättsakt vid tillämpning av detta direktiv med avseende på finansiella entiteter. Bestämmelserna i förordning (EU) 2022/2554 avseende riskhanteringsåtgärder för informations- och kommunikationsteknik (IKT), hantering av IKT-relaterade incidenter, särskilt rapportering om större IKT-relaterade incidenter, samt avseende testning av digital operativ motståndskraft, arrangemang för informationsutbyte och IKT-tredjepartsrisk bör tillämpas i stället för dem som fastställs i detta direktiv. Medlemsstaterna bör därför inte tillämpa detta direktivs bestämmelser om riskhanterings- och rapporteringsskyldigheter beträffande cybersäkerhet och om tillsyn och efterlevnadskontroll på finansiella entiteter som omfattas av förordning (EU) 2022/2554. Det är samtidigt viktigt att upprätthålla starka förbindelser och informationsutbyte med finanssektorn inom ramen för detta direktiv. Därför gör förordning (EU) 2022/2554 det möjligt för de europeiska tillsynsmyndigheterna och de behöriga myndigheterna enligt den förordningen att delta i samarbetsgruppens verksamhet och att utbyta information och samarbeta med de gemensamma kontaktpunkterna och med CSIRT-enheterna och de behöriga myndigheterna enligt detta direktiv. De behöriga myndigheterna enligt förordning (EU) 2022/2554 ++ bör även översända uppgifter om större IKT-relaterade incidenter och, i förekommande fall, betydande cyberhot till CSIRT-enheterna, de behöriga myndigheterna eller de gemensamma kontaktpunkterna enligt detta direktiv. Detta kan ske genom att ge omedelbar tillgång till incidentanmälningar, och antingen vidarebefordra dem direkt eller genom en gemensam kontaktpunkt. Vidare bör medlemsstaterna fortsätta att inkludera finanssektorn i sina strategier för cybersäkerhet, och CSIRT-enheterna kan inbegripa finanssektorn i sin verksamhet.

(29)

För att undvika luckor eller överlappning mellan de cybersäkerhetsskyldigheter som åläggs entiteter inom luftfartssektorn bör de nationella myndigheterna enligt Europaparlamentets och rådets förordningar (EG) nr 300/2008 (11) och (EU) 2018/1139 (12) och de behöriga myndigheterna enligt detta direktiv samarbeta när det gäller genomförandet av riskhanteringsåtgärder för cybersäkerhet och tillsynen av efterlevnaden av de åtgärderna på nationell nivå. En entitets efterlevnad av de säkerhetskrav som fastställs i förordningarna (EG) nr 300/2008 och (EU) 2018/1139 och i relevanta delegerade akter och genomförandeakter som antagits i enlighet med de förordningarna kan av de behöriga myndigheterna enligt detta direktiv anses utgöra efterlevnad av motsvarande krav som fastställs i detta direktiv.

(30)

Med tanke på kopplingarna mellan cybersäkerhet och entiteters fysiska säkerhet bör man säkerställa samstämmighet mellan Europaparlamentets och rådets direktiv (EU) 2022/2557 (13) och det här direktivet. För att uppnå detta bör entiteter som identifieras som kritiska entiteter enligt direktiv (EU) 2022/2557 anses vara väsentliga entiteter enligt det här direktivet. Vidare bör varje medlemsstat säkerställa att dess nationella strategi för cybersäkerhet tillhandahåller en politisk ram för ökad samordning inom den medlemsstaten mellan dess behöriga myndigheter enligt detta direktiv och de behöriga myndigheterna enligt direktiv (EU) 2022/2557 när det gäller informationsutbyte om risker, cyberhot och incidenter, liksom om icke-cyberrelaterade risker, hot och incidenter, samt utövande av tillsynsuppgifter. De behöriga myndigheterna enligt det här direktivet och direktiv (EU) 2022/2557 bör samarbeta och utbyta information utan onödigt dröjsmål, särskilt när det gäller identifiering av kritiska entiteter, risker, cyberhot och incidenter samt när det gäller icke-cyberrelaterade risker, hot och incidenter som påverkar kritiska entiteter, inbegripet cybersäkerhetsåtgärder och fysiska åtgärder som vidtas av kritiska entiteter samt resultaten av den tillsynsverksamhet som bedrivs med avseende på sådana entiteter.

För att effektivisera tillsynsverksamheten mellan de behöriga myndigheterna enligt det här direktivet och direktiv (EU) 2022/2557 och för att minimera den administrativa bördan för de berörda entiteterna bör de behöriga myndigheterna dessutom sträva efter att harmonisera mallarna för incidentanmälningar och tillsynsförfaranden. När så är lämpligt bör behöriga myndigheter enligt direktiv (EU) 2022/2557 kunna begära att behöriga myndigheter enligt det här direktivet utövar sina befogenheter med avseende på tillsyn och efterlevnadskontroll gentemot en entitet som identifieras som en kritisk entitet enligt direktiv (EU) 2022/2557. Det här direktivet och direktiv (EU) 2022/2557 bör, om möjligt i realtid, samarbeta och utbyta information i detta syfte.

(31)

Entiteter som tillhör sektorn för digital infrastruktur är i huvudsak baserade på nätverks- och informationssystem, och därför bör de skyldigheter som åläggs dessa entiteter genom det här direktivet på ett övergripande sätt omfatta den fysiska säkerheten i sådana system som en del av deras riskhanteringsåtgärder för cybersäkerhet och rapporteringsskyldigheter. Eftersom dessa frågor omfattas av det här direktivet är de skyldigheter som fastställs i kapitlen III, IV och VI i direktiv (EU) 2022/2557 inte tillämpliga på sådana entiteter.

(32)

Att upprätthålla och bevara ett tillförlitligt, resilient och säkert domännamnssystem (DNS) är viktiga faktorer för att upprätthålla internets integritet och är avgörande för en kontinuerlig och stabil drift, vilket den digitala ekonomin och samhället är beroende av. Därför bör detta direktiv vara tillämpligt på registreringsenheter för toppdomäner och leverantörer av DNS-tjänster, som bör förstås som entiteter som tillhandahåller allmänt tillgängliga rekursiva tjänster för att lösa domännamnsfrågor för internetslutanvändare eller auktoritativa tjänster för att lösa domännamnsfrågor för tredjepartsanvändning. Detta direktiv bör inte vara tillämpligt på rotnamnsservrar.

(33)

Molntjänster bör omfatta digitala tjänster som möjliggör administration av beställtjänster och bred fjärråtkomst till en skalbar och elastisk pool av delbara och distribuerade dataresurser, även när sådana resurser är distribuerade på flera platser. Beräkningsresurser omfattar resurser såsom nätverk, servrar eller annan infrastruktur, operativsystem, programvara, lagring, applikationer och tjänster. Tjänstemodellerna för molntjänster omfattar bland annat infrastruktur som en tjänst, plattform som en tjänst, program som en tjänst och nätverk som en tjänst. Distribueringsmodellerna för molntjänster bör omfatta privat moln, gemensamt moln, offentligt moln och hybridmoln. Molntjänste- och distribueringsmodellerna har samma innebörd som termerna tjänste- och distribueringsmodeller som definieras i standarden ISO/IEC 17788:2014. Molnanvändarens kapacitet att ensidigt, självständigt tillhandahålla datorkapacitet, såsom servertid eller nätlagring, utan någon mänsklig medverkan från leverantören av molntjänster, kan beskrivas som beställtjänster.

Termen bred fjärråtkomst används för att beskriva att molnkapaciteten tillhandahålls över nätet och nås genom mekanismer som främjar användning av heterogena tunna eller tjocka klientplattformar, däribland mobiltelefoner, surfplattor, bärbara datorer och arbetsstationer. Termen skalbar avser beräkningsresurser som leverantören av molntjänster fördelar på ett flexibelt sätt, oberoende av resursernas geografiska läge, för att hantera fluktuationer i efterfrågan. Termen elastisk pool används för att beskriva beräkningsresurser som tillhandahålls och utnyttjas beroende på efterfrågan för att tillgängliga resurser snabbt ska kunna utökas och minskas i takt med arbetsbördan. Termen delbar används för att beskriva beräkningsresurser som tillhandahålls flera användare som delar en gemensam åtkomst till tjänsten där behandlingen genomförs separat för varje användare, även om tjänsten tillhandahålls från samma elektroniska utrustning. Termen distribuerad används för att beskriva beräkningsresurser som finns på olika nätverksanslutna datorer eller enheter och som kommunicerar och samordnar sig sinsemellan genom meddelandepassning.

(34)

Med tanke på framväxten av innovativ teknik och nya affärsmodeller förväntas nya molntjänste- och distribueringsmodeller uppstå på den inre marknaden som svar på kundernas föränderliga behov. I detta sammanhang kan molntjänster levereras i en mycket distribuerad form, ännu närmare den plats där data genereras eller samlas in, och därmed övergå från den traditionella modellen till en mycket distribuerad modell (edge computing).

(35)

Tjänster som erbjuds av leverantörer av datacentraltjänster tillhandahålls inte alltid i form av molntjänster. Därför ingår inte datacentraler alltid i en molninfrastruktur. För att hantera alla risker för säkerheten i nätverks- och informationssystem bör detta direktiv därför omfatta leverantörer av datacentraltjänster som inte är molntjänster. Vid tillämpningen av detta direktiv bör termen datacentraltjänst omfatta strukturer, eller grupper av strukturer, avsedda för centraliserad inkvartering, sammankoppling och drift av it- och nätutrustning som tillhandahåller datalagrings-, databehandlings- och datatransporttjänster samt alla anläggningar och infrastrukturer för kraftdistribution och miljökontroll. Termen datacentraltjänst bör inte vara tillämplig på interna datacentraler som ägs och drivs av den berörda entiteten för egen räkning.

(36)

Forskningsverksamhet spelar en nyckelroll i utvecklingen av nya produkter och processer. Mycket av den verksamheten genomförs av entiteter som delar, sprider eller utnyttjar resultaten av sin forskning i kommersiella syften. Dessa entiteter kan därför vara viktiga aktörer i värdekedjor, vilket gör säkerheten i deras nätverks- och informationssystem till en integrerad del av den övergripande cybersäkerheten på den inre marknaden. Forskningsorganisationer bör anses inbegripa entiteter som riktar in större delen av sin verksamhet på tillämpad forskning eller experimentell utveckling i den mening som avses i ”Frascatimanualen 2015: Riktlinjer för insamling och rapportering av uppgifter om forskning och experimentell utveckling” från Organisationen för ekonomiskt samarbete och utveckling, i syfte att utnyttja sina resultat i kommersiella syften, såsom tillverkning eller utveckling av en produkt eller process, tillhandahållande av en tjänst, eller marknadsföring därav.

(37)

De växande ömsesidiga beroendeförhållandena är resultatet av ett allt mer gränsöverskridande nätverk av tillhandahållande av tjänster, med ett inbördes beroende, som använder central infrastruktur över hela unionen inom sektorer såsom energi, transport, digital infrastruktur, dricks- och avloppsvatten, hälso- och sjukvård, vissa aspekter av offentlig förvaltning, samt rymden i den mån tillhandahållandet av vissa tjänster som är beroende av markbaserad infrastruktur som ägs, förvaltas och drivs av medlemsstater eller privata parter berörs; därför omfattas inte infrastruktur som ägs, förvaltas eller drivs av unionen eller på unionens vägnar som en del av dess rymdprogram. Dessa beroendeförhållanden innebär att alla störningar, även sådana som inledningsvis är begränsade till en entitet eller sektor, kan få dominoeffekter i vidare bemärkelse, vilket kan leda till långtgående och långvariga effekter på tillhandahållandet av tjänster på hela den inre marknaden. De intensifierade cyberattackerna under covid-19-pandemin har visat sårbarheten hos alltmer av varandra beroende samhällena är för risker med låg sannolikhet.

(38)

Mot bakgrund av skillnaderna i nationella förvaltningsstrukturer, och för att skydda befintliga sektorsspecifika arrangemang eller unionens tillsyns- och regleringsorgan, bör medlemsstaterna kunna utse eller inrätta en eller flera behöriga myndigheter med ansvar för cybersäkerhet och för tillsynsuppgifterna enligt detta direktiv.

(39)

För att underlätta gränsöverskridande samarbete och kommunikation mellan myndigheter och för att göra det möjligt att genomföra detta direktiv på ett effektivt sätt måste varje medlemsstat utse en gemensam kontaktpunkt med ansvar för samordningen av frågor angående säkerhet i nätverks- och informationssystem och gränsöverskridande samarbete på unionsnivå.

(40)

De gemensamma kontaktpunkterna bör säkerställa effektivt gränsöverskridande samarbete med relevanta myndigheter i en annan medlemsstat och, när det är lämpligt, med kommissionen och Enisa. De gemensamma kontaktpunkterna bör därför ges i uppgift att vidarebefordra underrättelser om betydande incidenter med gränsöverskridande verkningar till de gemensamma kontaktpunkterna i andra berörda medlemsstater på begäran av CSIRT-enheten eller den behöriga myndigheten. På nationell nivå bör de gemensamma kontaktpunkterna möjliggöra smidigt sektorsövergripande samarbete med andra behöriga myndigheter. De gemensamma kontaktpunkterna kan också vara mottagare av relevant information om incidenter rörande finansiella entiteter från de behöriga myndigheterna enligt förordning (EU) 2022/2554, som de bör kunna vidarebefordra till CSIRT-enheterna eller de behöriga myndigheterna enligt detta direktiv, beroende på vad som är lämpligt.

(41)

Medlemsstaterna bör ha både den tekniska och organisatoriska kapacitet som krävs för att förebygga, upptäcka, vidta åtgärder mot och begränsa incidenter och risker. Medlemsstaterna bör därför inrätta eller utse en eller flera CSIRT-enheter enligt detta direktiv och säkerställa att de har tillräckligt med resurser och teknisk kapacitet. CSIRT-enheterna bör uppfylla kraven enligt detta direktiv i syfte att garantera effektiv och kompatibel kapacitet att hantera incidenter och risker och säkerställa ett effektivt samarbete på unionsnivå. Medlemsstaterna bör kunna utse befintliga incidenthanteringsorganisationer (Cert) till CSIRT-enheter. För att stärka förtroendeförhållandet mellan entiteterna och CSIRT-enheterna bör medlemsstaterna, när en CSIRT-enhet är en del av de behörig myndighet, kunna överväga funktionell åtskillnad mellan de operativa uppgifter som utförs av CSIRT-enheterna, särskilt när det gäller informationsutbyte och bistånd till entiteterna, och de behöriga myndigheternas tillsynsverksamhet.

(42)

CSIRT-enheterna ansvarar för incidenthantering. Detta omfattar behandling av stora mängder ibland känsliga uppgifter. Medlemsstaterna bör säkerställa att CSIRT-enheterna har en infrastruktur för utbyte och behandling av information, samt väl rustad personal, som säkerställer verksamhetens konfidentialitet och trovärdighet. CSIRT-enheterna kan även anta uppförandekoder i detta avseende.

(43)

Vad gäller personuppgifter bör CSIRT-enheterna, i enlighet med förordning (EU) 2016/679, på begäran av en väsentlig eller viktig entitet tillhandahålla en proaktiv skanning av de nätverks- och informationssystem som används för att tillhandahålla entitetens tjänster. När det är tillämpligt bör medlemsstaterna sträva efter att säkerställa en lika hög nivå av teknisk kapacitet hos alla sektorsspecifika CSIRT-enheter. Medlemsstaterna bör kunna begära Enisas bistånd vid inrättandet av sina CSIRT-enheter.

(44)

CSIRT-enheter bör ha förmåga att, på en väsentlig eller viktig entitets begäran, övervaka entitetens internettillvända tillgångar, både inom och utanför lokalerna, för att identifiera, förstå och hantera entitetens övergripande organisatoriska risker med avseende på nyligen identifierade kompromisser i leveranskedjan eller kritiska sårbarheter. Entiteten bör uppmuntras att meddela CSIRT-enheten om den har ett privilegierat hanteringsgränssnitt, då detta kan påverka hur snabbt begränsningsåtgärder kan vidtas.

(45)

Med tanke på vikten av internationellt samarbete på området cybersäkerhet bör CSIRT-enheterna kunna delta i internationella samarbetsnätverk utöver det CSIRT-nätverk som inrättas genom detta direktiv. För att utföra sina uppgifter bör CSIRT-enheterna och de behöriga myndigheterna därför kunna utbyta information, inklusive personuppgifter, med de nationella enheterna för hantering av it-säkerhetsincidenter eller behöriga myndigheter i tredjeländer, förutsatt att villkoren i unionens dataskyddslagstiftning för överföring av personuppgifter till tredjeländer är uppfyllda, bland annat villkoren i artikel 49 i förordning (EU) 2016/679.

(46)

Det är angeläget att säkerställa tillräckliga resurser för att uppnå målen för detta direktiv och göra det möjligt för de behöriga myndigheterna och CSIRT-enheterna att utföra de uppgifter som fastställs i detta direktiv. Medlemsstaterna kan på nationell nivå införa en finansieringsmekanism för att täcka de nödvändiga utgifterna i samband med att offentliga entiteter med ansvar för cybersäkerheten i medlemsstaterna utför sina uppgifter i enlighet med detta direktiv. En sådan mekanism bör vara förenlig med unionsrätten samt proportionell och icke-diskriminerande och bör beakta olika tillvägagångssätt för att tillhandahålla säkra tjänster.

(47)

CSIRT-nätverket bör fortsätta att bidra till att stärka förtroendet och tilliten och främja snabbt och effektivt operativt samarbete mellan medlemsstaterna. För att stärka det operativa samarbetet på unionsnivå bör CSIRT-nätverket överväga att bjuda in unionsorgan och -byråer som arbetar med frågor som rör cybersäkerhetspolitiken, såsom Europol, att delta i dess arbete.

(48)

För att uppnå och behålla en hög cybersäkerhetsnivå bör de nationella strategier för cybersäkerhet som krävs enligt detta direktiv bestå av enhetliga ramar med strategiska mål och prioriteringar på cybersäkerhetsområdet samt en styrningsram för att uppnå dem. Dessa strategier kan bestå av ett eller flera instrument av lagstiftningskaraktär eller annan karaktär.

(49)

Riktlinjer för cyberhygien utgör grunden för att skydda nätverks- och informationssystemens infrastruktur, maskinvara, programvara och säkerhet för onlinetillämpningar samt affärs- eller slutanvändardata som entiteter förlitar sig på. Riktlinjer för cyberhygien som omfattar en gemensam grundläggande uppsättning rutiner, bland annat uppdateringar av programvara och maskinvara, byte av lösenord, hantering av nya installationer, begränsning av användarkonton på administratörsnivå och säkerhetskopiering av data, möjliggör en proaktiv ram för beredskap samt övergripande säkerhet och trygghet i händelse av incidenter eller cyberhot. Enisa bör övervaka och analysera medlemsstaternas riktlinjer för cyberhygien.

(50)

Medvetenhet om cybersäkerhet och cyberhygien är av väsentlig betydelse för att stärka cybersäkerheten inom unionen, särskilt mot bakgrund av det ökande antalet uppkopplade enheter som i tilltagande grad används vid cyberattacker. Ansträngningar bör göras för att öka den allmänna medvetenheten om risker kopplade till sådana enheter, samtidigt som bedömningar på unionsnivå kan bidra till att säkerställa samsyn i fråga om sådana risker på den inre marknaden.

(51)

Medlemsstaterna bör uppmuntra användningen av all innovativ teknik, däribland artificiell intelligens, som kan förbättra upptäckten och förebyggandet av cyberattacker och göra det möjligt att styra över resurser till cyberattacker på ett effektivare sätt. Medlemsstaterna bör därför i sin nationella strategi för cybersäkerhet uppmuntra forsknings- och utvecklingsverksamhet för att underlätta användningen av sådan teknik, särskilt sådan som avser automatiserade eller halvautomatiserade cybersäkerhetsverktyg, och i förekommande fall utbyte av data som behövs för att utbilda användarna av sådan teknik och förbättra den. Användningen av innovativ teknik, däribland artificiell intelligens, bör vara förenlig med unionens dataskyddslagstiftning, däribland dataskyddsprinciperna om uppgifternas korrekthet, uppgiftsminimering, rättvisa och transparens samt datasäkerhet, såsom avancerad krypteringsteknik. Kraven på inbyggt dataskydd och dataskydd som standard enligt förordning (EU) 2016/679 bör utnyttjas till fullo.

(52)

Cybersäkerhetsverktyg och applikationer med öppen källkod kan bidra till en högre grad av öppenhet och inverka positivt på effektiviteten i industriell innovation. Öppna standarder främjar interoperabilitet mellan säkerhetsverktyg, vilket gynnar säkerheten för berörda parter inom industrin. Cybersäkerhetsverktyg och applikationer med öppen källkod kan dra nytta av utvecklargemenskapen i stort och möjliggöra diversifiering av leverantörer. Öppen källkod kan leda till en mer transparent verifieringsprocess för cybersäkerhetsrelaterade verktyg och till en gemenskapsdriven process för att upptäcka sårbarheter. Medlemsstaterna bör därför kunna främja användningen av programvara med öppen källkod och öppna standarder genom att tillämpa riktlinjer för användning av öppna data och öppen källkod som ett led i säkerhet genom transparens. Riktlinjer som främjar införande och hållbar användning av cybersäkerhetsverktyg med öppen källkod är särskilt viktig för små och medelstora företag som har stora genomförandekostnader som kan minimeras om behovet av specifika applikationer eller verktyg minskades.

(53)

Allmännyttiga tjänster är alltmer uppkopplade mot digitala nätverk i städer i syfte att förbättra städernas transportnät, uppgradera anläggningar för vattenförsörjning och avfallshantering och effektivisera belysning och uppvärmning i byggnader. Dessa digitaliserade allmännyttiga tjänster är sårbara för cyberattacker och riskerar i händelse av en lyckad cyberattack att vålla medborgarna omfattande skada på grund av att de är sammankopplade. Medlemsstaterna bör, som ett led i sin nationella strategi för cybersäkerhet, ta fram riktlinjer som hanterar utvecklingen av sådana sammankopplade eller smarta städer, och deras potentiella inverkan på samhället.

(54)

På senare år har unionen upplevt en exponentiell ökning av attacker genom utpressningsprogram där sabotageprogram krypterar data och system och kräver en lösensumma för att låsa upp dem. Att attacker genom utpressningsprogram blir vanligare och allvarligare kan bero på flera faktorer, såsom olika attackmönster, kriminella affärsmodeller som kretsar kring ”utpressningsprogram som service” och kryptovalutor, krav på lösensumma och ökat antal attacker i leveranskedjan. Medlemsstaterna bör ta fram riktlinjer för att hantera det ökande antalet utpressningsattacker som ett led i sin nationella strategi för cybersäkerhet.

(55)

Offentlig-privata partnerskap inom cybersäkerhet kan utgöra en lämplig ram för kunskapsutbyte, utbyte av bästa praxis och utveckling av samsyn bland berörda parter. Medlemsstaterna bör främja riktlinjer som stöder inrättande av cybersäkerhetsspecifika offentlig-privata partnerskap. Sådana riktlinjer bör bland annat klargöra tillämpningsområdet och de berörda aktörerna, styrningsmodellen, de tillgängliga finansieringsalternativen och samspelet mellan deltagande aktörer i samband med offentlig-privata partnerskap. Offentlig-privata partnerskap kan dra nytta av expertisen hos privata entiteter för att bistå behöriga myndigheter vid utvecklingen av avancerade tjänster och processer med informationsutbyte, tidiga varningar, cyberhots- och incidentövningar, krishantering och resiliensplanering.

(56)

Medlemsstaterna bör i sina nationella strategier för cybersäkerhet ta itu med små och medelstora företags särskilda cybersäkerhetsbehov. Små och medelstora företag står, i hela unionen, för en stor andel av industri- och affärsmarknaden och har ofta svårt att anpassa sig till nya affärsmetoder i en mer uppkopplad värld, och till den digitala miljön, med anställda som arbetar hemifrån och en verksamhet som i allt högre grad bedrivs online. Vissa små och medelstora företag upplever särskilda cybersäkerhetsutmaningar, såsom låg cybermedvetenhet, bristande it-säkerhet på distans, höga kostnader för cybersäkerhetslösningar och en förhöjd hotnivå, t.ex. genom utpressningsprogram, och bör för detta få vägledning och bistånd. Små och medelstora företag blir i allt högre grad måltavlor för attacker i leveranskedjan på grund av att de har mindre strikta åtgärder för hantering av cybersäkerhetsrisker och attacker och på grund av det faktum att de har begränsade säkerhetsresurser. Sådana attacker i leveranskedjan påverkar inte bara små och medelstora företag och deras verksamhet isolerat utan kan också få en dominoeffekt i fråga om större attacker mot entiteter som de levererat till. Medlemsstaterna bör genom sina nationella strategier för cybersäkerhet hjälpa små och medelstora företag att ta itu med utmaningarna i sina leveranskedjor. Medlemsstaterna bör ha en kontaktpunkt för små och medelstora företag på nationell eller regional nivå som antingen ger vägledning och bistånd till små och medelstora företag eller hänvisar dem till lämpliga organ för vägledning och bistånd i cybersäkerhetsrelaterade frågor. Medlemsstaterna uppmanas även att erbjuda tjänster såsom konfiguration av webbplatser och möjliggörande av loggning för mikroföretag och små företag som saknar sådan kapacitet.

(57)

Inom ramen för sina nationella strategier för cybersäkerhet bör medlemsstaterna anta riktlinjer för främjande av ett aktivt cyberskydd som ett led i en vidare försvarsstrategi. I stället för reaktiva insatser innebär ett aktivt cyberskydd förebyggande, upptäckt, övervakning, analys och begränsning av överträdelser av nätverkssäkerheten, i kombination med användning av kapacitet som satts in inom och utanför det angripna nätverket. Detta kan bland annat innebära att medlemsstaterna erbjuder vissa entiteter kostnadsfria tjänster eller verktyg, t.ex. självbetjäningskontroller, upptäcktsverktyg och borttagningstjänster. Förmågan att snabbt och automatiskt utbyta och förstå information om och analyser av hot, varningar om cyberverksamhet samt motåtgärder är avgörande för att med förenade ansträngningar lyckas förebygga, upptäcka, hantera och blockera attacker mot nätverks- och informationssystem. Ett aktivt cyberskydd bygger på en defensiv strategi som utesluter offensiva åtgärder.

(58)

Eftersom utnyttjandet av sårbarheter i nätverks- och informationssystem kan orsaka betydande störningar och skada, är snabb identifiering och snabbt åtgärdande av sådana sårbarheter en viktig faktor för att minska risken. Entiteter som utvecklar eller administrerar nätverks- och informationssystem bör därför inrätta lämpliga förfaranden för att hantera sårbarheter när de upptäcks. Eftersom sårbarheter ofta upptäcks och meddelas av tredjeparter, bör tillverkaren eller leverantören av IKT-produkter eller IKT-tjänster även införa nödvändiga förfaranden för att motta sårbarhetsinformation från tredjeparter. I detta avseende ger de internationella standarderna ISO/IEC 30111 och ISO/IEC 29147 vägledning om sårbarhetshantering och om delgivning av information om sårbarheter. En stärkt samordning mellan rapporterande fysiska och juridiska personer och tillverkare eller leverantörer av IKT-produkter eller IKT-tjänster är särskilt viktig för att underlätta den frivilliga ramen för delgivning av information om sårbarheter. Samordnad delgivning av information om sårbarheter specificerar en strukturerad process genom vilken sårbarheter rapporteras till tillverkaren eller leverantören av de potentiellt sårbara IKT-produkterna eller IKT-tjänsterna på ett sätt som gör det möjligt för denne att diagnostisera och åtgärda sårbarheten innan detaljerad information om sårbarheten meddelas tredjeparter eller allmänheten. Samordnad delgivning av information om sårbarheter bör även inbegripa samordning mellan den rapporterande fysiska eller juridiska personen och tillverkaren eller leverantören av de potentiellt sårbara IKT-produkterna eller IKT-tjänsterna vad gäller tidpunkten för åtgärdandet och offentliggörandet av sårbarheter.

(59)

Kommissionen, Enisa och medlemsstaterna bör fortsätta att främja anpassningar till internationella standarder och befintlig bästa branschpraxis inom hantering av cybersäkerhetrisker, exempelvis inom säkerhetsbedömningar i leveranskedjan, informationsutbyte och delgivning av information om sårbarheter.

(60)

Medlemsstaterna bör, i samarbete med Enisa, vidta åtgärder för att underlätta samordnad delgivning av information om sårbarheter genom att fastställa en relevant nationell policy. Som ett led i den nationella policyn bör medlemsstaterna sträva efter att i största möjliga utsträckning ta itu med de utmaningar som sårbarhetsforskare ställs inför, inbegripet deras potentiella utsatthet för straffrättsligt ansvar, i enlighet med nationell rätt. Med tanke på att fysiska och juridiska personer som forskar om sårbarheter kan riskera straff- och civilrättsligt ansvar i vissa medlemsstater uppmuntras medlemsstaterna att anta riktlinjer för icke-lagföring av forskare i informationssäkerhet och befrielse från civilrättsligt ansvar för deras verksamhet.

(61)

Medlemsstaterna bör utse en av sina CSIRT-enheter till samordnare, som bör fungera som betrodd mellanhand mellan rapporterande fysiska eller juridiska personer och tillverkare eller leverantörer av IKT-produkter eller IKT-tjänster som sannolikt kommer att påverkas av sårbarheten, när detta är nödvändigt. Den CSIRT-enhet som utsetts till samordnare bör bland annat ha i uppgift att identifiera och kontakta de berörda entiteterna, bistå de fysiska eller juridiska personer som rapporterar en sårbarhet, förhandla om tidsfrister för delgivning av information och hantera sårbarheter som påverkar flera entiteter (samordnad delgivning av information om sårbarheter omfattande flera parter). Om den rapporterade sårbarheten kan ha en betydande påverkan på entiteter i fler än en medlemsstat bör de CSIRT-enheter som utsetts till samordnare samarbeta inom CSIRT-nätverket när så är lämpligt.

(62)

Tillträde till korrekt information i lämplig tid om sårbarheter som påverkar IKT-produkter och IKT-tjänster bidrar till en förbättrad riskhantering på cybersäkerhetsområdet. Källor till offentligt tillgänglig information om sårbarheter är ett viktigt verktyg för entiteterna och användarna av deras tjänster, men även för behöriga myndigheter och CSIRT-enheter. Av denna anledning bör Enisa upprätta en europeisk sårbarhetsdatabas där entiteter, oberoende av om de omfattas av tillämpningsområdet för detta direktiv, och deras leverantörer av nätverks- och informationssystem, samt de behöriga myndigheterna och CSIRT-enheterna på frivillig basis kan meddela information om och registrera allmänt kända sårbarheter för att möjliggöra för användarna att vidta lämpliga riskreducerande åtgärder. Syftet med databasen är att hantera de unika utmaningar som risker innebär för entiteter i unionen. Vidare bör Enisa inrätta ett lämpligt förfarande för offentliggörandet för att ge entiteterna tid att vidta riskreducerande åtgärder när det gäller deras sårbarheter och använda avancerade riskhanteringsåtgärder på cybersäkerhetsområdet samt maskinläsbara dataset och motsvarande gränssnitt. För att uppmuntra en kultur där information lämnas om sårbarheter bör informationslämnande inte få negativa effekter för den rapporterande fysiska eller juridiska personen.

(63)

Även om liknande sårbarhetsregister eller -databaser finns, förvaltas och underhålls de av entiteter som inte är etablerade i unionen. En europeisk sårbarhetsdatabas som underhålls av Enisa skulle ge förbättrad insyn i processen för offentliggörande innan sårbarheten meddelas offentligt samt motståndskraft i händelse av en störning eller ett avbrott i tillhandahållandet av liknande tjänster. För att i möjligaste mån undvika dubbelarbete och eftersträva komplementaritet bör Enisa undersöka möjligheten att ingå avtal om strukturerat samarbete med liknande register eller databaser som omfattas av ett tredjelands jurisdiktion. Enisa bör särskilt undersöka möjligheten till ett nära samarbete med operatörerna av systemet för gemensamma sårbarheter och exponeringar (Common Vulnerabilities and Exposures – CVE).

(64)

Samarbetsgruppen bör stödja och underlätta strategiskt samarbete och informationsutbyte samt stärka förtroendet och tilliten mellan medlemsstaterna. Samarbetsgruppen bör upprätta ett arbetsprogram vartannat år. Arbetsprogrammet bör omfatta de åtgärder som samarbetsgruppen ska vidta för att genomföra sina mål och uppgifter. Tidsramen för att inrätta det första arbetsprogrammet enligt detta direktiv bör anpassas till tidsramen för det senaste arbetsprogram som inrättats enligt direktiv (EU) 2016/1148 i syfte att undvika potentiella avbrott i samarbetsgruppens arbete.

(65)

Vid utarbetandet av vägledningsdokument bör samarbetsgruppen konsekvent kartlägga nationella lösningar och erfarenheter, bedöma hur samarbetsgruppens resultat påverkar nationella strategier, diskutera utmaningar i samband med genomförandet och formulera särskilda rekommendationer, särskilt om hur ett samordnat införlivande av direktivet kan underlättas bland medlemsstaterna, som bör beaktas genom ett bättre genomförande av befintliga bestämmelser. Samarbetsgruppen skulle även kunna kartlägga de nationella lösningarna för att främja kompatibiliteten mellan de cybersäkerhetslösningar som tillämpas inom varje specifik sektor i unionen. Detta är särskilt relevant för sektorer av internationell eller gränsöverskridande karaktär.

(66)

Samarbetsgruppen bör förbli ett flexibelt forum och kunna reagera på föränderliga och nya politiska prioriteringar och utmaningar samtidigt som tillgången till resurser beaktas. Den kan anordna regelbundna gemensamma möten med relevanta privata intressenter från hela unionen för att diskutera samarbetsgruppens verksamhet och inhämta uppgifter och synpunkter avseende framväxande politiska frågor. Dessutom bör samarbetsgruppen göra en regelbunden bedömning av läget när det gäller cyberhot eller incidenter, såsom utpressningsprogram. För att stärka samarbetet på unionsnivå bör samarbetsgruppen överväga att bjuda in relevanta unionsinstitutioner, -organ, -kontor och -byråer som arbetar med frågor som rör cybersäkerhetspolitiken, såsom Europaparlamentet, Europol, Europeiska dataskyddsstyrelsen, Europeiska unionens byrå för luftfartssäkerhet, som inrättats genom förordning (EU) 2018/1139, och Europeiska unionens rymdprogrambyrå, som inrättats genom Europaparlamentets och rådets förordning (EU) 2021/696 (14), att delta i dess arbete.

(67)

De behöriga myndigheterna och CSIRT-enheterna bör kunna delta i utbytesprogram för tjänstemän från andra medlemsstater inom en särskild ram och, i tillämpliga fall, efter det erforderliga säkerhetsgodkännandet för tjänstemän som deltar i sådana utbytesprogram, i syfte att förbättra samarbetet och stärka tilliten mellan medlemsstaterna. De behöriga myndigheterna bör vidta nödvändiga åtgärder för att tjänstemän från andra medlemsstater ska kunna spela en faktisk roll i verksamheten inom den behöriga värdmyndigheten eller CSIRT-värdenheten.

(68)

Medlemsstaterna bör bidra till inrättandet av en EU-ram för hantering av cyberkriser enligt kommissionens rekommendation (EU) 2017/1584 (15) genom de befintliga samarbetsnätverken, särskilt Europeiska kontaktnätverket för cyberkriser (EU-CyCLONe), CSIRT-nätverket och samarbetsgruppen. EU- CyCLONe och CSIRT-nätverket bör samarbeta på grundval av förfaranden som specificerar detaljerna för detta samarbete och undvika dubbelarbete. Arbetsordningen för EU-CyCLONe bör ytterligare specificera de arrangemang enligt vilka det nätverket ska fungera, däribland nätverkets roller, samarbetsformer, samverkan med andra relevanta aktörer och mallar för informationsutbyte, samt kommunikationsmedel. För krishantering på unionsnivå bör berörda parter stödja sig på EU-arrangemangen för integrerad politisk krishantering enligt rådets genomförandebeslut (EU) 2018/1993 (16) (IPCR-arrangemang). Kommissionen bör använda Argus-förfarandet för gränsöverskridande krissamordning på hög nivå för detta ändamål. Om krisen har en yttre dimension eller en dimension som rör den gemensamma säkerhets- och försvarspolitiken (GSFP) och denna dimension är betydande, bör Europeiska utrikestjänstens krishanteringsmekanism aktiveras.

(69)

I enlighet med bilagan till rekommendation (EU) 2017/1584 bör en storskalig incident anses vara en cybersäkerhetsincident som orsakar störningar som är så omfattande att en medlemsstat inte kan hantera dem eller som har en betydande påverkan på minst två medlemsstater. Beroende på orsak och verkan kan storskaliga cybersäkerhetsincidenter eskalera och förvandlas till fullt utvecklade kriser som hindrar den inre marknaden från att fungera korrekt eller som allvarligt hotar den allmänna tryggheten och säkerheten för entiteter eller medborgare i flera medlemsstater eller i unionen som helhet. Med beaktande av sådana incidenters stora omfattning och, i de flesta fall, gränsöverskridande karaktär, bör medlemsstater och relevanta unionsinstitutioner, -organ, -kontor och -byråer samarbeta på teknisk, operativ och politisk nivå i syfte att på lämpligt sätt samordna insatserna i hela unionen.

(70)

Storskaliga cybersäkerhetsincidenter och kriser på unionsnivå kräver samordnade åtgärder för att säkerställa snabba och effektiva insatser på grund av den höga graden av ömsesidigt beroende mellan sektorer och medlemsstater. Tillgången till cyberresilienta nätverks- och informationssystem och uppgifternas tillgänglighet, konfidentialitet och riktighet är av vital betydelse för unionens säkerhet och skyddet av dess medborgare, företag och institutioner mot incidenter och cyberhot och för att stärka människors och organisationers tilltro till unionens förmåga att främja och skydda en global, öppen, fri, stabil och säker cyberrymd som bygger på mänskliga rättigheter, grundläggande friheter, demokrati och rättsstatliga principer.

(71)

EU-CyCLONe bör fungera som mellanhand mellan den tekniska och politiska nivån under storskaliga cybersäkerhetsincidenter och kriser och bör stärka samarbetet på operativ nivå och stödja beslutsfattandet på politisk nivå. I samarbete med kommissionen, och med beaktande av kommissionens behörighet inom krishantering, bör EU-CyCLONe ta fasta på CSIRT-nätverkets slutsatser och använda sin egen kapacitet för att göra en konsekvensanalys av storskaliga cybersäkerhetsincidenter och kriser.

(72)

Cyberattacker är av en gränsöverskridande natur, och en betydande incident kan störa och skada kritisk informationsinfrastruktur som en välfungerande inre marknad är beroende av. Rekommendation (EU) 2017/1584 tar upp alla relevanta aktörers roller. Vidare är kommissionen inom ramen för unionens civilskyddsmekanism, som inrättats genom Europaparlamentets och rådets beslut nr 1313/2013/EU (17), ansvarig för allmänna beredskapsåtgärder, bland annat för att förvalta centrumet för samordning av katastrofberedskap och det gemensamma kommunikations- och informationssystemet för olyckor, upprätthålla och vidareutveckla situationsmedvetenhet och analyskapacitet samt upprätta och förvalta kapacitet att mobilisera och sända ut expertgrupper vid förfrågan om bistånd från en medlemsstat eller ett tredjeland. Kommissionen är även ansvarig för tillhandahållande av analytiska rapporter inför IPCR-arrangemang enligt genomförandebeslut (EU) 2018/1993, bland annat med avseende på situationsmedvetenhet och beredskap på cybersäkerhetsområdet, samt för situationsmedvetenhet och krishantering på områdena jordbruk, ogynnsamma väderförhållanden, kartläggning av och prognoser för konflikter, system för tidig varning vid naturkatastrofer, hälsokriser, övervakning av infektionssjukdomar, växtskydd, kemiska incidenter, livsmedels- och fodersäkerhet, djurhälsa, migration, tull, nukleära och radiologiska nödsituationer och energi.

(73)

Unionen kan när det är lämpligt ingå internationella avtal, i enlighet med artikel 218 i EUF-fördraget, med tredjeländer eller internationella organisationer och därvid tillåta och organisera deras deltagande i särskild verksamhet inom samarbetsgruppen, CSIRT-nätverket och EU-CyCLONe. Sådana avtal bör säkerställa unionens intressen och ändamålsenligt skydd av uppgifter. Detta bör inte utesluta medlemsstaternas rätt att samarbeta med tredjeländer om hantering av sårbarheter och riskhantering på cybersäkerhetsområdet och därvid underlätta rapportering och allmänt informationsutbyte i enlighet med unionsrätten.

(74)

För att underlätta ett effektivt genomförande av detta direktiv i fråga om bland annat hantering av sårbarheter, riskhanteringsåtgärder för cybersäkerhet, rapporteringsskyldigheter och arrangemang för informationsutbyte om cybersäkerhet kan medlemsstaterna samarbeta med tredjeländer och bedriva verksamhet som anses lämplig för detta ändamål, bland annat informationsutbyte om cyberhot, incidenter, sårbarheter, verktyg, metoder, taktik, tekniker och förfaranden, beredskap och övningar för cybersäkerhetskrishantering, utbildning, förtroendeskapande åtgärder och arrangemang för ett strukturerat informationsutbyte.

(75)

Sakkunnigbedömningar bör införas i syfte att dra lärdom av delade erfarenheter, stärka det ömsesidiga förtroendet och uppnå en hög gemensam cybersäkerhetsnivå. Sakkunnigbedömningarna kan leda till värdefulla insikter och rekommendationer som kan stärka den övergripande cybersäkerhetskapaciteten, skapa ytterligare en funktionell väg för utbyte av bästa praxis mellan medlemsstater och bidra till att förbättra medlemsstaternas mognadsnivå inom cybersäkerhet. Vidare bör sakkunnigbedömningarna beakta resultaten av liknande mekanismer, såsom systemet för sakkunnigbedömning inom ramen för CSIRT-nätverket, samt tillföra mervärde och undvika dubbelarbete. Genomförandet av sakkunnigbedömningarna bör inte påverka tillämpningen av unionsrätt eller nationell rätt om skydd av konfidentiella eller säkerhetsskyddsklassificerade uppgifter.

(76)

Samarbetsgruppen bör fastställa en självbedömningsmetod för medlemsstaterna för att täcka in faktorer såsom genomförandenivån för riskhanteringsåtgärderna för cybersäkerhet och rapporteringsskyldigheterna, kapacitetsnivån och effektiviteten i utförandet av de behöriga myndigheternas uppgifter, CSIRT-enheternas operativa kapacitet, genomförandenivån för det ömsesidiga biståndet, genomförandenivån för arrangemangen för informationsutbyte om cybersäkerhet eller särskilda frågor av gränsöverskridande eller sektorsövergripande karaktär. Medlemsstaterna bör uppmuntras att regelbundet genomföra självbedömningar och att presentera och diskutera resultaten av sina självbedömningar i samarbetsgruppen.

(77)

Ansvaret för att säkerställa säkerheten i nätverks- och informationssystemen vilar i hög grad på väsentliga och viktiga entiteter. En riskhanteringskultur som inbegriper riskbedömningar och genomförande av riskhanteringsåtgärder för cybersäkerhet som är anpassade till riskerna bör främjas och utvecklas.

(78)

Riskhanteringsåtgärder för cybersäkerhet bör ta hänsyn till i vilken grad den väsentliga eller viktiga entiteten är beroende av nätverks- och informationssystem och omfatta åtgärder för att identifiera eventuella incidentrisker, för att förebygga, upptäcka, hantera och återhämta sig från incidenter och för att begränsa deras inverkan. Säkerheten i nätverks- och informationssystem bör omfatta lagrade, överförda och behandlade uppgifters säkerhet. Riskhanteringsåtgärder för cybersäkerhet bör föreskriva systemanalys, med beaktande av den mänskliga faktorn, för att få en fullständig bild av nätverks- och informationssystemets säkerhet.

(79)

Eftersom hot mot säkerheten i nätverks- och informationssystem kan ha olika ursprung bör riskhanteringsåtgärder för cybersäkerhet bygga på en allriskansats som syftar till att skydda nätverks- och informationssystem och dessa systems fysiska miljö mot händelser såsom stöld, brand, översvämning, telekommunikations- eller elavbrott eller obehörig fysisk åtkomst till och skada eller störning på en väsentlig eller viktig entitets information och informationsbehandlingsresurser, som kan undergräva tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via nätverks- och informationssystem. Riskhanteringsåtgärderna för cybersäkerhet bör därför också omfatta den fysiska säkerheten och miljösäkerheten i nätverks- och informationssystem genom att inbegripa åtgärder för att skydda sådana system mot systemfel, mänskliga misstag, avsiktligt skadliga handlingar eller naturfenomen i överensstämmelse med europeiska och internationella standarder, såsom de som ingår i ISO/IEC 27000-serien. I detta avseende bör väsentliga och viktiga entiteter som ett led i sina riskhanteringsåtgärder för cybersäkerhet också ägna sig åt personalsäkerhet och inrätta lämpliga strategier för åtkomstkontroll. Dessa åtgärder bör vara förenliga med direktiv (EU) 2022/2557.

(80)

För att påvisa efterlevnaden av riskhanteringsåtgärder för cybersäkerhet, och i frånvaro av lämpliga europeiska ordningar för cybersäkerhetscertifiering som antagits i enlighet med Europaparlamentets och rådets förordning (EU) 2019/881 (18), bör medlemsstaterna efter samråd med samarbetsgruppen och den europeiska gruppen för cybersäkerhetscertifiering främja användningen av relevanta europeiska och internationella standarder bland väsentliga och viktiga entiteter, eller så får de ålägga entiteter att använda certifierade IKT-produkter, IKT-tjänster och IKT-processer.

(81)

För att undvika oproportionella finansiella och administrativa bördor för väsentliga och viktiga entiteter bör riskhanteringsåtgärderna för cybersäkerhet stå i proportion till riskerna för det berörda nätverks- och informationssystemet, med beaktande av teknikens ståndpunkt i fråga om sådana åtgärder, och i förekommande fall relevanta europeiska och internationella standarder, samt kostnaden för deras genomförande.

(82)

Riskhanteringsåtgärder för cybersäkerhet bör stå i proportion till den väsentliga eller viktiga entitetens grad av exponering för risker och samhälleliga och ekonomiska konsekvenser som en incident skulle få. Vid fastställandet av riskhanteringsåtgärder för cybersäkerhet som är anpassade till väsentliga och viktiga entiteter bör vederbörlig hänsyn tas till väsentliga och viktiga entiteters olika riskexponering, t.ex. hur kritisk entiteten är, vilka risker, inklusive samhällsrisker, som den är exponerad för, hur stor entiteten är, hur sannolikt det är med incidenter och hur allvarliga de är, inklusive deras samhälleliga och ekonomiska konsekvenser.

(83)

Väsentliga och viktiga entiteter bör säkerställa säkerheten i de nätverks- och informationssystem som de använder i sin verksamhet. Det rör sig framför allt om privata nätverks- och informationssystem som antingen förvaltas av de väsentliga och viktiga entiteternas interna it-personal eller vilkas säkerhet har lagts ut på entreprenad. De riskhanteringsåtgärder för cybersäkerhet och rapporteringsskyldigheter som fastställs i detta direktiv bör tillämpas på de relevanta väsentliga och viktiga entiteterna oavsett om dessa entiteter underhåller sina nätverks- och informationssystem internt eller lägger ut underhållet på entreprenad.

(84)

Med beaktande av deras gränsöverskridande karaktär bör leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av hanterade tjänster, leverantörer av hanterade säkerhetstjänster, leverantörer av marknadsplatser online, sökmotorer och plattformar för sociala nätverkstjänster samt tillhandahållare av betrodda tjänster omfattas av en hög nivå av harmonisering på unionsnivå. Genomförandet av riskhanteringsåtgärder för cybersäkerhet vad gäller dessa entiteter bör därför underlättas genom en genomförandeakt.

(85)

Det är särskilt viktigt att hantera risker som härrör från en entitets leveranskedja och dess förhållande till sina leverantörer, såsom leverantörer av datalagrings- och databehandlingstjänster eller leverantörer av hanterade säkerhetstjänster och programredigerare, med tanke på förekomsten av incidenter där entiteter har varit föremål för cyberattacker och där inkräktare med avsikt att vålla skada har kunnat äventyra säkerheten i en entitets nätverks- och informationssystem genom att utnyttja sårbarheter som påverkar tredje parts produkter och tjänster. Väsentliga och viktiga entiteter bör därför bedöma och beakta den övergripande kvaliteten och resiliensen hos produkter och tjänster och de riskhanteringsåtgärder för cybersäkerhet som är inbyggda i dem samt cybersäkerhetspraxis hos sina leverantörer och tjänsteleverantörer, inbegripet deras förfaranden för säker utveckling. Väsentliga och viktiga entiteter bör framför allt uppmuntras att införliva riskhanteringsåtgärder för cybersäkerhet i avtal med sina direkta leverantörer och tjänsteleverantörer. Dessa entiteter kan beakta risker som härrör från leverantörer och tjänsteleverantörer på andra nivåer.

(86)

Bland tjänsteleverantörerna har leverantörer av hanterade säkerhetstjänster på områden som incidenthantering, penetrationstester, säkerhetsrevisioner och konsulttjänster en särskilt viktig roll när det gäller att bistå entiteter i deras arbete med att förebygga, upptäcka, reagera på eller återhämta sig från incidenter. Leverantörer av hanterade säkerhetstjänster har dock också själva varit mål för cyberattacker, och eftersom de är nära integrerade i entiteternas verksamhet utgör de en särskild risk. Väsentliga och viktiga entiteter bör därför visa större noggrannhet vid valet av en leverantör av hanterade säkerhetstjänster.

(87)

De behöriga myndigheterna kan också inom ramen för sina tillsynsuppgifter dra nytta av cybersäkerhetstjänster såsom säkerhetsrevisioner, penetrationstester eller incidenthantering.

(88)

Väsentliga och viktiga entiteter bör också hantera risker som härrör från deras samverkan och förbindelser med andra intressenter inom ett vidare ekosystem, bland annat med avseende på att motverka industrispionage och skydda företagshemligheter. I synnerhet bör dessa entiteter vidta lämpliga åtgärder för att säkerställa att deras samarbete med akademiska institutioner och forskningsinstitut sker i linje med deras cybersäkerhetstrategier och följer god praxis när det gäller säker tillgång till och spridning av information i allmänhet och skydd av immateriella rättigheter i synnerhet. Likaså bör de väsentliga och viktiga entiteterna, med tanke på hur viktiga och värdefulla data är för deras verksamhet, vidta alla lämpliga riskhanteringsåtgärder för cybersäkerhet när de förlitar sig på dataomvandlings- och dataanalystjänster från tredje parter.

(89)

Väsentliga och viktiga entiteter bör anta ett brett spektrum av grundläggande cyberhygienrutiner, såsom nollförtroende-principer, programuppdateringar, enhetskonfiguration, nätverkssegmentering, identitets- och åtkomsthantering eller användarmedvetenhet, anordna utbildning för sin personal och öka medvetenheten om cyberhot, nätfiske eller sociala manipuleringstekniker. Vidare bör dessa entiteter utvärdera sin egen cybersäkerhetskapacitet och när det är lämpligt fortsätta att integrera teknik för ökad cybersäkerhet, såsom artificiell intelligens eller maskininlärningssystem, för att förbättra sin kapacitet och säkerheten i nätverks- och informationssystemen.

(90)

För att ytterligare hantera centrala risker i leveranskedjan och bistå väsentliga och viktiga entiteter som är verksamma i sektorer som omfattas av detta direktiv att på lämpligt sätt hantera risker i leveranskedjan och leverantörsrelaterade risker bör samarbetsgruppen, i samarbete med kommissionen och Enisa, och när så är lämpligt efter samråd med relevanta intressenter, även från industrin, utföra samordnade säkerhetsriskbedömningar av kritiska leveranskedjor, vilket redan gjorts för 5G-nät efter kommissionens rekommendation (EU) 2019/534 (19), i syfte att per sektor identifiera kritiska IKT-tjänster, IKT-system eller IKT-produkter, relevanta hot och sårbarheter. Sådana samordnade säkerhetsriskbedömningar bör fastställa åtgärder, riskreduceringsplaner och bästa praxis för att motverka kritiska beroenden, potentiella felkritiska systemdelar, hot, sårbarheter och andra risker kopplade till leveranskedjan och bör undersöka olika sätt att ytterligare uppmuntra en bredare användning av dessa från väsentliga och viktiga entiteters sida. Potentiella icke-tekniska riskfaktorer, såsom otillbörlig påverkan från ett tredjeland på leverantörer och tjänsteleverantörer, särskilt i samband med alternativa styrningsmodeller, inbegriper dolda sårbarheter eller bakdörrar och potentiella systemiska leveransstörningar, särskilt i samband med teknikinlåsning eller leverantörsberoende.

(91)

De samordnade säkerhetsriskbedömningarna av kritiska leveranskedjor bör, mot bakgrund av den berörda sektorns särdrag, ta hänsyn till både tekniska och när så är lämpligt icke-tekniska faktorer, inbegripet de som anges i rekommendation (EU) 2019/534, i EU:s samordnade riskbedömning av cybersäkerheten för 5G-nät och i EU:s verktygslåda för 5G-cybersäkerhet som samarbetsgruppen enats om. För att identifiera de leveranskedjor som bör bli föremål för en samordnad säkerhetsriskbedömning bör följande kriterier beaktas: i) i vilken utsträckning väsentliga och viktiga entiteter använder och förlitar sig på specifika kritiska IKT-tjänster, IKT-system eller IKT-produkter, ii) specifika kritiska IKT-tjänsters, IKT-systems eller IKT-produkters relevans för att utföra kritiska eller känsliga funktioner, inbegripet behandling av personuppgifter, iii) tillgången till alternativa IKT-tjänster, IKT-system eller IKT-produkter, iv) motståndskraften i hela leveranskedjan för IKT-tjänster, IKT-system eller IKT-produkter under deras livscykel mot störningar, och v) för framväxande IKT-tjänster, IKT-system eller IKT-produkter, deras potentiella framtida betydelse för entiteternas verksamhet. Vidare bör särskild tonvikt läggas vid IKT-tjänster, IKT-system eller IKT-produkter som omfattas av särskilda krav som härrör från tredjeländer.

(92)

För att rationalisera de skyldigheter som åläggs tillhandahållare av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster, och tillhandahållare av betrodda tjänster, med anknytning till säkerheten i deras nätverks- och informationssystem, samt för att göra det möjligt för dessa entiteter och de behöriga myndigheterna enligt Europaparlamentets och rådets direktiv (EU) 2018/1972 (20) respektive förordning (EU) nr 910/2014 att dra nytta av den rättsliga ram som inrättas genom detta direktiv, inbegripet utnämning av en CSIRT-enhet med ansvar för risk- och incidenthantering och deltagande av berörda behöriga myndigheter i samarbetsgruppens och CSIRT-nätverkets verksamhet, bör dessa entiteter omfattas av tillämpningsområdet för detta direktiv. De motsvarande bestämmelser som anges i förordning (EU) nr 910/2014 och i direktiv (EU) 2018/1972och som gäller införande av säkerhets- och anmälningskrav för dessa typer av entiteter bör därför utgå. De regler om rapporteringsskyldigheter som fastställs i det här direktivet bör inte påverka tillämpningen av förordning (EU) 2016/679 och direktiv 2002/58/EG.

(93)

De cybersäkerhetsskyldigheter som fastställs i detta direktiv bör anses komplettera de krav som åläggs tillhandahållare av betrodda tjänster enligt förordning (EU) nr 910/2014. Tillhandahållare av betrodda tjänster bör vara skyldiga att vidta alla lämpliga och proportionella åtgärder för att hantera riskerna för sina tjänster, även med avseende på kunder och tredje parter som förlitar sig på dessa tjänster, och att rapportera incidenter enligt detta direktiv. Sådana cybersäkerhets- och rapporteringsskyldigheter bör även avse det fysiska skyddet av de tjänster som tillhandahålls. De krav för kvalificerade tillhandahållare av betrodda tjänster som fastställs i artikel 24 i förordning (EU) nr 910/2014 bör fortsätta att vara tillämpliga.

(94)

Medlemsstaterna kan utse tillsynsorganen enligt förordning (EU) nr 910/2014 till behöriga myndigheter för betrodda tjänster för att säkerställa att nuvarande praxis upprätthålls och för att ta fasta på den kunskap och erfarenhet som förvärvats genom tillämpningen av den förordningen. I detta fall bör de behöriga myndigheterna enligt detta direktiv samarbeta nära och i lämplig tid med dessa tillsynsorgan genom att utbyta relevant information i syfte att säkerställa att tillsynen är effektiv och att tillhandahållare av betrodda tjänster uppfyller kraven i detta direktiv och i förordning (EU) nr 910/2014. I förekommande fall bör CSIRT-enheten eller den behöriga myndigheten enligt detta direktiv omedelbart informera tillsynsorganet enligt förordning (EU) nr 910/2014 om eventuella betydande cyberhot eller incidenter som anmälts och som påverkar betrodda tjänster samt ifall en tillhandahållare av betrodda tjänster bryter mot detta direktiv. Medlemsstaterna kan för rapporteringsändamål i förekommande fall använda den gemensamma kontaktpunkt som inrättats för att uppnå en gemensam och automatisk rapportering av incidenter till både tillsynsorganet enligt förordning (EU) nr 910/2014 och CSIRT-enheten eller den behöriga myndigheten enligt detta direktiv.

(95)

När så är lämpligt och för att undvika onödiga störningar bör befintliga nationella riktlinjer som antagits för att införliva bestämmelserna om säkerhetsåtgärder i artiklarna 40 och 41 i direktiv (EU) 2018/1972 beaktas vid införlivandet av det här direktivet för att ta fasta på den kunskap och kompetens som redan förvärvats inom ramen för direktiv (EU) 2018/1972 avseende säkerhetsåtgärder och incidentunderrättelser. Enisa kan också ta fram vägledning om säkerhetskrav och rapporteringsskyldigheter för tillhandahållare av allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster för att underlätta harmonisering och övergång och minimera störningar. Medlemsstaterna kan utse de nationella regleringsmyndigheterna till behöriga myndigheter för elektronisk kommunikation enligt direktiv (EU) 2018/1972 för att säkerställa att nuvarande praxis upprätthålls och för att ta fasta på den kunskap och erfarenhet som förvärvats som en följd av genomförandet av det direktivet.

(96)

Mot bakgrund av den ökande betydelsen av nummeroberoende interpersonella kommunikationstjänster enligt definitionen i direktiv (EU) 2018/1972 är det nödvändigt att säkerställa att sådana tjänster också omfattas av lämpliga säkerhetskrav med tanke på deras särskilda karaktär och ekonomiska betydelse. I takt med att attackytan fortsätter att växa blir nummeroberoende interpersonella kommunikationstjänster, såsom meddelandetjänster, utbredda attackvektorer. Inkräktare med uppsåt att vålla skada använder plattformar för att kommunicera och locka offer att öppna komprometterade webbsidor, vilket ökar sannolikheten för incidenter som involverar utnyttjande av personuppgifter och i förlängningen säkerhet i nätverks- och informationssystemen. Tillhandahållare av nummeroberoende interpersonella kommunikationstjänster bör säkerställa en säkerhetsnivå i nätverks- och informationssystemen som är lämplig i förhållande till de föreliggande riskerna. Eftersom tillhandahållare av nummeroberoende interpersonella kommunikationstjänster i allmänhet inte utövar faktisk kontroll över överföringen av signaler via nät kan graden av risk för sådana tjänster i vissa avseenden anses lägre än för traditionella elektroniska kommunikationstjänster. Detsamma gäller för interpersonella kommunikationstjänster enligt definitionen i direktiv (EU) 2018/1972 som använder nummer och som inte utövar faktisk kontroll över signalöverföringen.

(97)

Den inre marknaden är mer beroende av ett fungerande internet än någonsin. Tjänster från nästan alla väsentliga och viktiga entiteter är beroende av tjänster som tillhandahålls via internet. För att säkerställa ett smidigt tillhandahållande av tjänster som levereras av väsentliga och viktiga entiteter är det viktigt att alla tillhandahållare av allmänna elektroniska kommunikationsnät har infört lämpliga riskhanteringsåtgärder för cybersäkerhet och rapporterar betydande incidenter i samband med dessa. Medlemsstaterna bör säkerställa att säkerheten i de allmänna elektroniska kommunikationsnäten upprätthålls och att deras vitala säkerhetsintressen skyddas mot sabotage och spionage. Eftersom internationell konnektivitet förstärker och påskyndar en konkurrenskraftig digitalisering av unionen och dess ekonomi bör incidenter som påverkar undervattenskablar rapporteras till CSIRT-enheten eller i förekommande fall den behöriga myndigheten. Den nationella strategin för cybersäkerhet bör när så är relevant beakta cybersäkerheten för undervattenskablar och inbegripa kartläggning av potentiella cybersäkerhetsrisker och riskreduceringsåtgärder för att säkerställa högsta skyddsnivå för dem.

(98)

För att trygga säkerheten för allmänna elektroniska kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster bör användningen av krypteringsteknik främjas, särskilt totalsträckskryptering samt datacentrerade säkerhetskoncept, såsom kartografi, segmentering, taggning, åtkomstpolicy och åtkomsthantering samt automatiserade beslut om åtkomst. Vid behov bör användningen av kryptering, särskilt totalsträckskryptering, vara obligatorisk för tillhandahållare av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster i enlighet med principerna om automatisk och inbyggd säkerhet och automatiskt och inbyggt integritetsskydd vid tillämpningen av detta direktiv. Användningen av totalsträckskryptering bör förenas med medlemsstaternas befogenheter att säkerställa skyddet av sina väsentliga säkerhetsintressen och sin allmänna säkerhet och att möjliggöra förebyggande, utredning, upptäckt och lagföring av brott i enlighet med unionsrätten. Detta bör dock inte försvaga totalsträckskrypteringen, som är en kritisk teknik för ett effektivt dataskydd, integritet och kommunikationssäkerhet.

(99)

I syfte att trygga säkerheten för, och förebygga missbruk och manipulering av, allmänna elektroniska kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster bör användningen av säkra dirigeringsstandarder främjas för att säkerställa dirigeringsfunktionernas integritet och robusthet längs hela ekosystemet av internetåtkomstleverantörer.

(100)

I syfte att skydda internets funktion och integritet och främja domännamnssystemets säkerhet och resiliens bör relevanta intressenter, däribland privata unionsentiteter, tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster, särskilt internetåtkomstleverantörer, och leverantörer av sökmotorer uppmuntras att anta en strategi för diversifiering av DNS-uppslagning. Vidare bör medlemsstaterna uppmuntra utvecklingen och användningen av en allmän och säker europeisk DNS-resolvertjänst.

(101)

I detta direktiv fastställs en flerstegsstrategi för rapportering av betydande incidenter för att hitta rätt balans mellan, å ena sidan, snabb rapportering som bidrar till att begränsa den potentiella spridningen av betydande incidenter och gör det möjligt för väsentliga och viktiga entiteter att söka bistånd och, å andra sidan, ingående rapportering som drar värdefulla lärdomar av enskilda incidenter och med tiden förbättrar cyberresiliensen hos enskilda entiteter och hela sektorer. I detta avseende bör detta direktiv omfatta rapportering av incidenter som, baserat på en första bedömning som utförts av den berörda entiteten, kan orsaka allvarliga störningar i tjänsterna eller ekonomiska förluster för den berörda entiteten eller påverka andra fysiska eller juridiska personer genom att orsaka betydande materiell eller immateriell skada. En sådan inledande bedömning bör bland annat ta hänsyn till de drabbade nätverks- och informationssystemen, särskilt deras betydelse för tillhandahållandet av entitetens tjänster, allvaret i och de tekniska egenskaperna hos cyberhotet och eventuella underliggande sårbarheter som utnyttjas, samt entitetens erfarenhet av liknande incidenter. Indikatorer såsom i vilken utsträckning tjänstens funktion påverkas, hur länge incidenten pågår eller hur många tjänstemottagare som drabbas kan spela en viktig roll när man fastställer om tjänstens driftsstörning är allvarlig.

(102)

Om väsentliga eller viktiga entiteter får kännedom om en betydande incident bör de vara skyldiga att lämna in en tidig varning utan onödigt dröjsmål och under alla omständigheter inom 24 timmar. Denna tidiga varning bör åtföljas av en incidentanmälan. De berörda entiteterna bör lämna in en incidentanmälan utan onödigt dröjsmål och under alla omständigheter inom 72 timmar efter att ha fått kännedom om den betydande incidenten, särskilt i syfte att uppdatera den information som lämnats via den tidiga varningen och göra en inledande bedömning av den betydande incidenten, inbegripet dess allvarlighetsgrad och konsekvenser samt, i förekommande fall, angreppsindikatorer. En slutrapport bör lämnas in senast en månad efter incidentunderrättelsen. Den tidiga varningen bör endast innehålla den information som är nödvändig för att göra CSIRT-enheten, eller i förekommande fall den behöriga myndigheten, medveten om den betydande incidenten och ge den berörda entiteten möjlighet att vid behov söka bistånd. Den tidiga varningen bör i tillämpliga fall ange om den betydande incidenten misstänks vara orsakad av olagliga eller avsiktligt skadliga handlingar och om det är troligt att den kommer att få gränsöverskridande verkningar. Medlemsstaterna bör säkerställa att skyldigheten att lämna in den tidiga varningen, eller den efterföljande incidentunderrättelsen, inte avleder den underrättande entitetens resurser från verksamheter i samband med incidenthantering som bör prioriteras, i syfte att förhindra att skyldigheterna att rapportera incidenter antingen avleder resurser från hantering av betydande incidenter eller på annat sätt undergräver entitetens ansträngningar i detta avseende. I händelse av en pågående incident vid den tidpunkt då slutrapporten lämnas in bör medlemsstaterna säkerställa att berörda entiteter tillhandahåller en lägesrapport vid den tidpunkten och en slutrapport inom en månad efter det att de hanterat den betydande incidenten.

(103)

I tillämpliga fall bör väsentliga och viktiga entiteter utan dröjsmål underrätta sina tjänstemottagare om eventuella åtgärder eller avhjälpande arrangemang som dessa kan genomföra för att begränsa de risker som följer av ett betydande cyberhot. När så är lämpligt, och i synnerhet om det är sannolikt att det betydande cyberhotet kommer att förverkligas, bör dessa entiteter även informera sina tjänstemottagare om själva hotet. Kravet på att informera dessa mottagare om betydande cyberhot bör uppfyllas efter bästa förmåga men bör inte befria entiteter från skyldigheten att på egen bekostnad vidta lämpliga och omedelbara åtgärder för att förebygga eller avhjälpa sådana hot och återställa tjänstens normala säkerhetsnivå. Sådan information om betydande cyberhot bör tillhandahållas tjänstemottagarna kostnadsfritt och vara formulerad på ett lättbegripligt sätt.

(104)

Tillhandahållare av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster bör tillämpa inbyggd säkerhet och säkerhet som standard och informera sina tjänstemottagare om betydande cyberhot och om åtgärder dessa kan vidta för att skydda säkerheten för sina enheter och sin kommunikation, t.ex. genom att använda särskilda typer av programvara eller krypteringsteknik.

(105)

En proaktiv strategi mot cyberhot är en viktig del av riskhanteringsåtgärderna för cybersäkerhet som bör göra det möjligt för de behöriga myndigheterna att effektivt förhindra att cyberhot blir incidenter som kan vålla betydande materiell eller immateriell skada. Det är därför av avgörande vikt att cyberhot anmäls. I detta syfte uppmuntras entiteter att rapportera cyberhot på frivillig basis.

(106)

För att förenkla rapporteringen av information som krävs enligt detta direktiv och för att minska den administrativa bördan för entiteter bör medlemsstaterna tillhandahålla tekniska hjälpmedel såsom en gemensam kontaktpunkt, automatiserade system, onlineformulär, användarvänliga gränssnitt, mallar och särskilda plattformar för entiteter, oberoende av om de omfattas av tillämpningsområdet för detta direktiv, som de kan använda för att lämna in den relevanta information som ska rapporteras. Unionsfinansiering till stöd för genomförandet av detta direktiv, särskilt inom programmet för ett digitalt Europa, som inrättats genom Europaparlamentets och rådets förordning (EU) 2021/694 (21), kan inkludera stöd till gemensamma kontaktpunkter. Vidare befinner sig entiteter ofta i en situation där en viss incident på grund av sina särdrag måste rapporteras till flera olika myndigheter till följd av underrättelseskyldigheter enligt olika rättsliga instrument. Sådana fall skapar ytterligare administrativa bördor och kan också leda till osäkerhet om format och förfaranden för sådana underrättelser. Om en gemensam kontaktpunkt inrättas, uppmuntras medlemsstaterna även att använda denna gemensamma kontaktpunkt för underrättelser om säkerhetsincidenter enligt annan unionsrätt, såsom förordning (EU) 2016/679 och direktiv 2002/58/EG. Användningen av en sådan gemensam kontaktpunkt för att rapportera säkerhetsincidenter enligt förordning (EU) 2016/679 och direktiv 2002/58/EG bör inte påverka tillämpningen av bestämmelserna i förordning (EU) 2016/679 och direktiv 2002/58/EG, särskilt de som rör den oberoende ställningen för de myndigheter som avses i dessa. Enisa bör i samarbete med samarbetsgruppen utarbeta gemensamma mallar för underrättelser med hjälp av riktlinjer för att förenkla och rationalisera den information som ska rapporteras enligt unionsrätten och minska den administrativa bördan för de underrättande entiteterna.

(107)

Om en incident misstänks ha samband med allvarlig brottslig verksamhet enligt unionsrätt eller nationell rätt, bör medlemsstaterna uppmuntra väsentliga och viktiga entiteter att, på grundval av tillämpliga straffrättsliga bestämmelser i enlighet med unionsrätten, rapportera incidenter som misstänks vara av allvarlig brottslig art till de relevanta rättsvårdande myndigheterna. Där så är lämpligt, och utan att det påverkar de bestämmelser om skydd av personuppgifter som gäller för Europol, är det önskvärt att samordning mellan behöriga myndigheter och rättsvårdande myndigheter i olika medlemsstater underlättas av Europeiska it-brottcentrumet (EC3) och Enisa.

(108)

Säkerheten för personuppgifter undergrävs ofta till följd av incidenter. I detta sammanhang bör de behöriga myndigheterna samarbeta och utbyta information om alla relevanta frågor med de myndigheter som avses i förordning (EU) 2016/679 och direktiv 2002/58/EG.

(109)

Att upprätthålla korrekta och fullständiga databaser med registreringsuppgifter för domännamn (WHOIS-data) och ge laglig åtkomst till sådana uppgifter är avgörande för att säkerställa domännamnssystemets säkerhet, stabilitet och resiliens, vilket i sin tur bidrar till en hög gemensam nivå av cybersäkerhet i hela unionen. För detta specifika ändamål bör registreringsenheter för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster vara skyldiga att behandla vissa uppgifter som är nödvändiga för detta. Sådan behandling bör vara en rättslig förpliktelse i den mening som avses i artikel 6.1 c i förordning (EU) 2016/679. Denna förpliktelse bör inte påverka möjligheten att samla in registreringsuppgifter för domännamn för andra ändamål, exempelvis på grundval av avtal eller rättsliga skyldigheter som fastställs i annan unionsrätt eller nationell rätt. Denna förpliktelse syftar till att erhålla en fullständig och korrekt uppsättning registreringsuppgifter och bör inte resultera i att samma uppgifter samlas in flera gånger. Registreringsenheterna för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster bör samarbeta med varandra för att undvika dubbelarbete.

(110)

Tillgänglighet avseende, och åtkomst i lämplig tid till, domännamnsregistreringsuppgifter för legitima åtkomstsökande är avgörande för att förebygga och bekämpa missbruk av domännamnssystem och för att förebygga, upptäcka och reagera på incidenter. Legitima åtkomstsökande bör tolkas som varje fysisk eller juridisk person som gör en begäran i enlighet med unionsrätten eller nationell rätt. Det kan inbegripa myndigheter som är behöriga enligt detta direktiv och sådana som enligt unionsrätten eller nationell rätt är behöriga i fråga om förebyggande, utredning, upptäckt eller lagföring av brott, samt Cert eller CSIRT-enheter. Registreringsenheter för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster bör vara skyldiga att möjliggöra för legitima åtkomstsökande att få laglig åtkomst till specifika domännamnsregistreringsuppgifter som är nödvändiga för åtkomstbegärans syfte, i enlighet med unionsrätten och nationell rätt. Begäran från legitima åtkomstsökande bör åtföljas av en motivering som gör det möjligt att bedöma nödvändigheten av att få åtkomst till uppgifterna.

(111)

För att säkerställa tillgången till korrekta och fullständiga registreringsuppgifter för domännamn bör registreringsenheter för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster samla in registreringsuppgifter för domännamn och garantera deras integritet och tillgänglighet. I synnerhet bör registreringsenheter för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster fastställa policyer och förfaranden för insamling och lagring av korrekta och fullständiga registreringsuppgifter för domännamn samt för att förhindra och korrigera felaktiga registreringsuppgifter i enlighet med unionens dataskyddslagstiftning. Dessa policyer och förfaranden bör så långt det är möjligt beakta de standarder som utvecklats av flerpartsförvaltningsstrukturerna på internationell nivå. Registreringsenheterna för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster bör anta och genomföra proportionella förfaranden för att verifiera registreringsuppgifterna för domännamn. Dessa förfaranden bör spegla bästa branschpraxis och, så långt det är möjligt, de framsteg som gjorts inom elektronisk identifiering. Exempel på verifieringsförfaranden kan vara förhandskontroller som görs i samband med registreringen och efterhandskontroller som görs efter registreringen. Registreringsenheterna för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster bör, i synnerhet, verifiera minst ett av registrantens kontaktsätt.

(112)

Registreringsenheter för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster bör vara skyldiga att offentliggöra domännamnsregistreringsuppgifter som inte omfattas av unionens dataskyddslagstiftning, till exempel uppgifter som rör juridiska personer, i överensstämmelse med ingressen till förordning (EU) 2016/679. När det gäller juridiska personer bör registreringsenheterna för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster offentliggöra åtminstone registrantens namn och telefonnummer. E-postadressen bör också offentliggöras förutsatt att den inte innehåller några personuppgifter, såsom när det gäller e-postalias eller funktionsbrevlådor. Registreringsenheter för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster bör också möjliggöra för legitima åtkomstsökande att få laglig åtkomst till specifika domännamnsregistreringsuppgifter som rör fysiska personer, i enlighet med unionens dataskyddslagstiftning. Medlemsstaterna bör ålägga registreringsenheter för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster att utan onödigt dröjsmål besvara ansökningar om utlämnande av registreringsuppgifter för domännamn från legitima åtkomstsökande. Registreringsenheter för toppdomäner och de entiteter som tillhandahåller domännamnsregistreringstjänster bör fastställa policyer och förfaranden för offentliggörande och utlämnande av registreringsuppgifter, inbegripet servicenivåavtal för att hantera ansökningar om åtkomst från legitima åtkomstsökande. Dessa policyer och förfaranden bör så långt det är möjligt beakta eventuell vägledning och de standarder som utvecklats av flerpartsförvaltningsstrukturerna på internationell nivå. Åtkomstförfarandet kan också omfatta användning av ett gränssnitt, en portal eller annat tekniskt verktyg som ett effektivt system för att begära och få tillgång till registreringsuppgifter. I syfte att främja harmoniserad praxis på hela den inre marknaden kan kommissionen, utan att det påverkar Europeiska dataskyddsstyrelsens befogenheter, tillhandahålla riktlinjer för sådana förfaranden, som i möjligaste mån beaktar de standarder som utvecklats av flerpartsförvaltningsstrukturerna på internationell nivå. Medlemsstaterna bör säkerställa att alla typer av åtkomst till registreringsuppgifter för domännamn, både personuppgifter och icke-personuppgifter, är kostnadsfria.

(113)

Entiteter som omfattas av detta direktivs tillämpningsområde bör anses omfattas av jurisdiktionen i den medlemsstat där de är etablerade. Tillhandahållare av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster bör dock anses omfattas av jurisdiktionen i den medlemsstat där de tillhandahåller sina tjänster. Leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, entiteter som tillhandahåller domännamnsregistreringstjänster, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av hanterade tjänster, leverantörer av hanterade säkerhetstjänster samt leverantörer av marknadsplatser online, sökmotorer och plattformar för sociala nätverkstjänster bör anses omfattas av jurisdiktionen i den medlemsstat där de har sitt huvudsakliga etableringsställe i unionen. Offentliga förvaltningsentiteter bör anses omfattas av jurisdiktionen i den medlemsstat som inrättat dem. Om entiteten tillhandahåller tjänster eller är etablerad i mer än en medlemsstat bör den omfattas av dessa medlemsstaters separata och parallella jurisdiktioner samtidigt. De behöriga myndigheterna i dessa medlemsstater bör samarbeta, ge varandra ömsesidigt bistånd och när det är lämpligt genomföra gemensamma tillsynsåtgärder. När medlemsstater utövar jurisdiktion bör de inte påföra efterlevnadskontrollåtgärder eller sanktioner mer än en gång för samma beteende, i överensstämmelse med principen ne bis in idem.

(114)

För att ta hänsyn till den gränsöverskridande karaktären hos de tjänster och den verksamhet som utförs av leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, entiteter som tillhandahåller domännamnsregistreringstjänster, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av hanterade tjänster, leverantörer av hanterade säkerhetstjänster samt leverantörer av marknadsplatser online, sökmotorer och plattformar för sociala nätverkstjänster bör endast en medlemsstat ha jurisdiktion över dessa entiteter. Jurisdiktion bör tilldelas den medlemsstat där den berörda entiteten har sitt huvudsakliga etableringsställe i unionen. Kriteriet för etableringsställe i detta direktiv förutsätter att verksamhet faktiskt bedrivs genom en stabil struktur. Den rättsliga formen för en sådan struktur, oavsett om det är en filial eller ett dotterföretag med status som juridisk person, bör inte vara den avgörande faktorn i detta avseende. Huruvida kriteriet är uppfyllt bör inte vara beroende av om nätverks- och informationssystemen är fysiskt belägna på en viss plats. Förekomsten och användningen av sådana system utgör inte i sig en sådan huvudsaklig etablering och är därför inte avgörande kriterier för att fastställa det huvudsakliga etableringsstället. Det huvudsakliga etableringsstället bör anses ligga i den medlemsstat där besluten om åtgärder för att hantera cybersäkerhetsrisker i huvudsak fattas i unionen. Detta motsvarar vanligtvis platsen för entiteternas huvudkontor i unionen. Om en sådan medlemsstat inte kan fastställas eller om sådana beslut inte fattas i unionen bör det huvudsakliga etableringsstället anses vara beläget i den medlemsstat där cybersäkerhetsoperationer utförs. Om en sådan medlemsstat inte kan fastställas bör det huvudsakliga etableringsstället anses vara beläget i den medlemsstat där entiteten har etableringsstället med flest anställda i unionen. Om tjänsterna utförs av en koncern bör det kontrollerande företagets huvudsakliga etableringsställe betraktas som koncernens huvudsakliga etableringsställe.

(115)

När en allmänt tillgänglig rekursiv DNS-tjänst tillhandahålls av en tillhandahållare av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster endast som en del av internetanslutningstjänsten, bör entiteten anses omfattas av jurisdiktionen i alla de medlemsstater där dess tjänster tillhandahålls.

(116)

Om en leverantör av DNS-tjänster, en registreringsenhet för toppdomäner, en entitet som tillhandahåller domännamnsregistreringstjänster, en leverantör av molntjänster, en leverantör av datacentraltjänster, en leverantör av nätverk för leverans av innehåll, driftsentreprenad, en leverantör av hanterade säkerhetstjänster eller en leverantör av en marknadsplats online, en sökmotor eller en plattform för sociala nätverkstjänster, vilken inte är etablerad i unionen, erbjuder tjänster inom unionen bör den utse en företrädare i unionen. I syfte att fastställa om en sådan entitet erbjuder tjänster inom unionen bör det kontrolleras om entiteten planerar att erbjuda tjänster till personer i en eller flera medlemsstater. Enbart den omständigheten att en entitets eller en mellanhands webbplats eller en e-postadress eller andra kontaktuppgifter är tillgängliga i unionen, eller att ett språk används som allmänt används i det tredjeland där entiteten är etablerad, bör inte betraktas som tillräcklig för att fastställa en sådan avsikt. Emellertid kan faktorer som att det används ett visst språk eller en viss valuta som allmänt används i en eller flera medlemsstater med möjligheten att beställa tjänster på det språket, eller att kunder eller användare i unionen omnämns, göra det uppenbart att entiteten planerar att erbjuda tjänster inom unionen. Företrädaren bör agera på entitetens vägnar, och det bör vara möjligt för de behöriga myndigheterna eller CSIRT-enheterna att vända sig till företrädaren. Företrädaren bör utses uttryckligen genom en skriftlig fullmakt från entiteten att agera på dess vägnar med avseende på dess skyldigheter enligt detta direktiv, inklusive incidentrapportering.

(117)

För att säkerställa en tydlig överblick över leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, entiteter som tillhandahåller domännamnsregistreringstjänster, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av hanterade tjänster, leverantörer av hanterade säkerhetstjänster samt leverantörer av marknadsplatser online, sökmotorer och plattformar för sociala nätverkstjänster, vilka tillhandahåller tjänster i unionen som omfattas av detta direktivs tillämpningsområde, bör Enisa skapa och upprätthålla ett register över sådana entiteter på grundval av information från medlemsstaterna, i förekommande fall via nationella mekanismer som inrättats för entiteter att registrera sig. De gemensamma kontaktpunkterna bör till Enisa vidarebefordra informationen och eventuella ändringar av densamma. För att säkerställa att den information som ska ingå i registret är korrekt och fullständig kan medlemsstaterna till Enisa lämna in den information som finns tillgänglig i nationella register om dessa entiteter. Enisa och medlemsstaterna bör vidta åtgärder för att underlätta kompatibilitet mellan sådana register, samtidigt som skydd av konfidentiell eller säkerhetsskyddsklassificerade uppgifter säkerställs. Enisa bör införa lämplig klassificering av information och förvaltningsprotokoll för att säkerställa den utlämnade informationens säkerhet och konfidentialitet och begränsa åtkomsten till samt lagringen och överföringen av sådan information till de avsedda användarna.

(118)

Om uppgifter som är säkerhetsskyddsklassificerade enligt unionsrätt eller nationell rätt utbyts, rapporteras eller på annat sätt delas enligt detta direktiv, bör motsvarande regler för hantering av säkerhetsskyddsklassificerade uppgifter tillämpas. Vidare bör Enisa ha infrastruktur, förfaranden och regler för att hantera känsliga och säkerhetsskyddsklassificerade uppgifter i enlighet med tillämpliga säkerhetsregler för skydd av säkerhetsskyddsklassificerade EU-uppgifter.

(119)

I och med att cyberhoten blir mer komplexa och sofistikerade är god upptäckt av sådana hot och förebyggande åtgärder mot dem i stor utsträckning beroende av ett regelbundet utbyte av underrättelser om hot och sårbarhet mellan entiteter. Informationsutbyte bidrar till ökad medvetenhet om cyberhot, vilket i sin tur ökar entiteternas förmåga att förhindra att hot blir till incidenter och gör det möjligt för entiteterna att bättre begränsa effekterna av incidenter och återhämta sig mer effektivt. I avsaknad av vägledning på unionsnivå verkar olika faktorer ha hindrat sådant utbyte av underrättelser, särskilt osäkerheten om förenligheten med konkurrens- och ansvarsreglerna.

(120)

Entiteter bör uppmuntras och bistås av medlemsstaterna för att kollektivt utnyttja sina individuella kunskaper och praktiska erfarenheter på strategisk, taktisk och operativ nivå i syfte att förbättra sin förmåga att på lämpligt sätt förebygga, upptäcka, reagera på eller återhämta sig från incidenter eller begränsa deras verkningar. Det är därför nödvändigt att på unionsnivå möjliggöra framväxten av arrangemang för frivilligt informationsutbyte om cybersäkerhet. I detta syfte bör medlemsstaterna aktivt bistå och uppmuntra entiteter, såsom de som erbjuder cybersäkerhetstjänster och forskning, samt relevanta entiteter som inte omfattas av detta direktiv, att delta i sådana arrangemang för informationsutbyte om cybersäkerhet. Dessa arrangemang bör fastställas i enlighet med unionens konkurrensregler och unionens dataskyddslagstiftning.

(121)

Behandling av personuppgifter i den utsträckning som är nödvändig och proportionell för att säkerställa säkerhet i nätverks- och informationssystem genom väsentliga och viktiga entiteter kan anses vara laglig på grund av att sådan behandling är förenlig med en rättslig förpliktelse som åvilar den personuppgiftsansvarige i enlighet med kraven i artikel 6.1 c och artikel 6.3 i förordning (EU) 2016/679. Behandling av personuppgifter kan även vara nödvändig på grund av berättigade intressen hos väsentliga och viktiga entiteter, samt tillhandahållare av säkerhetsteknik och säkerhetstjänster som agerar på dessa entiteters vägnar, i enlighet med artikel 6.1 f i förordning (EU) 2016/679, bland annat när sådan behandling är nödvändig för arrangemang för informationsutbyte om cybersäkerhet eller frivillig underrättelse om relevant information i enlighet med detta direktiv. Åtgärder som rör förebyggande, upptäckt, identifiering, begränsning, analys och hantering av incidenter, åtgärder för att öka medvetenheten om specifika cyberhot, informationsutbyte i samband med avhjälpande av sårbarheter och samordnat meddelande av sårbarhetsinformation, frivilligt informationsutbyte om sådana incidenter samt cyberhot och sårbarheter, angreppsindikatorer, taktik, tekniker och förfaranden, cybersäkerhetsvarningar och konfigurationsverktyg kan kräva behandling av vissa kategorier av personuppgifter, såsom ip-adresser, webbadresser (URL), domännamn, e-postadresser och tidsstämplar, när dessa avslöjar personuppgifter. Personuppgiftsbehandling av behöriga myndigheter, gemensamma kontaktpunkter och CSIRT-enheter kan utgöra en rättslig förpliktelse eller anses vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den ansvariges myndighetsutövning i enlighet med artikel 6.1 c eller e och artikel 6.3 i förordning (EU) 2016/679 eller på grund av ett berättigat intresse hos de väsentliga och viktiga entiteterna enligt vad som avses i artikel 6.1 f i den förordningen. Vidare kan nationell rätt innehålla bestämmelser som tillåter att behöriga myndigheter, gemensamma kontaktpunkter och CSIRT-enheter, i den utsträckning som är nödvändig och proportionell för att säkerställa säkerhet i nätverks- och informationssystem hos väsentliga och viktiga entiteter, behandlar särskilda kategorier av personuppgifter i enlighet med artikel 9 i förordning (EU) 2016/679, särskilt genom att föreskriva lämpliga och särskilda åtgärder för att skydda fysiska personers grundläggande rättigheter och intressen, däribland tekniska begränsningar för vidareutnyttjande av sådana uppgifter samt användning av moderna säkerhetsåtgärder och integritetsbevarande åtgärder, såsom pseudonymisering, eller kryptering där anonymisering avsevärt kan påverka det eftersträvade ändamålet.

(122)

För att stärka de tillsynsbefogenheter och tillsynsåtgärder som bidrar till att säkerställa ett effektivt fullgörande av skyldigheter bör detta direktiv innehålla en minimiförteckning över tillsynsåtgärder och tillsynsmedel genom vilka behöriga myndigheter kan utöva tillsyn över väsentliga och viktiga entiteter. Dessutom bör detta direktiv fastställa en differentiering av tillsynssystemet mellan väsentliga och viktiga entiteter i syfte att säkerställa en rättvis balans vad gäller skyldigheterna för dessa entiteter och de behöriga myndigheterna. Väsentliga entiteter bör därför omfattas av ett heltäckande tillsynssystem med förhandstillsyn och efterhandstillsyn, medan viktiga entiteter bör omfattas av enklare tillsyn, endast i efterhand. Viktiga entiteter bör därför inte vara skyldiga att systematiskt dokumentera efterlevnad av riskhanteringsåtgärderna för cybersäkerhet, medan de behöriga myndigheterna bör tillämpa en reaktiv efterhandstillsyn och därmed inte ha någon allmän skyldighet att utöva tillsyn över dessa entiteter. Efterhandstillsynen av viktiga entiteter kan utlösas av bevis, indikationer eller uppgifter som har kommit till de behöriga myndigheternas kännedom och som enligt dessa myndigheter tyder på potentiella överträdelser av detta direktiv. Sådana bevis, indikationer eller uppgifter kan exempelvis vara av den typ som de behöriga myndigheterna mottar från andra myndigheter, entiteter, medborgare, medier eller andra källor eller offentligt tillgänglig information eller härröra från annan verksamhet som de behöriga myndigheterna bedriver i samband med fullgörandet av sina uppgifter.

(123)

Behöriga myndigheters utförande av tillsynsuppgifter bör inte i onödan hämma den berörda entitetens affärsverksamhet. När behöriga myndigheter utför sina tillsynsuppgifter avseende väsentliga entiteter, bland annat genom inspektioner på plats och distansbaserad tillsyn, utredning av överträdelser av detta direktiv, säkerhetsrevisioner eller säkerhetsskanningar, bör de minimera konsekvenserna för den berörda entitetens affärsverksamhet.

(124)

Vid genomförandet av förhandstillsyn bör de behöriga myndigheterna kunna besluta att prioritera användningen av de tillsynsåtgärder och tillsynsmedel som står till deras förfogande på ett proportionellt sätt. Detta innebär att de behöriga myndigheterna kan besluta om en sådan prioritering på grundval av tillsynsmetoder som bör bygga på en riskbaserad ansats. Mer specifikt kan sådana metoder omfatta kriterier eller riktmärken för klassificering av väsentliga entiteter i riskkategorier och motsvarande tillsynsåtgärder och tillsynsmedel som rekommenderas per riskkategori, såsom användning av frekvens för eller typ av inspektion på plats, riktade säkerhetsrevisioner eller säkerhetsskanningar, vilken typ av information som ska begäras och detaljnivån på denna information. Sådana tillsynsmetoder skulle även kunna åtföljas av arbetsprogram och utvärderas och ses över regelbundet, inklusive med avseende på aspekter som resursfördelning och resursbehov. När det gäller offentliga förvaltningsentiteter bör tillsynsbefogenheterna utövas i överensstämmelse med nationella lagstiftningsmässiga och institutionella ramar.

(125)

De behöriga myndigheterna bör säkerställa att deras tillsynsuppgifter med avseende på väsentliga och viktiga entiteter utförs av utbildad personal, som bör ha de nödvändiga färdigheterna för att utföra dessa uppgifter, särskilt i fråga om att genomföra inspektioner på plats och distansbaserad tillsyn, bland annat identifiering av svagheter i databaser, maskinvara, brandväggar, kryptering och nätverk. Inspektionerna och tillsynen bör utföras på ett objektivt sätt.

(126)

I vederbörligen motiverade fall bör den behöriga myndigheten, när den fått kännedom om ett betydande cyberhot eller en överhängande risk, kunna fatta omedelbara beslut om efterlevnadskontroll i syfte att förhindra eller reagera på en incident.

(127)

För att efterlevnadskontrollen ska bli effektiv bör det fastställas en minimiförteckning över efterlevnadskontrollbefogenheter som kan utövas för brott mot de riskhanteringsåtgärder för cybersäkerhet och rapporteringsskyldigheter som föreskrivs i detta direktiv, med en tydlig och konsekvent ram för sådan efterlevnadskontroll i hela unionen. Vederbörlig hänsyn bör tas till arten, allvarlighetsgraden och varaktigheten av överträdelsen av detta direktiv, de materiella eller immateriella skador som orsakats, om överträdelsen var avsiktlig eller berodde på försumlighet, åtgärder som vidtagits för att förhindra eller begränsa de materiella eller immateriella skadorna, graden av ansvar eller relevanta tidigare överträdelser, graden av samarbete med den behöriga myndigheten och andra försvårande eller förmildrande omständigheter. Efterlevnadskontrollåtgärderna, inklusive administrativa sanktionsavgifter, bör vara proportionella och påförandet av dem bör omfattas av lämpliga rättssäkerhetsgarantier i enlighet med de allmänna principerna i unionsrätten och Europeiska unionens stadga om de grundläggande rättigheterna (stadgan), inbegripet rätten till ett effektivt rättsmedel och till en opartisk domstol, oskuldspresumtion och rätten till försvar.

(128)

Detta direktiv ålägger inte medlemsstaterna att föreskriva att fysiska personer med ansvar för att säkerställa att en entitet efterlever direktivet ska omfattas av straffrättsligt eller civilrättsligt ansvar för skada som åsamkats tredjeparter till följd av en överträdelse av direktivet.

(129)

För att säkerställa en effektiv efterlevnadskontroll av de skyldigheter som fastställs i detta direktiv bör varje behörig myndighet ha befogenhet att påföra eller begära påförande av administrativa sanktionsavgifter.

(130)

Om en administrativ sanktionsavgift påförs en väsentlig eller viktig entitet som är ett företag, bör ett företag i detta sammanhang anses vara ett företag i den mening som avses i artiklarna 101 och 102 i EUF-fördraget. Om en administrativ sanktionsavgift påförs en person som inte är ett företag, bör den behöriga myndigheten ta hänsyn till den allmänna inkomstnivån i medlemsstaten och personens ekonomiska situation när den överväger lämplig sanktionsavgift. Medlemsstaterna bör fastställa om och i vilken utsträckning myndigheter ska omfattas av administrativa sanktionsavgifter. Föreläggande av en administrativ sanktionsavgift påverkar inte de behöriga myndigheternas tillämpning av andra befogenheter eller andra sanktioner som fastställs i de nationella bestämmelser som införlivar detta direktiv.

(131)

Medlemsstaterna bör kunna fastställa bestämmelser om straffrättsliga påföljder för överträdelser av de nationella bestämmelser som införlivar detta direktiv. Påförandet av straffrättsliga påföljder för överträdelser av sådana nationella bestämmelser och relaterade administrativa sanktioner bör dock inte medföra ett åsidosättande av principen ne bis in idem enligt Europeiska unionens domstols tolkning.

(132)

När detta direktiv inte harmoniserar administrativa sanktioner eller när så är nödvändigt i andra fall, till exempel i händelse av en allvarlig överträdelse av detta direktiv, bör medlemsstaterna genomföra ett system med effektiva, proportionella och avskräckande sanktioner. Dessa påföljders art, och frågan om de är straffrättsliga eller administrativa, bör fastställas i nationell rätt.

(133)

För att de sanktioner som är tillämpliga på överträdelser av efterlevnadskontrollåtgärder detta direktiv ska bli mer effektiva och avskräckande bör de behöriga myndigheterna ges befogenhet att tillfälligt upphäva eller begära tillfälligt upphävande av en certifiering eller auktorisation för en del av eller alla relevanta tjänster som tillhandahålls av en väsentlig entitet samt begära införande av ett tillfälligt förbud för en fysisk person som har ledningsansvar på nivån för verkställande direktör eller juridiskt ombud att utöva ledande funktioner. Med tanke på deras stränghet och påverkan på entiteternas verksamheter och i sista hand på användarna bör sådana tillfälliga upphävanden eller förbud endast tillämpas proportionellt mot överträdelsens allvarlighetsgrad och med beaktande av omständigheterna i varje enskilt fall, inbegripet om överträdelsen var avsiktlig eller berodde på försumlighet, samt åtgärder som vidtagits för att förhindra eller begränsa de materiella eller immateriella skadorna. Sådana tillfälliga upphävanden eller förbud bör endast tillämpas som sista utväg, dvs. först efter det att de andra relevanta åtgärder för efterlevnadskontroll som fastställs i detta direktiv har uttömts, och endast fram till dess att den berörda entiteten vidtar nödvändiga åtgärder för att avhjälpa de brister eller uppfylla de krav från den behöriga myndigheten för vilka de tillfälliga upphävandena eller förbuden tillämpades. Införandet av sådana tillfälliga upphävanden eller förbud bör omfattas av lämpliga rättssäkerhetsgarantier i enlighet med de allmänna principerna i unionsrätten och stadgan, inbegripet rätten till ett effektivt rättsmedel och till en opartisk domstol, oskuldspresumtion och rätten till försvar.

(134)

För att säkerställa att entiteter fullgör sina skyldigheter enligt detta direktiv bör medlemsstaterna samarbeta med och bistå varandra med avseende på tillsyns- och efterlevnadskontrollåtgärder, särskilt om en entitet tillhandahåller tjänster i mer än en medlemsstat eller om dess nätverks- och informationssystem är belägna i en annan medlemsstat än den där den tillhandahåller tjänster. När den tillfrågade behöriga myndigheten tillhandahåller bistånd bör den vidta åtgärder för tillsyns- och efterlevnadskontrollåtgärder i enlighet med nationell rätt. För att säkerställa ett välfungerande ömsesidigt bistånd enligt detta direktiv bör de behöriga myndigheterna använda samarbetsgruppen som ett forum där de kan diskutera fall och enskilda biståndsansökningar.

(135)

För att säkerställa effektiv tillsyn och efterlevnadskontroll, framför allt i en situation med en gränsöverskridande dimension, bör de medlemsstater som har mottagit en begäran om ömsesidigt bistånd, inom ramen för begäran, vidta lämpliga tillsyns- och efterlevnadskontrollåtgärder med avseende på den entitet som är föremålet för den begäran och som tillhandahåller tjänster eller som har ett nätverks- och informationssystem inom den medlemsstatens territorium.

(136)

Detta direktiv bör fastställa regler för samarbete mellan de behöriga myndigheterna och tillsynsmyndigheterna enligt förordning (EU) 2016/679 för att hantera överträdelser av detta direktiv som rör personuppgifter.

(137)

Detta direktiv bör syfta till att säkerställa en hög ansvarsnivå för riskhanteringsåtgärder för cybersäkerhet och rapporteringsskyldigheter för väsentliga och viktiga entiteter. Därför bör ledningsorganen för väsentliga och viktiga entiteter godkänna riskåtgärderna för cybersäkerhet och övervaka deras genomförande.

(138)

För att säkerställa en hög gemensam cybersäkerhetsnivå i unionen på grundval av detta direktiv bör befogenheten att anta akter i enlighet med artikel 290 i EUF-fördraget delegeras till kommissionen med avseende på att komplettera detta direktiv genom att ange vilka kategorier av väsentliga och viktiga entiteter som ska vara skyldiga att använda vissa certifierade IKT-produkter, IKT-tjänster och IKT-processer eller erhålla ett certifikat enligt en europeisk ordning för cybersäkerhetscertifiering. Det är särskilt viktigt att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå, och att dessa samråd genomförs i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning (22). För att säkerställa lika stor delaktighet i förberedelsen av delegerade akter erhåller Europaparlamentet och rådet alla handlingar samtidigt som medlemsstaternas experter, och deras experter ges systematiskt tillträde till möten i kommissionens expertgrupper som arbetar med förberedelse av delegerade akter.

(139)

För att säkerställa enhetliga villkor för genomförandet av detta direktiv bör kommissionen tilldelas genomförandebefogenheter för att fastställa de förfaranden som krävs för samarbetsgruppens verksamhet och de tekniska och metodologiska kraven samt sektorskraven avseende riskhanteringsåtgärder för cybersäkerhet, samt ytterligare precisera typen av information samt formatet och förfarandet för underrättelser om incidenter, cyberhot och tillbud och för kommunikation om betydande cyberhot, samt i vilka fall en incident ska betraktas som betydande. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 (23).

(140)

Detta direktiv bör med jämna mellanrum ses över av kommissionen i samråd med berörda parter, främst i syfte att avgöra huruvida det är lämpligt att föreslå ändringar med hänsyn till samhällsutvecklingen, den politiska utvecklingen, den tekniska utvecklingen eller ändrade marknadsvillkor. Som en del av de översynerna bör kommissionen bedöma vilken relevans de berörda entiteternas storlek och de sektorer, delsektorer och typer av entiteter som avses i bilagorna till detta direktiv har för ekonomins och samhällets funktion när det gäller cybersäkerhet. Kommissionen bör bland annat bedöma huruvida leverantörer som omfattas av tillämpningsområdet för detta direktiv vilka klassificeras som mycket stora onlineplattformar i den mening som avses i artikel 33 i Europaparlamentets och rådets förordning (EU) 2022/2065 (24) kan identifieras som väsentliga entiteter enligt detta direktiv.

(141)

Detta direktiv skapar nya uppgifter för Enisa och stärker därigenom dess roll, och kan också leda till att Enisa tvingas utföra sina befintliga uppgifter enligt förordning (EU) 2019/881 på en högre nivå än tidigare. För att säkerställa att Enisa har de ekonomiska resurser och den personal som krävs för att utföra befintliga och nya uppgifter och uppnå en eventuellt högre nivå på genomförandet av dessa uppgifter till följd av dess utökade roll, bör dess budget ökas i motsvarande grad. För att säkerställa en effektiv resursanvändning bör Enisa dessutom ges större flexibilitet när det gäller möjligheten att fördela resurser internt, i syfte att kunna utföra sina uppgifter och infria förväntningarna på ett ändamålsenligt sätt.

(142)

Eftersom målet för detta direktiv, nämligen att uppnå en hög gemensam cybersäkerhetsnivå i unionen, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna utan snarare, på grund av åtgärdens verkningar, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå detta mål.

(143)

Detta direktiv respekterar de grundläggande rättigheterna och iakttar de principer som erkänns i stadgan, i synnerhet rätten till respekt för privatliv och kommunikationer, skydd av personuppgifter, näringsfriheten, rätten till egendom, rätten till ett effektivt rättsmedel och till en opartisk domstol, oskuldspresumtion och rätten till försvar. Rätten till ett effektivt rättsmedel inbegriper mottagarna av tjänster som tillhandahålls av väsentliga och viktiga entiteter. Detta direktiv bör genomföras i enlighet med dessa rättigheter och principer.

(144)

Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 (25) och avgav ett yttrande den 11 mars 2021 (26).

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I

ALLMÄNNA BESTÄMMELSER

Artikel 1

Innehåll

1.   I detta direktiv fastställs åtgärder för att uppnå en hög gemensam cybersäkerhetsnivå inom unionen, i syfte att förbättra den inre marknadens funktion.

2.   Direktivet fastställer i detta syfte följande:

a)

Skyldigheter som ålägger medlemsstaterna att anta nationella strategier för cybersäkerhet och att utse eller inrätta behöriga myndigheter, myndigheter för hantering av cyberkriser, gemensamma kontaktpunkter för cybersäkerhet (gemensamma kontaktpunkter) och enheter för hantering av it-säkerhetsincidenter (CSIRT-enheter).

b)

Riskhanteringsåtgärder för cybersäkerhet och rapporteringsskyldigheter för entiteter av den typ som avses i bilaga I eller II samt för entiteter som identifieras som kritiska entiteter enligt direktiv (EU) 2022/2557.

c)

Regler och skyldigheter när det gäller informationsutbyte om cybersäkerhet.

d)

Skyldigheter för medlemsstaterna när det gäller tillsyn och efterlevnadskontroll.

Artikel 2

Tillämpningsområde

1.   Detta direktiv är tillämpligt på offentliga eller privata entiteter av den typ som avses i bilaga I eller II som betecknas som medelstora företag enligt artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG eller överstiger de trösklar för medelstora företag som avses i punkt 1 i den artikeln och som tillhandahåller sina tjänster eller bedriver sin verksamhet i unionen.

Artikel 3.4 i bilagan till den rekommendationen är inte tillämplig med avseende på detta direktiv.

2.   Oavsett entiteternas storlek är detta direktiv också tillämpligt på entiteter av en typ som avses i bilaga I eller II, i följande fall:

a)

Om tjänster tillhandahålls av

i)

tillhandahållare av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster,

ii)

tillhandahållare av betrodda tjänster,

iii)

registreringsenheter för toppdomäner och leverantörer av domännamnssystemtjänster.

b)

Om entiteten är den enda leverantören i en medlemsstat av en tjänst som är väsentlig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet.

c)

Om en störning av den tjänst som entiteten tillhandahåller kan ha en betydande påverkan på skyddet för människors liv och hälsa, allmän säkerhet eller folkhälsa.

d)

Om en störning av den tjänst som entiteten tillhandahåller kan medföra betydande systemrisker, särskilt för de sektorer där sådana störningar kan få gränsöverskridande konsekvenser.

e)

Entiteten är kritisk på grund av sin särskilda betydelse på nationell eller regional nivå för en särskild sektor eller typ av tjänst, eller för andra sektorer i medlemsstaten som är beroende av denna entitet.

f)

Om entiteten är en offentlig förvaltningsentitet

i)

på statlig nivå såsom de definieras av en medlemsstat i enlighet med nationell rätt, eller

ii)

på regional nivå såsom de definieras av en medlemsstat i enlighet med nationell rätt, som enligt en riskbaserad bedömning tillhandahåller tjänster vars störning kan ha en betydande effekt på kritisk samhällelig eller ekonomisk verksamhet.

3.   Oavsett entiteternas storlek är detta direktiv tillämpligt på entiteter som identifieras som kritiska entiteter enligt direktiv (EU) 2022/2557.

4.   Oavsett entiteternas storlek är detta direktiv tillämpligt på entiteter som tillhandahåller domännamnsregistreringstjänster.

5.   Medlemsstaterna får föreskriva att detta direktiv ska tillämpas på

a)

offentliga förvaltningsentiteter på lokal nivå,

b)

utbildningsinstitut, särskilt om de utför kritisk forskningsverksamhet.

6.   Detta direktiv påverkar inte medlemsstaternas ansvar för att skydda nationell säkerhet och deras befogenhet att skydda andra väsentliga statliga funktioner, inbegripet att säkerställa statens territoriella integritet och upprätthålla lag och ordning.

7.   Detta direktiv är inte tillämpligt på offentliga förvaltningsentiteter som bedriver verksamhet på områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inbegripet förebyggande, utredning, upptäckt och lagföring av brott.

8.   Medlemsstaterna får undanta särskilda entiteter som bedriver verksamhet på områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inbegripet förebyggande, utredning, upptäckt och lagföring av brott, eller som tillhandahåller tjänster uteslutande till en offentlig förvaltningsentitet som avses i punkt 7 i den här artikeln, från skyldigheterna i artikel 21 eller 23 med avseende på sådan verksamhet eller sådana tjänster. I sådana fall ska de tillsyns- och efterlevnadskontrollåtgärder som avses i kapitel VII inte tillämpas på denna specifika verksamhet eller dessa specifika tjänster. Om entiteterna bedriver verksamhet eller tillhandahåller tjänster uteslutande av den typ som avses i den här punkten, får medlemsstaterna besluta att befria dessa entiteter också från skyldigheterna i artiklarna 3 och 27.

9.   Punkterna 7 och 8 är inte tillämpliga om en entitet agerar som tillhandahållare av betrodda tjänster.

10.   Detta direktiv är inte tillämpligt på entiteter som medlemsstaterna har undantagit från tillämpningsområdet för förordning (EU) 2022/2554 i enlighet med artikel 2.4 i den förordningen.

11.   De skyldigheter som fastställs i detta direktiv ska inte medföra tillhandahållande av information vars utlämnande strider mot väsentliga intressen i fråga om medlemsstaternas nationella säkerhet, allmänna säkerhet eller försvar.

12.   Detta direktiv påverkar inte tillämpningen av förordning (EU) 2016/679, direktiv 2002/58/EG, Europaparlamentets och rådets direktiv 2011/93/EU (27) och 2013/40/EU (28) och direktiv (EU) 2022/2557.

13.   Utan att det påverkar tillämpningen av artikel 346 i EUF-fördraget ska information som är konfidentiell enligt unionsbestämmelser eller nationella bestämmelser, såsom bestämmelser om affärshemligheter, utbytas med kommissionen och andra berörda myndigheter i enlighet med detta direktiv endast när ett sådant utbyte är nödvändigt för att tillämpa detta direktiv. Den information som utbyts ska begränsas till vad som är relevant och proportionellt för ändamålet med utbytet. Vid utbytet ska informationens konfidentialitet bevaras och berörda entiteters säkerhets- och affärsintressen skyddas.

14.   Entiteter, behöriga myndigheter, gemensamma kontaktpunkter och CSIRT-enheter ska behandla personuppgifter i den utsträckning som krävs för tillämpningen av detta direktiv och i enlighet med förordning (EU) 2016/679, i synnerhet ska sådan behandling baseras på artikel 6 i denna.

Behandlingen av personuppgifter enligt detta direktiv av tillhandahållare av allmänna elektroniska kommunikationsnät eller tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster ska utföras i enlighet med unionens dataskydds- och integritetslagstiftning, särskilt direktiv 2002/58/EG.

Artikel 3

Väsentliga och viktiga entiteter

1.   Med avseende på tillämpningen av detta direktiv ska följande entiteter anses vara väsentliga entiteter:

a)

Entiteter av en typ som avses i bilaga I som överstiger trösklarna för medelstora företag som fastställs i artikel 2.1 i bilagan till rekommendation 2003/361/EG.

b)

Kvalificerade tillhandahållare av betrodda tjänster och registreringsenheter för toppdomäner samt leverantörer av DNS-tjänster, oavsett storlek.

c)

Tillhandahållare av allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster som betraktas som medelstora företag enligt artikel 2 i bilagan till rekommendation 2003/361/EG.

d)

Offentliga förvaltningsentiteter som avses i artikel 2.2 f i.

e)

Alla andra entiteter av en typ som avses i bilaga I eller II som av en medlemsstat identifierats som väsentliga entiteter i enlighet med artikel 2.2 b–e.

f)

Entiteter som identifierats som kritiska entiteter enligt direktiv (EU) 2022/2557, som avses i artikel 2.3 i det här direktivet.

g)

Entiteter som medlemsstaterna före den 16 januari 2023 har identifierat som leverantörer av samhällsviktiga tjänster i enlighet med direktiv (EU) 2016/1148 eller nationell rätt, om så föreskrivs av medlemsstaten.

2.   Vid tillämpningen av detta direktiv ska alla entiteter av en typ som avses i bilaga I eller II och som inte betraktas som väsentliga entiteter enligt punkt 1 i denna artikel betraktas som viktiga entiteter. Detta inkluderar entiteter som av en medlemsstat identifierats som viktiga entiteter i enlighet med artikel 2.2 b–e.

3.   Senast den 17 april 2025 ska medlemsstaterna upprätta en förteckning över väsentliga och viktiga entiteter samt entiteter som tillhandahåller domännamnsregistreringstjänster. Medlemsstaterna ska regelbundet och minst vartannat år därefter se över förteckningen och när det är lämpligt uppdatera den.

4.   Vid upprättandet av den förteckning som avses i punkt 3 ska medlemsstaterna ålägga de entiteter som avses i den punkten att lämna minst följande information till de behöriga myndigheterna:

a)

Entitetens namn.

b)

Adress och aktuella kontaktuppgifter, inklusive e-postadresser, IP-adresser och telefonnummer.

c)

I tillämpliga fall, den eller de relevanta sektorer och delsektorer som avses i bilaga I eller II.

d)

I tillämpliga fall, en förteckning över de medlemsstater där de tillhandahåller tjänster som omfattas av detta direktiv.

De entiteter som avses i punkt 3 ska meddela alla ändringar av de uppgifter som de lämnat in enligt första stycket i denna punkt utan dröjsmål och under alla omständigheter inom två veckor från datumet för ändringen.

Kommissionen ska, med bistånd från Europeiska unionens cybersäkerhetsbyrå (Enisa), utan onödigt dröjsmål tillhandahålla riktlinjer och mallar för de skyldigheter som fastställs i denna punkt.

Medlemsstaterna får inrätta nationella mekanismer som gör det möjligt för entiteterna att registrera sig själva.

5.   Senast den 17 april 2025 och därefter vartannat år ska de behöriga myndigheterna

a)

underrätta kommissionen och samarbetsgruppen om antalet väsentliga och viktiga entiteter som förtecknats enligt punkt 3 för varje sektor och delsektor som avses i bilaga I eller II, och

b)

lämna relevant information till kommissionen om antalet väsentliga och viktiga entiteter som identifierats i enlighet med artikel 2.2 b–e, den sektor och delsektor som avses i bilaga I eller II som de tillhör, den typ av tjänst som de tillhandahåller och de bestämmelser i artikel 2.2 b–e i enlighet med vilka de identifierades.

6.   Fram till den 17 april 2025 och på begäran av kommissionen får medlemsstaterna meddela kommissionen namnen på de väsentliga och viktiga entiteter som avses i punkt 5 b.

Artikel 4

Sektorsspecifika unionsrättsakter

1.   Om det i sektorsspecifika unionsrättsakter föreskrivs att väsentliga eller viktiga entiteter ska anta riskhanteringsåtgärder för cybersäkerhet eller underrätta om betydande incidenter, och om dessa krav har minst samma verkan som de skyldigheter som fastställs i detta direktiv, ska de relevanta bestämmelserna i detta direktiv, inbegripet bestämmelserna om tillsyn och efterlevnadskontroll i kapitel VII, inte tillämpas på sådana entiteter. Om de sektorsspecifika unionsrättsakterna inte omfattar alla entiteter inom en viss sektor som omfattas av detta direktivs tillämpningsområde, ska de relevanta bestämmelserna i detta direktiv fortsätta att tillämpas på de entiteter som inte omfattas av dessa sektorsspecifika unionsrättsakter.

2.   De krav som avses i punkt 1 i denna artikel ska anses ha samma verkan som de skyldigheter som fastställs i detta direktiv om

a)

riskhanteringsåtgärderna för cybersäkerhet minst är likvärdiga som de åtgärder som föreskrivs i artikel 21.1 och 21.2, eller

b)

respektive sektorsspecifik unionsrättsakt föreskriver omedelbar, och när det är lämpligt automatisk och direkt, tillgång till incidentunderrättelser från CSIRT-enheterna, de behöriga myndigheterna eller de gemensamma kontaktpunkterna enligt detta direktiv och om kraven på underrättelse av betydande incidenter har minst samma verkan som de krav som fastställs i artikel 23.1–23.6 i detta direktiv.

3.   Kommissionen ska senast den 17 juli 2023 tillhandahålla riktlinjer som klargör tillämpningen av punkterna 1 och 2. Kommissionen ska regelbundet se över dessa riktlinjer. Vid utarbetandet av dessa riktlinjer ska kommissionen ta hänsyn till eventuella synpunkter från samarbetsgruppen och Enisa.

Artikel 5

Minimiharmonisering

Detta direktiv hindrar inte medlemsstaterna från att anta eller behålla bestämmelser som säkerställer en högre cybersäkerhetsnivå, förutsatt att sådana bestämmelser står i överensstämmelse med medlemsstaternas förpliktelser enligt unionsrätten.

Artikel 6

Definitioner

I detta direktiv gäller följande definitioner:

1.

nätverks- och informationssystem:

a)

Ett elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.

b)

En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.

c)

Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas.

2.

säkerhet i nätverks- och informationssystem: nätverks- och informationssystems förmåga att med en viss tillförlitlighetsnivå motstå händelser som kan undergräva tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via dessa nätverks- och informationssystem.

3.

cybersäkerhet: cybersäkerhet enligt definitionen i artikel 2.1 i förordning (EU) 2019/881.

4.

nationell strategi för cybersäkerhet: en enhetlig ram i en medlemsstat med strategiska mål och prioriteringar på cybersäkerhetsområdet och en styrningsram för att uppnå dem i den medlemsstaten.

5.

tillbud: en händelse som kunde ha undergrävt tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via nätverks- och informationssystem, men som framgångsrikt hindrades från att utvecklas eller som inte uppstod.

6.

incident: en händelse som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via nätverks- och informationssystem.

7.

storskalig cybersäkerhetsincident: en incident som orsakar störningar som är så omfattande att den berörda medlemsstaten inte kan hantera dem eller som har en betydande påverkan på minst två medlemsstater.

8.

incidenthantering: alla åtgärder och förfaranden som syftar till att förebygga, upptäcka, analysera, begränsa eller reagera på och återhämta sig från en incident.

9.

risk: risk för förlust eller störning orsakad av en incident, som ska uttryckas som en kombination av omfattningen av förlusten eller störningen och sannolikheten för att en sådan incident inträffar.

10.

cyberhot: ett cyberhot enligt definitionen i artikel 2.8 i förordning (EU) 2019/881.

11.

betydande cyberhot: ett cyberhot som, på grund av dess tekniska egenskaper, kan antas ha potential att ha en allvarlig påverkan på en entitets nätverks- och informationssystem eller användarna av entitetens tjänster genom att vålla betydande materiell eller immateriell skada.

12.

IKT-produkt: en IKT-produkt enligt definitionen i artikel 2.12 i förordning (EU) 2019/881.

13.

IKT-tjänst: en IKT-tjänst enligt definitionen i artikel 2.13 i förordning (EU) 2019/881.

14.

IKT-process: en IKT-process enligt definitionen i artikel 2.14 i förordning (EU) 2019/881.

15.

sårbarhet: en svaghet, känslighet eller brist hos IKT-produkter eller IKT-tjänster som kan utnyttjas genom ett cyberhot.

16.

standard: en standard enligt definitionen i artikel 2.1 i Europaparlamentets och rådets förordning (EU) nr 1025/2012 (29).

17.

teknisk specifikation: en teknisk specifikation enligt definitionen i artikel 2.4 i förordning (EU) nr 1025/2012.

18.

internetknutpunkt: en nätfacilitet som möjliggör sammankoppling av mer än två oberoende nät (autonoma system), främst i syfte att underlätta utbytet av internettrafik, som tillhandahåller sammankoppling enbart för autonoma system och som varken kräver att den internettrafik som passerar mellan två deltagande autonoma system ska passera genom ett tredje autonomt system eller ändrar trafiken eller påverkar den på något annat sätt.

19.

domännamnssystem eller DNS: ett hierarkiskt distribuerat namnsystem som möjliggör identifieringen av tjänster och resurser på internet, vilket gör det möjligt för slutanvändarenheter att använda internetrouting- och internetuppkopplingstjänster för att nå dessa tjänster och resurser.

20.

leverantör av DNS-tjänster: en entitet som tillhandahåller

a)

allmänna rekursiva tjänster för att lösa domännamnsfrågor till internetslutanvändare, eller

b)

auktoritativa tjänster för att lösa domännamnsfrågor för användning av tredje part, med undantag för rotnamnsservrar.

21.

registreringsenhet för toppdomäner eller TLD-registreringsenhet: en enhet som har delegerats en specifik toppdomän och som ansvarar för administrationen av toppdomänen, inbegripet registreringen av domännamn under toppdomänen och den tekniska driften av toppdomänen, inbegripet drift av dess namnservrar, underhåll av dess databaser och distribution av zonfiler för toppdomänen mellan namnservrar, oberoende av huruvida någon aspekt av denna drift utförs av enheten själv eller har utkontrakterats, dock inte situationer där toppdomäner används av en registreringsenhet endast för dess eget bruk.

22.

entitet som erbjuder domännamnsregistreringstjänster: en registrar som verkar på uppdrag av en regeringsenhet eller ett ombud för en registreringsenhet, såsom återförsäljare och leverantörer av integritetsregistreringstjänster och proxyregistreringstjänster.

23.

digital tjänst: en tjänst enligt definitionen i artikel 1.1 b i Europaparlamentets och rådets direktiv (EU) 2015/1535 (30).

24.

betrodd tjänst: en betrodd tjänst enligt definitionen i artikel 3.16 i förordning (EU) nr 910/2014.

25.

tillhandahållare av betrodda tjänster: en tillhandahållare av betrodda tjänster enligt definitionen i artikel 3.19 i förordning (EU) nr 910/2014.

26.

kvalificerad betrodd tjänst: en kvalificerad betrodd tjänst enligt definitionen i artikel 3.17 i förordning (EU) nr 910/2014.

27.

kvalificerad tillhandahållare av betrodda tjänster: en kvalificerad tillhandahållare av betrodda tjänster enligt definitionen i artikel 3.20 i förordning (EU) nr 910/2014.

28.

marknadsplats online: en marknadsplats online enligt definitionen i artikel 2 n i Europaparlamentets och rådets direktiv 2005/29/EG (31).

29.

sökmotor: en sökmotor enligt definitionen i artikel 2.5 i Europaparlamentets och rådets förordning (EU) 2019/1150 (32).

30.

molntjänst: en digital tjänst som möjliggör administration på begäran och bred fjärråtkomst till en skalbar och elastisk pool av gemensamma beräkningstjänster, inbegripet när sådana resurser är distribuerade på flera platser.

31.

datacentraltjänst: en tjänst som omfattar strukturer, eller grupper av strukturer, avsedda för centraliserad inkvartering, sammankoppling och drift av it- och nätutrustning som tillhandahåller datalagrings-, databehandlings- och dataöverföringstjänster samt alla anläggningar och infrastrukturer för kraftdistribution och miljökontroll.

32.

nätverk för leverans av innehåll: ett nätverk av geografiskt spridda servrar vars syfte är att säkerställa hög tillgänglighet för, tillgång till eller snabb leverans av digitalt innehåll och digitala tjänster till internetanvändare för innehålls- och tjänsteleverantörers räkning.

33.

plattform för sociala nätverkstjänster: en plattform som gör det möjligt för slutanvändare att interagera, dela och upptäcka innehåll, finna andra användare och kommunicera med andra via flera enheter, särskilt genom chattar, inlägg, videor och rekommendationer.

34.

företrädare: en i unionen etablerad fysisk eller juridisk person som uttryckligen har utsetts att agera för en leverantör av DNS-tjänster, en registreringsenhet för toppdomäner, en entitet som tillhandahåller domännamnsregistreringstjänster, en leverantör av molntjänster, en leverantör av datacentraltjänster, en leverantör av nätverk för leverans av innehåll, driftsentreprenad, en leverantör av hanterade säkerhetstjänster, en leverantör av marknadsplatser online, av sökmotorer eller av en plattform för sociala nätverkstjänster som inte är etablerad i unionen, till vilka en behörig myndighet eller en CSIRT-enhet kan vända sig i stället för entiteten, i frågor som gäller de skyldigheter som den entiteten har enligt detta direktiv.

35.

offentlig förvaltningsentitet: en entitet som erkänts som sådan i en medlemsstat i enlighet med nationell rätt, med undantag för rättsväsendet, parlament och centralbanker, som uppfyller följande kriterier:

a)

Den har inrättats för att tillgodose behov i det allmännas intresse och har inte industriell eller kommersiell karaktär.

b)

Den har ställning som juridisk person eller har lagstadgad rätt att agera för en annan entitet som har ställning som juridisk person.

c)

Den finansieras till största delen av staten, regionala myndigheter eller andra offentligrättsliga organ, står under administrativ tillsyn av dessa myndigheter eller organ, eller har ett förvaltnings-, lednings- eller kontrollorgan där mer än hälften av ledamöterna utses av staten, regionala myndigheter eller andra offentligrättsliga organ.

d)

Den har befogenhet att rikta administrativa eller reglerande beslut till fysiska eller juridiska personer som påverkar deras rättigheter när det gäller gränsöverskridande rörlighet för personer, varor, tjänster eller kapital.

36.

allmänt elektroniskt kommunikationsnät: ett allmänt elektroniskt kommunikationsnät enligt definitionen i artikel 2.8 i direktiv (EU) 2018/1972.

37.

elektronisk kommunikationstjänst: en elektronisk kommunikationstjänst enligt definitionen i artikel 2.4 i direktiv (EU) 2018/1972.

38.

entitet: en fysisk eller juridisk person som bildats och erkänts som sådan enligt nationell rätt där den etablerats och som i eget namn får utöva rättigheter och ha skyldigheter.

39.

driftsentreprenad: en entitet som tillhandahåller tjänster som rör installation, förvaltning, drift eller underhåll av IKT-produkter, IKT-nät, IKT-infrastruktur, IKT-tillämpningar eller andra nätverks- och informationssystem, via bistånd eller aktiv administration antingen i kundernas lokaler eller på distans.

40.

leverantör av hanterade säkerhetstjänster: en leverantör av hanterade säkerhetstjänster som utför eller tillhandahåller stöd för verksamhet som rör hantering av cybersäkerhetsrisker.

41.

forskningsorganisation: en entitet vars främsta mål är att bedriva tillämpad forskning eller experimentell utveckling i syfte att utnyttja resultaten av denna forskning i kommersiellt syfte, men som inte inbegriper utbildningsinstitutioner.

KAPITEL II

SAMORDNADE RAMVERK FÖR CYBERSÄKERHET

Artikel 7

Nationell strategi för cybersäkerhet

1.   Varje medlemsstat ska anta en nationell strategi för cybersäkerhet som tillhandahåller strategiska mål, de resurser som krävs för att uppnå dessa mål och relevanta politiska och reglerande åtgärder, i syfte att uppnå och upprätthålla en hög cybersäkerhetsnivå. Den nationella strategin för cybersäkerhet ska inbegripa

a)

mål och prioriteringar för medlemsstatens strategi för cybersäkerhet som särskilt omfattar de sektorer som avses i bilagorna I och II,

b)

en styrningsram för att uppnå de mål och prioriteringar som avses i led a i denna punkt, inbegripet de politiska åtgärder som avses i punkt 2,

c)

en styrningsram som klargör roller och ansvarsområden för relevanta intressenter på nationell nivå och som stöder samarbetet och samordningen på nationell nivå mellan de gemensamma myndigheterna, de gemensamma kontaktpunkterna och CSIRT-enheterna enligt detta direktiv, samt samordningen och samarbetet mellan dessa organ och behöriga myndigheter enligt sektorsspecifika unionsrättsakter,

d)

en mekanism för att identifiera relevanta tillgångar och en bedömning av riskerna i den medlemsstaten,

e)

en identifiering av åtgärder som säkerställer beredskap inför, svar på och återställande efter incidenter, inklusive samarbete mellan offentlig och privat sektor,

f)

en förteckning över de olika myndigheter och intressenter som är involverade i genomförandet av den nationella strategin för cybersäkerhet,

g)

en politisk ram för förbättrad samordning mellan de behöriga myndigheterna enligt detta direktiv och de behöriga myndigheterna enligt direktiv (EU) 2022/2557, i syfte att utbyta information om risker, cyberhot och incidenter och icke-cyberrelaterade risker, hot och incidenter och utföra tillsynsuppgifter, beroende på vad som är lämpligt,

h)

en plan, med nödvändiga åtgärder, för att höja medborgarnas allmänna medvetenhet om cybersäkerhetshot.

2.   Som en del av den nationella strategin för cybersäkerhet ska medlemsstaterna särskilt anta följande:

a)

Riktlinjer för cybersäkerhet i leveranskedjan för IKT-produkter och IKT-tjänster som används av entiteter när de tillhandahåller sina tjänster.

b)

Riktlinjer för att inkludera och specificera cybersäkerhetsrelaterade krav för IKT-produkter och IKT-tjänster vid offentlig upphandling, inbegripet vad gäller cybersäkerhetscertifiering, kryptering och användning av cybersäkerhetsprodukter med öppen källkod.

c)

Riktlinjer för hantering av sårbarheter, inbegripet främjande och underlättande av samordnad delgivning av information om sårbarheter enligt artikel 12.1.

d)

Riktlinjer för att upprätthålla den allmänna tillgängligheten, integriteten och konfidentialiteten hos den offentliga kärnan i det öppna internet, inbegripet, i tillämpliga fall, cybersäkerheten hos undervattenskablar.

e)

Riktlinjer för att främja utveckling och integrering av relevant avancerad teknik som syftar till att genomföra moderna riskhanteringsåtgärder för cybersäkerhet.

f)

Riktlinjer för att främja och utveckla cybersäkerhetsutbildning, cybersäkerhetskompetens, medvetandehöjande åtgärder och forsknings- och utvecklingsinitiativ, samt vägledning om god praxis och kontroll för cyberhygien som riktar sig till medborgare, intressenter och entiteter.

g)

Riktlinjer för stöd till akademiska institutioner och forskningsinstitut för att utveckla, förbättra och främja användningen av cybersäkerhetsverktyg och säker nätinfrastruktur.

h)

Riktlinjer, inbegripet relevanta förfaranden och lämpliga verktyg för informationsutbyte för att stödja ett frivilligt informationsutbyte om cybersäkerhet mellan entiteter i enlighet med unionsrätten.

i)

Riktlinjer som stärker cyberresiliensen och cyberhygienen hos små och medelstora företag, särskilt de som inte omfattas av detta direktiv, genom att tillhandahålla lättillgänglig vägledning och stöd för deras specifika behov.

j)

Riktlinjer för att främja ett aktivt cyberskydd.

3.   Medlemsstaterna ska meddela sina nationella strategier för cybersäkerhet till kommissionen inom tre månader från det att de antagits. Härvid får medlemsstaterna undanta information som rör den nationella säkerheten.

4.   Medlemsstaterna ska regelbundet och minst vart femte år bedöma sina nationella strategier för cybersäkerhet på grundval av centrala resultatindikatorer och vid behov uppdatera dem. Enisa ska på medlemsstaternas begäran bistå medlemsstaterna vid utarbetandet eller uppdateringen av en nationell strategi för cybersäkerhet och centrala resultatindikatorer för bedömningen av strategin, i syfte att anpassa den till de krav och skyldigheter som fastställs i detta direktiv.

Artikel 8

Behöriga myndigheter och gemensamma kontaktpunkter

1.   Varje medlemsstat ska utse eller inrätta en eller flera behöriga myndigheter med ansvar för cybersäkerhet och för de tillsynsuppgifter som avses i kapitel VII (behöriga myndigheter).

2.   De behöriga myndigheter som avses i punkt 1 ska övervaka genomförandet av detta direktiv på nationell nivå.

3.   Varje medlemsstat ska utse eller inrätta en gemensam kontaktpunkt. Om en medlemsstat bara utser eller inrättar en behörig myndighet i enlighet med punkt 1, ska denna behöriga myndighet också vara den gemensamma kontaktpunkten i den medlemsstaten.

4.   Varje gemensam kontaktpunkt ska utöva en sambandsfunktion som säkerställer ett gränsöverskridande samarbete mellan medlemsstatens myndigheter och relevanta myndigheter i andra medlemsstater och, när det är lämpligt, kommissionen och Enisa samt ett sektorsövergripande samarbete med andra behöriga myndigheter i medlemsstaten.

5.   Medlemsstaterna ska säkerställa att deras behöriga myndigheter och gemensamma kontaktpunkter har tillräckliga resurser för att på ett ändamålsenligt och effektivt sätt utföra de uppgifter de tilldelas och därigenom uppnå målen med detta direktiv.

6.   Varje medlemsstat ska utan onödigt dröjsmål meddela kommissionen identiteten för den behöriga myndighet som avses i punkt 1 och den gemensamma kontaktpunkt som avses i punkt 3, dessa myndigheters uppgifter samt eventuella senare ändringar. Varje medlemsstat ska offentliggöra sin behöriga myndighets identitet. Kommissionen ska upprätta en förteckning över offentligt tillgängliga gemensamma kontaktpunkter.

Artikel 9

Nationella ramar för hantering av cybersäkerhetskriser

1.   Varje medlemsstat ska utse eller inrätta en eller flera behöriga myndigheter med ansvar för hanteringen av storskaliga cybersäkerhetsincidenter och kriser (cyberkrishanteringsmyndigheter). Medlemsstaterna ska säkerställa att dessa myndigheter har tillräckliga resurser för att kunna utföra sina uppgifter på ett ändamålsenligt och effektivt sätt. Medlemsstaterna ska säkerställa samstämmighet med befintliga ramar för allmän nationell krishantering.

2.   Om en medlemsstat utser eller inrättar mer än en cyberkrishanteringsmyndighet enligt punkt 1 ska den tydligt ange vilken av dessa myndigheter som ska samordna hanteringen av storskaliga cybersäkerhetsincidenter och kriser.

3.   För tillämpning av detta direktiv ska varje medlemsstat identifiera vilka kapaciteter, tillgångar och förfaranden som kan användas i händelse av en kris.

4.   Varje medlemsstat ska anta en nationell plan för hanteringen av storskaliga cybersäkerhetsincidenter och kriser där mål och villkor för hanteringen av storskaliga cybersäkerhetsincidenter och kriser fastställs. Planen ska särskilt innehålla följande:

a)

Målen för nationella beredskapsåtgärder och beredskapsverksamheter.

b)

Cyberkrishanteringsmyndigheternas uppgifter och ansvarsområden.

c)

Cyberkrishanteringsförfaranden, inbegripet deras integrering i den allmänna nationella ramen för krishantering och kanaler för informationsutbyte.

d)

Nationella beredskapsåtgärder, inbegripet övningar och utbildningsverksamhet.

e)

Berörda offentliga och privata intressenter och berörd infrastruktur.

f)

Nationella förfaranden och arrangemang mellan relevanta nationella myndigheter och organ för att säkerställa att medlemsstaten på ett ändamålsenligt sätt kan delta i och stödja en samordnad hantering av storskaliga cybersäkerhetsincidenter och kriser på unionsnivå.

5.   Inom tre månader från det att den cyberkrishanteringsmyndighet som avses i punkt 1 har utsetts eller inrättats ska varje medlemsstat meddela kommissionen sin myndighets identitet samt alla senare ändringar. Medlemsstaterna ska till kommissionen och Europeiska kontaktnätverket för cyberkriser (EU-CyCLONe) lämna relevant information avseende kraven i punkt 4 om sina nationella planer för hanteringen av storskaliga cybersäkerhetsincidenter och kriser inom tre månader från det att dessa planer antagits. Medlemsstaterna får undanta information om och i den utsträckning det är nödvändigt för den nationella säkerheten.

Artikel 10

Enheter för hantering av it-säkerhetsincidenter (CSIRT-enheter)

1.   Varje medlemsstat ska utse eller inrätta en eller flera CSIRT-enheter. CSIRT-enheterna får utses eller inrättas inom en behörig myndighet. CSIRT-enheterna ska uppfylla kraven i artikel 11.1, ska omfatta minst de sektorer, delsektorer och typer av entiteter som avses i bilagorna I och II och ska ansvara för incidenthantering i enlighet med ett tydligt fastställt förfarande.

2.   Medlemsstaterna ska säkerställa att varje CSIRT-enhet har tillräckliga resurser för att på ett ändamålsenligt sätt kunna utföra sina uppgifter enligt artikel 11.3.

3.   Medlemsstaterna ska säkerställa att varje CSIRT-enhet har tillgång till en lämplig, säker och motståndskraftig kommunikations- och informationsinfrastruktur för utbyte av information med väsentliga och viktiga entiteter och andra relevanta intressenter. För detta ändamål ska medlemsstaterna säkerställa att varje CSIRT-enhet bidrar till införandet av säkra verktyg för informationsutbyte.

4.   CSIRT-enheterna ska samarbeta och, när det är lämpligt, utbyta relevant information i enlighet med artikel 29 med sektoriella eller sektorsövergripande grupper av väsentliga och viktiga entiteter.

5.   CSIRT-enheterna ska delta i sakkunnigbedömningar som organiseras i enlighet med artikel 19.

6.   Medlemsstaterna ska säkerställa ett ändamålsenligt, effektivt och säkert samarbete mellan sina CSIRT-enheter i CSIRT-nätverket.

7.   CSIRT-enheter får upprätta samarbetsförbindelser med tredjeländers nationella enheter för hantering av it-säkerhetsincidenter. Som en del av sådana samarbetsförbindelser ska medlemsstaterna underlätta ett ändamålsenligt, effektivt och säkert informationsutbyte med dessa nationella enheter för hantering av it-säkerhetsincidenter i tredjeländer, med hjälp av relevanta protokoll för informationsutbyte, inbegripet Traffic Light Protocol. CSIRT-enheter får utbyta relevant information med tredjeländers nationella enheter för hantering av it-säkerhetsincidenter, inbegripet personuppgifter i enlighet med unionens dataskyddslagstiftning.

8.   CSIRT-enheter får samarbeta med tredjeländers nationella enheter för hantering av it-säkerhetsincidenter eller motsvarande organ i tredjeländer, särskilt i syfte att ge dem cybersäkerhetsstöd.

9.   Varje medlemsstat ska utan onödigt dröjsmål meddela kommissionen identiteten för den CSIRT-enhet som avses i punkt 1 i denna artikel och för den CSIRT-enhet som utsetts till samordnare i enlighet med artikel 12.1, deras respektive uppgifter i förhållande till de väsentliga och viktiga entiteterna samt alla senare ändringar.

10.   Medlemsstaterna får begära Enisas bistånd vid inrättandet av sina CSIRT-enheter.

Artikel 11

Krav på CSIRT-enheter och deras tekniska kapacitet och uppgifter

1.   CSIRT-enheter ska uppfylla följande krav:

a)

CSIRT-enheterna ska säkerställa en hög nivå av tillgänglighet för sina kommunikationskanaler genom att undvika felkritiska systemdelar och ska kunna kontaktas och kontakta andra när som helst och på flera olika sätt. De ska tydligt ange kommunikationskanalerna och underrätta användargrupper och samarbetspartner om dessa.

b)

CSIRT-enheternas lokaler och de informationssystem som de använder sig av ska vara belägna på säkra platser.

c)

CSIRT-enheterna ska ha ett ändamålsenligt system för handläggning och dirigering av förfrågningar, särskilt för att underlätta ändamålsenliga och effektiva överlämnanden.

d)

CSIRT-enheterna ska säkerställa verksamhetens konfidentialitet och trovärdighet.

e)

CSIRT-enheterna ska ha tillräckligt med personal för att säkerställa att deras tjänster är ständigt tillgängliga och de ska säkerställa att personalen har fått lämplig utbildning.

f)

CSIRT-enheterna ska utrustas med redundanta system och reservlokaler för att säkerställa kontinuiteten i deras tjänster.

De ska kunna delta i internationella samarbetsnätverk.

2.   Medlemsstaterna ska säkerställa att deras CSIRT-enheter tillsammans har nödvändig teknisk kapacitet för att utföra de uppgifter som avses i punkt 3. Medlemsstaterna ska säkerställa att tillräckliga resurser anslås till deras CSIRT-enheter för att säkerställa en tillräcklig personalstyrka för att göra det möjligt för CSIRT-enheterna att utveckla sin tekniska kapacitet.

3.   CSIRT-enheterna ska ha följande uppgifter:

a)

Övervakning och analys av cyberhot, sårbarheter och incidenter på nationell nivå och, på begäran, tillhandahållande av stöd till berörda väsentliga och viktiga entiteter avseende realtidsövervakning eller nära realtidsövervakning av deras nätverks- och informationssystem.

b)

Tillhandahållande av tidiga varningar, larm, meddelanden och spridning av information till väsentliga och viktiga entiteter samt till behöriga myndigheter och andra relevanta intr