BETÆNKNING om forslag til Europa-Parlamentets og Rådets direktiv om ændring af direktiv 2006/43/EF, 2009/65/EF, 2009/138/EU, 2011/61/EU, 2013/36/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341

7.12.2021 - (COM(2020)0596 – C9-0303/2020 – 2020/0268(COD)) - ***I

Økonomi- og Valutaudvalget
Ordfører: Mikuláš Peksa


Procedure : 2020/0268(COD)
Forløb i plenarforsamlingen
Dokumentforløb :  
A9-0340/2021
Indgivne tekster :
A9-0340/2021
Afstemninger :
Vedtagne tekster :

FORSLAG TIL EUROPA-PARLAMENTETS LOVGIVNINGSMÆSSIGE BESLUTNING

om forslag til Europa-Parlamentets og Rådets direktiv om ændring af direktiv 2006/43/EF, 2009/65/EF, 2009/138/EU, 2011/61/EU, 2013/36/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341

(COM(2020)0596 – C9-0303/2020 – 2020/0268(COD))

(Almindelig lovgivningsprocedure: førstebehandling)

Europa-Parlamentet,

 der henviser til Kommissionens forslag til Europa-Parlamentet og Rådet (COM(2020)0596),

 der henviser til artikel 294, stk. 2, artikel 53, stk. 1, og artikel 114 i traktaten om Den Europæiske Unions funktionsmåde, på grundlag af hvilke Kommissionen har forelagt forslaget for Parlamentet (C9-0303/2020),

 der henviser til artikel 294, stk. 3, i traktaten om Den Europæiske Unions funktionsmåde,

 der henviser til udtalelse fra Den Europæiske Centralbank af 4. juni 2021[1],

 der henviser til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg af 24. februar 2021[2],

 der henviser til forretningsordenens artikel 59,

 der henviser til udtalelse fra Retsudvalget,

 der henviser til betænkning fra Økonomi- og Valutaudvalget (A9-0340/2021),

1. vedtager nedenstående holdning ved førstebehandling;

2. foreslår, at retsakten betegnes "DORA-direktivet";

3. anmoder om fornyet forelæggelse, hvis Kommissionen erstatter, i væsentlig grad ændrer eller agter i væsentlig grad at ændre sit forslag;

4. pålægger sin formand at sende Parlamentets holdning til Rådet og Kommissionen samt til de nationale parlamenter.

Ændringsforslag  1

EUROPA-PARLAMENTETS ÆNDRINGSFORSLAG[*]

til Kommissionens forslag

---------------------------------------------------------

2020/0268(COD)

EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV

om ændring af direktiv 2006/43/EF, 2009/65/EF, 2009/138/EF, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/849, (EU) 2015/2366 og (EU) 2016/2341

(EØS-relevant tekst)

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR –

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 53, stk. 1, og artikel 114,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Den Europæiske Centralbank[1],

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg[2],

efter den almindelige lovgivningsprocedure, og

ud fra følgende betragtninger:

(1) Unionen skal på fyldestgørende og fuldstændig vis imødegå digitale risici for alle finansielle enheder som følge af en øget anvendelse af informations- og kommunikationsteknologi (IKT) i forbindelse med levering og forbrug af finansielle tjenesteydelser og derved sikre, at der ydes yderligere støtte til potentialet i digital finansiering med hensyn til innovation og konkurrence.

(2) Operatører i den finansielle sektor afhænger i høj grad af brugen af digitale teknologier i deres daglige aktiviteter, og det er derfor yderst vigtigt at sikre deres digitale aktiviteters operationelle modstandsdygtighed over for IKT-risici. Dette behov er blevet endnu mere presserende på grund af væksten på markedet for banebrydende teknologier, og navnlig de teknologier, der skaber mulighed for, at digitale repræsentationer af værdier eller rettigheder kan overføres og lagres elektronisk ved hjælp af distributed ledger-teknologi eller lignende teknologi ("kryptoaktiver"), og teknologier for tjenesteydelser forbundet med disse aktiver.

(3) På EU-plan er kravene vedrørende IKT-risici for den finansielle sektor fordelt på Europa-Parlamentets og Rådets direktiv 2006/43/EF,[3] 2009/66/EF,[4] 2009/138/EF,[5] 2011/61/EU,[6] 2013/36/EU,[7] 2014/65/EU,[8] (EU) 2015/2366,[9] og (EU) 2016/2341[10]; de er forskellige og i nogle tilfælde ufuldstændige. De eksisterende bestemmelser i EU-retten er ikke fuldt harmoniserede, og det er nødvendigt at undgå overregulering og sikre, at bestemmelserne er tilstrækkelige i forhold til den virkelighed, der hersker på området, som er i konstant udvikling. I visse tilfælde er IKT-risikoen kun implicit omhandlet som en del af den operationelle risiko, mens den i andre overhovedet ikke er omhandlet. Dette bør udbedres ved at skabe overensstemmelse mellem Europa-Parlamentets og Rådets forordning (EU) 20xx/xx [DORA][11] og disse retsakter. Dette direktiv indeholder en række ændringer, der forekommer nødvendige for at skabe juridisk klarhed og sammenhæng i forbindelse med anvendelsen af finansielle enheder, der er meddelt tilladelse og underlagt tilsyn i henhold til disse direktiver, af forskellige krav til digital operationel modstandsdygtighed, som er nødvendige for udøvelsen af deres aktiviteter, og dermed sikre et velfungerende indre marked, samtidig med at proportionaliteten styrkes, navnlig med hensyn til SMV'er, andre små finansielle enheder og andre mikrovirksomheder, med det formål at reducere overholdelsesomkostningerne.

(4) På området for bankydelser fastsætter direktiv 2013/36/EU om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber kun generelle regler vedrørende intern ledelse og bestemmelser om operationel risiko, der omfatter krav vedrørende beredskabs- og kontinuitetsplaner, som implicit udgør grundlaget for håndtering af IKT-risikostyring. For at sikre, at IKT-risici er eksplicit omhandlet og for at skabe juridisk klarhed bør kravene vedrørende beredskabs- og kontinuitetsplaner imidlertid ændres på en forholdsmæssig måde, således at de ligeledes omfatter driftskontinuitetsplaner og katastrofeberedskabsplaner i forbindelse med IKT-risici i overensstemmelse med kravene i forordning (EU) 2021/xx [DORA]. Desuden er IKT-risici kun implicit medtaget i den tilsynskontrol- og vurderingsproces (SREP), som de kompetente myndigheder udfører i forbindelse med styring af operationelle risici, og kriterierne for vurderingen heraf er i øjeblikket fastlagt i retningslinjerne fra Den Europæiske Tilsynsmyndighed (Den Europæiske Banktilsynsmyndighed) (EBA), som blev oprettet ved Europa-Parlamentets og Rådets forordning (EU) nr. 1093/2010[12]. Med henblik på at skabe juridisk klarhed og sikre, at banktilsynsmyndigheder rent faktisk afdækker og overvåger IKT-risici i overensstemmelse med den nye ramme for digital operationel modstandsdygtighed, bør anvendelsesområdet for SREP ændres, så det udtrykkeligt omfatter kravene i forordning (EU) 2021/xx [DORA] og navnlig dækker de risici, der afsløres i indberetninger om større IKT-relaterede hændelser og af resultaterne af afprøvninger af digital operationel modstandsdygtighed, som institutterne udfører i overensstemmelse med denne forordning.

(4a) Digital operationel modstandsdygtighed er en væsentlig forudsætning for at bevare et instituts kritiske funktioner og centrale forretningsfunktioner i tilfælde af dets afvikling og derved undgå forstyrrelser af realøkonomien og det finansielle system. Større operationelle hændelser kan hæmme et instituts evne til at fortsætte driften og kan true afviklingsmålene. Relevante IKT-tjenesteydelseskontrakter er også vigtige for at sikre operationel kontinuitet og levere de nødvendige data i tilfælde af afvikling. Med henblik på tilpasning til målene i EU's ramme for operationel modstandsdygtighed bør direktiv 2014/59/EU ændres i overensstemmelse hermed for at sikre, at informationer vedrørende operationel modstandsdygtighed tages med i betragtning i forbindelse med afviklingsplanlægning og vurderingen af institutters afviklingsmuligheder.

(4b) Etablering og opretholdelse af tilstrækkelige netværks- og informationsinfrastruktursystemer er også en væsentlig forudsætning for effektiv indsamling af risikodata og for effektive risikoindberetningspraksisser, hvilket igen er en væsentlig forudsætning for kreditinstitutternes solide og bæredygtige risikoforvaltnings- og beslutningsprocesser. På internationalt plan offentliggjorde Baselkomitéen for Banktilsyn (BCBS) i 2013 et sæt principper for effektiv indsamling af risikodata og risikorapportering (BCBS 239) baseret på to overordnede principper for styring og IT-infrastruktur. Banker af systemisk betydning på globalt plan var forpligtet til at indføre disse principper i begyndelsen af 2016. Men i rapporten fra Den Europæiske Centralbank (ECB) fra maj 2018 om den tematiske gennemgang om effektiv indsamling af risikodata og risikorapportering og i BCBS’s statusrapport fra april 2020 konstateredes det imidlertid, at fremskridtene med gennemførelsen i banker af systemisk betydning på globalt plan var utilfredsstillende og en kilde til bekymring. Med henblik på at lette overholdelsen af og tilpasningen til internationale standarder bør Kommissionen i tæt samarbejde med ECB og efter høring af EBA og Det Europæiske Udvalg for Systemiske Risici (ESRB) udarbejde en rapport for at vurdere samspillet mellem BCBS 239-principperne og bestemmelserne i forordning (EU) 2021/xx [DORA] og om nødvendigt, hvordan disse principper kan indarbejdes i EU-lovgivningen.

(5) Direktiv 2014/65/EU om markeder for finansielle instrumenter fastsætter kun strengere IKT-regler for investeringsselskaber og markedspladser, når disse benytter sig af algoritmisk handel. Mindre detaljerede krav finder anvendelse på dataindberetningstjenester og transaktionsregistre. Det indeholder også begrænsede henvisninger til kontrol- og sikkerhedsforanstaltninger for informationsbehandlingssystemer og om anvendelsen af passende systemer, ressourcer og procedurer for at sikre kontinuiteten og regelmæssigheden i forbindelse med erhvervstjenester. Nævnte direktiv bør bringes i overensstemmelse med forordning (EU) 2021/xx [DORA] for så vidt angår kontinuitet og regelmæssighed i ydelsen af investeringsservice og udførelsen af investeringsaktiviteter, operationel modstandsdygtighed, handelssystemers kapacitet, effektivitet i forbindelse med ordninger til sikring af driftsstabilitet og risikostyring.

(6) For indeværende omfatter definitionen af "finansielle instrumenter" i direktiv 2014/65/EU ikke eksplicit finansielle instrumenter, som udstedes ved anvendelse af en teknologitype, der understøtter den distribuerede registrering af krypterede data (distributed ledger-teknologi, "DLT"). Med henblik på at sikre, at de kryptoaktiver, der opfylder kravene som finansielle instrumenter, er omfattet af den gældende EU-lovgivning om finansielle tjenesteydelser, og at de er omfattet af de samme krav, som gælder for traditionelle finansielle instrumenter, uanset hvilken teknologi, der anvendes til at udstede eller overdrage dem, bør definitionen i direktiv 2014/65/EU ændres for at omfatte disse.

(7) 

(8) 

(9) Direktiv (EU) 2015/2366 om betalingstjenester fastsætter særlige regler for IKT-sikkerhedskontroller og begrænsende elementer med henblik på tilladelse til at udføre betalingstjenester. Disse regler om tilladelse bør ændres for at bringe dem i overensstemmelse med forordning (EU) 2021/xx [DORA]. For at mindske den administrative byrde og undgå kompleksitet og overlappende indberetningskrav bør reglerne om indberetning af hændelser i nævnte direktiv desuden ophøre med at finde anvendelse på betalingstjenesteudbydere, der er omfattet af kapitel III i forordning (EU) 2021/xx [DORA], hvorved der skabes en fælles og fuldt ud harmoniseret hændelsesindberetningsmekanisme for betalingstjenesteudbydere for så vidt angår alle operationelle og sikkerhedsrelaterede hændelser, både betalingsrelaterede og ikke-betalingsrelaterede.

(10) Direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed og direktiv (EU) 2016/2341 om arbejdsmarkedsrelaterede pensionskassers aktiviteter og tilsynet hermed omhandler delvist IKT-risici i deres almindelige bestemmelser om ledelse og risikostyring, idet de overlader det til delegerede forordninger at præcisere visse krav med eller uden specifikke henvisninger til IKT-risici. Da Europa-Parlamentets og Rådets direktiv 2014/56/EU[13] kun indeholder almindelige bestemmelser om intern organisation, er de bestemmelser, der finder anvendelse på revisorer og revisionsfirmaer, endnu mindre specifikke. På tilsvarende vis er de regler, der finder anvendelse på forvaltere af alternative investeringsfonde administrationsselskaber som omhandlet i direktiv 2011/61/EU og direktiv 2009/65/EF, meget generelle. Nævnte direktiver bør derfor bringes i overensstemmelse med de krav, der er fastsat i forordning (EU) 2021/xx [DORA] for så vidt angår styringen af IKT-systemer og -værktøjer.

(10a) Det er af afgørende betydning at sikre operationel modstandsdygtighed for at styrke finansieringsinstitutternes evne til at bekæmpe hvidvaskning af penge og finansiering af terrorisme, navnlig i lyset af de stigende og nye risici, der er opstået i kølvandet på covid, hvor det er lettere for kriminelle at udnytte svagheder og huller i institutternes systemer og kontroller. Med henblik på at sikre, at dimensionen med digital operationel modstandsdygtighed behørigt adresseres i forbindelse med bekæmpelse af hvidvaskning af penge og finansiering af terrorisme, bør direktiv (EU) 2015/849 ændres, så det udtrykkeligt, for så vidt angår forpligtede enheder, der hører under forordning (EU) 2021/xx’s  [DORA] anvendelsesområde, omfatter kravene til digital operationel modstandsdygtighed som en del af de politikker, kontroller og procedurer, som disse forpligtede enheder har indført med henblik på at afbøde og sikre en effektiv håndtering af risici i forbindelse med hvidvaskning af penge og finansiering af terrorisme.

(11) I mange tilfælde er der allerede fastlagt IKT-krav i delegerede retsakter og gennemførelsesretsakter, som er vedtaget på grundlag af udkast til reguleringsmæssige tekniske standarder og gennemførelsesmæssige tekniske standarder, som er udviklet af den kompetente ESA. For at skabe juridisk klarhed om det faktum, at retsgrundlaget for bestemmelser om IKT-risici fremover udelukkende findes i forordning (EU) 2021/xx [DORA] bør beføjelserne i nævnte direktiver ændres, idet det præciseres, at bestemmelser om IKT-risici falder uden for anvendelsesområdet for de pågældende beføjelser.

(12) For at sikre en sammenhængende og samtidig anvendelse af forordning (EU) 20xx/xx [DORA] og af nærværende direktiv, som tilsammen udgør den nye ramme for digital operationel modstandsdygtighed i den finansielle sektor, bør medlemsstaterne anvende bestemmelserne i national ret om gennemførelse af nærværende direktiv fra datoen for anvendelse af nævnte forordning.

(13) Direktiv 2006/43/EF, 2009/66/EF, 2009/138/EF, 2011/61/EF, 2013/36/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341 er vedtaget på grundlag af artikel 53, stk. 1, og artikel 114 i traktaten om Den Europæiske Unions funktionsmåde. Ændringerne i nærværende direktiv bør indarbejdes i én enkelt retsakt, da genstanden for og målene med ændringerne er indbyrdes forbundet, og denne samlede retsakt bør vedtages på grundlag af både artikel 53, stk. 1, og artikel 114 i traktaten om Den Europæiske Unions funktionsmåde.

(14) Målene for dette direktiv kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, da de indebærer harmonisering gennem ajourføringer og ændringer af krav, der allerede er indeholdt i direktiver, men kan på grund af foranstaltningens omfang og virkninger bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke videre, end hvad der er nødvendigt for at nå disse mål.

(15) I henhold til den fælles politiske erklæring af 28. september 2011 fra medlemsstaterne og Kommissionen om forklarende dokumenter[14] har medlemsstaterne forpligtet sig til i tilfælde, hvor det er berettiget, at lade meddelelsen af gennemførelsesforanstaltninger ledsage af et eller flere dokumenter, der forklarer forholdet mellem et direktivs bestanddele og de tilsvarende dele i de nationale gennemførelsesinstrumenter. I forbindelse med dette direktiv finder lovgiver, at fremsendelse af sådanne dokumenter er berettiget —

VEDTAGET DETTE DIREKTIV:

 

Artikel 1

Ændringer af direktiv 2006/43/EF

I artikel 24a, stk. 1, i direktiv 2006/43/EF indsættes følgende litra:

”ba) en revisor eller et revisionsfirma, som ikke er en mikrovirksomhed, en lille eller en mellemstor virksomhed, bortset fra, hvis den reviderer enheder anført i artikel 2 i forordning (EU) 2021/xx [DORA], skal have en sund administrativ og regnskabsmæssig praksis, interne kvalitetskontrolmekanismer, effektive procedurer til risikovurdering og effektive kontrol- og sikkerhedsforanstaltninger med henblik på styring af sine IKT-systemer og -værktøjer i overensstemmelse med artikel 6 i Europa-Parlamentets og Rådets forordning (EU) 2021/xx [DORA]*.

______________

* [fuld titel] (EUT L […] af […], s. […]).".

 

Artikel 2

Ændringer af direktiv 2009/65/EC

I artikel 12 i direktiv 2009/65/EF foretages følgende ændringer:

(1) Stk. 1, andet afsnit, litra a), affattes således:

"a) har en sund administrativ og regnskabsmæssig praksis samt kontrol- og sikringsforanstaltninger på edb-området samt fyldestgørende interne kontrolprocedurer, herunder netværk og informations- og kommunikationsteknologisystemer, som oprettes og styres i overensstemmelse med ▌Europa-Parlamentets og Rådets forordning (EU) 2021/xx [DORA]*, samt fyldestgørende interne kontrolprocedurer, herunder regler for de ansattes personlige transaktioner eller for besiddelse og administration af investeringer i finansielle instrumenter med henblik på investering for egen regning, som mindst sikrer, at enhver transaktion, der implicerer investeringsinstituttet, kan rekonstrueres med hensyn til oprindelse, implicerede parter, art samt tid og sted for gennemførelsen, og at aktiver i investeringsinstitutter, der administreres af administrationsselskaber, investeres i overensstemmelse med fondsbestemmelserne eller vedtægterne og gældende ret

________________________________

* [fuld titel] (EUT L […] af […], s. […]).".

(2) Stk. 3 affattes således:

”3. Uden at det berører artikel 116, vedtager Kommissionen ved hjælp af delegerede retsakter i overensstemmelse med artikel 112a, foranstaltninger, der fastsætter

a) den praksis og de foranstaltninger, der er omhandlet i stk. 1, andet afsnit, litra a), bortset fra den praksis og de foranstaltninger, der vedrører risikostyring af informations- og kommunikationsteknologi

b)  de strukturer og organisatoriske krav med henblik på minimering af interessekonflikter, som er omhandlet i stk. 1, andet afsnit, litra b)."

 

Artikel 3

Ændringer af direktiv 2009/138/EF

I direktiv 2009/138/EF foretages følgende ændringer:

1) Artikel 41, stk. 4, affattes således: 

”4. Forsikrings- og genforsikringsselskaber træffer passende foranstaltninger til at sikre kontinuitet og regelmæssighed i udøvelsen af deres virksomhed, inklusive udarbejdelse af beredskabsplaner. Selskabet anvender med henblik herpå hensigtsmæssige og rimeligt afpassede systemer, ressourcer og procedurer, navnlig netværk og informationssystemer og styrer disse i overensstemmelse med kapitel II 6 i Europa-Parlamentets og Rådets forordning (EU) 2021/xx [DORA]*.”.

____________________________

* [fuld titel] (EUT L […] af […], s. […]).

 

2) Artikel 50, stk. 1, litra a) og b), affattes således:

"a) elementerne i de systemer, der er omhandlet i artikel 41, 44, 46 og 47, bortset fra de elementer, der vedrører risikostyring af informations- og kommunikationsteknologi, og de områder, der er omhandlet i artikel 44, stk. 2

b) de funktioner, der er omhandlet i artikel 44, 46, 47 og 48, bortset fra de funktioner, der er forbundet med risikostyring af informations- og kommunikationsteknologi.".

 

Artikel 4

Ændring af direktiv 2011/61/EU

Direktiv 2011/61/EU ændres således:

(-1) I artikel 6, stk. 4, tilføjes følgende nr. til litra b):

”iv) enhver anden accessorisk tjenesteydelse, hvor den accessoriske tjenesteydelse er en fortsættelse af de tjenesteydelser, som FAIF'en allerede har udført, eller en anvendelse af interne kompetencer og ikke skaber interessekonflikter, som ikke kan håndteres ved hjælp af yderligere regler."

(1) Artikel 18 i direktiv 2011/61/EU affattes således: 

”Artikel 18

Generelle principper

1. Medlemsstaterne kræver, at FAIF'er til enhver tid anvender tilstrækkelige og egnede menneskelige og tekniske ressourcer for at sikre korrekt forvaltning af AIF'er.

Især skal de kompetente myndigheder i FAIF'ens hjemland under hensyntagen til karakteren af de AIF'er, der forvaltes af FAIF'en, kræve, at FAIF'en har sunde administrative og regnskabsmæssige procedurer, kontrol- og beskyttelsesforanstaltninger med henblik på styring af netværk og informationssystemer i overensstemmelse med [Europa-Parlamentets og Rådets forordning (EU) 2021/xx [DORA]*], samt fyldestgørende interne kontrolmekanismer, herunder navnlig regler for sine arbejdstageres personlige transaktioner eller for besiddelse eller forvaltning af investeringer med henblik på investering for egen regning, som mindst sikrer, at enhver transaktion, der implicerer AIF'er, kan rekonstrueres med hensyn til oprindelse, involverede parter, art samt tid og sted for gennemførelsen, og at aktiver i de AIF'er, som forvaltes af FAIF'en, investeres i overensstemmelse med AIF'ens regler eller vedtægter og gældende ret.

2. Kommissionen vedtager ved hjælp af delegerede retsakter i overensstemmelse med artikel 56 og på de i artikel 57 og 58 anførte betingelser foranstaltninger til præcisering af de procedurer og foranstaltninger, der er omhandlet i stk. 1, bortset fra dem, der vedrører informations- og kommunikationsteknologisystemer.

_________________________________

* [fuld titel] (EUT L […] af […], s. […]).".

 

Artikel 5

Ændring af direktiv 2013/36/EU

I direktiv 2013/36/EU foretages følgende ændringer:

-1) Artikel 65, stk. 3, litra a), nr. vi), affattes således:

"vi) tredjeparter, som de enheder, der er omhandlet i nr. i)-iv), har outsourcet funktioner eller aktiviteter til, herunder tredjepartsudbydere af IKT-tjenester som omhandlet i kapitel V i Europa-Parlamentets og Rådets forordning (EU) 2021/xx [DORA]*"

-1a) Artikel 74, stk. 1, første afsnit, affattes således:

"Institutter skal have robuste ledelsesordninger, hvilket omfatter en klar organisatorisk struktur med en veldefineret, gennemsigtig og konsekvent ansvarsfordeling og effektive procedurer til at identificere, styre, overvåge og indberette de risici, som institutterne er eller kan blive eksponeret for, fyldestgørende interne kontrolmekanismer, herunder en sund administrativ og regnskabsmæssig praksis samt netværks- og informationssystemer i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2021/xx [DORA], og en aflønningspolitik og ‑praksis, som er i overensstemmelse med og fremmer en forsvarlig og effektiv risikostyring."

-1b) Artikel 85, stk. 1, afsnit 1, affattes således:

"1. De kompetente myndigheder sikrer, at institutter gennemfører politikker og processer til identifikation, overvågning og håndtering af eksponeringerne for operationel risiko, herunder risici som følge af outsourcing og videreoutsourcing af funktioner samt IKT-tredjepartsrisici som defineret i Europa-Parlamentets og Rådets forordning (EU) 2021/xx [DORA], samt modelrisici, som dækker sjældne og meget alvorlige hændelser. Institutterne identificerer de vigtigste kilder til operationel risiko med henblik på disse politikker og procedurer."

1) Artikel 85, stk. 2, i direktiv 2013/36/EU affattes således:

"2. De kompetente myndigheder sikrer, at institutter råder over fyldestgørende beredskabs- og driftskontinuitetsplaner, herunder en IKT-driftskontinuitetspolitik og katastrofeberedskabsplaner,▌ som er udarbejdet, forvaltet og testet i overensstemmelse med ▌Europa-Parlamentets og Rådets forordning (EU) 2021/xx [DORA]*, således at de kan videreføre driften i tilfælde af alvorlige driftsforstyrrelser og begrænse tab som følge af sådanne forstyrrelser.

 

* [fuld titel] (EUT L […] af […], s. […])."

1a) I artikel 97 foretages følgende ændringer:

1) I stk. 1 indsættes følgende litra:

"b) de risici, der afsløres ved afprøvning af digital operationel modstandsdygtighed i overensstemmelse med kapitel IV i Europa-Parlamentets og Rådets forordning (EU) 2021/xx [DORA]"

2) Stk. 2 affattes således:

"2. Omfanget af den kontrol og vurdering, der er omhandlet i stk. 1, dækker alle kravene i dette direktiv og forordning (EU) nr. 575/2013 samt kravene i Europa-Parlamentets og Rådets forordning (EU) 2021/xx [DORA]*."

 

Artikel 5a

Ændringer af direktiv 2014/59/EU

 

I direktiv 2014/59/EU foretages følgende ændringer:

1) I artikel 10 foretages følgende ændringer:

a) Stk. 7, litra c), affattes således:

"c) en beskrivelse af, hvordan kritiske funktioner og centrale forretningsområder i nødvendigt omfang vil kunne adskilles juridisk og økonomisk fra andre funktioner for at sikre deres videreførelse og digitale operationelle modstandsdygtighed i tilfælde af, at instituttet bliver nødlidende"

b) Stk. 7, litra q), affattes således:

"q) en beskrivelse af de aktiviteter og systemer, der har afgørende betydning for opretholdelsen af den fortsatte gennemførelse af instituttets operationelle procedurer, herunder netværks- og informationssystemer, der er indført i overensstemmelse med forordning (EU) 2021/xx [DORA]"

c) I stk. 9 tilføjes følgende afsnit:

"EBA gennemgår og ajourfører om nødvendigt de reguleringsmæssige tekniske standarder i overensstemmelse med artikel 10 i forordning (EU) nr. 1093/2010 for bl.a. at tage højde for bestemmelserne i kapitel II i forordning (EU) 2021/xx [DORA]."

2) I bilaget foretages følgende ændringer:

a) Afsnit A, punkt 16, affattes således:

"16) ordninger og foranstaltninger, som er nødvendige for at bevare den fortsatte drift af instituttets operationelle procedurer, herunder netværks- og informationssystemer, som oprettes og styres i overensstemmelse med forordning (EU) 2021/xx [DORA]"

b) Afsnit B, punkt 14, affattes således:

"14) identifikation af ejerne af de i punkt 13 anførte systemer, tilknyttede serviceleveranceaftaler og software og systemer eller licenser, herunder en oversigt pr. dets juridiske enheder, kritisk funktion og centralt forretningsområde samt identifikation af kritiske tredjepartsudbydere af IKT-tjenester"

c) I afsnit B indsættes følgende punkt:

"14a) indberetninger af større IKT-relaterede hændelser i institutterne og resultaterne af afprøvningen af digital operationel modstandsdygtighed i henhold til forordning XX [DORA]"

d) Afsnit C, punkt 4, affattes således:

"4) hvorvidt de serviceaftaler, som instituttet har indgået, herunder IKT-tjenesteydelseskontrakter, er robuste og kan håndhæves fuldt ud i tilfælde af afvikling af instituttet"

e) I afsnit C indsættes følgende punkt:

"4a) hvorvidt instituttet er i stand til at genoprette og opretholde de netværks- og informationssystemer, der understøtter instituttets kritiske funktioner og centrale forretningsområder, under hensyntagen til indberetninger om større IKT-relaterede hændelser og resultaterne af afprøvninger af digital operationel modstandsdygtighed i henhold til forordning XX [DORA]"

Artikel 6

Ændringer af direktiv 2014/65/EU

I direktiv 2014/65/EU foretages følgende ændringer: 

1) Artikel 4, stk. 1, nr. 15), affattes således:

"finansielle instrumenter": de i bilag I, afsnit C, anførte instrumenter, herunder sådanne instrumenter, som er udstedt ved anvendelse af distributed ledger-teknologi"

 

2) I artikel 16 foretages følgende ændringer:

a) Stk. 4 affattes således:

"4. Et investeringsselskab skal, inden for rimelighedens grænser, træffe sådanne foranstaltninger, som måtte være nødvendige for at sikre kontinuitet og regelmæssighed i ydelsen af investeringsservice og udførelsen af investeringsaktiviteter. Investeringsselskabet anvender med henblik herpå hensigtsmæssige og forholdsmæssigt afpassede systemer, herunder informations- og kommunikationsteknologisystemer ("IKT-systemer"), som oprettes og styres i overensstemmelse med artikel 6 i Europa-Parlamentets og Rådets forordning (EU) 2021/xx [DORA]*, samt hensigtsmæssige og forholdsmæssigt afpassede ressourcer og procedurer."

b) Stk. 5, andet og tredje afsnit, affattes således:

"Et investeringsselskab skal have en sund administrativ og regnskabsmæssig praksis, interne kontrolmekanismer og effektive procedurer til risikovurdering.

Uden at det berører kompetente myndigheders mulighed for at kræve adgang til kommunikation i overensstemmelse med dette direktiv og forordning (EU) nr. 600/2014, skal et investeringsselskab have etableret forsvarlige sikkerhedsmekanismer med henblik på i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2021/xx [DORA]* at garantere sikring og autentificering af midlerne til overførsel af information, minimere risikoen for dataforvanskning og uautoriseret adgang og forhindre lækage af oplysninger, så datasikkerheden garanteres til enhver tid."

3) I artikel 17 foretages følgende ændringer:

a) Stk. 1 affattes således:

"1. Et investeringsselskab, der benytter sig af algoritmisk handel, skal have effektive systemer og risikokontrolforanstaltninger, som svarer til den virksomhed, som selskabet driver, med henblik på at sikre, at dets handelssystemer er modstandsdygtige og har tilstrækkelig kapacitet i overensstemmelse med kravene i kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2021/xx [DORA], er underlagt passende handelstærskler og -begrænsninger og forhindrer, at der afgives fejlagtige ordrer, eller at systemerne på anden måde fungerer dårligt, så det skaber eller bidrager til forstyrrelser på markedet.

Et sådant selskab skal også have effektive systemer og risikokontrolforanstaltninger med henblik på at sikre, at handelssystemerne ikke kan anvendes til formål, som strider mod forordning (EU) nr. 596/2014 eller mod de regler, der gælder for en markedsplads, som det er knyttet til.

Investeringsselskabet skal have effektive ordninger for forretningskontinuitet med henblik på at kunne håndtere en brist i dets handelssystemer, herunder planer for driftsstabilitet og katastrofeberedskabsplaner i forbindelse med informations- og kommunikationsteknologi, som er udarbejdet i overensstemmelse med artikel 6 i forordning (EU) 2021/xx [DORA], og skal desuden sørge for, at dets systemer er grundigt afprøvet og underlagt behørig overvågning med henblik på at sikre, at de opfylder kravene fastsat i dette stykke og eventuelle specifikke krav fastsat i kapitel II og IV i forordning (EU) 2021/xx [DORA]."

b)  Stk. 7, litra a), affattes således:

"a) enkelthederne i de i stk. 1-6 fastsatte organisatoriske krav, bortset fra de organisatoriske krav vedrørende IKT-risikostyring, der skal opfyldes af investeringsselskaber, som udfører forskellige former for investeringsservice, investeringsaktiviteter, accessoriske tjenesteydelser eller kombinationer heraf, hvorved præciseringerne vedrørende de organisatoriske krav i stk. 5 skal fastlægge de specifikke krav for direkte markedsadgang og sponsoreret adgang, således at det sikres, at kontrolforanstaltningerne i forbindelse med sponsoreret adgang mindst svarer til dem, der anvendes i forbindelse med direkte markedsadgang"

4) 

5) I artikel 47, stk. 1, foretages følgende ændringer:

a)  Litra b) affattes således:

"b) er tilstrækkeligt rustet til at styre de risici, markedet udsættes for, herunder til at styre IKT-risici ▌i overensstemmelse med kapitel II i forordning (EU) 2021/xx [DORA]*, anvender fyldestgørende ordninger og systemer med henblik på at påvise alle væsentlige risici for markedets drift og har indført effektive foranstaltninger til at mindske disse risici"

b)  Litra c) udgår.

6) I artikel 48 foretages følgende ændringer:

a) Stk. 1 affattes således:

"1. Medlemsstaterne stiller krav om, at et reguleret marked skal opbygge sin operationelle modstandsdygtighed i overensstemmelse med kravene i forordning (EU) 2021/xx [DORA] for at sikre, at dets handelssystemer er fleksible, har tilstrækkelig kapacitet til at klare spidsbelastninger med hensyn til ordrer og meddelelser, kan sikre korrekt handel i tilfælde af alvorlig markedsstress, er fuldt gennemprøvede for at sikre, at sådanne betingelser er opfyldt, og er omfattet af effektive ordninger til sikring af driftskontinuitet, som skal omfatte en IKT-driftskontinuitetspolitik og katastrofeberedskabsplaner i overensstemmelse med forordning (EU) 2021/xx [DORA], til at sikre opretholdelsen af markedets tjenester i tilfælde af et svigt af dets handelssystemer.

b) Stk. 6 affattes således:

"6. Medlemsstaterne stiller krav om, at et reguleret marked skal have etableret effektive systemer, procedurer og ordninger, som bl.a. kræver, at medlemmer eller deltagere gennemfører passende afprøvning af algoritmer, og skaber rammer, der letter en sådan afprøvning i overensstemmelse med kravene i kapitel II og IV i forordning (EU) 2021/xx [DORA], til at sikre, at algoritmiske handelssystemer ikke kan skabe eller bidrage til ureglementerede handelsvilkår på markedet og til at håndtere eventuelle ureglementerede handelsvilkår, der opstår på grund af sådanne algoritmiske handelssystemer, herunder systemer, der begrænser forholdet mellem ikke-udførte ordrer og transaktioner, der kan indføres i systemet af et medlem eller en deltager, således at det bliver muligt at bremse ordrestrømmen, hvis der er risiko for, at man når op på systemets maksimale kapacitet, og at den minimumskursændring (tick size), der kan anvendes på markedet, begrænses og håndhæves."

c) I stk. 12 foretages følgende ændringer:

i) Litra a) affattes således:

"a) forpligtelsen til at sikre, at regulerede markeders handelssystemer er fleksible og har en tilstrækkelig kapacitet, med undtagelse af de krav, som vedrører digital operationel modstandsdygtighed"

ii) Litra g) affattes således:

"g) forpligtelserne til at sikre tilstrækkelig afprøvning af algoritmer, bortset fra afprøvning af digital operationel modstandsdygtighed, med henblik på at sikre, at algoritmiske handelssystemer, herunder algoritmiske højfrekvenshandelssystemer, ikke kan skabe eller bidrage til ureglementerede handelsvilkår på markedet."

 

Artikel 6a (ny)

Ændringer af direktiv (EU) 2015/849

I direktiv (EU) 2015/849 foretages følgende ændringer:

1) I artikel 7, stk. 4, indsættes følgende litra:

"h) træffe passende foranstaltninger til at støtte procedurer i overensstemmelse med kapitel II i forordning (EU) 2021/xx [DORA] i forbindelse med afbødning af IKT-relaterede risici, hvor det er relevant."

2) I artikel 8, stk. 4, indsættes følgende litra:

c) i givet fald kravene vedrørende sikkerheden i net- og informationssystemer, der understøtter de i dette stykkes litra a) omhandlede politikker, kontroller og procedurer, som indføres og forvaltes i overensstemmelse med kravene i kapitel II i forordning (EU) 2021/xx [DORA]."

 

 

Artikel 7

Ændringer af direktiv (EU) 2015/2366

I direktiv (EU) 2015/2366 foretages følgende ændringer:

-1a) I artikel 5, stk. 1, første afsnit, foretages følgende ændringer:

a) Litra e) affattes således:

"e) en beskrivelse af ansøgerens forretningsgange og interne kontrolmekanismer, herunder administrative, risikostyringsmæssige og regnskabsmæssige procedurer samt ordninger for brugen af IKT-tjenesteydelser i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2021/xx [DORA]*, der dokumenterer, at disse forvaltningsordninger og kontrolmekanismer og -procedurer er proportionale, passende, forsvarlige og tilstrækkelige"

b) Litra f) affattes således:

"f) en beskrivelse af den procedure, der er indført for at håndtere og følge op på sikkerhedshændelser og sikkerhedsrelaterede kundeklager, herunder en ordning for indberetning af hændelser, hvori der er taget højde for betalingsinstituttets indberetningsforpligtelser, jf. kapitel III i Europa-Parlamentets og Rådets forordning (EU) 2021/xx [DORA]*"

c) Litra h) affattes således:

"h) en beskrivelse af ordningerne for forretningskontinuitet, herunder en klar fastlæggelse af de kritiske funktioner, effektive politikker for IKT-driftsstabilitet og katastrofeberedskabsplaner og en procedure til regelmæssigt at teste og evaluere, om sådanne planer er tilstrækkelige og effektive, i overensstemmelse med forordning (EU) 2021/xx [DORA]"

1) Artikel 5, stk. 1, tredje afsnit, første punktum, affattes således:

"Det skal i tilknytning til de i første afsnits litra j) omhandlede sikkerhedskontrolforanstaltninger og begrænsende foranstaltninger angives, hvordan de sikrer et højt niveau af teknisk sikkerhed og databeskyttelse, herunder vedrørende de software- og IT-systemer, der anvendes af ansøgeren eller de virksomheder, som ansøgeren outsourcer hele eller dele af sine aktiviteter til, i overensstemmelse med kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2021/xx [DORA]*. Disse foranstaltninger skal også omfatte de sikkerhedsforanstaltninger, der er fastsat i artikel 95, stk. 1 Foranstaltningerne skal tage højde for EBA's retningslinjer om sikkerhedsforanstaltninger som omhandlet i artikel 95, stk. 3, når de foreligger. ____________________________

* [fuld titel] (EUT L […] af […], s. […])."

1a) Artikel 20, stk. 1, affattes således:

"1. Medlemsstaterne sikrer, at betalingsinstitutter, der lader tredjemand udføre driftsmæssige funktioner, træffer de nødvendige foranstaltninger for at sikre, at bestemmelserne i dette direktiv og i kapitel V i Europa-Parlamentets og Rådets forordning (EU) 2021/xx [DORA]* overholdes."

1b) Artikel 22, stk. 1, affattes således:

"1. Som kompetente myndigheder med ansvar for meddelelse af tilladelse til og tilsyn med betalingsinstitutter, der skal udføre de i dette afsnit omhandlede opgaver, og i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU)2021/xx [DORA], udpeger medlemsstaterne enten offentlige myndigheder eller organer, der er

anerkendt i national ret eller af de offentlige myndigheder, som udtrykkeligt har beføjelse hertil efter national ret,

herunder nationale centralbanker."

 

2) I artikel 95 foretages følgende ændringer:

a) Stk. 1 affattes således:

"1. Medlemsstaterne sikrer, at betalingstjenesteudbydere fastlægger en ramme med passende begrænsende foranstaltninger og kontrolmekanismer til styring af drifts- og sikkerhedsrisici, der er forbundet med de betalingstjenester, som de udbyder. Som en del af denne ramme fastlægger og opretholder betalingstjenesteudbydere effektive procedurer for håndtering af hændelser, herunder for opdagelse og klassificering af større drifts- og sikkerhedshændelser, samtidig med at de i givet fald imødegår risici i forbindelse med informations- og kommunikationsteknologi i overensstemmelse med kapitel II i forordning (EU) 2021/xx [DORA]."

b) Stk. 4 udgår.

c) Stk. 5 affattes således:

"5.  EBA fremmer samarbejde, herunder udveksling af oplysninger, inden for driftsrisici i forbindelse med betalingstjenester mellem de kompetente myndigheder samt mellem de kompetente myndigheder, ENISA og ECB."

3) I artikel 96 foretages følgende ændringer:

a) 

aa) Følgende stykke indsættes:

"2a. Denne artikels stk. 1 og 2 finder ikke anvendelse på de betalingstjenesteudbydere, der er omhandlet i artikel 1, stk. 1, litra a), b) og d), og som er underlagt indberetningsforpligtelserne i kapitel III i forordning (EU) 2021/xx [DORA]."

b) Stk. 5 udgår.

4) Artikel 98, stk. 5, affattes således:

"5. EBA gennemgår og ajourfører om nødvendigt regelmæssigt de reguleringsmæssige tekniske standarder i overensstemmelse med artikel 10 i forordning (EU) nr. 1093/2010 for bl.a. at tage højde for innovation og den teknologiske udvikling og for bestemmelserne i kapitel II i forordning (EU) 2021/xx [DORA]."

 

 

Artikel 8

Ændring af direktiv (EU) 2016/2341

Artikel 21, stk. 5, andet punktum, i direktiv (EU) 2016/2341 affattes således: 

"IORP'er anvender med henblik herpå hensigtsmæssige og rimeligt afpassede systemer, ressourcer og procedurer , navnlig net- og informationssystemer, og styrer disse i overensstemmelse med artikel 6 i Europa-Parlamentets og Rådets forordning (EU) 2021/xx [DORA]*, hvis det er relevant."

*

[fuld titel] (EUT L […] af […], s. […])".

 

Artikel 9

Gennemførelse

 

1. Medlemsstaterne vedtager og offentliggør senest den [ét år efter vedtagelsen] de love og administrative bestemmelser, der er nødvendige for at efterkomme dette direktiv. De meddeler straks Kommissionen disse love og bestemmelser.

De anvender disse love og bestemmelser fra den [ikrafttrædelsesdato for DORA/datoen for dens anvendelse, hvis de er forskellige].

Disse love og bestemmelser skal ved vedtagelsen indeholde en henvisning til dette direktiv eller skal ved offentliggørelsen ledsages af en sådan henvisning. De nærmere regler for henvisningen fastsættes af medlemsstaterne.

2. Medlemsstaterne meddeler Kommissionen teksten til de vigtigste nationale retsforskrifter, som de udsteder på det område, der er omfattet af dette direktiv.

Artikel 10

Ikrafttræden

 

Dette direktiv træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Artikel 11

Adressater

 

Dette direktiv er rettet til medlemsstaterne.

Udfærdiget i Bruxelles, den […].

For Europa-Parlamentet For Rådet

Formand Formand


 

 

UDTALELSE FRA RETSUDVALGET (6.7.2021)

til Økonomi- og Valutaudvalget

om forslag til Europa-Parlamentets og Rådets direktiv om ændring af direktiv 2006/43/EF, 2009/65/EF, 2009/138/EU, 2011/61/EU, 2013/36/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341

(COM(2020)0596 – C9-0303/2020 – 2020/0268(COD))

Ordfører for udtalelse (*): Mislav Kolakušić

(*) Associeret udvalg – forretningsordenens artikel 57

 

 

KORT BEGRUNDELSE

Dette lovforslag fra Kommissionen er en del af en pakke af foranstaltninger, der understøtter det potentiale, der ligger i digital finans med hensyn til innovation og konkurrence, samtidig med at risiciene reduceres. Det er i overensstemmelse med Kommissionens prioriteter om at forberede Europa på den digitale tidsalder og opbygge en økonomi, der vil være klar til at tage fremtidens udfordringer op, og som indgår i de bredere aktiviteter, der gennemføres på europæisk og internationalt plan med henblik på at styrke cybersikkerheden i forbindelse med finansielle tjenesteydelser og fjerne operationelle risici, samtidig med at der indføres en klar, forholdsmæssigt afpasset retlig ramme med muligheder for udbydere af kryptoaktivtjenester.

Den Europæiske Union skal reagere fyldestgørende på alle digitale risici, som finansielle enheder er udsat for, og risici, der opstår som følge af den hastigt voksende brug af informations- og kommunikationsteknologi (IKT) i forbindelse med levering og anvendelse af finansielle tjenesteydelser. Den finansielle sektor er i dag stærkt afhængig af digitale teknologier – en afhængighed af digitale teknologiprodukter, som kun vil blive mere fremtrædende – og det er af afgørende betydning at sikre, at deres digitale aktiviteter garanteres at være operationelt modstandsdygtige over for IKT-risici. Operationel modstandsdygtighed er også ved at blive en nøglefaktor på grund af væksten på markedet for avancerede teknologier, primært baseret på muligheden for, at digitale gengivelser af værdier eller rettigheder kan overføres og lagres elektronisk ved hjælp af distributed ledger-teknologi eller lignende teknologi ("kryptoaktiver"), og tjenester i forbindelse med sådanne aktiver.

Ordførerens holdning

Kommissionens forslag vil føre til en begrænsning af revisorers og revisionsfirmaers forpligtelser, da disse forpligtelser fremover udelukkende vedrører IKT og ikke procedurer og organisation for revisorer eller revisionsfirmaer generelt. Som følge heraf er der blevet foreslået et nyt punkt, som uden tvivl viser, at revisionsfirmaernes eksisterende forpligtelser fortsat er gældende, og at der tilføjes nye forpligtelser vedrørende IKT.

 

Overensstemmelse med artikel 6 i Europa-Parlamentets og Rådets forordning (EU) 2021/xx [DORA] er ikke mulig, fordi en sådan forordning ikke er i kraft og ikke eksisterer lovligt. En sådan løsning, der kun inkorporerer teksten til den artikel, som Kommissionen henviser til, i direktivforslaget, er kun juridisk mulig, samtidig med at formålet med Kommissionens forslag nås, idet virkningerne er identiske med Kommissionens.

 

Da DORA-forordningen stadig er på forslagsstadiet og ikke er blevet vedtaget af Europa-Parlamentet og Rådet, er der et juridisk problem med harmoniseringen af de pågældende direktiver med forordningens bestemmelser, som ikke er faktisk og retligt trådt i kraft. Da det endelige indhold og de regler, der er fastsat i denne forordning, først vil være kendt, når DORA træder i kraft, er det juridisk umuligt at harmonisere disse direktiver med en forordning, der faktisk og retligt ikke eksisterer på nuværende tidspunkt.

 

 

 

ÆNDRINGSFORSLAG

Retsudvalget opfordrer Økonomi- og Valutaudvalget, som er korresponderende udvalg, til at tage hensyn til følgende ændringsforslag:

Ændringsforslag  1

Forslag til direktiv

Betragtning 1

 

Kommissionens forslag

Ændringsforslag

(1) Unionen skal på fyldestgørende og fuldstændig vis imødegå digitale risici for alle finansielle enheder som følge af en øget anvendelse af informations- og kommunikationsteknologi (IKT) i forbindelse med levering og forbrug af finansielle tjenesteydelser.

(1) Unionen skal på fyldestgørende og fuldstændig vis imødegå digitale risici for alle finansielle enheder som følge af en øget anvendelse af informations- og kommunikationsteknologi (IKT) i forbindelse med levering og forbrug af finansielle tjenesteydelser, idet den sikrer, at der ydes yderligere støtte til potentialet i digital finansiering med hensyn til innovation og konkurrence.

Ændringsforslag  2

Forslag til direktiv

Betragtning 3

 

Kommissionens forslag

Ændringsforslag

(3) På EU-plan er kravene vedrørende IKT-risici for den finansielle sektor fordelt på Europa-Parlamentets og Rådets direktiv 2006/43/EC,18 2009/66/EC,19 2009/138/EC,20 2011/61/EC,21 EU/2013/36,22 2014/65/EU,23 (EU) 2015/2366,24 (EU) 2016/234125; de er forskellige og i nogle tilfælde ufuldstændige. I visse tilfælde er IKT-risikoen kun implicit omhandlet som en del af den operationelle risiko, mens den i andre overhovedet ikke er omhandlet. Dette bør udbedres ved at skabe overensstemmelse mellem Europa-Parlamentets og Rådets forordning (EU) 20xx/xx26 [DORA] og disse retsakter. Nærværende direktiv introducerer en række ændringer, som forekommer nødvendige for at skabe juridisk klarhed og sammenhæng, når finansielle enheder, som er meddelt tilladelse og underlagt tilsyn i overensstemmelse med nævnte direktiver, anvender forskellige krav vedrørende digital operationel modstandsdygtighed, som er nødvendige for udøvelsen af deres aktiviteter og dermed garanterer et velfungerende indre marked.

(3) På EU-plan er kravene vedrørende IKT-risici for den finansielle sektor fordelt på Europa-Parlamentets og Rådets direktiv 2006/43/EC,18 2009/66/EC,19 2009/138/EC,20 2011/61/EC,21 EU/2013/36,22 2014/65/EU,23 (EU) 2015/2366,24 (EU) 2016/234125. De er forskellige og i nogle tilfælde ufuldstændige. De eksisterende bestemmelser er ikke fuldt harmoniserede, og det er nødvendigt at undgå overregulering og sikre, at bestemmelserne er tilstrækkelige i forhold til den virkelighed, der hersker på området, som er i konstant udvikling. I visse tilfælde er IKT-risikoen kun implicit omhandlet som en del af den operationelle risiko, mens den i andre overhovedet ikke er omhandlet. Dette bør udbedres ved at skabe overensstemmelse mellem Europa-Parlamentets og Rådets forordning (EU) 20xx/xx26 [DORA] og disse retsakter. Nærværende direktiv introducerer en række ændringer, som forekommer nødvendige for at skabe juridisk klarhed og sammenhæng, når finansielle enheder, som er meddelt tilladelse og underlagt tilsyn i overensstemmelse med nævnte direktiver, anvender forskellige krav vedrørende digital operationel modstandsdygtighed, som er nødvendige for udøvelsen af deres aktiviteter og dermed garanterer et velfungerende indre marked.

_________________

_________________

18 Europa-Parlamentets og Rådets direktiv 2006/43/EF af 17. maj 2006 om lovpligtig revision af årsregnskaber og konsoliderede regnskaber, om ændring af Rådets direktiv 78/660/EØF og 83/349/EØF og om ophævelse af Rådets direktiv 84/253/EØF (EUT L 157 af 9.6.2006, s. 87).

18 Europa-Parlamentets og Rådets direktiv 2006/43/EF af 17. maj 2006 om lovpligtig revision af årsregnskaber og konsoliderede regnskaber, om ændring af Rådets direktiv 78/660/EØF og 83/349/EØF og om ophævelse af Rådets direktiv 84/253/EØF (EUT L 157 af 9.6.2006, s. 87).

19 Europa-Parlamentets og Rådets direktiv 2009/65/EF af 13. juli 2009 om samordning af love og administrative bestemmelser om visse institutter for kollektiv investering i værdipapirer (investeringsinstitutter) (EUT L 302 af 17.11.2009, s. 32).

19 Europa-Parlamentets og Rådets direktiv 2009/65/EF af 13. juli 2009 om samordning af love og administrative bestemmelser om visse institutter for kollektiv investering i værdipapirer (investeringsinstitutter) (EUT L 302 af 17.11.2009, s. 32).

20 Europa-Parlamentets og Rådets direktiv 2009/138/EF af 25. november 2009 om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) (EUT L 335 af 17.12.2009, s. 1).

20 Europa-Parlamentets og Rådets direktiv 2009/138/EF af 25. november 2009 om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) (EUT L 335 af 17.12.2009, s. 1).

21 Europa-Parlamentets og Rådets direktiv 2011/61/EU af 8. juni 2011 om forvaltere af alternative investeringsfonde og om ændring af direktiv 2003/41/EF og 2009/65/EF samt forordning (EF) nr. 1060/2009 og (EU) nr. 1095/2010 (EUT L 174 af 1.7.2011, s. 1).

21 Europa-Parlamentets og Rådets direktiv 2011/61/EU af 8. juni 2011 om forvaltere af alternative investeringsfonde og om ændring af direktiv 2003/41/EF og 2009/65/EF samt forordning (EF) nr. 1060/2009 og (EU) nr. 1095/2010 (EUT L 174 af 1.7.2011, s. 1).

22 Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber, om ændring af direktiv 2002/87/EF og om ophævelse af direktiv 2006/48/EF og 2006/49/EF (EUT L 176 af 27.6.2013, s. 338).

22 Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber, om ændring af direktiv 2002/87/EF og om ophævelse af direktiv 2006/48/EF og 2006/49/EF (EUT L 176 af 27.6.2013, s. 338).

23 Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter og om ændring af direktiv 2002/92/EF og direktiv 2011/61/EU (EUT L 173 af 12.6.2014, s. 349).

23 Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter og om ændring af direktiv 2002/92/EF og direktiv 2011/61/EU (EUT L 173 af 12.6.2014, s. 349).

24 Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 af 25. november 2015 om betalingstjenester i det indre marked, og om ændring af direktiv 2002/65/EF, 2009/110/EF og 2013/36/EU og forordning (EU) nr. 1093/2010 og om ophævelse af direktiv 2007/64/EF (EUT L 337 af 23.12.2015, s. 35).

24 Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 af 25. november 2015 om betalingstjenester i det indre marked, og om ændring af direktiv 2002/65/EF, 2009/110/EF og 2013/36/EU og forordning (EU) nr. 1093/2010 og om ophævelse af direktiv 2007/64/EF (EUT L 337 af 23.12.2015, s. 35).

25 Europa-Parlamentets og Rådets direktiv (EU) 2016/2341 af 14. december 2016 om arbejdsmarkedsrelaterede pensionskassers (IORP'ers) aktiviteter og tilsynet hermed (EUT L 354 af 23.12.2016, s. 37).

25 Europa-Parlamentets og Rådets direktiv (EU) 2016/2341 af 14. december 2016 om arbejdsmarkedsrelaterede pensionskassers (IORP'ers) aktiviteter og tilsynet hermed (EUT L 354 af 23.12.2016, s. 37).

26 EUT L […]af […], s. […].

26 EUT L […]af […], s. […].

Ændringsforslag  3

Forslag til direktiv

Betragtning 6

 

Kommissionens forslag

Ændringsforslag

(6) For indeværende omfatter definitionen af "finansielle instrumenter" i direktiv 2014/65/EU ikke eksplicit finansielle instrumenter, som udstedes ved anvendelse af en teknologitype, der understøtter den distribuerede registrering af krypterede data (distributed ledger-teknologi, "DLT") Med henblik på at sikre, at sådanne finansielle instrumenter kan handles på markedet i henhold til den nuværende lovramme bør definitionen i direktiv 2014/65/EU ændres for at omfatte disse.

(6) For indeværende omfatter definitionen af "finansielle instrumenter" i direktiv 2014/65/EU ikke eksplicit finansielle instrumenter, som udstedes ved anvendelse af en teknologitype, der understøtter den distribuerede registrering af krypterede data (distributed ledger-teknologi, "DLT"), og afspejler således ikke virkeligheden på markedet. Med henblik på at sikre, at sådanne finansielle instrumenter kan handles på markedet i henhold til den nuværende lovramme, bør definitionen i direktiv 2014/65/EU for at undgå potentielle risici som følge af manglende regulering ændres, således at den omfatter disse.

Ændringsforslag  4

Forslag til direktiv

Betragtning 7

 

Kommissionens forslag

Ændringsforslag

(7) For at gøre det muligt navnlig at udvikle kryptoaktiver, der kan betragtes som finansielle instrumenter og DLT, og samtidig bevare et højt niveau af finansiel stabilitet, markedsintegritet, gennemsigtighed og investorbeskyttelse, ville det være fordelagtigt at indføre en midlertidig ordning for DLT-markedsinfrastrukturer. Denne midlertidige lovramme bør give kompetente myndigheder mulighed for midlertidigt at tillade, at DLT-markedsinfrastrukturer kan drives i henhold til et alternativt sæt krav, der vedrører adgang til disse, i forhold til de krav, der ellers er gældende i henhold EU-lovgivningen om finansielle tjenesteydelser, og som ellers kunne forhindre dem i at udvikle løsninger med henblik på handel med og afvikling af transaktioner i kryptoaktiver, der betragtes som finansielle instrumenter. Denne lovramme bør være midlertidig for at gøre det muligt for de europæiske tilsynsmyndigheder (ESA'er) og de nationale kompetente myndigheder at få erfaring med de muligheder og særlige risici, der er forbundet med kryptoaktiver, som handles i disse infrastrukturer. Nærværende direktiv ledsager dermed forordning [om en pilotordning for markedsinfrastrukturer baseret på distributed ledger-teknologi], idet det understøtter denne nye EU-lovramme om DLT-markedsinfrastrukturer med et målrettet undtagelse fra specifikke bestemmelser i EU-lovgivningen om finansielle tjenesteydelser, som finder anvendelse på aktiviteter og tjenesteydelser forbundet med finansielle instrumenter som defineret i artikel 4, stk. 1, nr. 15), i direktiv 2014/65/EU, og som ellers ikke ville give den fulde fleksibilitet, som er nødvendig ved ibrugtagning af løsninger i henholdsvis handels- og efterhandelsleddet i transaktioner, der involverer kryptoaktiver.

(7) For at gøre det muligt navnlig at udvikle kryptoaktiver, der kan betragtes som finansielle instrumenter og DLT, og samtidig bevare et højt niveau af finansiel stabilitet, markedsintegritet, gennemsigtighed og investor- og forbrugerbeskyttelse, ville det være fordelagtigt at indføre en midlertidig ordning for DLT-markedsinfrastrukturer. Denne midlertidige lovramme bør give kompetente myndigheder mulighed for midlertidigt at tillade, at DLT-markedsinfrastrukturer kan drives i henhold til et alternativt sæt krav, der vedrører adgang til disse, i forhold til de krav, der ellers er gældende i henhold EU-lovgivningen om finansielle tjenesteydelser, og som ellers kunne forhindre dem i at udvikle løsninger med henblik på handel med og afvikling af transaktioner i kryptoaktiver, der betragtes som finansielle instrumenter. Denne lovramme bør være midlertidig for at gøre det muligt for de europæiske tilsynsmyndigheder (ESA'er) og de nationale kompetente myndigheder at få erfaring med de muligheder og særlige risici, der er forbundet med kryptoaktiver, som handles i disse infrastrukturer. Nærværende direktiv ledsager dermed forordning [om en pilotordning for markedsinfrastrukturer baseret på distributed ledger-teknologi], idet det understøtter denne nye EU-lovramme om DLT-markedsinfrastrukturer med et målrettet undtagelse fra specifikke bestemmelser i EU-lovgivningen om finansielle tjenesteydelser, som finder anvendelse på aktiviteter og tjenesteydelser forbundet med finansielle instrumenter som defineret i artikel 4, stk. 1, nr. 15), i direktiv 2014/65/EU, og som ellers ikke ville give den fulde fleksibilitet, som er nødvendig ved ibrugtagning af løsninger i henholdsvis handels- og efterhandelsleddet i transaktioner, der involverer kryptoaktiver.

Ændringsforslag  5

Forslag til direktiv

Betragtning 13 a (ny)

 

Kommissionens forslag

Ændringsforslag

 

(13a) Lovgivningsprocessen bør tage hensyn til den rette balance mellem på den ene side effektiv risikostyring og på den anden side sikring af fair konkurrence med henblik på at fremme udviklingen af innovation på markedet og beskytte alle involverede aktører.

Ændringsforslag  6

Forslag til direktiv

Artikel 1 – stk. 1

Direktiv 2006/43/EF

Artikel 24a – stk. 1 – litra b

 

Kommissionens forslag

Ændringsforslag

Artikel 24a, stk. 1, litra b), i direktiv 2006/43/EF affattes således:

udgår

b) "b) en revisor eller et revisionsfirma skal have en sund administrativ og regnskabsmæssig praksis, interne kvalitetskontrolmekanismer, effektive procedurer til risikovurdering og effektive kontrol- og sikkerhedsforanstaltninger med henblik på styring af sine IKT-systemer og -værktøjer i overensstemmelse med artikel 6 i Europa-Parlamentets og Rådets forordning (EU) 20xx/xx [DORA]*.

 

________________________

 

*[fuld titel] EUT L […] af […], s. […]."

 

Ændringsforslag  7

Forslag til direktiv

Artikel 1 – stk. 1

Direktiv 2006/43/EF

Artikel 24a – stk. 1 – litra b a (nyt)

 

Kommissionens forslag

Ændringsforslag

 

I artikel 24a, stk. 1, i direktiv 2006/43/EF indsættes følgende litra:

 

"ba) en revisor eller et revisionsfirma, som ikke er en mikrovirksomhed, en lille eller en mellemstor virksomhed, bortset fra, hvis den reviderer enheder anført i artikel 2 i forordning (EU) 2021/xx [DORA], skal have en sund administrativ og regnskabsmæssig praksis, interne kvalitetskontrolmekanismer, effektive procedurer til risikovurdering og effektive kontrol- og sikkerhedsforanstaltninger med henblik på styring af sine IKT-systemer og -værktøjer i overensstemmelse med artikel 6 i Europa-Parlamentets og Rådets forordning (EU) 20xx/xx [DORA]*.

 

______________

 

*[fuld titel] EUT L […] af […], s. […]."

Ændringsforslag  8

Forslag til direktiv

Artikel 2 – stk. 1 – nr. 1

Direktiv 2009/65/EF

Artikel 12 – stk. 1 – afsnit 2 - litra a

 

Kommissionens forslag

Ændringsforslag

a) "a) har en sund administrativ og regnskabsmæssig praksis samt kontrol- og sikringsforanstaltninger på edb-området samt fyldestgørende interne kontrolprocedurer, herunder informations- og kommunikationsteknologisystemer, som oprettes og styres i overensstemmelse med artikel 6 i Europa-Parlamentets og Rådets forordning (EU) 20xx/xx [DORA]*, samt fyldestgørende interne kontrolprocedurer, herunder regler for de ansattes personlige transaktioner eller for besiddelse og administration af investeringer i finansielle instrumenter med henblik på investering for egen regning, som mindst sikrer, at enhver transaktion, der implicerer investeringsinstituttet, kan rekonstrueres med hensyn til oprindelse, implicerede parter, art samt tid og sted for gennemførelsen, og at aktiver i investeringsinstitutter, der administreres af administrationsselskaber, investeres i overensstemmelse med fondsbestemmelserne eller vedtægterne og gældende ret

a) "har en sund administrativ, operationel og regnskabsmæssig praksis samt kontrol- og sikringsforanstaltninger på edb-området samt fyldestgørende interne kontrolprocedurer, herunder informations- og kommunikationsteknologisystemer, som oprettes og styres i overensstemmelse med artikel 6 i Europa-Parlamentets og Rådets forordning (EU) 20xx/xx [DORA]*, samt fyldestgørende interne kontrolprocedurer, herunder regler for de ansattes personlige transaktioner eller for besiddelse og administration af investeringer i finansielle instrumenter med henblik på investering for egen regning, som mindst sikrer, at enhver transaktion, der implicerer investeringsinstituttet, kan rekonstrueres med hensyn til oprindelse, implicerede parter, art samt tid og sted for gennemførelsen, og at aktiver i investeringsinstitutter, der administreres af administrationsselskaber, investeres i overensstemmelse med fondsbestemmelserne eller vedtægterne og gældende ret

_______

_________

*[fuld titel] EUT L […] af […], s. […]."

*[fuld titel] EUT L […] af […], s. […]."

 


PROCEDURE I RÅDGIVENDE UDVALG

Titel

Ændring af direktiv 2006/43/EF, 2009/65/EF, 2009/138/EF, 2011/61/EU, 2013/36/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341

Referencer

COM(2020)0596 – C9-0303/2020 – 2020/0268(COD)

Korresponderende udvalg

 Dato for meddelelse på plenarmødet

ECON

17.12.2020

 

 

 

Udtalelse fra

 Dato for meddelelse på plenarmødet

JURI

17.12.2020

Associerede udvalg - dato for meddelelse på plenarmødet

11.2.2021

Ordfører for udtalelse

 Dato for valg

Mislav Kolakušić

10.5.2021

Behandling i udvalg

27.5.2021

 

 

 

Dato for vedtagelse

1.7.2021

 

 

 

Resultat af den endelige afstemning

+:

–:

0:

23

0

2

Til stede ved den endelige afstemning – medlemmer

Pascal Arimont, Manon Aubry, Gunnar Beck, Geoffroy Didier, Pascal Durand, Angel Dzhambazki, Ibán García Del Blanco, Jean-Paul Garraud, Esteban González Pons, Mislav Kolakušić, Sergey Lagodinsky, Gilles Lebreton, Karen Melchior, Jiří Pospíšil, Franco Roberti, Marcos Ros Sempere, Stéphane Séjourné, Raffaele Stancanelli, Marie Toussaint, Axel Voss, Marion Walsmann, Tiemo Wölken, Lara Wolters, Javier Zarzalejos

Til stede ved den endelige afstemning – stedfortrædere

Magdalena Adamowicz, Caterina Chinnici, Heidi Hautala, Emmanuel Maurel, Emil Radev, Yana Toom

 


 

 

ENDELIG AFSTEMNING VED NAVNEOPRÅB
I RÅDGIVENDE UDVALG

23

+

PPE

Pascal Arimont, Geoffroy Didier, Esteban González Pons, Jiří Pospíšil, Axel Voss, Marion Walsmann, Javier Zarzalejos

S&D

Ibán García Del Blanco, Franco Roberti, Marcos Ros Sempere, Tiemo Wölken, Lara Wolters

Renew

Pascal Durand, Karen Melchior, Stéphane Séjourné, Yana Toom

ID

Jean-Paul Garraud, Gilles Lebreton

Verts/ALE

Heidi Hautala, Marie Toussaint

ECR

Angel Dzhambazki, Raffaele Stancanelli

The Left

Emmanuel Maurel

 

0

-

 

 

 

2

0

ID

Gunnar Beck

NI

Mislav Kolakušić

 

Tegnforklaring:

+ : for

- : imod

0 : hverken/eller

 

 

 

 

 


 

 

PROCEDURE I KORRESPONDERENDE UDVALG

Titel

Ændring af direktiv 2006/43/EF, 2009/65/EF, 2009/138/EF, 2011/61/EU, 2013/36/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341

Referencer

COM(2020)0596 – C9-0303/2020 – 2020/0268(COD)

Dato for høring af EP

24.9.2020

 

 

 

Korresponderende udvalg

 Dato for meddelelse på plenarmødet

ECON

17.12.2020

 

 

 

Rådgivende udvalg

 Dato for meddelelse på plenarmødet

ITRE

17.12.2020

IMCO

17.12.2020

JURI

17.12.2020

 

Ingen udtalelse

 Dato for afgørelse

ITRE

15.10.2020

IMCO

27.10.2020

 

 

Associerede udvalg

 Dato for meddelelse på plenarmødet

JURI

11.2.2021

 

 

 

Ordførere

 Dato for valg

Mikuláš Peksa

15.10.2020

 

 

 

Behandling i udvalg

14.4.2021

14.6.2021

 

 

Dato for vedtagelse

1.12.2021

 

 

 

Resultat af den endelige afstemning

+:

–:

0:

44

5

5

Til stede ved den endelige afstemning – medlemmer

Gerolf Annemans, Gunnar Beck, Marek Belka, Isabel Benjumea Benjumea, Stefan Berger, Gilles Boyer, Engin Eroglu, Markus Ferber, Jonás Fernández, Raffaele Fitto, Frances Fitzgerald, Luis Garicano, Sven Giegold, Valentino Grant, Claude Gruffat, José Gusmão, Enikő Győri, Eero Heinäluoma, Danuta Maria Hübner, Stasys Jakeliūnas, France Jamet, Billy Kelleher, Ondřej Kovařík, Georgios Kyrtsos, Aurore Lalucq, Philippe Lamberts, Aušra Maldeikienė, Pedro Marques, Costas Mavrides, Jörg Meuthen, Csaba Molnár, Siegfried Mureşan, Caroline Nagtegaal, Luděk Niedermayer, Lefteris Nikolaou-Alavanos, Lídia Pereira, Kira Marie Peter-Hansen, Sirpa Pietikäinen, Evelyn Regner, Antonio Maria Rinaldi, Alfred Sant, Martin Schirdewan, Joachim Schuster, Ralf Seekatz, Pedro Silva Pereira, Paul Tang, Irene Tinagli, Ernest Urtasun, Inese Vaidere, Johan Van Overtveldt, Stéphanie Yon-Courtin, Marco Zanni, Roberts Zīle

Til stede ved den endelige afstemning – stedfortrædere

Lefteris Christoforou

Dato for indgivelse

7.12.2021

 

 RESULTAT AF ENDELIG AFSTEMNING VED NAVNEOPRÅB I KORRESPONDERENDE UDVALG

44

+

ECR

Raffaele Fitto, Johan Van Overtveldt, Roberts Zīle

NI

Enikő Győri

PPE

Isabel Benjumea Benjumea, Stefan Berger, Lefteris Christoforou, Markus Ferber, Frances Fitzgerald, Danuta Maria Hübner, Georgios Kyrtsos, Aušra Maldeikienė, Siegfried Mureşan, Luděk Niedermayer, Lídia Pereira, Sirpa Pietikäinen, Ralf Seekatz, Inese Vaidere

Renew

Gilles Boyer, Engin Eroglu, Luis Garicano, Billy Kelleher, Ondřej Kovařík, Caroline Nagtegaal, Stéphanie Yon-Courtin

S&D

Marek Belka, Jonás Fernández, Eero Heinäluoma, Aurore Lalucq, Pedro Marques, Costas Mavrides, Csaba Molnár, Evelyn Regner, Alfred Sant, Joachim Schuster, Pedro Silva Pereira, Paul Tang, Irene Tinagli

Verts/ALE

Sven Giegold, Claude Gruffat, Stasys Jakeliūnas, Philippe Lamberts, Kira Marie Peter-Hansen, Ernest Urtasun

 

5

-

ID

Gerolf Annemans, Gunnar Beck, France Jamet, Jörg Meuthen

NI

Lefteris Nikolaou-Alavanos

 

5

0

ID

Valentino Grant, Antonio Maria Rinaldi, Marco Zanni

The Left

José Gusmão, Martin Schirdewan

 

Key to symbols:

+ : for

- : imod

0 : hverken/eller

 

 

Seneste opdatering: 13. december 2021
Juridisk meddelelse - Databeskyttelsespolitik