Dette dokument er et uddrag fra EUR-Lex
Dokument 52020PC0596
Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Directives 2006/43/EC, 2009/65/EC, 2009/138/EU, 2011/61/EU, EU/2013/36, 2014/65/EU, (EU) 2015/2366 and EU/2016/2341
Voorstel voor een RICHTLIJN VAN HET EUROPEES PARLEMENT EN DE RAAD tot wijziging van de Richtlijnen 2006/43/EG, 2009/65/EG, 2009/138/EU, 2011/61/EU, EU/2013/36, 2014/65/EU, (EU) 2015/2366 en EU/2016/2341
Voorstel voor een RICHTLIJN VAN HET EUROPEES PARLEMENT EN DE RAAD tot wijziging van de Richtlijnen 2006/43/EG, 2009/65/EG, 2009/138/EU, 2011/61/EU, EU/2013/36, 2014/65/EU, (EU) 2015/2366 en EU/2016/2341
COM/2020/596 final
EUROPESE COMMISSIE
Brussel, 24.9.2020
COM(2020) 596 final
2020/0268(COD)
Voorstel voor een
RICHTLIJN VAN HET EUROPEES PARLEMENT EN DE RAAD
tot wijziging van de Richtlijnen 2006/43/EG, 2009/65/EG, 2009/138/EU, 2011/61/EU, EU/2013/36, 2014/65/EU, (EU) 2015/2366 en EU/2016/2341
(Voor de EER relevante tekst)
{SEC(2020) 309 final} - {SWD(2020) 203 final} - {SWD(2020) 204 final}
TOELICHTING
1.ACHTERGROND VAN HET VOORSTEL
·Motivering en doel van het voorstel
Dit voorstel maakt deel uit van een pakket maatregelen dat meer ruimte moet creëren en ondersteuning moet bieden voor het potentieel dat digitale financiële diensten bieden in termen van innovatie en concurrentie, terwijl toch de risico’s worden beperkt. Het sluit aan bij de prioriteiten van de Commissie om Europa klaar te maken voor het digitale tijdperk en om een toekomstbestendige economie uit te bouwen die werkt voor de mensen. Het Digital Finance-pakket omvat een nieuwe strategie voor het digitale geldwezen voor de financiële sector in de EU 1 die ervoor moet zorgen dat de EU de digitale revolutie omarmt en het voortouw neemt met innovatieve Europese bedrijven in koppositie, zodat de voordelen van digitale financiële diensten beschikbaar komen voor Europese consumenten en bedrijven. Naast dit voorstel bevat het pakket ook een voorstel voor een verordening betreffende markten in cryptoactiva 2 , een voorstel voor een verordening betreffende een proefregeling voor marktinfrastructuren op basis van “distributed ledger”-technologie (DLT) 3 en een voorstel voor een verordening betreffende digitale operationele veerkracht voor de financiële sector 4 .
De redenen voor en de doelstellingen van de twee reeksen wetgevingsmaatregelen zijn uiteengezet in de toelichtingen bij het voorstel voor een verordening betreffende een proefregeling voor marktinfrastructuren op basis van “distributed ledger”-technologie, het voorstel voor een verordening betreffende markten in cryptoactiva en het voorstel voor een verordening inzake digitale operationele veerkracht, en zijn hier eveneens van toepassing. De specifieke reden voor dit voorstel voor een richtlijn is dat, om rechtszekerheid te bieden met betrekking tot cryptoactiva en de doelstelling te verwezenlijken om de digitale operationele veerkracht te versterken, een tijdelijke vrijstelling voor multilaterale handelsfaciliteiten moet worden vastgesteld en sommige bepalingen in bestaande EU-richtlijnen inzake financiële diensten moeten worden gewijzigd of verduidelijkt.
·Verenigbaarheid met bestaande bepalingen op het beleidsterrein
Dit voorstel, dat vergelijkbaar is met de voorstellen voor een verordening waar het bij hoort, maakt deel uit van uitgebreide lopende werkzaamheden op Europees en internationaal niveau die gericht zijn op i) het versterken van de cyberbeveiliging in financiële diensten en het aanpakken van bredere operationele risico’s, en ii) het verstrekken van een duidelijk, evenredig en mogelijkheden scheppend EU-rechtskader voor aanbieders van cryptoactivadiensten.
·Verenigbaarheid met andere beleidsterreinen van de Unie
Zoals voorzitter Von der Leyen in haar politieke beleidslijnen heeft verklaard 5 en zoals aangegeven in de mededeling “De digitale toekomst van Europa vormgeven” 6 , is het van cruciaal belang dat Europa alle vruchten plukt van het digitale tijdperk en zijn industriële en innovatiecapaciteit versterkt binnen veilige en ethische grenzen.
Wat cryptoactiva betreft, hangt dit voorstel nauw samen met het bredere beleid van de Commissie inzake blockchaintechnologie, aangezien cryptoactiva - als voornaamste toepassing van blockchaintechnologie - onlosmakelijk verbonden zijn met de bevordering van blockchaintechnologie in heel Europa.
Wat de operationele veerkracht betreft, bevat de Europese datastrategie 7 vier pijlers - gegevensbescherming, grondrechten, veiligheid en cyberbeveiliging - als essentiële voorwaarden voor een samenleving die door het gebruik van gegevens wordt versterkt. Een wetgevingskader ter versterking van de digitale operationele veerkracht van de financiële entiteiten van de Unie is in overeenstemming met deze beleidsdoelstellingen. Het voorstel zou ook beleid ondersteunen dat gericht is op het herstel van het coronavirus, aangezien het ervoor zou zorgen dat een grotere afhankelijkheid van het digitale geldwezen hand in hand in hand gaat met operationele veerkracht. Beide voorstellen bieden ook een antwoord op de oproepen van het Forum op hoog niveau over de KMU om duidelijke regels vast te stellen voor het gebruik van cryptoactiva (aanbeveling 7) en nieuwe regels vast te stellen inzake cyberveerkracht (aanbeveling 10) 8 .
2. RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID
·Rechtsgrondslag
Dit voorstel voor een richtlijn is gebaseerd op de artikelen 53, lid 1, en 114, VWEU.
·Subsidiariteit (bij niet-exclusieve bevoegdheid)
Zie de toelichting bij de voorstellen voor een verordening betreffende markten in cryptoactiva, een tijdelijke regeling voor DLT-marktinfrastructuren en digitale operationele veerkracht.
·Evenredigheid
Zie de toelichting bij de voorstellen voor een verordening betreffende markten in cryptoactiva, een tijdelijke regeling voor DLT-marktinfrastructuren en digitale operationele veerkracht.
·Keuze van het instrument
Dit voorstel voor een richtlijn hoort bij de voorstellen voor een verordening betreffende markten in cryptoactiva, een tijdelijke regeling voor DLT-marktinfrastructuren en digitale operationele veerkracht. In die verordeningen worden de belangrijkste regels vastgesteld voor i) aanbieders van cryptodiensten, ii) de voorwaarden voor de proefregeling voor DLT-marktinfrastructuren; en iii) ICT-risicobeheer, melden van incidenten, testen en toezicht. Om de in die verordeningen bepaalde doelstellingen te verwezenlijken, is het ook noodzakelijk een tijdelijke vrijstelling in te stellen voor multilaterale handelsfaciliteiten en een aantal op grond van de artikelen 53, lid 1, en 114, VWEU vastgestelde richtlijnen van het Europees Parlement en de Raad te wijzigen. Voor de wijziging van deze richtlijnen is bijgevolg een voorstel voor een richtlijn vereist.
3.EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING
·Evaluatie van bestaande wetgeving en controle van de resultaatgerichtheid ervan
Zie de toelichting bij de voorstellen voor een verordening betreffende markten in cryptoactiva, een tijdelijke regeling voor DLT-marktinfrastructuren en digitale operationele veerkracht.
·Raadpleging van belanghebbenden
Zie de toelichting bij de voorstellen voor een verordening betreffende markten in cryptoactiva, een tijdelijke regeling voor DLT-marktinfrastructuren en digitale operationele veerkracht.
·Bijeenbrengen en gebruik van expertise
Zie de toelichting bij de voorstellen voor een verordening betreffende markten in cryptoactiva, een tijdelijke regeling voor DLT-marktinfrastructuren en digitale operationele veerkracht.
·Effectbeoordeling
Zie de toelichting bij de voorstellen voor een verordening betreffende markten in cryptoactiva, een tijdelijke regeling voor DLT-marktinfrastructuren en digitale operationele veerkracht.
·Resultaatgerichtheid en vereenvoudiging
Zie de toelichting bij de voorstellen voor een verordening betreffende markten in cryptoactiva, een tijdelijke regeling voor DLT-marktinfrastructuren en digitale operationele veerkracht.
·Grondrechten
Zie de toelichting bij de voorstellen voor een verordening betreffende markten in cryptoactiva, een tijdelijke regeling voor DLT-marktinfrastructuren en digitale operationele veerkracht.
4.GEVOLGEN VOOR DE BEGROTING
Zie de toelichting bij de voorstellen voor een verordening betreffende markten in cryptoactiva, een tijdelijke regeling voor DLT-marktinfrastructuren en digitale operationele veerkracht.
5.OVERIGE ELEMENTEN
·Uitvoeringsplanning en regelingen betreffende controle, evaluatie en rapportage
Zie de toelichting bij de voorstellen voor een verordening betreffende markten in cryptoactiva, een tijdelijke regeling voor DLT-marktinfrastructuren en digitale operationele veerkracht.
·Artikelsgewijze toelichting
Alle artikelen houden verband met en vormen een aanvulling op het voorstel voor een verordening betreffende digitale operationele veerkracht. Zij houden wijzigingen in van de verschillende vereisten inzake operationele risico’s of risicobeheer zoals die zijn opgenomen in de Richtlijnen 2006/43/EG, 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/65/EU, (EU) 2015/2366 en (EU) 2016/2341 van het Europees Parlement en de Raad om in die bepalingen precieze kruisverwijzingen op te nemen en aldus juridische duidelijkheid te scheppen. Meer in het bijzonder betreft het de volgende wijzigingen:
–de artikelen 2 tot en met 4, 6 en 8 wijzigen Richtlijn 2009/65/EG tot coördinatie van de wettelijke en bestuursrechtelijke bepalingen betreffende bepaalde instellingen voor collectieve belegging in effecten (icbe’s) 9 , Richtlijn 2009/138/EG betreffende de toegang tot en uitoefening van het verzekerings- en het herverzekeringsbedrijf (Solvabiliteit II) 10 , Richtlijn 2011/61/EU inzake beheerders van alternatieve beleggingsinstellingen 11 , Richtlijn 2014/56/EU betreffende de wettelijke controles van jaarrekeningen en geconsolideerde jaarrekeningen 12 , en Richtlijn EU/2016/2341 betreffende de werkzaamheden van en het toezicht op instellingen voor bedrijfspensioenvoorziening (IBVP’s) 13 , om in elk van deze richtlijnen precieze kruisverwijzingen op te nemen naar Verordening (EU) 2021xx/xx [DORA] voor het beheer van de ICT-systemen en -instrumenten van deze financiële entiteiten, overeenkomstig de bepalingen van die Verordening;
–artikel 5 wijzigt de vereisten in Richtlijn 2013/36/EU (de richtlijn kapitaalvereisten, RKV) 14 inzake nood- en bedrijfscontinuïteitsplannen om er ICT-bedrijfscontinuïteits- en noodherstelplannen in op te nemen die zijn opgesteld overeenkomstig de bepalingen van Verordening (EU) 20xx/xx [DORA];
–artikel 6 wijzigt Richtlijn 2014/65/EU betreffende markten voor financiële instrumenten (MiFID 2) door kruisverwijzingen toe te voegen naar Verordening (EU) 20xx/xx [DORA] en door bepalingen te wijzigen met betrekking tot continuïteit en regelmatigheid bij de uitvoering van beleggingsdiensten en -activiteiten, veerkracht en voldoende capaciteit van handelssystemen, doeltreffende regelingen voor bedrijfscontinuïteit en risicobeheer;
–artikel 7 wijzigt Richtlijn (EU) 2015/2366 betreffende betalingsdiensten in de interne markt (PSD2) 15 en met name de vergunningsregels door een verwijzing naar Verordening (EU) 20xx/xx [DORA] in te voeren. Bovendien zouden de in die richtlijn vervatte regels voor incidentenmelding niet moeten gelden voor de rapportage van ICT-gerelateerde incidenten, die bij Verordening (EU) 20xx/xx [DORA] volledig wordt geharmoniseerd.
Het eerste lid van artikel 6 draagt verder bij tot de verduidelijking van de juridische behandeling van cryptoactiva die als financiële instrumenten kunnen worden beschouwd. Daartoe wordt de definitie van “financieel instrument” in Richtlijn 2014/65/EU betreffende markten voor financiële instrumenten gewijzigd, zodat zonder enige juridische twijfel duidelijk is dat dergelijke instrumenten met behulp van “distributed ledger”-technologie kunnen worden uitgegeven.
Het vierde lid van artikel 6 vormt een aanvulling op het voorstel voor een verordening betreffende een proefregeling voor marktinfrastructuren op basis van distributed ledger”-technologie door DLT-marktinfrastructuren tijdelijk vrij te stellen van sommige bepalingen van Richtlijn 2014/65/EU, zodat oplossingen kunnen worden ontwikkeld voor de handel in en de afwikkeling van transacties met cryptoactiva die als financiële instrumenten kunnen worden beschouwd.
2020/0268 (COD)
Voorstel voor een
RICHTLIJN VAN HET EUROPEES PARLEMENT EN DE RAAD
tot wijziging van de Richtlijnen 2006/43/EG, 2009/65/EG, 2009/138/EU, 2011/61/EU, EU/2013/36, 2014/65/EU, (EU) 2015/2366 en EU/2016/2341
(Voor de EER relevante tekst)
HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,
Gezien het Verdrag betreffende de werking van de Europese Unie, en met name de artikelen 53, lid 1, en 114,
Gezien het voorstel van de Europese Commissie,
Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,
Gezien het advies van de Europese Centrale Bank 16 ,
Gezien het advies van het Europees Economisch en Sociaal Comité 17 ,
Handelend volgens de gewone wetgevingsprocedure,
Overwegende hetgeen volgt:
(1)De Unie moet zorgen voor een passende en alomvattende aanpak van de digitale risico’s voor alle financiële entiteiten die voortvloeien uit een toegenomen gebruik van informatie- en communicatietechnologie (ICT) bij de verstrekking en het verbruik van financiële diensten.
(2)Marktdeelnemers in de financiële sector zijn sterk afhankelijk van het gebruik van digitale technologieën in hun dagelijkse activiteiten; het is daarom van het grootste belang dat de operationele weerbaarheid van hun digitale operaties tegen ICT-risico’s gewaarborgd blijft. Dit is des te belangrijker vanwege de groei van de markt voor baanbrekende technologieën, waardoor het met name mogelijk wordt digitale weergaven van waarde of rechten elektronisch over te dragen en te bewaren met behulp van distributed ledger of soortgelijke technologie (“cryptoactiva”), en voor diensten die met die activa verband houden.
(3)Vereisten betreffende ICT-risico’s voor de financiële sector zijn op het niveau van de Unie momenteel verspreid over de Richtlijnen 2006/43/EG 18 , 2009/66/EG 19 , 2009/138/EG 20 , 2011/61/EU 21 , 2013/36/EU 22 , 2014/65/EU 23 , (EU) 2015/2366 24 en (EU) 2016/2341 25 van het Europees Parlement en de Raad en zijn erg uiteenlopend en soms onvolledig. In een aantal gevallen is het ICT-risico slechts impliciet aangepakt als onderdeel van het operationele risico, en in andere gevallen zelfs helemaal niet. Dit moet worden verholpen door Verordening (EU) 20xx/xx van het Europees Parlement en de Raad 26 [DORA] en die handelingen op elkaar af te stemmen. Deze richtlijn bevat een reeks wijzigingen die noodzakelijk lijken om te zorgen voor juridische duidelijkheid en consistentie als financiële entiteiten waaraan vergunningen werden verleend en waarop toezicht wordt uitgeoefend overeenkomstig die richtlijnen, diverse vereisten inzake digitale operationele veerkracht toepassen die nodig zijn voor de uitoefening hun activiteiten, zodat de goede werking van de interne markt wordt gewaarborgd.
(4)Op het gebied van bankdiensten bevat Richtlijn 2013/36/EU betreffende toegang tot het bedrijf van kredietinstellingen en het prudentieel toezicht op kredietinstellingen en beleggingsondernemingen momenteel enkel algemene interne governanceregels en operationeelrisicobepalingen met vereisten voor nood- en bedrijfscontinuïteitsplannen, die impliciet als basis dienen voor ICT-risicobeheer. Om er echter voor te zorgen dat ICT-risico’s expliciet worden aangepakt, moeten de vereisten voor nood- en bedrijfscontinuïteitsplannen worden gewijzigd om daarin ook bedrijfscontinuïteits- en noodherstelplannen voor ICT-risico’s op te nemen, in overeenstemming met de vereisten van Verordening (EU) 20xx/xx [DORA].
(5)Richtlijn 2014/65/EU betreffende markten voor financiële instrumenten stelt strengere ICT-voorschriften vast voor beleggingsondernemingen en handelsplatformen, uitsluitend wanneer zij algoritmische handel verrichten. Voor datarapporteringsdiensten en transactieregisters gelden minder gedetailleerde vereisten. De richtlijn bevat ook slechts beperkte verwijzingen naar controle- en beveiligingsregelingen voor de informatieverwerkingssystemen en over het gebruik van passende systemen, middelen en procedures om de continuïteit en regelmatigheid van de zakelijke diensten te waarborgen. Deze richtlijn moet worden afgestemd op Verordening (EU) 20xx/xx [DORA] wat betreft continuïteit en regelmatigheid bij de verrichting van beleggingsdiensten en -activiteiten, operationele veerkracht, capaciteit van handelssystemen en doeltreffendheid van bedrijfscontinuïteitsregelingen en risicobeheer.
(6)Momenteel omvat de definitie van “financieel instrument” in Richtlijn 2014/65/EU niet expliciet financiële instrumenten die worden uitgegeven met behulp van een categorie technologieën die de gedistribueerde registratie van versleutelde gegevens ondersteunen (distributed ledger-technologie, DLT). Om ervoor te zorgen dat dergelijke financiële instrumenten binnen het huidige rechtskader kunnen worden verhandeld op de markt, moet de definitie in Richtlijn 2014/65/EU worden gewijzigd om deze er ook in op te nemen.
(7)Met name om de ontwikkeling van cryptoactiva die als financiële instrumenten kunnen worden beschouwd, en DLT mogelijk te maken en tegelijkertijd een hoog niveau van financiële stabiliteit, marktintegriteit, transparantie en beleggersbescherming te behouden, zou het nuttig zijn een tijdelijke regeling voor DLT-marktinfrastructuren te creëren. Dit tijdelijke rechtskader moet de bevoegde autoriteiten in staat stellen om DLT-marktinfrastructuren tijdelijk toe te staan te functioneren op basis van een alternatieve reeks vereisten met betrekking tot de toegang ertoe in vergelijking met de vereisten die anders uit hoofde van de Uniewetgeving inzake financiële diensten van toepassing zijn en die hen zouden kunnen beletten oplossingen te ontwikkelen voor de handel in en afwikkeling van transacties met cryptoactiva die als financiële instrumenten kunnen worden beschouwd. Dit rechtskader moet tijdelijk zijn zodat de Europese toezichthoudende autoriteiten (ETA) en de nationale bevoegde autoriteiten ervaring kunnen opdoen met de mogelijkheden en specifieke risico’s die worden gecreëerd door cryptoactiva die op die infrastructuren worden verhandeld. Bijgevolg vergezelt deze richtlijn de verordening [betreffende een proefregeling voor marktinfrastructuren op basis van “distributed ledger”-technologie], door dit nieuwe regelgevingskader van de Unie inzake DLT-marktinfrastructuren te ondersteunen met een gerichte vrijstelling van specifieke bepalingen van de Uniewetgeving inzake financiële diensten die van toepassing is op activiteiten en diensten met betrekking tot financiële instrumenten als gedefinieerd in artikel 4, lid 1, punt 15, van Richtlijn 2014/65/EU, dat anders niet de volledige flexibiliteit zou bieden die vereist is bij de invoering van oplossingen tijdens de fasen van handel in en transactieverwerking van cryptoactiva.
(8)Een multilaterale DLT-handelsfaciliteit moet een multilateraal systeem zijn dat wordt geëxploiteerd door een beleggingsonderneming of een marktexploitant waaraan overeenkomstig Richtlijn 2014/65/EU een vergunning is verleend, en waaraan krachtens Verordening (EU) xx/20xx van het Europees Parlement en de Raad [betreffende een proefregeling voor marktinfrastructuren op basis van “distributed ledger”-technologie] 27 een specifieke vergunning is verleend. Multilaterale DLT-handelsfaciliteiten moeten onderworpen zijn aan alle vereisten die krachtens die richtlijn op een multilaterale handelsfaciliteit van toepassing zijn, behalve indien de nationale bevoegde autoriteit daarvoor overeenkomstig deze richtlijn een vrijstelling zou verlenen. De in Richtlijn 2014/65/EU bepaalde verplichting tot bemiddeling zou een regelgevende belemmering voor de ontwikkeling van een multilaterale handelsfaciliteit voor op een DLT uitgegeven effecten kunnen zijn. Een traditionele multilaterale handelsfaciliteit kan alleen beleggingsondernemingen, kredietinstellingen en andere personen die over toereikende bekwaamheden en bevoegdheden voor de handel en adequate organisatorische regelingen en middelen beschikken, toelaten als lid of deelnemer. Een multilaterale DLT-handelsfaciliteit moet kunnen verzoeken om een afwijking van een dergelijke verplichting zodat zij retailbeleggers gemakkelijke toegang tot het handelsplatform kan bieden, mits er passende waarborgen zijn met betrekking tot de bescherming van beleggers.
(9)Richtlijn (EU) 2015/2366 betreffende betalingsdiensten bevat specifieke regels inzake ICT-beveiligingscontroles en risicobeperking met het oog op de machtiging tot het verrichten van betalingsdiensten. Deze machtigingsregels moeten worden gewijzigd om ze in overeenstemming te brengen met Verordening (EU) 20xx/xx [DORA]. Daarnaast moeten de in die richtlijn vervatte regels voor incidentenmelding niet van toepassing zijn op de rapportage van ICT-gerelateerde incidenten die bij Verordening (EU) 20xx/xx [DORA] volledig wordt geharmoniseerd.
(10)In de algemene bepalingen over governance en risicobeheer van Richtlijn 2009/138/EG betreffende de toegang tot en uitoefening van het verzekerings- en het herverzekeringsbedrijf en Richtlijn EU/2016/2341 betreffende de werkzaamheden van en het toezicht op instellingen voor bedrijfspensioenvoorziening komen ICT-risico’s gedeeltelijk aan bod; bepaalde vereisten moeten nog worden gespecificeerd door middel van gedelegeerde verordeningen met of zonder specifieke verwijzingen naar ICT-risico’s. Nog minder specifieke bepalingen zijn van toepassing op wettelijke auditors en auditkantoren aangezien Richtlijn 2014/56/EU van het Europees Parlement en de Raad 28 slechts algemene bepalingen over interne organisatie bevat. Ook voor beheerders van alternatieve beleggingsfondsen en beheersmaatschappijen die onder de Richtlijnen 2011/61/EU en 2009/65/EG vallen, gelden slechts zeer algemene regels. Deze richtlijnen moeten dus worden afgestemd op de vereisten van Verordening (EU) 20xx/xx [DORA] wat betreft het beheer van ICT-systemen en -instrumenten.
(11)Vaak zijn in gedelegeerde en uitvoeringshandelingen al verdere ICT-vereisten vastgesteld op basis van ontwerpen van technische regulerings- en uitvoeringsnormen die door de bevoegde ETA zijn ontwikkeld. Om juridische duidelijkheid te verschaffen over het feit dat de rechtsgrondslag van ICT-risicobepalingen voortaan uitsluitend voortvloeit uit Verordening (EU) 20xx/xx [DORA], moeten de bevoegdheidsdelegaties in deze richtlijnen in die zin worden gewijzigd dat ICT-risicobepalingen buiten het toepassingsgebied van die bevoegdheidsdelegaties vallen.
(12)Om te zorgen voor de consistente en gelijktijdige toepassing van Verordening xx/20xx [DORA] en deze richtlijn, die samen het nieuwe kader voor digitale operationele veerkracht in de financiële sector vormen, moeten de lidstaten de bepalingen van nationaal recht tot omzetting van deze richtlijn toepassen vanaf de datum van toepassing van die verordening.
(13)De Richtlijnen 2006/43/EG, 2009/66/EG, 2009/138/EG, 2011/61/EU, EU/2013/36, 2014/65/EU, (EU) 2015/2366 en (EU) 2016/2341 zijn vastgesteld op basis van artikel 53, lid 1, en artikel 114 van het Verdrag betreffende de werking van de Europese Unie. De wijzigingen in deze richtlijn moeten in één handeling worden opgenomen vanwege de verwevenheid van het onderwerp en de doelstellingen van de wijzigingen, en deze ene handeling moet worden vastgesteld op basis van zowel artikel 53, lid 1, als artikel 114 van het Verdrag betreffende de werking van de Europese Unie.
(14)Aangezien de doelstellingen van deze richtlijn niet voldoende door de lidstaten kunnen worden verwezenlijkt omdat zij leiden tot harmonisatie door middel van actualiseringen en wijzigingen van voorschriften die reeds in richtlijnen vervat zijn, maar vanwege de omvang of de gevolgen van het optreden beter door de Unie kunnen worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om deze doelstellingen te verwezenlijken.
(15)Overeenkomstig de gezamenlijke politieke verklaring van 28 september 2011 van de lidstaten en de Commissie over toelichtende stukken 29 hebben de lidstaten zich ertoe verbonden om in gerechtvaardigde gevallen de kennisgeving van hun omzettingsmaatregelen vergezeld te doen gaan van één of meer stukken waarin het verband tussen de onderdelen van een richtlijn en de overeenkomstige delen van de nationale omzettingsinstrumenten wordt toegelicht. Met betrekking tot deze richtlijn acht de wetgever de toezending van die stukken gerechtvaardigd,
HEBBEN DE VOLGENDE RICHTLIJN VASTGESTELD:
Artikel 1
Wijzigingen van Richtlijn 2006/43/EG
In artikel 24 bis, lid 1, van Richtlijn 2006/43/EG wordt punt b) vervangen door:
“b) een wettelijke auditor of een auditkantoor heeft goede administratieve en boekhoudprocedures, interne kwaliteitscontrolemechanismen, effectieve procedures voor risicobeoordeling, en effectieve beheersings- en veiligheidsmaatregelen om zijn ICT-systemen en -instrumenten overeenkomstig artikel 6 van Verordening (EU) 20xx/xx [DORA] van het Europees Parlement en de Raad* te beheren.
___________________________________
* [volledige titel] (PB L […] van […], blz. […]).”.
Artikel 2
Wijzigingen van Richtlijn 2009/65/EG
Artikel 12 van Richtlijn 2009/65/EG wordt als volgt gewijzigd:
(1) in lid 1, tweede alinea, wordt punt a) vervangen door:
“ a) moet beschikken over een goede administratieve en boekhoudkundige organisatie en controle- en beveiligingsvoorzieningen op het gebied van de elektronische informatieverwerking, met inbegrip van informatie- en communicatietechnologiesystemen die worden opgezet en beheerd overeenkomstig artikel 6 van Verordening (EU) 20xx/xx van het Europees Parlement en de Raad* [DORA], evenals over adequate interne controleprocedures, met inbegrip van met name regels voor persoonlijke transacties van de eigen medewerkers en voor het aanhouden en beheren van beleggingen in financiële instrumenten met het oog op het beleggen voor eigen rekening, die ten minste waarborgen dat elke transactie waarbij de icbe betrokken is, kan worden gereconstrueerd wat betreft de oorsprong ervan, de betrokken partijen, de aard ervan, de tijd en de plaats waar zij heeft plaatsgevonden, en dat de activa van de door de beheermaatschappij beheerde icbe, overeenkomstig het fondsreglement of de statuten en de vigerende wettelijke bepalingen worden belegd;
________________________________
* [volledige titel] (PB L […] van […], blz. […]).”;
(2) lid 3 wordt vervangen door:
“3. Onverminderd de bepalingen van artikel 116 stelt de Commissie middels gedelegeerde handelingen overeenkomstig artikel 112 bis maatregelen vast ter nadere bepaling van:
a) de procedures en regelingen als bedoeld in lid 1, tweede alinea, punt a), voor zover zij geen betrekking hebben op het beheer van informatie- en communicatietechnologierisico’s;
b) de structuren en organisatorische eisen ter beperking van belangenconflicten als bedoeld in lid 1, tweede alinea, punt b). ”.
Artikel 3
Wijziging van Richtlijn 2009/138/EG
Richtlijn 2009/138/EG wordt als volgt gewijzigd:
(1)in artikel 41 wordt lid 4 vervangen door:
“4. Verzekerings- en herverzekeringsondernemingen treffen redelijke maatregelen, waaronder de ontwikkeling van noodplannen, om voor continuïteit en regelmatigheid in de verrichting van hun werkzaamheden te zorgen. Daartoe maakt de onderneming gebruik van passende en evenredige systemen, middelen en procedures en zet zij ICT-systemen op en beheert zij deze overeenkomstig artikel 6 van Verordening (EU) 20xx/xx van het Europees Parlement en de Raad* [DORA].
____________________________
* [volledige titel] (PB L […] van […], blz. […]).”;
(2)in artikel 50, lid 1, worden de punten a) en b) vervangen door:
“a) de onderdelen van de in de artikelen 41, 44, 46 en 47 bedoelde systemen, voor zover zij geen betrekking hebben op het beheer van het ICT-risico, en de in artikel 44, lid 2, genoemde gebieden;
b) de in de artikelen 44, 46, 47 en 48 bedoelde functies, voor zover het niet gaan om functies die verband houden met het beheer van het ICT-risico.”.
Artikel 4
Wijzigingen van Richtlijn 2011/61/EU
Artikel 18 van Richtlijn 2011/61/EU wordt vervangen door:
“Artikel 18
Algemene beginselen
1. De lidstaten eisen dat abi-beheerders te allen tijde over adequate en voldoende personele en technische middelen beschikken om het beheer van abi’s naar behoren te kunnen uitvoeren.
Mede in het licht van de aard van het door de abi-beheerder beheerde abi schrijven de bevoegde autoriteiten van de lidstaat van herkomst met name voor dat de abi-beheerder moet beschikken over goede administratieve en boekhoudkundige procedures, controle- en beveiligingsvoorschriften op het gebied van het beheer van ICT-systemen als vereist krachtens artikel 6 van Verordening (EU) 20xx/xx van het Europees Parlement en de Raad* [DORA], evenals adequate interne controleprocedures, met inbegrip van met name regels voor persoonlijke transacties van de eigen medewerkers en voor het aanhouden of beheren van beleggingen met het oog op het beleggen van het eigen vermogen, zodat op zijn minst gewaarborgd wordt dat elke transactie waarbij de abi’s betrokken zijn, kan worden gereconstrueerd wat betreft de oorsprong ervan, de erbij betrokken partijen, de aard ervan en de tijd en de plaats waar de transactie heeft plaatsgevonden, en dat de activa van de door de abi-beheerder beheerde abi worden belegd in overeenstemming met het reglement van de abi of de statuten en de vigerende wettelijke bepalingen.
2. De Commissie stelt middels gedelegeerde handelingen overeenkomstig artikel 56 en onder de voorwaarden van de artikelen 57 en 58 maatregelen vast tot precisering van de procedures en regels waarvan sprake is in lid 1, voor zover zij geen betrekking hebben op ICT-systemen.
_________________________________
* [volledige titel] (PB L […] van […], blz. […]).”.
Artikel 5
Wijziging van Richtlijn 2013/36/EU
In artikel 85 van Richtlijn 2013/36/EU wordt lid 2 vervangen door:
“2. De bevoegde autoriteiten zorgen ervoor dat er calamiteiten- en bedrijfscontinuïteitsplannen, met inbegrip van bedrijfscontinuïteits- en noodherstelplannen voor de technologie die zij gebruiken om informatie te verstrekken (“informatie- en communicatietechnologie”) overeenkomstig artikel 6 van Verordening (EU) 20xx/xx van het Europees Parlement en de Raad* [DORA], bestaan om ervoor te zorgen dat de continuïteit van de bedrijfsvoering van de instellingen is verzekerd en dat verliezen bij ernstige verstoring van de bedrijfsactiviteiten kunnen worden beperkt.
* [volledige titel] (PB L […] van […], blz. […]).”.
Artikel 6
Wijzigingen van Richtlijn 2014/65/EU
Richtlijn 2014/65/EU wordt als volgt gewijzigd:
(1)in artikel 4, lid 1, wordt punt 15) vervangen door:
““financieel instrument”: alle instrumenten die zijn genoemd in deel C van bijlage I, met inbegrip van dergelijke instrumenten die worden uitgegeven door middel van distributed ledger-technologie;”;
(2)artikel 16 wordt als volgt gewijzigd:
(a)lid 4 wordt vervangen door:
“4. Een beleggingsonderneming treft redelijke maatregelen om continuïteit en regelmatigheid bij het verlenen van beleggingsdiensten en het verrichten van beleggingsactiviteiten te waarborgen. Te dien einde maakt de beleggingsonderneming gebruik van passende en evenredige systemen, met inbegrip van ICT-systemen die zijn opgezet en worden beheerd overeenkomstig artikel 6 van Verordening (EU) 2021/xx van het Europees Parlement en de Raad* [DORA], evenals van passende en evenredige middelen en procedures.”;
(b)in lid 5 worden de tweede en derde alinea vervangen door:
“Een beleggingsonderneming beschikt over een goede administratieve en boekhoudkundige organisatie, adequate interne controlemechanismen en effectieve risicobeoordelingsprocedures.
Onverminderd de mogelijkheid voor de bevoegde autoriteiten om toegang tot communicatie te vragen overeenkomstig deze richtlijn en Verordening (EU) nr. 600/2014 beschikt een beleggingsonderneming over deugdelijke beveiligingsmechanismen om, overeenkomstig de vereisten van Verordening (EU) 20xx/xx van het Europees Parlement en de Raad* [DORA], de beveiliging en authentificatie van de middelen voor de informatieoverdracht te garanderen, het risico op datacorruptie en ongeoorloofde toegang tot een minimum te beperken en te voorkomen dat informatie uitlekt door de vertrouwelijkheid van de gegevens te allen tijde te bewaren.”;
(3)artikel 17 wordt als volgt gewijzigd:
(a)lid 1 wordt vervangen door:
“1. Een beleggingsonderneming die zich met algoritmische handel bezighoudt, heeft voor haar bedrijfsactiviteit geschikte, doeltreffende interne beheersing opgezet om te garanderen dat haar handelssystemen weerbaar zijn en voldoende capaciteit hebben overeenkomstig de vereisten van hoofdstuk II van Verordening (EU) 20xx/xx van het Europees Parlement en de Raad [DORA], aan gepaste handelsdrempels en -limieten onderworpen zijn, en voorkomen dat foutieve orders worden verzonden of dat de systemen anderszins op zodanige wijze functioneren dat zulks tot het ontstaan van een onordelijke markt kan leiden of bijdragen.
Een dergelijke onderneming heeft ook doeltreffende interne beheersing opgezet om te garanderen dat de handelssystemen niet kunnen worden aangewend voor enigerlei doel dat in strijd is met de Verordening (EU) nr. 596/2014 of met de regels van een handelsplatform waarmee zij is verbonden.
De beleggingsonderneming beschikt over doeltreffende regelingen om de bedrijfscontinuïteit bij elke storing van haar handelssystemen op te vangen, met inbegrip van overeenkomstig artikel 6 van Verordening (EU) 20xx/xx [DORA] opgestelde bedrijfscontinuïteits- en noodherstelplannen voor ICT, en ziet erop toe dat haar systemen volledig zijn getest en naar behoren worden gecontroleerd om te garanderen dat zij aan de vereisten van dit lid en aan de specifieke vereisten van de hoofdstukken II en IV van Verordening 20xx/xx [DORA] voldoen.”;
(b) in lid 7 wordt punt a) vervangen door:
“a) gedetailleerde informatie inzake de in de leden 1 tot en met 6 gestelde organisatorische eisen die geen betrekking hebben op ICT-risicobeheer en die moeten worden opgelegd aan beleggingsondernemingen die verschillende beleggingsdiensten en/of beleggingsactiviteiten en nevendiensten of combinaties daarvan verlenen of verrichten; in de gedetailleerde informatie inzake de in lid 5 gestelde organisatorische eisen worden de specifieke vereisten voor directe markttoegang en voor gesponsorde toegang vastgelegd op een wijze die garandeert dat de voor gesponsorde toegang toegepaste controles ten minste gelijkwaardig zijn aan de voor directe markttoegang toegepaste controles;”;
(4)aan artikel 19 wordt het volgende lid toegevoegd:
“3. Echter, als de beleggingsonderneming of marktexploitant een multilaterale handelsfaciliteit voor distributed ledger”-technologie exploiteert (DLT MTF) als gedefinieerd in artikel 2, punt 3, van Verordening xx/20xx [voorstel voor een verordening betreffende een proefregeling voor marktinfrastructuren op basis van “distributed ledger”-technologie], kan de bevoegde autoriteit toestaan dat de beleggingsonderneming of marktexploitant, overeenkomstig de regels voor toegang als bedoeld in artikel 18, lid 3, en voor een periode van ten hoogste vier jaar, natuurlijke personen tot de DLT MTF toelaat als leden of deelnemers, op voorwaarde dat die personen aan de volgende vereisten voldoen:
(a)zij moeten voldoende betrouwbaar en deskundig zijn en de juiste personen zijn; en
(b)zij moeten beschikken over voldoende bekwaamheid, bevoegdheid en ervaring voor de handel, met inbegrip van kennis van handel en de werking van “distributed ledger”-technologie (DLT).
Als een bevoegde autoriteit de in de eerste alinea bedoelde vrijstelling verleent, kan zij aanvullende beleggersbeschermingsmaatregelen opleggen ter bescherming van natuurlijke personen die als leden of deelnemers tot de DLT MTF worden toegelaten. Dergelijke maatregelen staan in verhouding tot het risicoprofiel van de deelnemers of leden.”;
(5)in artikel 47 wordt lid 1 als volgt gewijzigd:
(a) punt b) wordt vervangen door:
“b) adequaat toegerust is voor het beheer van de risico’s waaraan zij blootgesteld is, met inbegrip van het beheer van risico’s voor ICT-systemen en -instrumenten overeenkomstig artikel 6 van Verordening (EU) 20xx/xx [DORA]*, in passende regelingen en systemen voorziet om alle risico’s van betekenis voor de exploitatie te onderkennen, en doeltreffende maatregelen treft om deze risico’s te beperken;”;
(b) punt c) wordt geschrapt;
(6)artikel 48 wordt als volgt gewijzigd:
(a)lid 1 wordt vervangen door:
“1. De lidstaten schrijven voor dat een gereglementeerde markt zijn operationele veerkracht moet opbouwen in overeenstemming met de vereisten van hoofdstuk II van Verordening (EU) 20xx/xx [DORA] om te waarborgen dat zijn handelssystemen weerbaar zijn, voldoende capaciteit hebben om volumepieken in orders en orderberichten op te vangen, in staat zijn een ordelijke handel onder zeer gespannen marktomstandigheden te waarborgen, volledig zijn getest om te garanderen dat aan deze voorwaarden is voldaan, en onderworpen zijn aan doeltreffende regelingen ter verzekering van de continuïteit van de bedrijfsuitoefening teneinde de continuïteit van de dienstverlening te verzekeren in geval van een storing van zijn handelssystemen.”;
(b)lid 6 wordt vervangen door:
“6. De lidstaten schrijven voor dat een gereglementeerde markt voorziet in doeltreffende systemen, procedures en regelingen, inclusief de verplichting voor leden of deelnemers om algoritmen adequaat te testen en omgevingen te bieden om deze tests te faciliteren overeenkomstig de vereisten van de hoofdstukken II en IV van Verordening (EU) 20xx/xx [DORA], om te voorkomen dat systemen voor algoritmische handel tot het ontstaan van onordelijke handelsomstandigheden op de markt kunnen leiden of bijdragen en alle onordelijke handelsomstandigheden die door deze systemen voor algoritmische handel ontstaan, te beheren, met inbegrip van systemen om de verhouding tussen het aantal niet-uitgevoerde orders en het aantal transacties dat door een lid of deelnemer in het handelssysteem kan worden ingevoerd te beperken, om in staat te zijn de orderstroom af te remmen indien het risico bestaat dat de systeemcapaciteit wordt bereikt, en om de minimale verhandelingseenheid op de markt te beperken en te handhaven.”;
(c)lid 12 wordt als volgt gewijzigd:
i) punt a) wordt vervangen door:
“a) de vereisten om te waarborgen dat de handelssystemen van gereglementeerde markten weerbaar zijn en voldoende capaciteit hebben, met uitzondering van de vereisten in verband met de digitale operationele veerkracht;”;
ii) punt g) wordt vervangen door:
“g) de vereisten om ervoor te zorgen dat algoritmen adequaat worden getest, op een andere manier dan het testen van digitale operationele veerkracht, om te voorkomen dat systemen voor algoritmische handel met inbegrip van hoogfrequentie algoritmische handel kunnen leiden of bijdragen tot het ontstaan van onordelijke handelsomstandigheden op de markt.”.
Artikel 7
Wijzigingen van Richtlijn (EU) 2015/2366
Richtlijn (EU) 2015/2366 wordt als volgt gewijzigd:
(7)in artikel 5, lid 1, derde alinea, wordt de eerste zin vervangen door:
“Bij de onder j) van de eerste alinea bedoelde maatregelen op het gebied van beveiliging en risicobeperking wordt aangegeven op welke wijze een hoog niveau van technische beveiliging en gegevensbescherming wordt gewaarborgd, ook wat betreft de software en IT-systemen die worden gebruikt door de aanvrager of door ondernemingen waaraan de aanvrager zijn activiteiten geheel of gedeeltelijk uitbesteedt, overeenkomstig hoofdstuk II van Verordening (EU) 20xx/xx van het Europees Parlement en de Raad* [DORA].Deze maatregelen omvatten tevens de bij artikel 95, lid 1, vastgestelde beveiligingsmaatregelen. Bij het opstellen van deze maatregelen wordt tevens rekening gehouden met de in artikel 95, lid 3, bedoelde EBA-richtsnoeren inzake beveiligingsmaatregelen, zodra die zijn vastgesteld. ____________________________
* [volledige titel] (PB L […] van […], blz. […]).”;
(8)artikel 95 wordt als volgt gewijzigd:
(a)lid 1 wordt vervangen door:
“1. De lidstaten zorgen ervoor dat betalingsdienstaanbieders een regeling treffen die voorziet in passende risicobeperkende maatregelen en controlemechanismen ter beheersing van de operationele en beveiligingsrisico’s die verbonden zijn aan de door hen aangeboden betalingsdiensten; betalingsdienstaanbieders zorgen in het kader van deze regeling voor de vaststelling en handhaving van doelmatige procedures voor het beheersen van incidenten, waaronder detectie en classificatie van grote operationele incidenten en veiligheidsincidenten, waarbij zij de risico’s voor ICT aanpakken overeenkomstig hoofdstuk II van Verordening (EU) 20xx/xx [DORA].”;
(b)lid 4 wordt geschrapt;
(c)lid 5 wordt vervangen door:
“5. EBA bevordert de samenwerking, met inbegrip van de gegevensuitwisseling, op het gebied van de aan betalingsdiensten verbonden operationele risico’s en beveiligingsrisico’s tussen de bevoegde autoriteiten onderling, en tussen de bevoegde autoriteiten en de ECB.”;
(9)artikel 96 wordt als volgt gewijzigd:
(a)lid 1 wordt vervangen door:
“1. Betalingsdienstaanbieders stellen in geval van een groot operationeel of beveiligingsincident dat geen ICT-gerelateerd incident is in de zin van artikel 3, punt 6, van Verordening (EU) 20xx/xx [DORA], de bevoegde autoriteit van de lidstaat van herkomst onverwijld van dat incident in kennis.”;
(b)lid 5 wordt geschrapt;
(10)in artikel 98 wordt lid 5 vervangen door:
“5. In overeenstemming met artikel 10 van Verordening (EU) nr. 1093/2010 evalueert en, in voorkomend geval, actualiseert EBA de technische reguleringsnormen regelmatig om onder meer rekening te houden met innovatie en technologische ontwikkelingen en met de bepalingen van hoofdstuk II van Verordening (EU) 20xx/xx [DORA].”.
Artikel 8
Wijziging van Richtlijn (EU) 2016/2341
In artikel 21, lid 5, van Richtlijn (EU) 2016/2341 wordt de tweede zin vervangen door:
“Daartoe maken de IBPV’s gebruik van passende en proportionele systemen, middelen en procedures en zetten zij ICT-systemen en -instrumenten op en beheren zij deze overeenkomstig artikel 6 van Verordening (EU) 20xx/xx van het Europees Parlement en de Raad* [DORA].
_________________________________
* [volledige titel] (PB L […] van […], blz. […]).”.
Artikel 9
Omzetting
1.De lidstaten dienen uiterlijk [één jaar na goedkeuring] de nodige wettelijke en bestuursrechtelijke bepalingen vast te stellen en bekend te maken om aan deze richtlijn te voldoen. Zij delen de Commissie de tekst van die bepalingen onverwijld mede.
Zij passen die bepalingen toe vanaf [datum van inwerkingtreding van DORA/de datum van toepassing ervan, indien verschillend].
Wanneer de lidstaten die bepalingen aannemen, wordt in die bepalingen zelf of bij de officiële bekendmaking ervan naar deze richtlijn verwezen. De regels voor deze verwijzing worden vastgesteld door de lidstaten.
2.De lidstaten delen de Commissie de tekst van de belangrijkste bepalingen van intern recht mede die zij op het onder deze richtlijn vallende gebied vaststellen.
Artikel 10
Inwerkingtreding
Deze richtlijn treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
Artikel 11
Adressaten
Deze richtlijn is gericht tot de lidstaten.
Gedaan te Brussel,
Voor het Europees Parlement Voor de Raad
De voorzitter De voorzitter
