ZIŅOJUMS par priekšlikumu Eiropas Parlamenta un Padomes regulai par finanšu sektora digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014 un (ES) Nr. 909/2014
7.12.2021 - (COM(2020)0595 – C9-0304/2020 – 2020/0266(COD)) - ***I
Ekonomikas un monetārā komiteja
Referents: Billy Kelleher
EIROPAS PARLAMENTA NORMATĪVĀS REZOLŪCIJAS PROJEKTS
par priekšlikumu Eiropas Parlamenta un Padomes regulai par finanšu sektora digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014 un (ES) Nr. 909/2014
(COM(2020)0595 – C9-0304/2020 – 2020/0266(COD))
(Parastā likumdošanas procedūra: pirmais lasījums)
Eiropas Parlaments,
– ņemot vērā Komisijas priekšlikumu Eiropas Parlamentam un Padomei (COM(2020)0595),
– ņemot vērā Līguma par Eiropas Savienības darbību 294. panta 2. punktu un 114. pantu, saskaņā ar kuriem Komisija tam ir iesniegusi priekšlikumu (C9-0304/2020),
– ņemot vērā Līguma par Eiropas Savienības darbību 294. panta 3. punktu,
– ņemot vērā Eiropas Ekonomikas un sociālo lietu komitejas 2021. gada 24. februāra atzinumu[1],
– ņemot vērā Reglamenta 59. pantu,
– ņemot vērā Ekonomikas un monetārās komitejas ziņojumu (A9-0341/2021),
1. pieņem pirmajā lasījumā turpmāk izklāstīto nostāju;
2. prasa Komisijai priekšlikumu Parlamentam iesniegt vēlreiz, ja tā savu priekšlikumu aizstāj, būtiski groza vai ir paredzējusi to būtiski grozīt;
2. uzdod priekšsēdētājam Parlamenta nostāju nosūtīt Padomei un Komisijai, kā arī dalībvalstu parlamentiem.
Grozījums Nr. 1
EIROPAS PARLAMENTA GROZĪJUMI[*]
Komisijas priekšlikumā
---------------------------------------------------------
Priekšlikums
EIROPAS PARLAMENTA UN PADOMES REGULA
par finanšu sektora digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014 un (ES) Nr. 909/2014
(Dokuments attiecas uz EEZ)
EIROPAS PARLAMENTS UN EIROPAS SAVIENĪBAS PADOME,
ņemot vērā Līgumu par Eiropas Savienības darbību un jo īpaši tā 114. pantu,
ņemot vērā Eiropas Komisijas priekšlikumu,
pēc leģislatīvā akta projekta nosūtīšanas valstu parlamentiem,
ņemot vērā Eiropas Centrālās bankas atzinumu[2],
ņemot vērā Eiropas Ekonomikas un sociālo lietu komitejas atzinumu[3],
saskaņā ar parasto likumdošanas procedūru,
tā kā:
(1) Informācijas un komunikācijas tehnoloģijas (IKT) digitālajā laikmetā atbalsta sarežģītas sistēmas, kas tiek lietotas ikdienas sabiedriskajām darbībām. Tās nodrošina mūsu ekonomikas darbību svarīgās nozarēs, ieskaitot finanšu nozari, un uzlabo vienotā tirgus darbību. Lielāka digitalizācija un savstarpēja savienojamība arī pastiprina IKT riskus, padarot sabiedrību kopumā un jo īpaši finanšu sistēmu neaizsargātāku pret kiberdraudiem vai IKT traucējumiem. Lai gan IKT sistēmu plašais lietojums, augstā digitalizācija un savienojamība mūsdienās ir visu Savienības finanšu vienību veikto darbību pamatiezīmes, to darbības pamatprincipos vēl nav pietiekami dziļi integrēta digitālā noturība.
(2) IKT izmantošana pēdējās desmitgadēs ir ieguvusi nozīmīgu lomu finanšu nozarē, un mūsdienās tā ir kļuvusi kritiski svarīga visu finanšu vienību parastajās ikdienas darbībās. Digitalizācija aptver, piemēram, maksājumus, kas arvien vairāk pāriet no skaidras naudas un papīra dokumentu izmantošanas uz digitāliem risinājumiem, kā arī vērtspapīru tīrvērti un norēķinus, elektronisko un algoritmisko tirdzniecību, aizdošanas un finansēšanas darbības, savstarpējo finansēšanu, kredītreitingu, ▌pretenziju apstrādi un biroja administratīvo darbu. IKT izmantošana ir pārveidojusi arī apdrošināšanas nozari — ir radušies digitālie apdrošināšanas starpnieki, kas strādā ar apdrošināšanas tehnoloģijām, notiek digitāla apdrošināšanas saistību uzņemšanās un līgumu izplatīšana. Visa finanšu nozare ir kļuvusi lielākoties digitāla, turklāt digitalizācija ir arī padziļinājusi savstarpējos savienojumus un atkarības finanšu nozares iekšienē, kā arī attiecībās ar trešo personu infrastruktūru un to sniegtajiem pakalpojumiem.
(3) Eiropas Sistēmisko risku kolēģija (ESRK) 2020. gada ziņojumā par sistēmisko kiberrisku[4] ir atkārtoti uzsvērusi, kā finanšu vienību, finanšu tirgu un finanšu tirgus infrastruktūras augstā savstarpējā savienojamība, jo īpaši to IKT sistēmu savstarpējā atkarība, varētu radīt sistēmisku neaizsargātību, jo vietēja mēroga kiberincidenti kādā no aptuveni 22 000 Savienības finanšu vienībām[5] varētu ātri izplatīties visā finanšu sistēmā, pāri valstu robežām. Smagi IKT pārkāpumi finanšu nozarē ietekmē ne tikai finanšu vienības atsevišķi. Tie arī atvieglo vietēja mēroga neaizsargātības izplatīšanos finanšu sakaru kanālos un, iespējams, var radīt nelabvēlīgas sekas Savienības finanšu sistēmas stabilitātei, izraisot likviditātes pazemināšanos un liekot zust vispārējai pārliecībai un uzticībai finanšu tirgiem.
(4) IKT riski pēdējos gados ir piesaistījuši valstu, Eiropas un starptautiskās politikas veidotāju, regulatoru un standartu noteikšanas struktūru uzmanību, liekot tām mēģināt uzlabot noturību, noteikt standartus, kā arī koordinēt regulējošo vai uzraudzības darbu. Starptautiskajā līmenī Bāzeles Banku uzraudzības komitejas, Maksājumu un tirgus infrastruktūru komitejas, Finanšu stabilitātes padomes, Finanšu stabilitātes institūta, kā arī G7 un G20 valstu grupu mērķis ir sniegt dažādu jurisdikciju kompetentajām iestādēm un tirgus dalībniekiem instrumentus finanšu sistēmu noturības stiprināšanai. Tāpēc IKT riski ir jāizvērtē savstarpēji cieši saistītas globālās finanšu sistēmas kontekstā, kurā prioritāte jāpiešķir globālai starptautisko noteikumu saskaņotībai un kompetento iestāžu sadarbībai.
(5) Neraugoties uz mērķtiecīgu politiku un likumdošanas iniciatīvām valstu un Eiropas līmenī, IKT riski turpina sagādāt problēmas Savienības finanšu sistēmas darbības noturībai, veiktspējai un stabilitātei. Pēc 2008. gada finanšu krīzes īstenotā reforma galvenokārt stiprināja Savienības finanšu nozares finansiālo noturību un tika veikta ar mērķi aizsargāt Savienības konkurētspēju un stabilitāti no ekonomiskā, prudenciālā un tirgus darbības viedokļa. Lai gan IKT drošība un digitālā noturība ir daļa no operacionālā riska, tām pēckrīzes regulatoru darba programmā ir veltīta mazāka uzmanība, un tās ir attīstītas tikai dažās Savienības finanšu pakalpojumu politikas un regulējošās vides jomās vai dažās dalībvalstīs.
(6) Komisijas 2018. gada Finanšu tehnoloģijas rīcības plānā[6] tika uzsvērts, cik svarīgi ir padarīt Savienības finanšu nozari elastīgāku arī no darbības perspektīvas, lai nodrošinātu tās tehnoloģisko drošību un labu darbību, ātru atgūšanos no IKT pārkāpumiem un incidentiem, kas galu galā ļaus efektīvi un netraucēti sniegt finanšu pakalpojumus visā Savienībā, tostarp stresa situācijās, vienlaikus saglabājot patērētāju un tirgus uzticību un paļāvību.
(7) Eiropas Banku iestāde (EBI), Eiropas Vērtspapīru un tirgu iestāde (EVTI) un Eiropas Apdrošināšanas un aroda pensiju iestāde (EAAPI) (kopā sauktas par “Eiropas uzraudzības iestādēm” jeb “EUI”) 2019. gada aprīlī kopīgi publicēja divus tehniskos ieteikumus, aicinot īstenot vienveidīgu pieeju IKT riskam finanšu nozarē un iesakot proporcionāli stiprināt finanšu pakalpojumu nozares digitālās darbības noturību ar Savienības specifisku nozares iniciatīvu.
(8) Savienības finanšu nozare tiek regulēta ar saskaņotu vienotu noteikumu kopumu, bet to pārvalda Eiropas finanšu uzraudzības sistēma. Neraugoties uz to, noteikumi, kas attiecas uz digitālās darbības noturību un IKT drošību, vēl nav pilnīgi vai konsekventi saskaņoti, lai gan digitālās darbības noturība digitālajā laikmetā ir ļoti svarīga finanšu stabilitātes un tirgus integritātes nodrošināšanai — ne mazāk svarīga, piemēram, par vienotiem prudenciālajiem vai tirgus rīcības standartiem. Tādēļ vienotais noteikumu kopums un uzraudzības sistēma būtu jāattīsta, lai aptvertu arī šo komponentu, pastiprinot finanšu uzraudzības iestāžu pilnvaras, lai pārvaldītu finanšu nozares IKT riskus, aizsargātu vienotā tirgus integritāti un efektivitāti un sekmētu tā pienācīgu darbību.
(9) Tiesību aktu nesakritības un nevienāda valstu regulatīvā vai uzraudzības pieeja attiecībā uz IKT risku rada šķēršļus izveidot finanšu pakalpojumu vienoto tirgu, apgrūtinot pārrobežu finanšu vienību brīvību veikt uzņēmējdarbību un sniegt pakalpojumus. Tāpat varētu tikt kropļota konkurence starp viena veida finanšu vienībām, kas darbojas dažādās dalībvalstīs. Īpaši jomās, kurās saskaņošana Savienības līmenī ir bijusi ļoti ierobežota, piemēram, digitālās darbības noturības testēšanā, vai tādas nav bijis, piemēram, ar trešo personu saistītā IKT riska uzraudzībā, atšķirības, kas izriet no paredzamās attīstības valstu līmenī, varētu radīt papildu šķēršļus vienotā tirgus darbībai, tādējādi kaitējot tirgus dalībniekiem un finanšu stabilitātei.
(10) Daļējais veids, kādā ar IKT risku saistītie noteikumi līdz šim ir risināti Savienības līmenī, liecina par nepilnībām vai pārklāšanos svarīgās jomās, piemēram, ar IKT saistītu incidentu paziņošanu un digitālās darbības noturības testēšanu, un rada pretrunas sakarā ar atšķirīgu valsts noteikumu rašanos vai tādu noteikumu neefektīvu piemērošanu izmaksu ziņā, kuri pārklājas. Tas jo īpaši nelabvēlīgi ietekmē tādu IKT ietilpīgu lietotāju kā finanšu nozari, jo tehnoloģiju riskiem nav robežu un finanšu nozare plaši izvieto pakalpojumus pāri robežām Savienībā un ārpus tās.
Individuālām finanšu vienībām, kuras darbojas pāri robežām vai kurām ir vairākas atļaujas (piem., vienai un tai pašai finanšu vienībai var būt banku darbības, ieguldījumu brokeru sabiedrības un maksājumu iestādes atļaujas, kuras izdevušas dažādas kompetentās iestādes vienā vai vairākās dalībvalstīs), ir grūti pašām saskanīgi un izmaksu ziņā efektīvi novērst IKT riskus un mazināt IKT incidentu nelabvēlīgo ietekmi.
(10a) Atbilstošas tīklu un informācijas sistēmu infrastruktūras izveide un uzturēšana ir arī būtisks priekšnoteikums efektīvai riska datu apkopošanai un riska paziņošanas praksei, kas savukārt ir būtisks priekšnoteikums pareizai un ilgtspējīgai riska pārvaldībai un lēmumu pieņemšanas procesiem kredītiestādēs. Bāzeles Banku uzraudzības komiteja (BCBS) 2013. gadā publicēja principu kopumu efektīvai riska datu apkopošanai un ziņošanai par risku (BCBS 239), pamatojoties uz diviem visaptverošiem pārvaldības un IT infrastruktūras principiem, ko bija plānots ieviest 2016. gada sākumā. Saskaņā ar Eiropas Centrālās bankas (ECB) 2018. gada maija ziņojumu par tematisko pārskatu attiecībā uz efektīvu riska datu apkopošanu un ziņošanu par risku un BCBS 2020. gada aprīļa progresa ziņojumu globālu sistēmiski nozīmīgu banku panāktais progress šo principu īstenošanā ir neapmierinošs un rada bažas. Lai veicinātu atbilstību starptautiskajiem standartiem un saskaņotību ar tiem, Komisijai ciešā sadarbībā ar ECB un pēc apspriešanās ar EBI un ESRK būtu jāsagatavo ziņojums, lai novērtētu, kā BCBS 239 principi mijiedarbojas ar šīs regulas noteikumiem un, attiecīgā gadījumā, kā šie principi būtu jāiekļauj Savienības tiesību aktos.
(11) Tā kā vienotajam noteikumu kopumam nav pievienota visaptveroša IKT vai operacionālā riska sistēma, ir nepieciešams papildus saskaņot galvenās digitālās darbības noturības prasības visām finanšu vienībām. Spējas un kopējā noturība, ko finanšu vienības saskaņā ar galvenajām prasībām attīstītu, lai izturētu darbības pārtrauci, palīdzētu saglabāt Savienības finanšu tirgu stabilitāti un integritāti, tādējādi palīdzot nodrošināt Savienības ieguldītāju un patērētāju augsta līmeņa aizsardzību. Tā kā šīs regulas nolūks ir veicināt vienotā tirgus netraucētu darbību, tās pamatā vajadzētu būt LESD 114. pantam saskaņā ar tā interpretāciju Eiropas Savienības Tiesas pastāvīgajā judikatūrā.
(12) Regulas mērķis pirmkārt ir konsolidēt un uzlabot IKT riska prasības, kas līdz šim dažādās regulās un direktīvās ir skatītas atsevišķi. Lai gan šie Savienības tiesību akti aptvēra galvenās finanšu riska kategorijas (piem., kredītrisku, tirgus risku, darījuma partnera kredītrisku un likviditātes risku, tirgus uzvedības risku), ar tiem to pieņemšanas laikā nevarēja visaptveroši risināt visus darbības noturības komponentus. Šajos Savienības tiesību aktos sīkāk izstrādātās operacionālā riska prasības bieži vien deva priekšroku tradicionālajai kvantitatīvajai riska novēršanas pieejai (proti, nosakot kapitāla prasību IKT riska segšanai), nevis paredzēja mērķtiecīgas kvalitatīvas prasības, ar kurām stiprināt spējas, nosakot prasības attiecībā uz aizsardzības, atklāšanas, ierobežošanas, seku novēršanas un izlabošanas spējām pēc incidentiem, kas saistīti ar IKT, vai nosakot ziņošanas un digitālās testēšanas spējas. Ar šīm direktīvām un regulām galvenokārt bija paredzēts aptvert būtiskākos prudenciālās uzraudzības, tirgus integritātes un uzvedības noteikumus.
Ar šo pasākumu, kas konsolidē un atjaunina noteikumus par IKT risku, visi noteikumi, kas attiecas uz digitālo risku finanšu nozarē, pirmo reizi tiktu konsekventi apvienoti vienā tiesību aktā. Tādējādi šai iniciatīvai būtu jānovērš nepilnības vai jāizlabo pretrunas dažos minētajos tiesību aktos, tostarp attiecībā uz tajos izmantoto terminoloģiju, un tai būtu skaidri jāatsaucas uz IKT risku, izmantojot mērķtiecīgus noteikumus par IKT riska pārvaldības iespējām, ziņošanu un testēšanu, kā arī ar trešo personu saistītā riska uzraudzību. Ar šo iniciatīvu arī plānots veicināt informētību par IKT riskiem, un tajā ir atzīts, ka IKT incidenti un darbības nenoturība var apdraudēt finanšu vienību finanšu stabilitāti.
(13) Finanšu vienībām, risinot IKT risku, atbilstīgi savam lielumam, specifikai, sarežģītībai un riska profilam, būtu jāievēro tāda pati pieeja un tādi paši uz principiem balstīti noteikumi. Konsekvence veicina uzticēšanos finanšu sistēmai un tās stabilitātes saglabāšanu, jo īpaši laikā, kad visvairāk jāpaļaujas uz IKT sistēmām, platformām un infrastruktūru, kas rada lielāku digitālo risku.
Ievērojot kiberhigiēnas pamatus, būtu arī jāizvairās no augstu izmaksu rašanās tautsaimniecībai, samazinot IKT traucējumu ietekmi un izmaksas.
(14) Regulas izmantošana palīdz samazināt regulējuma sarežģītību, sekmē uzraudzības konverģenci, palielina juridisko noteiktību, vienlaikus veicinot atbilstības nodrošināšanas izmaksu ierobežošanu, jo īpaši attiecībā uz finanšu vienībām, kas darbojas pāri robežām, un mazinot konkurences kropļojumus. Tāpēc izvēle pieņemt regulu, lai izveidotu kopēju sistēmu finanšu vienību digitālās darbības noturībai, šķiet vispiemērotākais veids, kā nodrošināt viendabīgu un saskaņotu visu IKT riska pārvaldības komponentu piemērošanu Savienības finanšu nozarēs.
(14a) Tomēr šīs regulas īstenošanai nevajadzētu kavēt inovāciju ne attiecībā uz to, kā finanšu vienības risina digitālās darbības noturības jautājumus, vienlaikus ievērojot tās noteikumus, ne attiecībā uz pakalpojumiem, ko tās piedāvā, vai pakalpojumiem, ko piedāvā trešās personas, kas sniedz IKT pakalpojumus.
(15) Papildus finanšu pakalpojumu tiesību aktiem Eiropas Parlamenta un Padomes Direktīva (ES) 2016/1148[7] ir pašreizējais vispārējais kiberdrošības regulējums Savienības līmenī. No septiņām kritiski svarīgajām nozarēm minētā direktīva attiecas arī uz trim finanšu vienību veidiem, proti, kredītiestādēm, tirdzniecības vietām un centrālajiem darījumu partneriem. Tomēr, tā kā Direktīva (ES) 2016/1148 paredz mehānismu, kā valsts līmenī identificēt pamatpakalpojumu sniedzējus, praksē tās darbības jomā tiek iekļautas tikai dažas kredītiestādes, tirdzniecības vietas un centrālie darījumu partneri, ko noteikušas dalībvalstis un kam tādējādi tiek prasīts ievērot minētajā direktīvā noteiktās IKT drošības un incidentu paziņošanas prasības.
(16) Tā kā šī regula paaugstina digitālās noturības komponentu saskaņošanas līmeni, ieviešot prasības attiecībā uz IKT riska pārvaldību un ar IKT saistītu incidentu paziņošanu, kas ir stingrākas salīdzinājumā ar spēkā esošajos Savienības finanšu pakalpojumu tiesību aktos noteiktajām prasībām, tas nozīmē arī lielāku saskaņošanu salīdzinājumā ar Direktīvas (ES) 2016/1148 prasībām. Tādēļ šī regula attiecībā pret Direktīvu (ES) 2016/1148 finanšu vienībām ir lex specialis.
Ir svarīgi saglabāt stingru saikni starp finanšu nozari un Savienības horizontālo kiberdrošības regulējumu, lai nodrošinātu atbilstību dalībvalstu jau pieņemtajām kiberdrošības stratēģijām un ļautu finanšu uzraudzības iestādēm apzināties kiberincidentus, kas ietekmē citas nozares, uz kurām attiecas Direktīva (ES) 2016/1148.
(17) Lai nodrošinātu starpnozaru mācību procesu un efektīvi izmantotu citu nozaru pieredzi, risinot kiberdraudus, Direktīvā (ES) 2016/1148 minētajām finanšu vienībām (piemēram, TID sadarbības grupai un CSIRT) vajadzētu būt daļai no minētās direktīvas “ekosistēmas”.
EUI un valstu kompetentajām iestādēm attiecīgi vajadzētu būt iespējai piedalīties stratēģiskās politikas apspriedēs un TID sadarbības grupas tehniskajā darbā, attiecīgi apmainoties ar informāciju, un turpmāk sadarboties ar vienotajiem kontaktpunktiem, kas izraudzīti saskaņā ar Direktīvu (ES) 2016/1148. Kopīgajai pārraudzības struktūrai, galvenajiem pārraugiem un kompetentajām iestādēm saskaņā ar šo regulu būtu jākonsultējas un jāsadarbojas ar valsts CSIRT, kas izraudzītas saskaņā ar Direktīvas (ES) 2016/1148 9. pantu.
Turklāt ar šo regulu būtu jānodrošina, ka ar Direktīvu (ES) 2016/1148 izveidotais CSIRT tīkls tiek izsmeļoši informēts par būtiskiem ar IKT saistītiem incidentiem.
(18) Svarīgi ir arī nodrošināt atbilstību gan Eiropas kritiskās infrastruktūras (EKI) direktīvai, kas pašlaik tiek pārskatīta, lai uzlabotu kritisko infrastruktūru aizsardzību un izturību pret draudiem, kas nav saistīti ar kiberuzbrukumiem, gan Direktīvai par kritisko vienību noturību, un tas varētu atstāt iespējamu ietekmi uz finanšu nozari[8].
(19) Mākoņdatošanas pakalpojumu sniedzēji ir viena no digitālo pakalpojumu sniedzēju kategorijām, uz ko attiecas Direktīva (ES) 2016/1148. Uz tiem attiecas ex post uzraudzība, ko veic valsts iestādes, kuras izraudzītas saskaņā ar minēto direktīvu, un kas attiecas tikai uz šajā aktā noteiktajām IKT drošības un incidentu paziņošanas prasībām. Tā kā ar šo regulu izveidotā pārraudzības sistēma attiecas uz visām kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, tostarp mākoņdatošanas pakalpojumu sniedzējiem, ja tie sniedz IKT pakalpojumus finanšu vienībām, būtu jāuzskata, ka tā papildina saskaņā ar Direktīvu (ES) 2016/1148 notiekošo uzraudzību, un gan materiālajām, gan procesuālajām prasībām, ko saskaņā ar šo regulu piemēro kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, vajadzētu būt saskaņotām un vienādām ar prasībām, ko piemēro saskaņā ar minēto direktīvu. Turklāt ar šo regulu izveidotajai pārraudzības sistēmai būtu jāattiecas uz mākoņdatošanas pakalpojumu sniedzējiem, jo nav Savienības horizontālās nozarneitrālas sistēmas, ar ko izveidotu digitālo pārraudzības iestādi.
(20) Lai turpinātu pilnībā kontrolēt IKT riskus, finanšu vienībām ir jābūt visaptverošām spējām, kas nodrošina spēcīgu un efektīvu IKT riska pārvaldību, līdztekus īpašiem mehānismiem un rīcībpolitikai attiecībā uz ziņošanu par incidentiem, kas saistīti ar IKT, IKT sistēmu testēšanu, kontroli un procesiem, kā arī ar trešo personu saistītā IKT riska pārvaldību un ar IKT saistītā grupas iekšējā riska pārvaldību. Būtu jāpaaugstina finanšu sistēmas digitālās darbības noturības slieksnis, vienlaikus ļaujot samērīgi piemērot prasības, ņemot vērā arī to specifiku, lielumu, sarežģītību un vispārējo riska profilu.
(21) Ar IKT saistīto incidentu paziņošanas robežvērtības un taksonomija valstu līmenī ievērojami atšķiras. Lai gan, izmantojot attiecīgo darbu, ko saskaņā ar Direktīvu (ES) 2016/1148 ir paveikusi Eiropas Savienības Kiberdrošības aģentūra (ENISA)[9] un TID sadarbības grupa finanšu vienībām, var radīt kopēju platformu, pārējām finanšu vienībām joprojām pastāv vai var rasties atšķirīgas pieejas attiecībā uz robežvērtībām un taksonomiju. Tas ietver vairākas prasības, kas finanšu vienībām jāievēro, jo īpaši, darbojoties vairākās Savienības jurisdikcijās un finanšu grupas ietvaros. Turklāt šīs atšķirības var kavēt turpmāku vienotu vai centralizētu Savienības mehānismu izveidi, kuri paātrina ziņošanas procesu un atbalsta ātru un vienmērīgu informācijas apmaiņu starp kompetentajām iestādēm, kas ir būtiski IKT risku novēršanai liela mēroga uzbrukumu gadījumā ar potenciāli sistēmiskām sekām.
(21a) Lai maksājumu pakalpojumu sniedzējiem, kuri ir šīs regulas piemērošanas jomā, samazinātu administratīvo slogu un nepieļautu sarežģītu un dublējošu ziņošanas prasību ieviešanu, būtu jābeidz piemērot incidentu ziņošanas prasības, kas noteiktas Direktīvā (ES) 2015/2366. Tādējādi saskaņā ar šo regulu kredītiestādēm, e-naudas iestādēm un maksājumu iestādēm būtu jāziņo par visiem ar maksājumiem saistītiem vai nesaistītiem darbības vai drošības incidentiem, par kuriem iepriekš bija jāziņo saskaņā ar Direktīvu (ES) 2015/2366, neatkarīgi no tā, vai šie incidenti ir vai nav saistīti ar IKT.
(22) Lai kompetentās iestādes varētu pildīt savus uzraudzības uzdevumus, iegūstot pilnīgu pārskatu par to, kāda ir ar IKT saistīto incidentu būtība, biežums, nozīme un ietekme, un lai veicinātu informācijas apmaiņu starp attiecīgajām valsts iestādēm, tostarp tiesībaizsardzības iestādēm un noregulējuma iestādēm, ir jāparedz noteikumi, lai izveidotu stabilu ar IKT saistīto incidentu paziņošanas kārtību, paredzot prasības, ar kurām novērst nepilnības finanšu nozares tiesību aktos, un novērš visus pašreizējos pārklāšanās un dublēšanās gadījumus, lai mazinātu izmaksas. Tādēļ ir svarīgi saskaņot kārtību, kādā tiek ziņots par incidentiem, kas ir saistīti ar IKT, nosakot, ka visām finanšu vienībām ir jāsniedz ziņojumi to kompetentajām iestādēm, izmantojot racionalizētu sistēmu, kas paredzēta šajā regulā. Turklāt EUI būtu jāpilnvaro sīkāk noteikt ar IKT saistīto incidentu paziņošanas elementus, piemēram, taksonomiju, termiņus, datu kopas, veidnes un piemērojamās robežvērtības.
(23) Digitālās darbības noturības testēšanas prasības ir izstrādātas dažās finanšu apakšnozarēs vairākās dažkārt nekoordinētās valstu sistēmās, atšķirīgi risinot vienas un tās pašas problēmas. Šādi pārrobežu finanšu vienībām tiek radīta izmaksu dublēšanās, kā arī var tikt apgrūtināta rezultātu savstarpējā atzīšana. Līdz ar to nekoordinēta testēšana var sašķelt vienoto tirgu.
(24) Turklāt, ja testēšana nav obligāta, neaizsargātība paliek neatklāta, radot lielākus draudus finanšu vienībai un galu galā visas finanšu nozares stabilitātei un integritātei. Bez Savienības iejaukšanās digitālās darbības noturības testēšana arī turpmāk būtu fragmentāra un dažādas jurisdikcijas savstarpēji neatzītu testēšanas rezultātus. Turklāt, tā kā ir maz ticams, ka citas finanšu apakšnozares pieņemtu šādas shēmas nozīmīgā apmērā, tās zaudētu iespējamos ieguvumus, piemēram, neaizsargātības un risku atklāšanu, aizsardzības spēju un darbības nepārtrauktības testēšanu, kā arī klientu, piegādātāju un darījumu partneru lielāku uzticību. Lai novērstu šādu pārklāšanos, atšķirības un nepilnības, ir nepieciešams paredzēt noteikumus, kuru mērķis ir koordinēt finanšu vienību un kompetento iestāžu veikto testēšanu, tādējādi sekmējot nozīmīgu finanšu vienību padziļinātas testēšanas savstarpēju atzīšanu.
(25) Finanšu vienību paļaušanos uz IKT pakalpojumiem daļēji nosaka to nepieciešamība pielāgoties jaunai konkurētspējīgai digitālai globālai ekonomikai, celt darījumdarbības efektivitāti un apmierināt klientu pieprasījumu. Šīs paļaušanās būtība un apmērs pēdējo gadu laikā ir pastāvīgi attīstījušies, sekmējot finanšu starpniecības izmaksu samazināšanos, ļaujot paplašināties darījumdarbībai un panākt finanšu pakalpojumu izvietošanas mērogojamību, vienlaikus piedāvājot plašu IKT rīku klāstu sarežģītu iekšējo procesu pārvaldībai.
(26) Šo IKT pakalpojumu plašo izmantošanu apliecina sarežģītas līgumiskas vienošanās, kuru kontekstā finanšu vienībām bieži rodas grūtības vienoties par līguma noteikumiem, kas būtu pielāgoti piesardzības standartiem vai citām regulējošām prasībām, kuras tām jāievēro, vai citādi īstenot īpašas tiesības, piemēram, piekļuves tiesības vai revīzijas tiesības, ja vienošanās tādas paredz. Turklāt daudzos šādos līgumos nav paredzēti pietiekami aizsardzības pasākumi, kas ļautu pilnībā uzraudzīt apakšuzņēmuma procesus, tādējādi liedzot finanšu vienībai spēju novērtēt šos saistītos riskus. Turklāt, tā kā trešās personas, kas ir IKT pakalpojumu sniedzējas, bieži sniedz standartizētus pakalpojumus dažādu veidu klientiem, šādi līgumi ne vienmēr pienācīgi apmierina finanšu nozares dalībnieku individuālās vai īpašās vajadzības.
(27) Neraugoties uz atsevišķiem vispārīgiem noteikumiem par ārpakalpojumiem, kas iekļauti Savienības tiesību aktos par finanšu pakalpojumiem, līgumiskās dimensijas uzraudzība Savienības tiesību aktos nav pilnībā nostiprināta. Tā kā nav skaidru un pielāgotu Savienības standartu, kas attiektos uz līgumisku vienošanos, kas ir noslēgta ar trešām personām, kas sniedz IKT pakalpojumus, IKT riska ārējais avots nav visaptveroši aplūkots. Tādēļ ir nepieciešams noteikt konkrētus pamatprincipus, pēc kuriem vadās finanšu vienības, veicot ar trešo personu saistītā IKT riska pārvaldību, papildinot tos ar līgumisko pamattiesību kopumu attiecībā uz vairākiem līgumu izpildes un izbeigšanas elementiem, lai nostiprinātu konkrētus minimālos aizsardzības pasākumus, kuri ir pamatā finanšu vienību spējai efektīvi uzraudzīt visus riskus, kuri rodas IKT trešās personas līmenī.
(28) Attiecībā uz IKT risku, kas saistīts ar trešo personu, un atkarību no trešās personas piedāvātajiem IKT pakalpojumiem trūkst viendabības un konverģences. Neraugoties uz atsevišķiem centieniem risināt īpašo ārpakalpojumu jomu, piemēram, 2017. gada ieteikumiem par mākoņpakalpojumu sniedzēju ārpakalpojumu izmantošanu[10], Savienības tiesību aktos gandrīz nav risināts jautājums par sistēmisko risku, ko varētu izraisīt finanšu nozares pakļautība ierobežotam skaitam kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus. Šo nepietiekamību Savienības līmenī saasina tas, ka nav īpaša pilnvarojuma un rīku, kas ļautu valstu uzraugiem gūt labu izpratni par atkarību no trešām personām, kas sniedz IKT pakalpojumus, un pienācīgi uzraudzīt risku, ko rada koncentrēta atkarība no trešām personām, kas sniedz IKT pakalpojumus.
(29) Ņemot vērā iespējamos sistēmiskos riskus, ko rada biežākas ārpakalpojumu izmantošanas prakse un IKT trešo personu koncentrācija, un paturot prātā to, ka nav pietiekamu valstu mehānismu, kas ļautu finanšu uzraudzības iestādēm kvantitatīvi noteikt, kvalificēt un novērst to IKT risku sekas, kuri rodas kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, ir nepieciešams izveidot atbilstīgu Savienības pārraudzības sistēmu, kas ļautu pastāvīgi uzraudzīt to trešo personu darbības, kas sniedz IKT pakalpojumus un kritiski svarīgus pakalpojumus finanšu vienībām. Tā kā, grupas iekšienē sniedzot IKT pakalpojumus, netiek radīti tādi paši riski, pakalpojumu sniedzēji, kuri pieder vienai grupai vai institucionālai aizsardzības shēmai, nebūtu jāuzskata par kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus.
(30) Tā kā IKT apdraudējumi kļūst sarežģītāki un attīstītāki, labi atklāšanas un profilakses pasākumi lielākoties ir atkarīgi no regulāras apdraudējumu un neaizsargātības izlūkdatu apmaiņas starp finanšu vienībām. Informācijas apmaiņa veicina lielāku informētību par kiberdraudiem, kas savukārt uzlabo finanšu vienību spēju novērst draudu pārtapšanu reālos incidentos un ļauj finanšu vienībām labāk ierobežot ar IKT saistīto incidentu ietekmi un efektīvāk novērst to sekas. Nepastāvot Savienības līmeņa norādījumiem, šādu izlūkdatu apmaiņu, šķiet, ir kavējuši vairāki faktori, jo īpaši nenoteiktība attiecībā uz saderību ar datu aizsardzības, pretmonopola un atbildības noteikumiem. Tādēļ ir svarīgi stiprināt finanšu vienību un kompetento iestāžu sadarbības mehānismus un ziņošanu, kā arī sabiedrības informēšanu, lai izveidotu atklātu izlūkdatu apmaiņas regulējumu un integrētas drošības pieeju, kas ir svarīgi, lai uzlabotu finanšu nozares darbības noturību un gatavību IKT riskiem. Informācijas apmaiņas pasākumos vienmēr būtu pienācīgi jāņem vērā iespējamie riski, kas saistīti ar kiberdrošību, datu aizsardzību vai komerciālo konfidencialitāti.
(31) Turklāt noderīga informācija tiek noklusēta tādēļ, ka pastāv šaubas par to, kādu informāciju var koplietot ar citiem tirgus dalībniekiem vai iestādēm, kas nav uzraudzības iestādes (piemēram, ENISA attiecībā uz analītiskajiem ievaddatiem vai Eiropolu — tiesībaizsardzības mērķiem). Informācijas apmaiņas apjoms un kvalitāte joprojām ir ierobežoti un sadrumstaloti, attiecīga apmaiņa pārsvarā tiek veikta vietējā līmenī (saskaņā ar valstu iniciatīvām), un nepastāv konsekventa Savienības mēroga informācijas apmaiņas kārtība, kas būtu pielāgota integrētas finanšu nozares vajadzībām. Tādēļ ir svarīgi stiprināt minētos saziņas kanālus un vajadzības gadījumā visā uzraudzības ciklā saņemt informāciju no iestādēm, kas nav uzraudzības iestādes.
(32) ▌Finanšu vienības arī būtu jāmudina kolektīvi izmantot to individuālās zināšanas un praktisko pieredzi stratēģiskā, taktiskā un darbības līmenī, lai uzlabotu to spējas pienācīgi novērtēt un uzraudzīt kiberdraudus, aizsargāties pret tiem un reaģēt uz tiem. Līdz ar to ir nepieciešams ļaut Savienības līmenī rasties mehānismiem, kuri paredz brīvprātīgu informācijas apmaiņas kārtību un kuri, veikti uzticamā vidē, palīdzēs finanšu kopienai novērst apdraudējumus un kolektīvi reaģēt uz tiem, ātri ierobežojot IKT risku izplatīšanos un kavējot iespējamu izplatīšanos pa finanšu kanāliem. Šie mehānismi būtu jāīsteno, pilnībā ievērojot piemērojamos Savienības konkurences tiesību noteikumus[11], kā arī tā, lai tiktu garantēta pilnīga Savienības datu aizsardzības noteikumu, galvenokārt Eiropas Parlamenta un Padomes Regulas (ES) 2016/679[12], ievērošana, jo īpaši saistībā ar minētās regulas 6. panta 1. punkta f) apakšpunktā minēto personas datu apstrādi, kas ir nepieciešama pārziņa vai trešās personas leģitīmo interešu ievērošanai.
(33) Neraugoties uz šajā regulā paredzēto plašo darbības jomu, piemērojot digitālās darbības noturības noteikumus, tostarp riska pārvaldības sistēmas prasības, būtu jāņem vērā nozīmīgas atšķirības attiecībā uz finanšu vienību lielumu, specifiku, sarežģītību un riska profilu. Vispārīgs princips paredz, ka finanšu vienībām, novirzot resursus un spējas IKT riska pārvaldības sistēmas īstenošanai, ar IKT saistītās vajadzības ir pienācīgi jālīdzsvaro ar to lielumu, specifiku, sarežģītību un riska profilu, savukārt kompetentajām iestādēm ir jāturpina vērtēt un pārskatīt šādas sadales pieeja.
(34) Tā kā lielākām finanšu vienībām varētu būt vairāk resursu un tās varētu ātri novirzīt līdzekļus pārvaldības struktūru attīstīšanai un dažādu korporatīvo stratēģiju izveidošanai, sarežģītāka pārvaldības kārtība būtu obligāti jāizveido tikai tām finanšu vienībām, kas nav mikrouzņēmumi šīs regulas izpratnē. Šādām vienībām ir lielākas iespējas izveidot īpašas vadības funkcijas, lai uzraudzītu nolīgumus ar trešām personām, kas sniedz IKT pakalpojumus, vai pārvarētu krīzi, organizētu IKT riska pārvaldību atbilstīgi trīs aizsardzības līniju modelim vai pieņemtu cilvēkresursu dokumentu, kurā visaptveroši būtu izskaidrota piekļuves tiesību rīcībpolitika.
Šo pašu apsvērumu dēļ tikai šādas finanšu vienības būtu jāaicina veikt padziļinātus novērtējumus pēc būtiskām tīklu un informācijas sistēmu infrastruktūras un procesu izmaiņām, regulāri veikt mantoto IKT sistēmu riska analīzi vai paplašināt darbības nepārtrauktības, reaģēšanas un seku novēršanas plānu testēšanu, lai aptvertu scenārijus, kuros notiek pārslēgšanās starp primāro IKT infrastruktūru un rezerves mehānismiem.
(35) Turklāt, tā kā draudu vadīti ielaušanās testi būtu obligāti jāveic tikai tām finanšu vienībām, kas identificētas kā nozīmīgas padziļinātās digitālās darbības noturības testēšanas mērķiem, ar šādu testu veikšanu saistītie administratīvie procesi un finansiālās izmaksas būtu jāsedz nelielam skaitam finanšu vienību. Visbeidzot, lai mazinātu regulatīvo slogu, tikai tām finanšu vienībām, kas nav mikrouzņēmumi, būtu jālūdz regulāri ziņot kompetentajām iestādēm par visām aplēstajām izmaksām un zaudējumiem, ko radījuši nozīmīgi IKT traucējumi, būtiski ar IKT saistīti incidenti, un par to, kādi ir pēc būtiskiem IKT traucējumiem veiktās pēcincidentu pārskatīšanas rezultāti.
(36) Lai nodrošinātu pilnīgu saskaņotību un kopējo vienveidību starp finanšu vienību darījumdarbības stratēģijām, no vienas puses, un IKT riska pārvaldības veikšanu, no otras puses, vadības struktūrai ir jāsaglabā nozīmīga un aktīva loma IKT riska pārvaldības sistēmas un kopējās digitālās darbības noturības stratēģijas vadībā un pielāgošanā. Vadības struktūras pieejai ir jābūt ne tikai vērstai uz to, kā nodrošināt IKT sistēmu noturību, bet arī jāaptver cilvēki un procesi, izmantojot rīcībpolitikas pasākumu kopumu, kas katrā korporatīvās vadības un personāla līmenī kultivē augstu informētību par kiberriskiem un apņemšanos visos līmeņos ievērot stingru kiberhigiēnu.
Vadības struktūras galīgajai atbildībai par finanšu vienības IKT risku pārvaldību ir jābūt šādas visaptverošas pieejas virsprincipam, kas tālāk izpaužas kā vadības struktūras pastāvīga iesaiste IKT riska pārvaldības uzraudzības kontrolē.
(37) Turklāt vadības struktūras pilnīga atbildība iet roku rokā ar tāda IKT ieguldījumu līmeņa un kopējā finanšu vienības budžeta nodrošināšanu, lai būtu iespējams sasniegt digitālās darbības noturības pamatscenāriju.
(38) Pamatojoties uz attiecīgiem starptautiskiem, nacionāliem un nozares noteiktiem standartiem, pamatnostādnēm, ieteikumiem vai pieejām kiberdraudu pārvaldībai[13], šī regula veicina funkciju kopumu, kas sekmē IKT riska pārvaldības vispārējo strukturēšanu. Ja galvenās spējas, ko ievieš finanšu vienības, apmierina šajā regulā noteikto funkciju (identifikācijas, aizsardzības un profilakses, atklāšanas, reaģēšanas un seku novēršanas, mācīšanās un attīstības, saziņas) mērķu vajadzības, finanšu vienības arī turpmāk varēs izmantot dažādi formulētus vai citā kategorijā iekļautus IKT riska pārvaldības modeļus.
(39) Lai neatpaliktu no strauji mainīgās kiberdraudu vides, finanšu vienībām būtu jāuztur atjauninātas IKT sistēmas, kas ir uzticamas un kam ir pieejama pietiekama jauda, lai ne tikai garantētu darbu veikšanai nepieciešamo datu apstrādi, bet arī nodrošinātu tehnoloģisko noturību, ļaujot finanšu vienībām pienācīgi tikt galā ar nepieciešamo papildu apstrādi, ko var radīt saspringti tirgus apstākļi vai citas nelabvēlīgas situācijas. Lai gan šī regula neparedz konkrētu IKT sistēmu, instrumentu vai tehnoloģiju standartizāciju, tā balstās uz Eiropas un starptautiski atzītu tehnisko standartu (piemēram, ISO) vai nozares labākās prakses piemērotu izmantošanu finanšu vienībās, ciktāl šāda izmantošana pilnībā atbilst īpašiem uzraudzības norādījumiem par starptautisko standartu izmantošanu un iekļaušanu.
(40) Ir nepieciešami efektīvi darbības nepārtrauktības un seku novēršanas plāni, lai finanšu vienības varētu nekavējoties un ātri atrisināt ar IKT saistītos incidentus, jo īpaši kiberuzbrukumus, ierobežojot kaitējumu un dodot priekšroku darbību atsākšanai un seku novēršanas darbībām, ņemot vērā to, vai attiecīgā funkcija ir kritiski svarīga vai svarīga. Tomēr, lai gan rezerves sistēmām apstrāde būtu jāsāk bez nepamatotas kavēšanās, šī uzsākšana nekādi nedrīkstētu apdraudēt tīklu un informācijas sistēmu integritāti un drošību vai datu konfidencialitāti.
(41) Lai gan šī regula ļauj finanšu vienībām elastīgi konstatēt mērķus attiecībā uz seku novēršanas termiņiem un līdz ar to noteikt šādus mērķus, pilnībā ņemot vērā attiecīgās funkcijas būtību un kritisko svarīgumu, kā arī jebkādas specifiskās darījumdarbības vajadzības, mērķu noteikšanas procesā būtu nepieciešams izvērtēt arī iespējamo kopējo ietekmi uz tirgus efektivitāti.
(42) Kiberuzbrukumu būtiskās sekas tiek pastiprinātas gadījumos, kad tie notiek finanšu nozarē — jomā, kam ir daudz lielāks risks kļūt par mērķi ļaunprātīgiem izplatītājiem, kuri vēlas gūt finansiālu labumu tieši līdzekļu izcelsmes vietā. Lai mazinātu šādus riskus un novērstu, ka IKT sistēmas zaudē integritāti vai kļūst nepieejamas, tiek piekļūts konfidenciāliem datiem vai nodarīts kaitējums fiziskajai IKT infrastruktūrai, būtu ievērojami jāuzlabo finanšu vienību ziņošana par būtiskiem ar IKT saistītiem incidentiem.
Ar IKT saistītu incidentu paziņošana attiecībā uz visām finanšu vienībām būtu jāsaskaņo, nosakot tām pienākumu ziņot tikai to kompetentajām iestādēm. Lai gan šī ziņošana attiektos uz visām finanšu vienībām, tai nebūtu vienādi jāskar tās visas, jo attiecīgās būtiskuma robežvērtības un termiņi būtu jāpielāgo tā, lai aptvertu vienīgi būtiskus ar IKT saistītus incidentus. Tieša ziņošana ļautu finanšu uzraudzības iestādēm piekļūt informācijai par incidentiem, kas saistīti ar IKT. Tomēr finanšu uzraudzības iestādēm šī informācija būtu jānodod ar finansēm nesaistītām publiskām iestādēm (TID kompetentajām iestādēm, valsts datu aizsardzības iestādēm un tiesībaizsardzības iestādēm, ja incidents ir bijis krimināla rakstura). Informācijai par incidentiem, kas saistīti ar IKT, būtu jāplūst abpusēji: finanšu uzraudzības iestādēm būtu jāsniedz finanšu vienībai visa nepieciešamā atgriezeniskā saite vai norādījumi, savukārt EUI būtu jādalās ar anonimizētiem datiem par apdraudējumiem un neaizsargātību, kas saistīti ar notikumu, lai palīdzētu veidot kolektīvo aizsardzību plašākā nozīmē.
(43) Būtu jāparedz tālākas pārdomas par to, kā varētu centralizēt ar IKT saistīto incidentu paziņošanu, izmantojot vienotu centralizētu ES centrmezglu ziņošanai par būtiskiem ar IKT saistītiem incidentiem, kas vai nu tieši saņemtu attiecīgos ziņojumus un automātiski informētu valstu kompetentās iestādes, vai centralizētu valstu kompetento iestāžu pārsūtītos ziņojumus un pildītu koordinācijas funkciju. EUI būtu jānosaka pienākums, apspriežoties ar ECB un ENISA, līdz noteiktam datumam izstrādāt kopīgu ziņojumu, kurā būtu izvērtēta šāda centralizēta ES centrmezgla izveides iespējamība.
(44) Lai panāktu stabilu digitālās darbības noturību, kā arī ievērojot starptautiskos standartus (piemēram, G7 draudu vadītas ielaušanās testēšanas pamatelementus), finanšu vienībām, kas nav mikrouzņēmumi, būtu regulāri jātestē savu IKT sistēmu un personāla preventīvo, atklāšanas, reaģēšanas un seku novēršanas spēju efektivitāte, lai atklātu un risinātu potenciālo IKT neaizsargātību. Lai reaģētu uz finanšu apakšnozaru starpā un to iekšienē pastāvošajām atšķirībām saistībā ar finanšu vienību sagatavotību kiberdrošības jomā, testēšanā jāietver dažādi rīki un darbības, sākot no pamatprasību novērtēšanas (piemēram, neaizsargātības novērtējumi un skenēšana, atklātā pirmkoda analīze, tīkla drošības novērtējumi, nepilnību analīze, fiziskās drošības pārbaudes, anketas un skenēšanas programmatūras risinājumi, pirmkodu pārskatīšana (ja iespējams), uz scenārijiem balstīti testi, saderības testēšana, veiktspējas testēšana, testēšana “no gala līdz galam”) līdz padziļinātai testēšanai (piem., DVIT tādām finanšu vienībām, kuru IKT sagatavotība ir pietiekama, lai tās varētu veikt šādus testus). Tādēļ nozīmīgām finanšu vienībām (piem., lielām kredītiestādēm, biržām, centrālajiem vērtspapīru depozitārijiem, centrālajiem darījumu partneriem utt.) digitālās darbības noturības testēšanai būtu jābūt prasīgākai. Vienlaikus digitālās darbības noturības testēšanas nozīmei būtu jābūt lielākai arī dažās apakšnozarēs, kam ir svarīga sistēmiska loma (piem., maksājumi, banku darbība, tīrvērte un norēķini), bet mazākai — citās apakšnozarēs (piem., aktīvu pārvaldītāji, kredītreitingu aģentūras utt.). Pārrobežu finanšu vienībām, kas izmanto savu brīvību veikt uzņēmējdarbību vai sniegt pakalpojumus Savienībā, vajadzētu ievērot vienotu padziļinātas testēšanas prasību kopumu (piemēram, DVIT) savā piederības dalībvalstī, un šajā testā būtu jāiekļauj IKT infrastruktūra visās jurisdikcijās, kurās pārrobežu grupa darbojas Savienībā, tādējādi pieļaujot, ka pārrobežu grupām testēšanas izmaksas rodas tikai vienā jurisdikcijā. Turklāt, lai finanšu vienību noturības jomā pastiprinātu sadarbību ar uzticamām trešām valstīm, Komisijai un kompetentajām iestādēm būtu jācenšas izveidot DVIT rezultātu savstarpējās atzīšanas sistēmu.
Dalībvalstīm būtu jāizraugās viena vienota publiska iestāde, kas valsts līmenī būtu atbildīga par DVIT finanšu nozarē. Vienotā publiskā iestāde cita starpā varētu būt valsts kompetentā iestāde vai publiska iestāde, kas izraudzīta saskaņā ar Direktīvas (ES) 2016/1148 (TID) 8. pantu. Vienotajai publiskajai iestādei vajadzētu būt atbildīgai par apliecinājumu izsniegšanu attiecībā uz to, ka DVIT ir veikta saskaņā ar prasībām. Šādiem apliecinājumiem būtu jāatvieglo testēšanas savstarpēja atzīšana starp kompetentajām iestādēm.
Dažām finanšu vienībām ir spēja veikt iekšēju padziļinātu testēšanu, savukārt citas slēdz līgumus ar ārējiem testētājiem Savienībā vai trešā valstī. Tāpēc ir svarīgi, lai uz visiem testētājiem attiektos vienādas un skaidras prasības. Lai nodrošinātu iekšējo testētāju neatkarību, to izmantošana būtu jāapstiprina kompetentajai iestādei.
Būtu jānosaka nevis DVIT metodes obligāta izmantošana, bet gan jāparedz, ka atbilstība šajā regulā noteiktajām DVIT prasībām ir ievērota, ja tiek izmantota pašreizējā ES sistēma ētiska uzbrukuma vienības veidošanai, balstoties uz izlūkdatiem (TIBER-EU sistēma).
Kamēr nav stājusies spēkā šī regula un EUI nav izstrādājušas un pieņēmušas regulatīvos tehniskos standartus attiecībā uz DVIT, finanšu vienībām būtu jāievēro attiecīgās Savienības pamatnostādnes un regulējums, ko piemēro izlūkdatu vadītas ielaušanās testos, jo tie joprojām būs jāpiemēro arī pēc šīs regulas stāšanās spēkā.
(44a) Finanšu vienībai joprojām vajadzētu būt pilnībā atbildīgai par DVIT īstenošanu, kā arī par kiberdrošības pārvaldību kopumā un kiberuzbrukumu novēršanu, un iestāžu apliecinājumiem vajadzētu tikt sniegtiem vienīgi savstarpējas atzīšanas nolūkā, un tiem nebūtu jāliedz veikt turpmākus pasākumus attiecībā uz IKT riska līmeni, kuram finanšu vienība ir pakļauta, un tie nebūtu jāuzskata par tās IKT riska pārvaldības un mazināšanas spēju apstiprināšanu.
(45) Lai nodrošinātu ar trešo personu saistītā IKT riska stabilu uzraudzību, ir nepieciešams paredzēt uz principiem balstītu noteikumu kopumu, lai vadītu finanšu vienību veikto tāda riska uzraudzību, kas rodas saistībā ar funkciju nodošanu ārpakalpojumā trešām personām, kas sniedz IKT pakalpojumus, jo īpaši attiecībā uz kritiski svarīgu vai svarīgu funkciju nodrošināšanu, ko veic trešās personas, kas sniedz IKT pakalpojumus, un vispārīgāk — saistībā ar atkarību no trešām personām, kas sniedz IKT pakalpojumus.
(46) Finanšu vienībai nepārtraukti jābūt pilnībā atbildīgai par šajā regulā paredzēto pienākumu izpildi. Samērīga uzraudzība riskam, kurš rodas trešām personām, kas sniedz IKT pakalpojumus, būtu jāorganizē, pienācīgi ņemot vērā ar IKT saistītās atkarības specifiku, mērogu, sarežģītību un nozīmi, to pakalpojumu, procesu vai funkciju kritiskumu vai svarīgumu, uz kuriem attiecas līgumiskas vienošanās, un galu galā attiecīgos gadījumos — pamatojoties uz rūpīgu novērtējumu par iespējamo ietekmi uz finanšu pakalpojumu nepārtrauktību un kvalitāti individuālajā un grupas līmenī, kā arī to, vai IKT pakalpojumus sniedz grupas iekšienē, vai arī to dara trešās personas.
(47) Šādā uzraudzībā būtu jāievēro stratēģiska pieeja ar trešo personu saistītajam IKT riskam, kas tiek formalizēta, finanšu vienības vadības struktūrai pieņemot īpašu stratēģiju, kas balstās visu šādu atkarību no trešām personām, kas sniedz IKT pakalpojumus, pastāvīgā izvērtēšanā. Lai uzlabotu uzraugu informētību par atkarību no trešām personām, kas sniedz IKT pakalpojumus, un papildus atbalstītu ar šo regulu izveidoto pārraudzības sistēmu, finanšu uzraudzības iestādēm būtu regulāri jāsaņem nozīmīga informācija no reģistriem un jāspēj ad hoc kārtībā pieprasīt izrakstus no tiem.
(48) Padziļinātai analīzei pirms līguma noslēgšanas vajadzētu būt līgumiskas vienošanās oficiālas noslēgšanas pamatā un jānotiek pirms tās, savukārt koriģējoši un korektīvi pasākumi, kas var ietvert daļēju vai pilnīgu līguma izbeigšanu, būtu jāveic vismaz tādu apstākļu kopuma gadījumā, kas liecina par trešās personas, kas sniedz IKT pakalpojumus, nopietnām nepilnībām.
(49) Lai risinātu ar trešo personu saistītā IKT koncentrācijas riska sistēmisko ietekmi, būtu jāsekmē līdzsvarots risinājums, izmantojot elastīgu un pakāpenisku pieeju, jo neelastīgas robežvērtības vai stingri ierobežojumi var kavēt darījumdarbības veikšanu un līgumslēgšanas brīvību. Finanšu vienībām būtu rūpīgi jāizvērtē līgumiskas vienošanās, lai noteiktu šāda riska rašanās iespējamību, tostarp veicot padziļinātu analīzi par ārpakalpojumu tālākas deleģēšanas līgumiem▐. Šajā posmā un nolūkā panākt taisnīgu līdzsvaru starp līgumu slēgšanas brīvības saglabāšanu un finanšu stabilitātes garantēšanu nav lietderīgi paredzēt stingras robežvērtības un ierobežojumus pakļautībai ar trešo personu saistītam IKT riskam. Kopīgā pārraudzības struktūra, kas veic pārraudzību attiecībā uz katru kritiski svarīgo trešo personu, kas sniedz IKT pakalpojumus, un EUI, kas izraudzīta veikt ikdienas pārraudzību (“galvenais pārraugs”), pildot pārraudzības uzdevumus, īpašu uzmanību pievērš tam, lai pilnībā aptvertu savstarpējo atkarību apjomu un atklātu konkrētus gadījumus, kad kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, augsta koncentrācija Savienībā varētu radīt spiedienu uz Savienības finanšu sistēmas stabilitāti un integritāti, un tā vietā būtu jānodrošina dialogs ar kritiski svarīgajām trešām personām, kas sniedz IKT pakalpojumus, ja šāds risks ir identificēts[14].
(50) Lai varētu izvērtēt un regulāri uzraudzīt trešās personas, kas sniedz IKT pakalpojumus, spēju droši sniegt pakalpojumus finanšu vienībai, nelabvēlīgi neietekmējot tās noturību, ir jāsaskaņo galvenie līgumiskie elementi visā ar trešām personām, kas sniedz IKT pakalpojumus, noslēgto līgumu izpildes laikā. Šie elementi aptver tikai minimālos līgumiskos aspektus, kas tiek uzskatīti par svarīgiem, lai ļautu finanšu vienībai pilnībā uzraudzīt to, kā tiek nodrošināta tās digitālās darbības noturība, kas ir atkarīga no IKT pakalpojuma stabilitātes un drošības.
(51) Ar līgumisku vienošanos jo īpaši būtu jānosaka visu funkciju un pakalpojumu pilnīgs apraksts, funkciju sniegšanas un datu apstrādes vieta, kā arī jānorāda pilni pakalpojumu līmeņa apraksti, kam pievienoti kvantitatīvi un kvalitatīvi darbības mērķi atbilstīgi nolīgtajiem pakalpojumu līmeņiem, kas ļauj finanšu vienībai efektīvi veikt uzraudzību. Attiecībā uz finanšu vienības spēju nodrošināt ar trešo personu saistītā riska uzraudzību par būtiskiem elementiem tāpat būtu jāuzskata noteikumi par piekļūstamību, pieejamību, integritāti, drošību un personas datu aizsardzību, kā arī garantijas attiecībā uz piekļuvi, atgūšanu un atgriešanu trešās personas, kas sniedz IKT pakalpojumus, maksātnespējas, noregulējuma vai darījumdarbības izbeigšanas gadījumā vai gadījumā, kad līgumattiecības ir beigušās.
(52) Lai nodrošinātu, ka finanšu vienības turpina pilnībā kontrolēt visu notikumu attīstību, kas varētu ietekmēt to IKT drošību, ir jānosaka trešām personām, kas sniedz IKT pakalpojumus, saistoši paziņošanas termiņi un ziņošanas pienākumi, ja iestājušies notikumi, kas varētu būtiski ietekmēt trešās personas, kas sniedz IKT pakalpojumus, spēju efektīvi veikt kritiski svarīgas vai svarīgas funkcijas, ieskaitot tā sniegtu palīdzību ar IKT saistīta incidenta gadījumā, kas saistīts ar pakalpojumiem, kurus finanšu vienībai sniedz trešās puses IKT pakalpojumu sniedzējs atbilstīgi nolīgtajiem pakalpojumu līmeņiem, bez papildu maksas vai par iepriekš noteiktu maksu. Šajā regulā neiekļauj IKT papildpakalpojumus, no kuriem nav atkarīga finanšu vienības darbība.
Turklāt šajā regulā sniegtajā jēdziena “kritiskas vai svarīgas funkcijas” definīcijā būtu jāietver kritiski svarīgu funkciju definīcija, kā noteikts Eiropas Parlamenta un Padomes 2014. gada 15. maija Direktīvas 2014/59/ES[15] 2. panta 1. punkta 35) apakšpunktā. Tāpēc funkcijām, kas ir kritiski svarīgas funkcijas saskaņā ar Direktīvu 2014/59/ES, vajadzētu būt kritiski svarīgām vai svarīgām funkcijām šīs regulas izpratnē.
(53) Gadījumā, ja tiek panāktas līgumiskas vienošanās saistībā ar kritiski svarīgām vai svarīgām funkcijām, finanšu vienības vai tās ieceltas trešās personas piekļuves, pārbaudes un revīzijas tiesības ir svarīgi rīki pastāvīgās uzraudzības procesā, kuru finanšu vienība veic attiecībā uz trešās personas, kas sniedz IKT pakalpojumus, darbības rezultātiem, un kuru papildina trešās personas pilnīga sadarbība pārbaužu laikā. Arī finanšu vienības kopīgajai pārraudzības struktūrai un galvenajam pārraugam vajadzētu būt šādām tiesībām ar iepriekšēju paziņojumu pārbaudīt trešās personas, kas sniedz IKT pakalpojumus, un veikt to revīziju, ievērojot konfidencialitāti un rīkojoties piesardzīgi, lai nepieļautu, ka ir traucēta pakalpojumu sniegšana citiem klientiem, kurus apkalpo trešā persona, kas sniedz IKT pakalpojumus. Finanšu vienībai un trešai personai, kas sniedz IKT pakalpojumus, vajadzētu būt iespējai vienoties par to, ka piekļuves, pārbaudes un revīzijas tiesības var deleģēt neatkarīgai trešai personai.
(54) Ar līgumisku vienošanos būtu jāparedz skaidri noteiktas izbeigšanas tiesības un ar tām saistīti minimālie paziņošanas termiņi, kā arī atsevišķas atkāpšanās stratēģijas, kas jo īpaši ļauj noteikt obligātus pārejas periodus, kuros trešās personas, kas sniedz IKT pakalpojumus, turpina nodrošināt attiecīgās funkcijas ar mērķi mazināt traucējumu risku finanšu vienības līmenī vai ļauj tai efektīvi pāriet pie citas trešās personas, kas sniedz IKT pakalpojumus, vai arī izmantot iekšējus risinājumus atbilstīgi sniegtā pakalpojuma sarežģītībai. Turklāt kredītiestādēm būtu jānodrošina, ka attiecīgie IKT līgumi ir stabili un pilnīgi izpildāmi kredītiestādes noregulējuma gadījumā. Noregulējuma iestādes sagaida, ka kredītiestādes nodrošinās, lai attiecīgie IKT pakalpojumu līgumi būtu noturīgi noregulējuma gadījumā. Minētajām finanšu vienībām būtu jānodrošina, ka tik ilgi, kamēr joprojām tiek pildītas kritiski svarīgas vai svarīgas funkcijas, līgumos citu prasību starpā būtu iekļauti punkti par līguma darbības neizbeigšanu, neatcelšanu un nepārveidošanu pārstrukturēšanas vai noregulējuma gadījumā.
(55) Turklāt, brīvprātīgi izmantojot līguma standartklauzulas, kuras Komisija izstrādājusi attiecībā uz mākoņdatošanas pakalpojumu izmantošanu, var nodrošināt papildu drošību finanšu vienībām un to trešām personām, kas sniedz IKT pakalpojumus, uzlabojot juridisko noteiktību attiecībā uz mākoņdatošanas pakalpojumu izmantošanu finanšu nozarē un to pilnībā saskaņojot ar Finanšu pakalpojumu regulas prasībām un gaidām. Šis darbs balstās uz pasākumiem, kas tika paredzēti jau 2018. gada Finanšu tehnoloģijas rīcības plānā, kurā tika izziņots Komisijas nodoms atbalstīt un veicināt līgumu standartklauzulu izstrādi finanšu vienību darbību uzticēšanai ārējiem mākoņdatošanas pakalpojumu sniedzējiem, par pamatu izmantojot starpnozaru mākoņdatošanas pakalpojumu jomas ieinteresēto personu centienus, ko Komisija ar finanšu nozares iesaisti ir veicinājusi.
(55a) Būtu jāpiešķir EUI pilnvaras izstrādāt īstenošanas tehniskos un regulatīvos standartus, precizējot to, kāda politika tiek sagaidīta attiecībā uz trešo personu IKT riska pārvaldību un līgumiskajām prasībām. Līdz brīdim, kad minētie standarti stājas spēkā, finanšu vienībām būtu jāievēro attiecīgās pamatnostādnes un citi pasākumi, ko izdevušas EUI un kompetentās iestādes.
(56) Lai veicinātu konverģenci un efektivitāti attiecībā uz uzraudzības pieejām ar trešo personu saistītajam IKT riskam finanšu nozarē, stiprinātu to finanšu vienību digitālās darbības noturību, kuras darbības funkciju veikšanā paļaujas uz kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, un tādējādi palīdzētu saglabāt Savienības finanšu sistēmas stabilitāti un finanšu pakalpojumu vienotā tirgus integritāti, kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, būtu jāpiemēro Savienības pārraudzības sistēma.
(57) Tā kā tikai pret kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, ir nepieciešama īpaša attieksme, būtu jāievieš izraudzīšanās mehānisms Savienības pārraudzības sistēmas piemērošanai, lai ņemtu vērā, kādā apmērā un veidā finanšu nozare paļaujas uz šādām trešām personām, kas sniedz IKT pakalpojumus, un uz tā pamata būtu jāveido kvantitatīvu un kvalitatīvu kritēriju kopums, kas noteiktu svarīguma parametrus kā pamatu iekļaušanai pārraudzības sistēmā. Kritiski svarīgajām trešām personām, kas sniedz IKT pakalpojumus un kas netiek automātiski izraudzītas, piemērojot minētos kritērijus, vajadzētu būt iespējai brīvprātīgi pievienoties pārraudzības sistēmai, savukārt tās trešās personas, kas sniedz IKT pakalpojumus un uz ko jau attiecas pārraudzības mehānismi, kuri atbalsta Eirosistēmas līmenī noteiktu uzdevumu izpildi, kā minēts Līguma par Eiropas Savienības darbību 127. panta 2. punktā ▐, attiecīgi būtu jāatbrīvo. Tāpat arī kritiski svarīgu uzņēmumu izraudzīšanās mehānisms nebūtu jāpiemēro uzņēmumiem, kas pieder finanšu grupai un kas sniedz IKT pakalpojumus tikai tās pašas finanšu grupas vienībām.
(58) Prasība, ka kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, jābūt juridiski nodibinātām Savienībā, neparedz datu lokalizāciju, jo šī regula neparedz nekādas papildu prasības attiecībā uz datu uzglabāšanas vai apstrādes veikšanu Savienībā. Prasība, saskaņā ar kuru ir vajadzīgs uzņēmums, piemēram, Savienībā saskaņā ar dalībvalsts tiesību aktiem izveidots meitasuzņēmums, ir noteikta tāpēc, lai nodrošinātu kontaktpunktu saziņai starp trešo personu, kas sniedz IKT pakalpojumus, no vienas puses, un galveno pārraugu un kopīgo pārraudzības struktūru, no otras puses, un lai nodrošinātu, ka galvenais pārraugs un kopīgā pārraudzības struktūra var pildīt savus pienākumus un īstenot savas pilnvaras attiecībā uz šajā regulā paredzēto pārraudzību un izpildes nodrošināšanu. Trešās personas, kas sniedz IKT pakalpojumus, nolīgtie pakalpojumi nav jāsniedz tās vienībai Savienībā.
(58a) Ņemot vērā ievērojamo ietekmi, ko varētu radīt izraudzīšanās par kritisku svarīgu trešo personu, kas sniedz IKT pakalpojumus, būtu jāizveido iepriekšējas uzklausīšanas tiesības, kas būtu jānodrošina EUI un kopīgajai pārraudzības struktūrai, lai pienācīgi ņemtu vērā jebkādu papildu informāciju, ko izraudzīšanās procesā sniedz trešā persona, kas sniedz IKT pakalpojumus.
(59) Pārraudzības regulējumam nevajadzētu skart dalībvalstu kompetenci veikt savus pārraudzības uzdevumus attiecībā uz trešām personām, kas sniedz IKT pakalpojumus, kuri nav kritiski svarīgi saskaņā ar šo regulu, bet kurus var uzskatīt par svarīgiem valsts līmenī.
(60) Lai izmantotu finanšu pakalpojumu jomas pašreizējo daudzslāņaino institucionālo struktūru, EUI Apvienotajai komitejai būtu jāturpina nodrošināt vispārēju starpnozaru koordināciju attiecībā uz visiem ar IKT risku saistītajiem jautājumiem saskaņā ar tās uzdevumiem kiberdrošības jomā, izmantojot jaunizveidoto kopīgo pārraudzības struktūru, kas izdod gan▐ atsevišķām kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, adresētus lēmumus, gan kolektīvus ieteikumus, jo īpaši par kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, pārraudzības programmu salīdzinošo novērtēšanu un IKT koncentrācijas riska jautājumu risināšanas labākās prakses noteikšanu.
(61) Lai nodrošinātu, ka trešās personas, kas sniedz IKT pakalpojumus, kam ir kritiski svarīga loma finanšu nozares darbībā, ir samērīgi pārraudzītas Savienības mērogā, būtu jāizveido kopīga pārraudzības struktūra, kas tieši pārraudzītu trešās personas, kas sniedz IKT pakalpojumus. Turklāt viena no EUI būtu jāizraugās par katras kritiski svarīgās trešās personas, kas sniedz IKT pakalpojumus, galveno pārraugu, lai veiktu un koordinētu ikdienas pārraudzību un izmeklēšanas darbu, darbotos kā vienots kontaktpunkts un nodrošinātu nepārtrauktību. Kopīgajai pārraudzības struktūrai un galvenajam pārraugam būtu jādarbojas netraucēti, lai nodrošinātu efektīvu ikdienas pārraudzību, kā arī holistisku pieeju lēmumu pieņemšanai un ieteikumiem.
(62) Galvenajiem pārraugiem vajadzētu būt vajadzīgajām pilnvarām veikt kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, izmeklēšanu un pārbaudes uz vietas▐, piekļūt visām attiecīgajām telpām un atrašanās vietām un iegūt pilnīgu un atjauninātu informāciju, lai tie varētu iegūt patiesu priekšstatu par finanšu vienībām un Savienības finanšu sistēmai radīto, ar trešo personu saistīto IKT risku pēc tā veida, apmēra un ietekmes.
(62a) Tiešas pārraudzības uzticēšana kopīgajai pārraudzības struktūrai ir priekšnoteikums tam, lai novērtētu un risinātu IKT riska sistēmisko dimensiju finanšu jomā. Kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, ietekme Savienības mērogā un ar to saistītie iespējamie IKT koncentrācijas riska jautājumi mudina izvēlēties kolektīvu pieeju, kas tiek īstenota Savienības līmenī. Vairākkārtēju revīziju un piekļuves tiesību īstenošana, ko nošķirti veic daudzas kompetentās iestādes, koordinējot centienus maz vai nemaz, neradītu pilnīgu pārskatu par IKT risku, kas saistīts ar trešo personu, vienlaikus radot nevajadzīgu dublēšanos, slogu un sarežģītību kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, kuri saskaras ar šādiem daudziem pieprasījumiem.
(63) Turklāt kopīgajai pārraudzības struktūrai būtu jāspēj sniegt ieteikumus par IKT riska jautājumiem un piemērotiem novēršanas pasākumiem, ieskaitot iebildumus pret konkrētu līgumisku vienošanos, kas ietekmē finanšu vienības vai finanšu sistēmas stabilitāti. Valstu kompetentajām iestādēm, pildot finanšu vienību prudenciālās uzraudzības funkciju, būtu pienācīgi jāņem vērā arī tas, vai ir ievēroti būtiskie ieteikumi, kurus sniegusi kopīgā pārraudzības struktūra. Pirms šādu ieteikumu pabeigšanas kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, būtu jānodrošina iespēja sniegt informāciju, kura — kā šīs trešās personas pamatoti uzskata — būtu jāņem vērā, pirms ieteikuma pabeigšanas un izdošanas.
(63a) Lai novērstu dublēšanos un pretrunas ar tehniskajiem un organizatoriskajiem pasākumiem, kuras tiek piemērotas kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, galvenajiem pārraugiem un kopīgajai pārraudzības struktūrai, īstenojot pilnvaras saskaņā ar šajā regulā paredzēto pārraudzības sistēmu, būtu pienācīgi jāņem vērā ar Direktīvu (ES) 2016/1148 izveidotā sistēma. Pirms šādu pilnvaru īstenošanas kopīgajai pārraudzības struktūrai un galvenajam pārraugam būtu jāapspriežas ar attiecīgajām kompetentajām iestādēm, kuru jurisdikcija ir noteikta Direktīvā (ES) 2016/1148.
(64) Pārraudzības sistēma neaizstāj, kā arī nekādā veidā un daļā neaizvieto finanšu vienību veikto tāda riska pārvaldību, ko rada trešo personu, kas sniedz IKT pakalpojumus, izmantošana, tostarp pienākumu pastāvīgi uzraudzīt līgumiskas vienošanās, kas noslēgtas ar kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, un neietekmē finanšu vienību pilnu atbildību par visu no šīs regulas un attiecīgajiem finanšu pakalpojumu tiesību aktiem izrietošo prasību ievērošanu un to izpildi. Lai izvairītos no dublēšanās un pārklāšanās, kompetentajām iestādēm būtu jāatturas individuāli veikt pasākumus, kuru mērķis ir uzraudzīt kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus, riskus. Jebkurš šāds pasākums iepriekš būtu jākoordinē un par to jāvienojas saistībā ar pārraudzības sistēmu.
(65) Lai starptautiskā līmenī veicinātu konverģenci attiecībā uz labāko praksi, ko izmanto, pārskatot trešo personu, kas sniedz IKT pakalpojumus, digitālo riska pārvaldību, EUI būtu jāmudina noslēgt sadarbības nolīgumus ar attiecīgajām uzraudzības un regulatīvajām trešo valstu kompetentajām iestādēm, lai veicinātu ar trešo personu saistītā IKT riska novēršanas labākās prakses izstrādi.
(66) Lai apkopotu kompetento iestāžu ekspertu tehniskās zināšanas par operacionālā un IKT riska pārvaldību, galvenajiem pārraugiem, veicot vispārējas izmeklēšanas vai pārbaudes uz vietas, būtu jāizmanto valstu uzraudzības pieredze un jāizveido īpašas pārbaudes grupas katrai atsevišķai kritiski svarīgai trešai personai, kas sniedz IKT pakalpojumus, apvienojot daudznozaru grupas, lai tās atbalstītu gan pārraudzības pasākumu sagatavošanu, gan faktisko izpildi, tostarp kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, pārbaudes uz vietas, kā arī pēc tam veicot vajadzīgos turpmākos pasākumus.
(67) Kompetentajām iestādēm jābūt visām nepieciešamajām uzraudzības, izmeklēšanas un sankciju pilnvarām, lai nodrošinātu šīs regulas piemērošanu. Administratīvie sodi principā būtu jāpublicē. Tā kā finanšu vienības un trešās personas, kas sniedz IKT pakalpojumus, var būt nodibināti dažādās dalībvalstīs un tos var uzraudzīt dažādas nozares kompetentās iestādes, būtu jānodrošina cieša sadarbība starp attiecīgajām kompetentajām iestādēm, tostarp ar ECB attiecībā uz īpašiem uzdevumiem, ko tai uztic saskaņā ar Padomes Regulu (ES) Nr. 1024/2013[16], un ar EUI, veicot savstarpēju informācijas apmaiņu un sniedzot palīdzību saistībā ar uzraudzības darbībām. Kaut arī Vienotā noregulējuma valde nav kompetentā iestāde šīs regulas nozīmē, tā tomēr būtu jāiesaista mehānismos, kas izveidoti informācijas apmaiņai starp vienībām, uz kurām attiecas Eiropas Parlamenta un Padomes Regulas (ES) Nr. 806/2014[17] darbības joma.
(68) Lai turpinātu kvantitatīvi un kvalitatīvi raksturot kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, izraudzīšanās kritērijus un saskaņotu pārraudzības maksas, Komisijai būtu jādeleģē pilnvaras pieņemt aktus saskaņā ar Līguma par Eiropas Savienības darbību 290. pantu attiecībā uz: tādas sistēmiskas ietekmes tālāku precizēšanu, ko trešās personas, kas sniedz IKT pakalpojumus, darbība varētu radīt finanšu vienībām, kuras tas apkalpo, globālo sistēmiski nozīmīgo iestāžu (G-SNI) vai citu sistēmiski nozīmīgu iestāžu (C-SNI), kas paļaujas uz attiecīgo trešo personu, kas sniedz IKT pakalpojumus, skaitu, aktīvu trešo personu, kas sniedz IKT pakalpojumus, skaitu konkrētā tirgū, izmaksām, kas saistītas ar pāriešanu pie citas trešās personas, kas sniedz IKT pakalpojumus, to dalībvalstu skaitu, kurās darbojas attiecīgā trešā persona, kas sniedz IKT pakalpojumus, un kurās darbojas finanšu vienības, kas izmanto attiecīgo trešo personu, kas sniedz IKT pakalpojumus, kā arī pārraudzības maksu apmēru un to, kādā veidā tās ir jāmaksā.
Ir īpaši būtiski, lai Komisija, veicot sagatavošanas darbus, rīkotu atbilstīgas apspriešanās, tostarp ekspertu līmenī, un lai minētās apspriešanās tiktu rīkotas saskaņā ar principiem, kas noteikti 2016. gada 13. aprīļa Iestāžu nolīgumā par labāku likumdošanas procesu[18]. Jo īpaši, lai deleģēto aktu sagatavošanā nodrošinātu vienādu dalību, Eiropas Parlaments un Padome visus dokumentus saņem vienlaicīgi ar dalībvalstu ekspertiem, un minēto iestāžu ekspertiem ir sistemātiska piekļuve Komisijas ekspertu grupu sanāksmēm, kurās notiek deleģēto aktu sagatavošana.
(69) Tā kā šī regula kopā ar Eiropas Parlamenta un Padomes Direktīvu (ES) Nr. 20xx/xx[19] paredz konsolidēt IKT riska pārvaldības noteikumus, kas ir iekļauti vairākās Savienības finanšu pakalpojumu jomas acquis regulās un direktīvās, tostarp Regulā (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014 un (ES) Nr. 909/2014, lai nodrošinātu pilnīgu konsekvenci, šīs regulas būtu jāgroza, lai precizētu, ka šajā regulā ir paredzēti attiecīgie ar IKT risku saistītie noteikumi.
Attiecīgās pamatnostādnes, ko EUI ir izdevušas vai šobrīd sagatavo par šo regulu un direktīvu piemērošanu, konsolidācijas procesā būtu jāizvērtē un jāpārskata, lai Savienības tiesību aktos noteikto IKT riska prasību juridiskais pamats tieši izrietētu no šīs regulas, tās īstenošanas aktiem un lēmumiem un ieteikumiem, kas saskaņā ar šo regulu pieņemti attiecībā uz vienībām, kuras ir tās piemērošanas jomā.
(69a) Tehniskajiem standartiem būtu jānodrošina šajā regulā noteikto prasību konsekventa saskaņošana. EUI kā struktūras, kam ir ļoti specializētas zināšanas, būtu jāpilnvaro izstrādāt un iesniegt Komisijai ar politikas izvēlēm nesaistītu regulatīvu tehnisko standartu projektus. Būtu jāizstrādā regulatīvie tehniskie standarti tādās jomās kā IKT riska pārvaldība, ziņošana, testēšana un galvenās prasības ar trešo personu saistīta IKT riska stabilai uzraudzībai. Izstrādājot regulatīvo tehnisko standartu projektu, EUI būtu pienācīgi jāņem vērā savas pilnvaras saistībā ar proporcionalitātes aspektiem un jālūdz padoms savām attiecīgajām padomdevējām komitejām proporcionalitātes jautājumos, jo īpaši saistībā ar šīs regulas piemērošanu MVU un uzņēmumiem ar vidēji lielu kapitālu.
(70) Ir īpaši būtiski, lai Komisija, veicot sagatavošanās darbus, rīkotu atbilstīgu apspriešanos, tostarp ekspertu līmenī. Komisijai un EUI būtu jānodrošina, lai visas finanšu vienības varētu piemērot minētos standartus un prasības tā, lai piemērošana būtu samērīga ar minēto vienību darbības veidu, mērogu un sarežģītību.
(71) Lai atvieglotu ar IKT saistītu būtisku incidentu ziņojumu salīdzināmību un nodrošinātu pārredzamību attiecībā uz līgumisku vienošanos par tādu IKT pakalpojumu izmantošanu, ko sniedz trešās personas, kas sniedz IKT pakalpojumus, EUI būtu jāpilnvaro izstrādāt īstenošanas tehnisko standartu projektus, ar kuriem izveido standartizētas veidnes, veidlapas un procedūras finanšu vienībām, lai ziņotu par būtiskiem ar IKT saistītiem incidentiem, kā arī standartizētas veidnes informācijas reģistram. Izstrādājot šos standartus, EUI jāņem vērā finanšu vienību specifika, lielums, sarežģītība un darījumdarbības profils, kā arī to darbības veida būtība un riska līmenis. Komisija būtu jāpilnvaro pieņemt šādus īstenošanas tehniskos standartus, pieņemot īstenošanas aktus saskaņā ar LESD 291. pantu un attiecīgi saskaņā ar Regulas (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010 15. pantu. Tā kā papildu prasības jau ir noteiktas ar deleģētiem un īstenošanas aktiem, kuru pamatā ir attiecīgi Regulās (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014 un (ES) Nr. 909/2014 paredzētie tehniskie normatīvie un īstenošanas tehniskie standarti, ir lietderīgi pilnvarot EUI individuāli vai kopīgi ar Apvienotās komitejas starpniecību iesniegt Komisijai regulatīvos un īstenošanas tehniskos standartus, lai pieņemtu deleģētos un īstenošanas aktus, ar kuriem īsteno un atjaunina esošos IKT riska pārvaldības noteikumus.
(72) Šis uzdevums būs saistīts ar spēkā esošo deleģēto un īstenošanas aktu, kas pieņemti dažādās finanšu pakalpojumu tiesību aktu jomās, vēlāku grozīšanu. Būtu jāgroza darbības joma pantiem par operacionālo risku, uz kuru pamata ar minētajiem aktiem ir piešķirtas pilnvaras pieņemt deleģētos un īstenošanas aktus, lai šajā regulā iekļautu visus noteikumus, kas attiecas uz digitālās darbības noturību un kas pašlaik ir minēto regulu sastāvdaļa.
(73) Ņemot vērā to, ka šīs regulas mērķi — proti, visām finanšu vienībām piemērojama augsta digitālās darbības noturības līmeņa sasniegšanu — nevar pietiekami labi sasniegt atsevišķās dalībvalstīs, jo ir jāsaskaņo liels daudzums atšķirīgu noteikumu, kas šobrīd pastāv vai nu atsevišķos Savienības aktos, vai dažādu dalībvalstu tiesību sistēmās, bet tā mēroga un iedarbības dēļ minēto mērķi var labāk sasniegt Savienības līmenī, Savienība var pieņemt pasākumus saskaņā ar Līguma par Eiropas Savienību 5. pantā noteikto subsidiaritātes principu. Saskaņā ar minētajā pantā noteikto proporcionalitātes principu šajā regulā paredz vienīgi tos pasākumus, kas ir vajadzīgi šā mērķa sasniegšanai,
IR PIEŅĒMUŠI ŠO REGULU.
I NODAĻA
VISPĀRĪGI NOSACĪJUMI
1. pants
Priekšmets
1. Šajā regulā ir noteiktas šādas vienotas prasības attiecībā uz tādu tīklu un informācijas sistēmu drošību, kas atbalsta finanšu vienību darījumdarbības procesus, kuri nepieciešami augsta kopējā digitālās darbības noturības līmeņa sasniegšanai:
(a) finanšu vienībām piemērojamās prasības attiecībā uz:
– informācijas un komunikācijas tehnoloģiju (IKT) riska pārvaldību;
– ziņošanu kompetentajām iestādēm par būtiskiem ar IKT saistītiem incidentiem;
– 2. panta 1. punkta a)-c) apakšpunktā minēto finanšu vienību ziņošanu kompetentajām iestādēm par būtiskiem ar maksājumiem saistītiem darbības vai drošības incidentiem;
– digitālās darbības noturības testēšanu;
– ar kiberdraudiem un neaizsargātību saistītu informācijas un izlūkdatu apmaiņu;
– pasākumiem, ar kuriem finanšu vienības veic ar trešām personām saistīta IKT riska pareizu pārvaldību;
(b) prasības attiecībā uz līgumisku vienošanos, kas noslēgta starp trešām personām, kas sniedz IKT pakalpojumus, un finanšu vienībām;
(c) to trešo personu pārraudzības sistēma, kas sniedz kritiski svarīgus IKT pakalpojumus, gadījumiem, kad tās sniedz pakalpojumus finanšu vienībām;
(d) kompetento iestāžu sadarbības noteikumi un kompetento iestāžu uzraudzības un izpildes noteikumi attiecībā uz visiem jautājumiem, uz kuriem attiecas šī regula.
2. Attiecībā uz finanšu vienībām, kas noteiktas kā pamatpakalpojumu sniedzēji saskaņā ar valsts noteikumiem, ar kuriem transponē Direktīvas (ES) 2016/1148 5. pantu, šo regulu skata kā uz konkrētu nozari attiecināmu Savienības tiesību aktu minētās direktīvas 1. panta 7. punkta nozīmē.
2.a Šī regula neskar dalībvalstu kompetenci attiecībā uz sabiedriskās drošības, aizsardzības un valsts drošības uzturēšanu.
2. pants
Darbības joma attiecībā uz personām
1. Šo regulu piemēro šādām vienībām:
(a) kredītiestādēm;
(b) maksājumu iestādēm;
(c) elektroniskās naudas iestādēm;
(d) ieguldījumu brokeru sabiedrībām;
(e) kriptoaktīvu pakalpojumu sniedzējiem, kriptoaktīvu emitentiem un piedāvātājiem, aktīviem piesaistītu tokenu emitentiem un piedāvātājiem un nozīmīgu aktīviem piesaistītu tokenu emitentiem;
(f) centrālajiem vērtspapīru depozitārijiem un vērtspapīru norēķinu sistēmu operatoriem;
(g) centrālajiem darījumu partneriem;
(h) tirdzniecības vietām;
(i) darījumu reģistriem;
(j) alternatīvo ieguldījumu fondu pārvaldniekiem;
(k) pārvaldības sabiedrībām;
(l) datu ziņošanas pakalpojumu sniedzējiem;
(m) apdrošināšanas un pārapdrošināšanas sabiedrībām;
(n) apdrošināšanas starpniekiem, pārapdrošināšanas starpniekiem un apdrošināšanas papildpakalpojuma starpniekiem, kas nav mikrouzņēmumi, mazie vai vidējie uzņēmumi, ja vien šie mikrouzņēmumi, mazie vai vidējie uzņēmumi nepaļaujas tikai uz organizētām automatizētām pārdošanas sistēmām;
(o) arodpensijas kapitāla uzkrāšanas institūcijām (AKUI), kas nepārvalda pensiju shēmas, kurās kopā nav vairāk par 15 dalībniekiem;
(p) kredītreitingu aģentūrām;
(q) obligātajiem revidentiem un revīzijas uzņēmumiem, kas nav mikrouzņēmumi, mazie vai vidējie uzņēmumi, ja vien šādi mikrouzņēmumi, mazie vai vidējie uzņēmumi nesniedz revīzijas pakalpojumus šajā pantā uzskaitītajām vienībām (izņemot mikrouzņēmumus, mazos vai vidējos uzņēmumus), kas ir bezpeļņas revīzijas vienības saskaņā ar Regulas (ES) Nr. 537/2014 2. panta 3. punktu, ja vien kompetentā iestāde nenolemj, ka atbrīvojums nav spēkā;
(r) kritiski svarīgu etalonu administratoriem;
(s) kolektīvās finansēšanas pakalpojumu sniedzējiem;
(t) vērtspapīrošanas repozitorijiem;
(u) trešām personām, kas sniedz IKT pakalpojumus.
1.a Šo regulu, izņemot V nodaļas II iedaļu, piemēro arī personām, kas sniedz IKT pakalpojumus grupas iekšienē.
2. Šā panta 1. punkta a)–t) apakšpunktā minētās vienības šajā regulā kopā sauc par “finanšu vienībām”.
2.a Šajā regulā, izņemot V nodaļas II iedaļu, trešās personas, kas sniedz IKT pakalpojumus, un personas, kas sniedz IKT pakalpojumus grupas iekšienē, visi kopā tiek saukti par trešām personām, kas sniedz IKT pakalpojumus.
3. pants
Definīcijas
Šajā regulā piemēro šādas definīcijas:
(1) “digitālās darbības noturība” ir finanšu vienības spēja tādu darbības traucējumu gadījumā, kas ietekmē tās IKT spējas, veidot, nodrošināt un pārskatīt savu darbības integritāti ▌, tieši vai netieši, izmantojot IKT pakalpojumus, ko sniedz trešās personas, nodrošinot ▌finanšu pakalpojumu nepārtrauktu sniegšanu un to kvalitāti;
(2) “tīklu un informācijas sistēma” ir tīklu un informācijas sistēma, kā definēts Direktīvas (ES) 2016/1148 4. panta 1. punktā;
(3) “tīklu un informācijas sistēmu drošība” ir tīklu un informācijas sistēmu drošība, kā definēts Direktīvas (ES) 2016/1148 4. panta 2. punktā;
(4) “IKT risks” ir jebkāds ar tīklu un informācijas sistēmu izmantošanu saistīts un saprātīgi identificējams apstāklis, ▌kas īstenošanās gadījumā varētu apdraudēt tīklu un informācijas sistēmu, jebkura no IKT atkarīga rīka vai procesa, darbības un noritošo procesu vai pakalpojumu sniegšanas drošību▌;
(5) “informācijas aktīvs” ir materiāls vai nemateriāls informācijas kopums, ko ir vērts aizsargāt;
(6) “ar IKT saistīts incidents” ir neparedzēts identificēts notikums vai virkne savstarpēji saistītu notikumu tīklu un informācijas sistēmās, ▌kas apdraud tīklu un informācijas sistēmu ▌drošību vai negatīvi ietekmē finanšu vienības sniegto finanšu pakalpojumu pieejamību, konfidencialitāti, nepārtrauktību, integritāti vai autentiskumu;
(6a) “ar maksājumiem saistīts darbības vai drošības incidents” ir jebkurš 2. panta 1. punkta a)–c) apakšpunktā minēto finanšu vienību neparedzēts notikums vai virkne savstarpēji saistītu notikumu, kas negatīvi ietekmē vai varētu negatīvi ietekmēt ar maksājumiem saistīto pakalpojumu integritāti, pieejamību, konfidencialitāti, autentiskumu vai nepārtrauktību;
(7) “būtisks ar IKT saistīts incidents” ir ar IKT saistīts incidents, kam ir vai kam varētu būt liela nelabvēlīga ietekme uz tīklu un informācijas sistēmām, kas atbalsta finanšu vienības kritiski svarīgas funkcijas;
(7a) “būtisks ar maksājumiem saistīts darbības vai drošības incidents” ir ar maksājumiem saistīts darbības vai drošības incidents, kas atbilst 16. pantā noteiktajiem kritērijiem;
(8) “kiberdraudi” ir kiberdraudi, kā definēts Eiropas Parlamenta un Padomes Regulas (ES) 2019/881[20] 2. panta 8. punktā;
(8a) “būtiski kiberdraudi” ir kiberdraudi, kuru īpašības skaidri norāda, ka tie varētu izraisīt būtisku ar IKT saistītu incidentu;
(9) “kiberuzbrukums” ir ļaunprātīgs ar IKT saistīts incidents, ar ko tiek mēģināts iznīcināt, pakļaut, mainīt, atspējot, nozagt aktīvu vai iegūt neatļautu piekļuvi aktīvam, vai neatļauti izmantot aktīvu un ko veic jebkurš apdraudējuma dalībnieks;
(10) “draudu izlūkdati” ir informācija, kas apkopota, pārveidota, analizēta, interpretēta vai papildināta, lai nodrošinātu vajadzīgo kontekstu lēmumu pieņemšanai un kas sniedz būtisku un pietiekamu izpratni, kā mazināt ar IKT saistīta incidenta vai kiberdraudu ietekmi, tostarp tehnisko informāciju par kiberuzbrukumu, par uzbrukumu atbildīgajām personām, to darbības veidu un motīviem;
(11) “padziļināta aizsardzība” ir ar IKT saistīta stratēģija, kas integrē cilvēkus, procesus un tehnoloģijas, lai izveidotu dažādus šķēršļus dažādos vienības slāņos un dimensijās;
(12) “neaizsargātība” ir aktīva, sistēmas, procesa vai kontroles trūkums, uzņēmība vai nepilnība, ko var izmantot kiberdraudu gadījumā;
(13) “draudu vadīta ielaušanās testēšana” ir sistēma, kura imitē tādu apdraudējuma dalībnieku taktiku, paņēmienus un procedūras, kas tiek uztverti kā patiesi kiberdraudi, un kura nodrošina kontrolētu, īpaši izstrādātu, izlūkdatu vadītu (sarkanās komandas) vienības kritiski svarīgas aktīvas izstrādes sistēmas testēšanu;
(14) “ar trešo personu saistīts IKT risks” ir IKT risks, kas finanšu vienībai var rasties saistībā ar to, ka tā izmanto trešās personas, kas sniedz IKT pakalpojumus, vai tā tālāku apakšuzņēmēju sniegtus IKT pakalpojumus;
(15) “trešā persona, kas sniedz IKT pakalpojumus” ir uzņēmums, kas sniedz IKT pakalpojumus, ieskaitot finanšu vienību, kas sniedz IKT pakalpojumus, kuri ir daļa no uzņēmuma, kas nodrošina plašāku produktu vai pakalpojumu klāstu, bet neskaitot aparatūras komponentu piegādātājus un uzņēmumus, kuriem saskaņā ar Savienības tiesību aktiem piešķirta atļauja un kuri sniedz elektronisko sakaru pakalpojumus, kas definēti Eiropas Parlamenta un Padomes Direktīvas (ES) 2018/1972[21] 2. panta 4. punktā;
(15a) “persona, kas sniedz IKT pakalpojumus grupas iekšienē” ir uzņēmums, kas pieder finanšu grupai un sniedz IKT pakalpojumus tikai tās pašas grupas finanšu vienībām vai finanšu vienībām, uz kurām attiecas tā pati institucionālā aizsardzības shēma, tostarp mātesuzņēmumiem, meitasuzņēmumiem, filiālēm vai citām vienībām, kas pakļautas tām pašām īpašumtiesībām vai kontrolei;
(16) “IKT pakalpojumi” ir digitālie un datu pakalpojumi, ko ar IKT sistēmu starpniecību pastāvīgi sniedz vienam vai vairākiem iekšējiem vai ārējiem lietotājiem, izņemot telesakaru līgumos paredzētos pakalpojumus;
(17) “kritiski svarīga vai svarīga funkcija” ir funkcija, kura ir būtiski svarīga finanšu vienības darbībai un kuras pārtraukšana būtiski mazinātu finanšu vienības pakalpojumu un darbību stabilitāti un nepārtrauktību, vai kuras izpildes izbeigšana, trūkumi vai neizpilde būtiski kaitētu finanšu vienības atļaujā paredzēto noteikumu un nosacījumu vai citu piemērojamajos finanšu pakalpojumu tiesību aktos paredzēto saistību turpmākai izpildei, ieskaitot kritiski svarīgas funkcijas, kas definētas Direktīvas 2014/59/ES 2. panta 1. punkta 35) apakšpunktā;
(18) “kritiski svarīga trešā persona, kas sniedz IKT pakalpojumus” ir trešā persona, kas sniedz IKT pakalpojumus, kas izraudzīta saskaņā ar 28. pantu un pakļauts 29.–37. pantā minētajai pārraudzības sistēmai;
(19) “trešā valstī reģistrēta trešā persona, kas sniedz IKT pakalpojumus” ir trešā persona, kas sniedz IKT pakalpojumus un kas ir trešā valstī reģistrēta juridiska persona, kura ▌ ir noslēgusi līgumisku vienošanos ar finanšu vienību par IKT pakalpojumu sniegšanu;
(20) “trešā valstī reģistrēts IKT apakšuzņēmējs” ir IKT apakšuzņēmējs, kas ir trešā valstī reģistrēta juridiska persona, kura ▌ir noslēgusi līgumisku vienošanos vai nu ar trešo personu, kas sniedz IKT pakalpojumus, vai ar trešā valstī reģistrētu trešo personu, kas sniedz IKT pakalpojumus;
(21) “IKT koncentrācijas risks” ir pakļautība atsevišķām vai vairākām saistītām trešām personām, kas sniedz kritiski svarīgus IKT pakalpojumus, kas rada zināmu atkarību no šādiem pakalpojumu sniedzējiem, tā ka to nepieejamība, atteice vai cita veida trūkums var apdraudēt visas Savienības finanšu stabilitāti vai finanšu vienības ▌spēju nodrošināt kritiski svarīgas funkcijas vai likt ciest cita veida nelabvēlīgas sekas, tostarp lielus zaudējumus;
(22) “vadības struktūra” ir vadības struktūra, kā definēts Eiropas Parlamenta un Padomes Direktīvas 2014/65/ES 4. panta 1. punkta 36. apakšpunktā, Direktīvas 2013/36/ES 3. panta 1. punkta 7. apakšpunktā, Direktīvas 2009/65/EK 2. panta 1. punkta s) apakšpunktā, Regulas (ES) Nr. 909/2014 2. panta 1. punkta 45. apakšpunktā, Eiropas Parlamenta un Padomes Regulas (ES) 2016/1011[22] 3. panta 1. punkta 18) apakšpunktā, Regulas (ES) 20xx/xx[23] [KAT] 3. panta 1. punkta u) apakšpunktā, vai līdzvērtīgās personas, kuras faktiski vada vienību vai kuras pilda galvenās funkcijas saskaņā ar attiecīgajiem Savienības vai valsts tiesību aktiem;
(23) “kredītiestāde” ir kredītiestāde, kā definēts Eiropas Parlamenta un Padomes Regulas (ES) Nr. 575/2013[24] 4. panta 1. punkta 1. apakšpunktā;
(23a) “kredītiestāde, kurai piemēro atbrīvojumu saskaņā ar Direktīvu 2013/36/ES” ir iestāde, kurai piemēro atbrīvojumu saskaņā ar Direktīvas 2013/36/ES 2. panta 5. punkta 4)–23) apakšpunktu;
(24) “ieguldījumu brokeru sabiedrība” ir ieguldījumu brokeru sabiedrība, kā definēts Direktīvas 2014/65/ES 4. panta 1. punkta 1. apakšpunktā;
(24a) “neliela un savstarpēji nesaistīta ieguldījumu brokeru sabiedrība” ir ieguldījumu brokeru sabiedrība, kas atbilst nosacījumiem, kuri izklāstīti Regulas (ES) 2019/2033 12. panta 1. punktā;
(25) “maksājumu iestāde” ir maksājumu iestāde, kā definēts Regulas (ES) 2015/2366 1. panta 1. punkta d) apakšpunktā;
(25a) “maksājumu iestāde, kurai piemēro atbrīvojumu saskaņā ar Direktīvu (ES) 2015/2366” ir maksājumu iestāde, kurai piemēro atbrīvojumu saskaņā ar Direktīvas (ES) 2015/2366 32. panta 1. punktu;
(26) “elektroniskās naudas iestāde” ir elektroniskās naudas iestāde, kā definēts Eiropas Parlamenta un Padomes Direktīvas 2009/110/EK[25] 2. panta 1. punktā;
(26a) “elektroniskās naudas iestāde, kurai piemēro atbrīvojumu saskaņā ar Direktīvu 2009/110/EK” ir elektroniskās naudas iestāde, kurai piemēro atbrīvojumu saskaņā ar Direktīvas 2009/110/EK 9. pantu;
(27) “centrālais darījumu partneris” ir centrālais darījumu partneris, kā definēts Regulas (ES) Nr. 648/2012 2. panta 1. punktā;
(28) “darījumu reģistrs” ir darījumu reģistrs, kā definēts Regulas (ES) Nr. 648/2012 2. panta 2. punktā;
(29) “centrālais vērtspapīru depozitārijs” ir centrālais vērtspapīru depozitārijs, kā definēts Regulas (ES) Nr. 909/2014 2. panta 1. punkta 1. apakšpunktā;
(30) “tirdzniecības vieta” ir tirdzniecības vieta, kā definēts Direktīvas 2014/65/ES 4. panta 1. punkta 24. apakšpunktā;
(31) “alternatīvo ieguldījumu fondu pārvaldnieks” ir alternatīvo ieguldījumu fondu pārvaldnieks, kā definēts Direktīvas 2011/61/EK 4. panta 1. punkta b) apakšpunktā;
(32) “pārvaldības sabiedrība” ir pārvaldības sabiedrība, kā definēts Direktīvas 2009/65/EK 2. panta 1. punkta b) apakšpunktā;
(33) “datu ziņošanas pakalpojumu sniedzējs” ir datu ziņošanas pakalpojumu sniedzējs, kā definēts Direktīvas 2014/65/ES 4. panta 1. punkta 63. apakšpunktā;
(34) “apdrošināšanas sabiedrība” ir apdrošināšanas sabiedrība, kā definēts Direktīvas 2009/138/EK 13. panta 1. punktā;
(35) “pārapdrošināšanas sabiedrība” ir pārapdrošināšanas sabiedrība, kā definēts Direktīvas 2009/138/EK 13. panta 4. punktā;
(36) “apdrošināšanas starpnieks” ir apdrošināšanas starpnieks, kā definēts Direktīvas (ES) 2016/97 2. panta 1. punkta 3) apakšpunktā;
(37) “apdrošināšanas papildpakalpojuma starpnieks” ir apdrošināšanas papildpakalpojuma starpnieks, kā definēts Direktīvas (ES) 2016/97 2. panta 1. punkta 4) apakšpunktā;
(38) “pārapdrošināšanas starpnieks” ir pārapdrošināšanas starpnieks, kā definēts Direktīvas (ES) 2016/97 2. panta 1. punkta 5) apakšpunktā;
(39) “arodpensijas kapitāla uzkrāšanas institūcija” ir arodpensijas kapitāla uzkrāšanas institūcija, kā definēts Direktīvas 2016/2341 6. panta 1. punktā;
(40) “kredītreitingu aģentūra” ir kredītreitingu aģentūra, kā definēts Regulas (EK) Nr. 1060/2009 3. panta 1. punkta b) apakšpunktā;
(41) “obligātais revidents” ir obligātais revidents, kā definēts Direktīvas 2006/43/EK 2. panta 2. punktā;
(42) “revīzijas uzņēmums” ir revīzijas uzņēmums, kā definēts Direktīvas 2006/43/EK 2. panta 3. punktā;
(43) “kriptoaktīvu pakalpojumu sniedzējs” ir kriptoaktīvu pakalpojumu sniedzējs, kā definēts Regulas (ES) 202x/xx 3. panta 1. punkta 8) apakšpunktā [PB: ievietot atsauci uz KAT regulu];
(44) “kriptoaktīvu emitents” ir kriptoaktīvu emitents, kā definēts 3. panta 1. punkta 6) apakšpunktā [OV: ievietot atsauci uz KAT regulu];
(44a) “piedāvātājs” ir piedāvātājs, kā definēts 3. panta 1. punkta [XX)] apakšpunktā [OV: ievietot atsauci uz KAT regulu];
(44b) “kriptoaktīvu piedāvātājs” ir kriptoaktīvu piedāvātājs, kā definēts [3. panta 1. punkta XX)] apakšpunktā [OV: ievietot atsauci uz KAT regulu];
(45) “aktīviem piesaistītu tokenu emitents” ir aktīviem piesaistītu tokenu emitents, kā definēts [OV: ievietot atsauci uz KAT regulu] 3. panta 1. punkta i) apakšpunktā;
(45a) “aktīviem piesaistītu tokenu piedāvātājs” ir aktīviem piesaistītu maksājumu tokenu piedāvātājs, kā definēts [OV: ievietot atsauci uz KAT regulu] 3. panta 1. punkta [XX)] apakšpunktā;
(46) “nozīmīgu aktīviem piesaistītu tokenu emitents” ir nozīmīgu aktīviem piesaistītu tokenu emitents, kā definēts [OV: ievietot atsauci uz KAT regulu] 3. panta 1. punkta XX) apakšpunktā;
(47) “kritiski svarīgu etalonu administrators” ir kritiski svarīgu etalonu administrators, kā definēts Regulas 2016/1011 [OV: ievietot atsauci uz Etalonu regulu] 3. panta 25. punktā;
(48) “kolektīvās finansēšanas pakalpojumu sniedzējs” ir kolektīvās finansēšanas pakalpojumu sniedzējs, kā definēts Regulas (ES) 2020/1503 [PB: ievietot atsauci uz Kolektīvās finansēšanas regulu] 2. panta 1. punkta e) apakšpunktā;
(49) “vērtspapīrošanas repozitorijs” ir vērtspapīrošanas repozitorijs, kā definēts Regulas (ES) 2017/2402 2. panta 23. punktā;
(50) “mikrouzņēmums, mazais un vidējais uzņēmums” ir finanšu vienība, kā definēts Ieteikuma 2003/361/EK pielikuma 2. pantā;
(50a) “noregulējuma iestāde” ir iestāde, ko dalībvalsts izraudzījusies saskaņā ar Direktīvas 2014/59/ES 3. pantu vai Vienotā noregulējuma valde, kas izveidota saskaņā ar Regulas Nr. 806/2014 42. pantu.
3.a pants
Proporcionalitātes princips
1. Finanšu vienības II, III un IV nodaļā ieviestos noteikumus īsteno saskaņā ar proporcionalitātes principu, ņemot vērā savu lielumu, savu pakalpojumu, darbību un operāciju veidu, apmēru un sarežģītību, kā arī savu vispārējo rika profilu.
2. Saskaņā ar proporcionalitātes principu šīs regulas 4.–14. pantu nepiemēro:
(a) nelielām un savstarpēji nesaistītām ieguldījumu brokeru sabiedrībām vai maksājumu iestādēm, kam piemēro atbrīvojumu saskaņā ar Direktīvu (ES) 2015/2366;
(b) kredītiestādēm, kam piemēro atbrīvojumu saskaņā ar Direktīvu 2013/36/ES;
(c) elektroniskās naudas iestādēm, kam piemēro atbrīvojumu saskaņā ar Direktīvu 2009/110/EK, vai
(d) nelielām arodpensiju iestādēm.
3. Pamatojoties uz 5. panta 6. punktā un 14.a panta 2. punktā minēto gada ziņojumu par IKT riska pārvaldības sistēmas pārskatīšanu, attiecīgās kompetentās iestādes pārskata un izvērtē, kā finanšu vienība piemēro proporcionalitāti, un nosaka, vai finanšu vienības IKT riska pārvaldības sistēma nodrošina pareizu pārvaldību, digitālās darbības noturību un IKT riska segumu. To darot, kompetentās iestādes ņem vērā finanšu vienības lielumu, tās pakalpojumu, darbību un operāciju veidu, apmēru un sarežģītību, kā arī tās vispārējo riska profilu.
4. Ja attiecīgā kompetentā iestāde uzskata, ka finanšu vienības IKT riska pārvaldības sistēma ir nepietiekama un nesamērīga, tā sāk dialogu ar šo finanšu vienību nolūkā novērst nepilnības un nodrošināt pilnīgu atbilstību II nodaļai.
5. EUI izstrādā regulatīvo tehnisko standartu projektus šādās jomās:
(a) nosaka apmēru, kādā IKT riska pārvaldības pienākumi ir piemērojami katrai no 1. punktā minētajām finanšu vienībām;
(b) sīkāk precizē 3. punktā minētā gada ziņojuma par IKT riska pārvaldības sistēmas pārskatīšanu saturu un formātu;
(c) sīkāk precizē noteikumus un procedūras, kas jāievēro kompetentajām iestādēm un finanšu vienībām 4. punktā minētajā dialogā.
6. EUI iesniedz Komisijai minēto regulatīvo tehnisko standartu projektus līdz [OV: ievietot datumu, kas ir vienu gadu pēc spēkā stāšanās dienas].
Komisijai tiek deleģētas pilnvaras pieņemt šā panta 5. punktā minētos regulatīvos tehniskos standartus saskaņā ar attiecīgi Regulas (ES) Nr. 1093/2010, Regulas (ES) Nr. 1094/2010 un Regulas (ES) Nr. 1095/2010 10.–14. pantu.
II NODAĻA
IKT RISKA PĀRVALDĪBA
I IEDAĻA
4. pants
Pārvaldība un organizācija
1. Finanšu vienībām ir izveidota iekšējās pārvaldības un kontroles sistēma, kas nodrošina visu IKT risku efektīvu un prudenciālu pārvaldību, lai sasniegtu augstu digitālās darbības noturības līmeni.
2. Finanšu vienības vadības struktūra nosaka, apstiprina, pārrauga un atbild par visu ar 5. panta 1. punktā minēto IKT riska pārvaldības sistēmu saistīto pasākumu īstenošanu.
Pirmās daļas īstenošanas vajadzībām vadības struktūra:
(a) galīgi atbild par finanšu vienības IKT risku pārvaldību;
(aa) izveido procedūras un politiku, kuru mērķis ir nodrošināt augstu datu drošības, konfidencialitātes un integritātes standartu uzturēšanu;
(b) nosaka visu ar IKT saistīto funkciju uzdevumus un atbildību;
(c) nosaka atbilstīgu finanšu vienības IKT riska tolerances līmeni, kā minēts 5. panta 9. punkta b) apakšpunktā;
(d) apstiprina, pārrauga un periodiski pārskata, kā finanšu vienība īsteno IKT darbības nepārtrauktības politiku un IKT negadījuma seku novēršanas plānu, kas minēti attiecīgi 10. panta 1. un 3. punktā un ko var pieņemt kā īpašu, atsevišķu politiku un kā finanšu vienības plašāka mēroga darbības nepārtrauktības politikas un negadījuma seku novēršanas plāna neatņemamu daļu;
(e) apstiprina un periodiski pārskata IKT revīzijas plānus, IKT revīzijas un būtiskus to grozījumus;
(f) piešķir un periodiski pārskata atbilstīgu budžetu, lai apmierinātu finanšu vienības digitālās darbības noturības vajadzības attiecībā uz visu veidu resursiem, ieskaitot visu▐ darbinieku attiecīgo apmācību par IKT riskiem un prasmēm;
(g) apstiprina un periodiski pārskata finanšu vienības rīcībpolitiku attiecībā uz kārtību, kādā tiek izmantoti IKT pakalpojumi, ko sniedz IKT pakalpojumus sniedzošās trešās personas;
(h) tiek pienācīgi informēta par nolīgumiem, kas ir noslēgti ar IKT pakalpojumus sniedzošajām trešām personām par IKT pakalpojumu izmantošanu, attiecīgām plānotām būtiskām izmaiņām attiecībā uz trešām personām, kas sniedz IKT pakalpojumus, un šo izmaiņu iespējamo ietekmi uz kritiski svarīgām vai svarīgām funkcijām, kam piemēro nolīgumus, tajā skaitā saņem riska analīzes kopsavilkumu, lai izvērtētu šo izmaiņu ietekmi;
(i) tiek regulāri informēta par vismaz būtiskiem ar IKT saistītiem incidentiem un to ietekmi, kā arī reaģēšanas, seku novēršanas un korektīvajiem pasākumiem.
3. Finanšu vienības, kas nav mikrouzņēmumi, izveido funkciju, ar kuru uzrauga finanšu vienībā noteikto kārtību, kādā tiek izmantoti IKT pakalpojumi, un jo īpaši ar trešām personām, kas sniedz IKT pakalpojumus, noslēgtos līgumus▐, vai ieceļ augstākās vadības locekli, kas atbild par to, lai tiktu uzraudzīta pakļautība riskam un attiecīgie dokumenti.
4. Finanšu vienības vadības struktūras locekļi aktīvi atjaunina pietiekamas zināšanas un prasmes, kas ļauj saprast un novērtēt IKT riskus un to ietekmi uz finanšu vienības darbību, tostarp regulāri apmeklējot īpašas mācības atbilstīgi pārvaldītajiem IKT riskiem.
II IEDAĻA
5. pants
IKT riska pārvaldības sistēma
1. Finanšu vienībām ir stabila, visaptveroša un labi dokumentēta IKT riska pārvaldības sistēma, kas tām ļauj ātri, efektīvi un visaptveroši novērst IKT riskus un nodrošināt augstu digitālās darbības noturības līmeni▐.
2. Šā panta 1. punktā minētā IKT riska pārvaldības sistēma ietver stratēģijas, rīcībpolitiku, procedūras, IKT protokolus un rīkus, kas vajadzīgi, lai pienācīgi un efektīvi aizsargātu visas attiecīgās fiziskās sastāvdaļas un infrastruktūras, tostarp datortehniku, serverus, kā arī visas attiecīgās telpas, datu centrus un par sensitīvām noteiktās teritorijas, lai nodrošinātu, ka visi šie fiziskie elementi ir pienācīgi aizsargāti no riskiem, tostarp bojājumiem un neatļautas piekļuves vai izmantošanas.
3. Finanšu vienības mazina IKT risku ietekmi, ieviešot IKT riska pārvaldības sistēmā noteiktās attiecīgās stratēģijas, rīcībpolitiku, procedūras, protokolus un rīkus. Tās sniedz kompetento iestāžu prasīto pilnīgo un aktualizēto informāciju par IKT riskiem un to IKT riska pārvaldības sistēmām.
4. Finanšu vienības, kas nav mikrouzņēmumi, kā daļu no 1. punktā minētās IKT riska pārvaldības sistēmas īsteno uz atzītiem starptautiskiem standartiem balstītu informācijas drošības pārvaldības sistēmu, ievērojot uzraudzības norādījumus, ja tie ir pieejami un piemēroti, ieskaitot norādījumus, kas izklāstīti EUI izstrādātajās attiecīgajās pamatnostādnēs, un regulāri to pārskata.
5. Finanšu vienības, kas nav mikrouzņēmumi, atbildību par to IKT risku pārvaldību un pārraudzību, kas saistīti ar IKT, uztic kontroles funkcijai un, lai nepieļautu interešu konfliktus, nodrošina šīs kontroles funkcijas neatkarību. Finanšu vienības▐ nodrošina IKT vadības funkciju, kontroles funkciju un iekšējās revīzijas funkciju pienācīgu neatkarību atbilstīgi trīs aizsardzības līniju modelim vai iekšējam riska pārvaldības un kontroles modelim.
6. Šā panta 1. punktā minēto IKT riska pārvaldības sistēmu dokumentē un pārskata vismaz reizi gadā, kā arī pēc būtisku ar IKT saistītu incidentu rašanās, ievērojot uzraudzības norādījumus vai attiecīgos digitālās darbības noturības testēšanas un revīzijas procesos gūtos secinājumus. To pastāvīgi uzlabo, balstoties uz īstenošanas un uzraudzības gaitā gūtajām atziņām.
Ziņojumu par IKT riska pārvaldības sistēmas pārskatīšanu kompetentajai iestādei iesniedz katru gadu.
7. Attiecībā uz finanšu vienībām, kas nav mikrouzņēmumi, IKT revidenti, kam ir pietiekamas zināšanas, prasmes un zinātība par IKT risku, regulāri veic 1. punktā minētās IKT riska pārvaldības sistēmas revīziju. IKT revīzijas biežums un tajā galvenokārt pievērstā uzmanība ir samērīga ar finanšu vienības IKT riskiem.
8. Izveido oficiālu turpmākās pārraudzības procesu, tostarp noteikumus par kritiski svarīgu IKT revīzijas konstatējumu laicīgu pārbaudi un izlabošanu. ▐
9. Šā panta 1. punktā minētā IKT riska pārvaldības sistēma ietver digitālās darbības noturības stratēģiju, kurā izklāstīts, kā sistēma tiek īstenota. Šajā nolūkā tā ietver metodes, kā novērst IKT risku un sasniegt konkrētus IKT mērķus:
(a) izskaidrojot, kā IKT riska pārvaldības sistēma atbalsta finanšu vienības darījumdarbības stratēģiju un mērķus;
(b) nosakot riska tolerances līmeni IKT riskam saskaņā ar finanšu vienības gatavību uzņemties risku, kā arī analizējot IKT traucējumu ietekmes noturību;
(c) nosakot skaidrus informācijas drošības mērķus;
(d) izskaidrojot IKT▐ arhitektūru un jebkādas izmaiņas, kas vajadzīgas, lai sasniegtu konkrētus darījumdarbības mērķus;
(e) izklāstot dažādos mehānismus, kas ieviesti, lai atklātu, aizsargātu un novērstu ar IKT saistītu incidentu ietekmi;
(f) pamatojot paziņoto būtisko ar IKT saistīto incidentu skaitu un preventīvo pasākumu efektivitāti;
(g) apzinot svarīgākās atkarības no trešām personām, kas sniedz IKT pakalpojumus, un sīki izstrādājot atkāpšanās stratēģijas attiecībā uz šādām svarīgākajām atkarībām;
(h) īstenojot digitālās darbības noturības testēšanu saskaņā ar šīs regulas IV nodaļu;
(i) izklāstot saziņas stratēģiju ar IKT saistītu incidentu gadījumā, par ko jāsniedz informācija saskaņā ar 13. pantu.
10. Pēc kompetento iestāžu apstiprinājuma finanšu vienības var▐ IKT riska pārvaldības prasību izpildes pārbaudes uzdevumus kā ārpakalpojumu uzticēt ārējiem uzņēmumiem.
Pēc paziņošanas kompetentajām iestādēm finanšu vienības var deleģēt IKT riska pārvaldības prasību izpildes pārbaudes uzdevumu uzņēmumiem grupas iekšienē.
Ja veic otrajā daļā minēto deleģēšanu, finanšu vienība joprojām pilnībā atbild par IKT riska pārvaldības prasību izpildes pārbaudi.
6. pants
IKT sistēmas, protokoli un rīki
1. Lai novērstu un pārvaldītu IKT riskus, finanšu vienības izmanto un uztur aktualizētas IKT sistēmas, protokolus un rīkus, kas atbilst šādiem nosacījumiem:
(a) sistēmas un rīki ir piemēroti to operāciju▐ apjomam, ar ko tiek atbalstīta to darbība;
(b) tie ir uzticami;
(c) tiem ir pietiekama veiktspēja, lai precīzi apstrādātu laicīgai darbību veikšanai un pakalpojumu sniegšanai nepieciešamos datus, kā arī pēc vajadzības apstrādātu rīkojumu, ziņojumu vai darījumu maksimālos apjomus, tajā skaitā — ja tiek ieviesta jauna tehnoloģija;
(d) tie ir tehnoloģiski elastīgi, lai pienācīgi risinātu papildu informācijas apstrādes vajadzības, kas nepieciešams saspringtos tirgus apstākļos vai citās nelabvēlīgās situācijās.
2. Ja finanšu vienības izmanto starptautiski atzītus tehniskos standartus un nozares paraugpraksi informācijas drošības un IKT iekšējās kontroles jomā, tās šos standartus un praksi izmanto atbilstīgi attiecīgiem uzraudzības norādījumiem par to iekļaušanu.
7. pants
Identifikācija
1. Regulas 5. panta 1. punktā minētās IKT riska pārvaldības sistēmas ietvaros finanšu vienības identificē, klasificē un pienācīgi dokumentē visas ar IKT saistītās kritiski svarīgās vai svarīgās darījumdarbības funkcijas, šo funkciju atbalsta informācijas aktīvus, kā arī IKT sistēmas konfigurācijas un savstarpējos savienojumus ar iekšējām un ārējām IKT sistēmām. Finanšu vienības pēc vajadzības, bet ne retāk kā reizi gadā izvērtē, cik kritiski svarīgas vai svarīgas ir ar IKT saistītās darījumdarbības funkcijas, kā arī informācijas aktīvu un attiecīgu dokumentu klasifikācijas piemērotību. business efficiency
2. Finanšu vienības pastāvīgi identificē visus IKT riska avotus, jo īpaši pakļautību riskam, kur iesaistītas citas finanšu vienības, un izvērtē kiberdraudus un IKT neaizsargātību, kam ir nozīme to kritiski svarīgajās vai svarīgajās ar IKT saistītajās darījumdarbības funkcijās un informācijas aktīvos. Finanšu vienības regulāri, bet ne retāk kā reizi gadā izvērtē riska scenārijus, kas tās ietekmē.
3. Finanšu vienības, kas nav mikrouzņēmumi, attiecīgā gadījumā pēc katrām būtiskām tīklu un informācijas sistēmas infrastruktūras, procesu vai procedūru izmaiņām, kas ietekmē to darbību, atbalsta procesus vai informācijas aktīvus, veic riska novērtējumu.
4. Finanšu vienības identificē visus IKT sistēmas kontus, tostarp tos, kas atrodas attālās vietnēs, tīkla resursus un aparatūras iekārtas, un kartē par kritiski svarīgām uzskatītas fiziskas iekārtas. Tās kartē kritiski svarīgu vai svarīgu IKT aktīvu konfigurāciju, ņemot vērā to nolūku, kā arī šo dažādo IKT aktīvu saites un savstarpējo atkarību.
5. Finanšu vienības identificē un dokumentē visus kritiski svarīgos vai svarīgos procesus, kuri ir atkarīgi no trešām personām, kas sniedz IKT pakalpojumus, un identificē savstarpējus savienojumus ar trešām personām, kas sniedz IKT pakalpojumus, kuri palīdz nodrošināt kritiski svarīgas vai svarīgas funkcijas.
6. Šā panta 1., 4. un 5. punkta nolūkiem finanšu vienības uztur un regulāri aktualizē attiecīgos inventāra sarakstus.
7. Finanšu vienības, kas nav mikrouzņēmumi, regulāri un vismaz reizi gadā veic īpašu IKT riska novērtējumu attiecībā uz visām mantotajām IKT sistēmām, ieskaitot sistēmas, kuras joprojām izmanto un kuras veic savas funkcijas, bet kuras:
(a) ir vecas vai darbmūža beigās, ja tā ir aparatūra;
(b) vairs nevar saņemt atbalstu vai apkopi no piegādātāja, vai arī
(c) ir neiespējami vai ekonomiski neizdevīgi atjaunināt. Ikgadējos IKT riska novērtējumus veic mantotajām IKT sistēmām, jo sevišķi pirms▐ tehnoloģiju, lietojumprogrammu vai sistēmu savienošanas, kā arī pēc tās.
8. pants
Aizsardzība un profilakse
1. Lai pienācīgi aizsargātu IKT sistēmas un ar mērķi organizēt reaģēšanas pasākumus, finanšu vienības pastāvīgi uzrauga un kontrolē IKT sistēmu un rīku darbību, kā arī mazina šādu risku ietekmi, ieviešot attiecīgus IKT drošības rīkus, rīcībpolitiku un procedūras.
2. Finanšu vienības izstrādā, sagādā un īsteno IKT drošības stratēģijas, rīcībpolitiku, procedūras, protokolus un rīkus, kuru mērķis ir jo īpaši nodrošināt to IKT sistēmu noturību, nepārtrauktību un pieejamību, kuras nodrošina kritiski svarīgu vai svarīgu funkciju izpildi, kā arī uzturēt augstus datu drošības, konfidencialitātes un integritātes standartus neatkarīgi no tā, vai tie tiek glabāti, lietoti vai pārsūtīti.
3. Lai sasniegtu 2. punktā minētos mērķus, finanšu vienības izmanto▐ IKT tehnoloģijas un procesus, kas:
(a) palielina informācijas pārsūtīšanas līdzekļu drošību;
(b) mazina datu bojājumu vai zudumu, neatļautas piekļuves un tehnisko nepilnību, kas varētu kavēt darījumdarbību, risku;
(c) novērš informācijas noplūdi;
(d) nodrošina datu aizsardzību pret iekšējiem IKT riskiem, tostarp sliktas pārvaldības vai apstrādes riskiem un cilvēka kļūdām.
4. Šā panta 5. panta 1. punktā minētās IKT riska pārvaldības sistēmas ietvaros finanšu vienības saskaņā ar savu riska profilu:
(a) izstrādā un dokumentē informācijas drošības politiku, paredzot noteikumus savu IKT resursu, datu un informācijas aktīvu konfidencialitātes, integritātes un pieejamības aizsardzībai, vienlaikus nodrošinot klientu IKT resursu, datu un informācijas aktīvu konfidencialitātes, integritātes un pieejamības pilnīgu aizsardzību, ja tie veido finanšu vienības IKT sistēmu daļu;
(b) izmantojot uz risku balstītu pieeju, izveido stabilu tīkla un infrastruktūras pārvaldību, lietojot attiecīgus paņēmienus, metodes un protokolus, kas var ietvert tādu mehānismu ieviešanu, ar kuriem izolēt skartos informācijas aktīvus kiberuzbrukuma gadījumā;
(c) īsteno rīcībpolitiku, procedūras un kontroles pasākumus, kas ierobežo fizisku un virtuālu piekļuvi IKT sistēmas resursiem un datiem tādā apjomā, kāds ir nepieciešams leģitīmām un atļautām funkcijām un darbībām▐;
(d) īsteno rīcībpolitiku un protokolus, kas paredz spēcīgus autentificēšanas mehānismus un šifrēšanas atslēgu aizsardzību, izmantojot attiecīgus standartus un īpašas kontroles sistēmas▐;
(e) īsteno IKT izmaiņu, tostarp programmatūras, aparatūras, aparātprogrammatūras komponentu, sistēmas vai drošības izmaiņu, pārvaldības politiku, procedūras un kontroles, kas ir balstītas uz riska pārvaldības pieeju un ir finanšu vienības kopējās izmaiņu pārvaldības politikas neatņemama daļa, lai nodrošinātu, ka visas IKT sistēmu izmaiņas tiek kontrolēti reģistrētas, testētas, novērtētas, apstiprinātas, ieviestas un pārbaudītas;
(f) ievieš attiecīgu un visaptverošu labojumu un atjauninājumu politiku.
Šā punkta b) apakšpunkta mērķiem finanšu vienības projektē tīkla savienojuma infrastruktūru tā, lai varētu iespējami ātri pārtraukt tās darbību, un nodrošina tās nodalījumu veidošanu un segmentāciju, lai mazinātu kaitīgas ietekmes izplatīšanos, jo īpaši attiecībā uz savstarpēji savienotiem finanšu procesiem.
Šā punkta e) apakšpunkta vajadzībām IKT izmaiņu pārvaldības procesu apstiprina atbilstīga hierarhiskā vadība, un tam ir īpaši protokoli, kas ļauj veikt ārkārtas izmaiņas.
9. pants
Atklāšana
1. Finanšu vienības saskaņā ar 15. pantu ievieš mehānismus, lai nekavējoties atklātu anomālas darbības, ieskaitot IKT tīkla veiktspējas problēmas un ar IKT saistītus incidentus, kā arī, ja tas tehniski iespējams, identificētu un uzraudzītu iespējamās būtiskās atsevišķu ķēdes punktu kļūdainās darbības.
Visus pirmajā daļā minētos atklāšanas mehānismus regulāri testē saskaņā ar 22. pantu.
2. Šā panta 1. punktā minētie atklāšanas mehānismi ierosina ar IKT saistīto incidentu atklāšanas un ar IKT saistīto incidentu reaģēšanas procesus, tostarp automātiskus mehānismus, lai brīdinātu attiecīgo personālu, kas atbild par reaģēšanu uz incidentiem, kas saistīti ar IKT.
3. Finanšu vienības▐ atvēl pietiekamus resursus un spējas, ar ko uzraudzīt lietotāju darbības, IKT anomāliju un ar IKT saistīto incidentu, jo īpaši kiberuzbrukumu, iestāšanos.
3.a Finanšu vienības reģistrē visus ar IKT saistītos incidentus, kas ietekmē finanšu pakalpojumu stabilitāti, nepārtrauktību vai kvalitāti, cita starpā arī incidentus ar faktisku un potenciālu ietekmi uz šādiem pakalpojumiem.
4. Regulas 2. panta 1. punkta 1. apakšpunktā minētās finanšu vienības papildus minētajam ir ieviesušas sistēmas, kas ļauj efektīvi pārbaudīt tirdzniecības ziņojumu pilnīgumu, identificēt izlaidumus un acīm redzamas kļūdas, kā arī pieprasīt kļūdainu ziņojumu atkārtotu nosūtīšanu.
10. pants
Reaģēšana un seku novēršana
1. Regulas 5. panta 1. punktā minētās IKT riska pārvaldības sistēmas ietvaros un pamatojoties uz 7. pantā noteiktajām identifikācijas prasībām, finanšu vienības ievieš▐ visaptverošu IKT darbības nepārtrauktības politiku, ko var pieņemt kā īpašu, atsevišķu politiku un kā finanšu vienības plašāka mēroga darbības nepārtrauktības politikas neatņemamu daļu.
IKT darbības nepārtrauktības politikas mērķis ir pārvaldīt un mazināt riskus, kas varētu nelabvēlīgi ietekmēt finanšu vienību IKT sistēmas un IKT pakalpojumus, un vajadzības gadījumā veicināt ātru seku novēršanu. Izstrādājot IKT darbības nepārtrauktības politiku, finanšu vienības jo īpaši apsver riskus, kas varētu nodarīt kaitējumu IKT pakalpojumiem un IKT sistēmām.
2. Finanšu vienības īsteno 1. punktā minēto IKT darbības nepārtrauktības politiku, izmantojot īpašu, piemērotu un dokumentētu kārtību, plānus, procedūras un mehānismus, kuru mērķis ir:
(b) nodrošināt finanšu vienības kritiski svarīgo funkciju nepārtrauktību;
(c) ātri, pienācīgi un efektīvi reaģēt uz visiem ar IKT saistītajiem incidentiem un novērst tos, cita starpā jo īpaši kiberuzbrukumus, tā, lai ierobežotu kaitējumu un par prioritārām noteiktu darbības atsākšanu un seku novēršanu;
(d) nekavējoties aktivizēt īpašus plānus, kas ļauj īstenot ierobežošanas pasākumus, procesus un tehnoloģijas, kuri piemēroti katram ar IKT saistītajam incidentam un ļauj novērst turpmāku kaitējumu, kā arī pielāgotas reaģēšanas un atgūšanas procedūras, kas noteiktas saskaņā ar 11. pantu;
(e) provizoriski aplēst ietekmi, kaitējumu un zaudējumus;
(f) noteikt saziņas un krīzes pārvarēšanas pasākumus, kas nodrošina atjauninātas informācijas nosūtīšanu visiem attiecīgajiem iekšējiem darbiniekiem un ārējām ieinteresētajām personām saskaņā ar 13. pantu un tās paziņošanu kompetentajām iestādēm saskaņā ar 17. pantu.
3. Regulas 5. panta 1. punktā minētās IKT riska pārvaldības sistēmas ietvaros finanšu vienības īsteno saistītu IKT negadījuma seku novēršanas plānu, kuram finanšu vienības, kas nav mikrouzņēmumi, veic neatkarīgu revīzijas pārskatīšanu.
4. Finanšu vienības ievieš, uztur un periodiski testē attiecīgus IKT darbības nepārtrauktības plānus, jo īpaši attiecībā uz kritiski svarīgām vai svarīgām funkcijām, kas ir uzticētas ārpakalpojumā vai par ko noslēgts līgums ar trešām personām, kas sniedz IKT pakalpojumus.
5. Finanšu vienības kā daļu no visaptverošās IKT riska pārvaldības:
(a) vismaz reizi gadā un pēc būtiskām kritiski svarīgu vai svarīgu IKT sistēmu izmaiņām testē IKT darbības nepārtrauktības politiku un IKT negadījuma seku novēršanas plānu;
(b) testē saskaņā ar 13. pantu izveidotos krīzes saziņas plānus.
Šā punkta a) apakšpunkta vajadzībām finanšu vienības, kas nav mikrouzņēmumi, testēšanas plānos iekļauj scenārijus, kuros notiek kiberuzbrukumi un pārslēgšanās starp primāro IKT infrastruktūru un rezerves jaudu, rezerves kopijām un rezerves mehānismiem, kas vajadzīgi 11. pantā noteikto pienākumu izpildei.
Finanšu vienības regulāri pārskata savu IKT darbības nepārtrauktības politiku un IKT negadījuma seku novēršanas plānu, ņemot vērā saskaņā ar panta pirmo daļu veikto testu rezultātus un ieteikumus, kas izriet no revīzijas pārbaudēm vai uzraudzības pārskatiem.
6. Finanšu vienībām, kas nav mikrouzņēmumi, ir krīzes pārvaldības funkcija vai nu kā īpaša funkcija, vai kā daļa no funkcijām ar atbildību par reaģēšanu uz incidentiem un to pārvaldību. Šai krīzes pārvarēšanas funkcijai IKT darbības nepārtrauktības politikas vai IKT negadījuma seku novēršanas plāna aktivizēšanas gadījumā ir jāparedz skaidras procedūras, kā pārvaldīt iekšējo un ārējo krīzes saziņu saskaņā ar 13. pantu.
7. Finanšu vienības uztur reģistru, kurā ietver pirms traucējuma un traucējuma laikā veiktās attiecīgās darbības, ja tikusi aktivizēta IKT darbības nepārtrauktības politika vai IKT negadījuma seku novēršanas plāns. Tā ieraksti ir viegli pieejami.
8. Regulas 2. panta 1. punkta f) apakšpunktā minētās finanšu vienības iesniedz kompetentajām iestādēm pārskata periodā veikto IKT darbības nepārtrauktības testu vai līdzīgu izmēģinājumu rezultātu kopijas.
9. Finanšu vienības, kas nav mikrouzņēmumi, ziņo kompetentajām iestādēm par visām aprēķinātajām finanšu izmaksām un zaudējumiem, ko izraisījuši nozīmīgi IKT traucējumi un būtiski ar IKT saistītie incidenti.
9.a EUI ar Apvienotās komitejas starpniecību izstrādā kopīgas pamatnostādnes par 9. punktā minēto izmaksu aprēķināšanas un zaudējumu apmēra noteikšanas metodiku.
11. pants
Rezerves kopiju veidošanas politika un atgūšanas metodes
1. Lai nodrošinātu IKT sistēmu atkopšanu ar minimāliem laika zaudējumiem un ierobežotiem traucējumiem, finanšu vienības kā daļu no IKT riska pārvaldības sistēmas izstrādā:
(a) rezerves kopiju veidošanas politiku, kurā nosaka datus, kuriem veido rezerves kopijas, un rezerves kopiju veidošanas minimālo biežumu, balstoties uz informācijas svarīgumu vai datu sensitivitāti;
(b) atgūšanas metodes.
2. Saskaņā ar 1. punkta a) apakšpunktā precizēto rezerves kopiju veidošanas politiku rezerves sistēmas apstrādi sāk bez nepamatotas kavēšanās, izņemot, ja šī uzsākšana apdraudētu tīklu un informācijas sistēmu drošību vai datu integritāti vai konfidencialitāti.
3. Kad, izmantojot savas sistēmas, tiek atjaunoti rezerves kopijas dati, finanšu vienības izmanto IKT sistēmas, kuras ir fiziski vai loģiski nošķirtas no to galvenās IKT sistēmas un kuras ir droši aizsargātas no neatļautas piekļuves vai IKT bojājumiem.
Regulas 2. panta 1. punkta g) apakšpunktā minēto finanšu vienību atgūšanas plāni atļauj atjaunot visus darījumus kopš pārtraukšanas brīža, lai centrālais darījumu partneris varētu turpināt droši darboties un pabeigt norēķinus paredzētajā dienā.
4. Finanšu vienības izvērtē nepieciešamību uzturēt rezerves IKT jaudu, kam ir darījumdarbības vajadzību nodrošināšanai pietiekami un piemēroti resursi, spējas un funkcionalitāte un kas atbilst šajā regulā noteiktajām digitālās darbības noturības prasībām.
5. Regulas 2. panta 1. punkta f) apakšpunktā minētās finanšu vienības nodrošina vai panāk, ka trešās personas, kas tām sniedz IKT pakalpojumus, uztur vismaz vienu rezerves apstrādes vietu, kam ir darījumdarbības vajadzību nodrošināšanai piemēroti un pietiekami resursi, spējas, funkcionalitāte un personāls.
Rezerves apstrādes vieta:
(a) atrodas tādā ģeogrāfiskā attālumā no galvenās apstrādes vietas, kas ļauj nodrošināt, ka rezerves apstrādes vietai ir atšķirīgs riska profils, un nepieļaut, ka to skar notikums, kas ir skāris galveno apstrādes vietu;
(b) spēj nodrošināt kritiski svarīgu pakalpojumu nepārtrauktību tieši tāpat kā galvenā apstrādes vieta vai sniegt pakalpojumus līmenī, kas nepieciešams, lai nodrošinātu, ka finanšu vienība veic kritiski svarīgās darbības saskaņā ar atgūšanas mērķiem;
(c) ir ▐ pieejama finanšu vienības personālam, lai nodrošinātu kritiski svarīgu vai svarīgu funkciju nepārtrauktību, ja galvenā apstrādes vieta ir kļuvusi nepieejama.
6. Nosakot katras funkcijas atgūšanas laiku un punkta mērķus, finanšu vienības ņem vērā to, vai attiecīgā funkcija ir kritiski svarīga vai svarīga, un iespējamo kopējo ietekmi uz tirgus efektivitāti. Šie laika mērķi nodrošina noteiktā pakalpojumu līmeņa izpildi ekstremālos scenārijos.
7. Novēršot ar IKT saistītā incidenta sekas, finanšu vienības nodrošina, ka datu integritāte ir visaugstākajā līmenī, piemēram, veicot vairākas pārbaudes, ieskaitot saskaņošanu▐. Šādas pārbaudes veic arī, atjaunojot datus no ārējām ieinteresētajām personām, lai nodrošinātu, ka sistēmu dati ir savstarpēji sakritīgi.
12. pants
Mācīšanās un attīstība
1. Finanšu vienībām ir▐ spējas un personāls, kas var apkopot informāciju par neaizsargātību un kiberdraudiem, ar IKT saistītiem incidentiem, jo īpaši kiberuzbrukumiem, un analizēt to iespējamo ietekmi uz to digitālās darbības noturību.
2. Finanšu vienības ievieš ar IKT saistītu incidentu pārskatīšanu pēc būtiskiem IKT traucējumiem to pamatdarbībā, analizējot traucējumu cēloņus un nosakot nepieciešamos uzlabojumus IKT darbībās vai IKT darbības nepārtrauktības politikā, kas minēta 10. pantā.
Ieviešot izmaiņasattiecībā uz IKT risku, kurš apzināts būtisku ar IKT saistītu incidentu pārskatīšanā, finanšu vienības, kas nav mikrouzņēmumi, par visām nozīmīgām izmaiņām paziņo kompetentajām iestādēm, sīki izklāstot nepieciešamos uzlabojumus un to, kā ar tiem iecerēts turpmāk nepieļaut vai mazināt traucējumus. Par izmaiņām kompetentajām iestādēm var paziņot pirms vai pēc šo izmaiņu ieviešanas.
Pirmajā daļā minētajā ar IKT saistītā incidenta pārskatīšanā nosaka, vai tika ievērotas noteiktās procedūras un vai veiktās darbības bija efektīvas, tostarp attiecībā uz:
(a) tūlītēju reaģēšanu uz drošības brīdinājumiem un ar IKT saistīto incidentu ietekmes un to būtiskuma noteikšanu;
(b) kriminālistikas analīzes kvalitāti un ātrumu;
(c) incidentu eskalācijas efektivitāti finanšu vienībā;
(d) iekšējās un ārējās saziņas efektivitāti.
3. IKT riska novērtējuma procesā pastāvīgi iekļauj pieredzi, kas gūta saskaņā ar 23. un 24. pantu veiktās digitālās darbības noturības testos un no reāliem ar IKT saistītiem incidentiem, jo īpaši kiberuzbrukumiem, kā arī saistībā ar problēmām, ar ko saskaras, aktivizējot darbības nepārtrauktības vai seku novēršanas plānus, kopā ar attiecīgo informāciju, kas kopīgota ar darījumu partneriem un novērtēta uzraudzības pārbaudēs. Šie konstatējumi attiecīgi ļauj pārskatīt 5. panta 1. punktā minētās IKT riska pārvaldības sistēmas būtiskās sastāvdaļas.
4. Finanšu vienības uzrauga 5. panta 9. punktā noteiktās digitālās darbības noturības stratēģijas īstenošanas efektivitāti. Tās kartē IKT risku attīstību laika gaitā, cita starpā arī to, cik šie riski ir tuvu kritiski svarīgām vai svarīgām funkcijām, analizē ar IKT saistīto incidentu biežumu, veidus, mērogu un attīstību, jo īpaši kiberuzbrukumus un to modeļus, lai izprastu, cik lielā mērā tās ir pakļautas IKT riskam, un palielinātu finanšu vienības kiberbriedumu un sagatavotību.
5. Augstākā līmeņa IKT darbinieki vismaz reizi gadā ziņo vadības struktūrai par 3. punktā minētajiem konstatējumiem un sniedz ieteikumus.
6. Finanšu vienības savās personāla apmācības shēmās kā obligātos moduļus izstrādā IKT drošības izpratnes veidošanas programmas un digitālās darbības noturības mācības. IKT drošības izpratnes veidošanas programmas attiecas uz visu personālu. Digitālās darbības noturības mācības ir jāapmeklē vismaz visiem tiem darbiniekiem, kuriem ir tiesības tieši piekļūt IKT sistēmām, un augstākās vadības personālu. Mācību moduļu sarežģītība ir samērīga ar līmeni, kādā darbinieks tieši piekļūst IKT sistēmām, un tajā jo īpaši ņem vērā viņu piekļuvi kritiski svarīgām vai svarīgām funkcijām.
Finanšu vienības, kas nav mikrouzņēmumi, pastāvīgi uzrauga attiecīgo tehnoloģisko attīstību, lai izprastu šādu jaunu tehnoloģiju ieviešanas iespējamo ietekmi uz IKT drošības prasībām un digitālās darbības noturību. Tās seko jaunākajiem IKT riska pārvaldības procesiem, efektīvi pretojoties pašreizējām vai jaunām kiberuzbrukumu formām.
13. pants
Saziņa
1. Regulas 5. panta 1. punktā minētās IKT riska pārvaldības sistēmas ietvaros finanšu vienībām ir saziņas plāni, kas ļauj vismaz būtiskos ar IKT saistītos incidentus vai lielu neaizsargātību nepieciešamības gadījumā atbildīgi atklāt klientiem un darījumu partneriem, kā arī sabiedrībai.
Pirmajā daļā minētie saziņas plāni arī nodrošina, ka klientiem un darījumu partneriem katru gadu tiek sniegts kopsavilkums par visiem ar IKT saistītajiem incidentiem. Šādā informācijas atklāšanā pilnībā ievēro finanšu vienības un tās klientu un partneru darījumdarbības konfidencialitāti, un tā neapdraud 5. panta 1. punktā minēto IKT riska pārvaldības sistēmu.
2. Regulas 5. panta 1. punktā minētās IKT riska pārvaldības sistēmas ietvaros finanšu vienības īsteno saziņas politiku attiecībā uz personālu un ārējām ieinteresētajām personām. Saziņas politikā attiecībā uz personālu ņem vērā vajadzību nošķirt personālu, kas ir jāinformē, no IKT riska pārvaldībā, jo īpaši reaģēšanā un seku novēršanā, iesaistītā personāla.
3. Vismaz vienai personai vienībā ir uzdots īstenot saziņas stratēģiju vismaz būtisku ar IKT saistītu incidentu gadījumā un šim nolūkam pildīt runaspersonas lomu saziņā ar sabiedrību un plašsaziņas līdzekļiem.
14. pants
IKT riska pārvaldības rīku, metožu, procesu un politikas tālāka saskaņošana
Eiropas banku iestāde (EBI), Eiropas Vērtspapīru un tirgu iestāde (EVTI) un Eiropas Apdrošināšanas un aroda pensiju iestāde (EAAPI), apspriežoties ar Eiropas Savienības Kiberdrošības aģentūru (ENISA), izstrādā regulatīvo tehnisko standartu projektus šādiem mērķiem:
(a) noteikt papildu elementus, kas jāiekļauj 8. panta 2. punktā minētajā IKT drošības rīcībpolitikā, procedūrās, protokolos un rīkos, lai nodrošinātu tīklu drošību, ļautu īstenot atbilstošus aizsardzības pasākumus pret ielaušanos un datu ļaunprātīgu izmantošanu, saglabātu datu autentiskumu un integritāti, tostarp kriptogrāfijas metodes, un garantētu datu precīzu un ātru pārraidi bez būtiskiem traucējumiem un liekas kavēšanās;
(d) izstrādāt papildu komponentus 8. panta 4. punkta c) apakšpunktā minētajai piekļuves pārvaldības tiesību kontrolei un ar to saistīto cilvēkresursu politiku, lai precizētu piekļuves tiesības, tiesību piešķiršanas un anulēšanas procedūras, uzraudzītu anomālu rīcību saistībā ar IKT riskiem, izmantojot atbilstošus rādītājus, tostarp tīkla izmantošanas modeļus, laikus, IT darbību un nezināmas ierīces;
(e) sīkāk izstrādāt 9. panta 1. punktā noteiktos elementus, kas ļautu operatīvi atklāt anomālas darbības, un 9. panta 2. punktā minētos kritērijus, kas ierosina ar IKT saistītu incidentu atklāšanas un reaģēšanas procesus;
(f) sīkāk noteikt 10. panta 1. punktā minētās IKT darbības nepārtrauktības politikas komponentus;
(g) sīkāk noteikt 10. panta 5. punktā minēto IKT darbības nepārtrauktības plānu testēšanu, lai nodrošinātu, ka tajos pienācīgi ņemti vērā scenāriji, kuros kritiski svarīgas vai svarīgas funkcijas nodrošināšanas kvalitāte nepieņemami pasliktinās vai netiek ievērota vispār, un pienācīgi apsvērta attiecīgās trešās personas, kas sniedz IKT pakalpojumus, maksātnespējas vai citas atteices iespējamā ietekme un konkrētā gadījumā — attiecīgo pakalpojumu sniedzēju jurisdikciju politiskie riski;
(h) sīkāk noteikt 10. panta 3. punktā minētā IKT negadījuma seku novēršanas plāna komponentus;
EUI iesniedz Komisijai minēto regulatīvo tehnisko standartu projektus līdz [OV: ievietot datumu, kas ir vienu gadu pēc spēkā stāšanās dienas].
Komisijai tiek deleģētas pilnvaras pieņemt šā panta pirmajā daļā minētos regulatīvos tehniskos standartus attiecīgi saskaņā ar 10.–14. pantu Regulā (ES) Nr. 1093/2010, Regulā (ES) Nr. 1095/2010 un Regulā (ES) Nr. 1094/2010.
14.a pants
IKT riska pārvaldības sistēma nelielām, savstarpēji nesaistītām un atbrīvotām vienībām
1. Saskaņā ar 3.a pantu nelielas un savstarpēji nesaistītas ieguldījumu brokeru sabiedrības, maksājumu iestādes, kam piemēro atbrīvojumu saskaņā ar Direktīvu (ES)2015/2366, kredītiestādes, kam piemēro atbrīvojumu saskaņā ar Direktīvu 2013/36/ES, elektroniskās naudas iestādes, kam piemēro atbrīvojumu saskaņā ar Direktīvu 2009/110/EK, un nelielas arodpensiju iestādes ievieš un uztur stabilu un dokumentētu IKT riska pārvaldības sistēmu, ar ko:
(a) sīki izklāsta mehānismus un pasākumus, kuru mērķis ir ātra, efektīva un visaptveroša visu IKT risku pārvaldība, kas ietver arī attiecīgo fizisko sastāvdaļu un infrastruktūru aizsardzību;
(b) pastāvīgi uzrauga visu IKT sistēmu drošību un darbību;
(c) samazina IKT risku ietekmi, izmantojot stabilas, noturīgas un atjauninātas IKT sistēmas, protokolus un rīkus, kuri ir piemēroti to darbību nodrošināšanai un pakalpojumu sniegšanai;
(d) pienācīgi aizsargā datu tīkla un informācijas sistēmu konfidencialitāti, integritāti un pieejamību;
(e) ļauj ātri identificēt un atklāt risku un anomāliju cēloņus tīklā un informācijas sistēmās un ātri rīkoties IKT incidentu gadījumos.
2. Šā panta 1. punktā minēto IKT riska pārvaldības sistēmu dokumentē un pārskata vismaz reizi gadā, kā arī pēc būtisku ar IKT saistītu incidentu rašanās, ievērojot uzraudzības norādījumus vai attiecīgos digitālās darbības noturības testēšanas un revīzijas procesos gūtos secinājumus. To pastāvīgi uzlabo, balstoties uz īstenošanas un uzraudzības gaitā gūtajām atziņām.
Ziņojumu par IKT riska pārvaldības sistēmas pārskatīšanu kompetentajai iestādei iesniedz katru gadu.
III NODAĻA
AR IKT SAISTĪTI INCIDENTI
PĀRVALDĪBA, KLASIFIKĀCIJA un ZIŅOŠANA
15. pants
Ar IKT saistītu incidentu pārvaldības process
1. Finanšu vienības izveido un īsteno ar IKT saistītu incidentu pārvaldības procesu, lai atklātu ar IKT saistītus incidentus, pārvaldītu tos un ziņotu par tiem, un ievieš agrīnās brīdināšanas rādītājus kā brīdinājumus.
2. Finanšu vienības izveido attiecīgas procedūras un procesus, lai nodrošinātu ar IKT saistītu incidentu konsekventu un integrētu uzraudzību, apstrādi un turpmāko kontroli, lai pārliecinātos, ka ir identificēti un novērsti to pamatā esošie cēloņi, un lai nepieļautu šādu incidentu atkārtošanos.
3. Šā panta 1. punktā minētajā ar IKT saistītu incidentu pārvaldības procesā:
(a) izveido procedūras ar IKT saistītu incidentu identificēšanai, izsekošanai, reģistrēšanai, kategorizācijai un iedalīšanai atbilstīgi to prioritātei, kā arī skarto pakalpojumu nopietnībai un būtiskumam saskaņā ar 16. panta 1. punktā minētajiem kritērijiem;
(b) iedala funkcijas un atbildību, kas jāiedarbina attiecībā uz dažādiem ar IKT saistītiem incidentu veidiem un scenārijiem;
(c) saskaņā ar 13. pantu izstrādā plānus, kā sazināties ar personālu, ārējām ieinteresētajām personām un plašsaziņas līdzekļiem un kā informēt klientus, īstenot iekšējās eskalācijas procedūras, tostarp saistībā ar klientu sūdzībām par IKT jautājumiem, kā arī informācijas sniegšanai finanšu vienībām, kas attiecīgi darbojas kā darījumu partneri;
(d) nodrošina, ka vismaz par būtiskiem ar IKT saistītiem incidentiem tiek ziņots attiecīgajai augstākajai vadībai, kā arī vadības struktūra tiek informēta par būtiskiem ar IKT saistītiem incidentiem, skaidrojot to ietekmi, reaģēšanu un papildu kontroli, kas tiek noteikta būtisku ar IKT saistītu incidentu rezultātā;
(e) izveido ar IKT saistītu incidentu reaģēšanas procedūras, lai mazinātu ietekmi un nodrošinātu to, ka pakalpojumi laikus kļūst operatīvi un drošāki.
16. pants
Ar IKT saistītu incidentu klasifikācija
1. Finanšu vienības klasificē ar IKT saistītus incidentus un nosaka to ietekmi, pamatojoties uz šādiem kritērijiem:
(a) lietotāju vai finanšu darījumu partneru skaits, ko ir skāris ar IKT saistītā incidenta izraisītais pārtraukums▐;
(b) ar IKT saistītā incidenta ilgums, ieskaitot pakalpojuma nepieejamību;
(c) ģeogrāfiskā izplatība attiecībā uz jomām, ko skāris ar IKT saistītais incidents, jo īpaši, ja tas skar vairāk nekā divas dalībvalstis;
(d) ar IKT saistītā incidenta radītie datu zudumi, piemēram, integritātes zaudēšana, konfidencialitātes zaudēšana vai pieejamības zaudēšana;
(e) cik būtiski ar IKT saistītais incidents ietekmējis finanšu vienības IKT sistēmas;
(f) cik kritiski svarīgi ir ietekmētie pakalpojumi, ieskaitot finanšu vienības darījumus un operācijas;
(g) ar IKT saistītā incidenta absolūtā un relatīvā ekonomiskā ietekme.
2. EUI ar EUI Apvienotās komitejas (“Apvienotā komiteja”) starpniecību un sadarbībā ar Eiropas Centrālo banku (ECB) un ENISA izstrādā kopēju regulatīvo tehnisko standartu projektu, tajā sīkāk nosakot:
(a) 1. punktā paredzētos kritērijus, ieskaitot būtiskuma robežvērtības, pēc kā noteikt būtiskus ar IKT saistītus incidentus, kam piemēro 17. panta 1. punktā paredzēto ziņošanas pienākumu;
(b) kritērijus, ko piemēro kompetentās iestādes, lai izvērtētu būtisku ar IKT saistītu incidentu nozīmi citu dalībvalstu jurisdikcijām, kā arī sīkāku informāciju būtisku ar IKT saistītu incidentu ziņojumos, kas tiek kopīgota ar citām kompetentajām iestādēm saskaņā 17. panta 5. un 6. punktu.
3. Izstrādājot 2. punktā minēto kopējo regulatīvo tehnisko standartu projektus, EUI ņem vērā starptautiskos standartus, kā arī ENISA izstrādātās un publicētās specifikācijas, tajā skaitā attiecīgos gadījumos — citu ekonomikas nozaru specifikācijas. EUI ņem vērā arī to, lai vajadzība ievērot šajā pantā noteiktās klasifikācijas prasības neierobežotu nelielu uzņēmumu un mikrouzņēmumu spēju savlaicīgi un efektīvi pārvaldīt incidentu. EUI ņem vērā arī finanšu vienību lielumu, to pakalpojumu, darbību un operāciju veidu, apmēru un sarežģītību, kā arī to vispārējo riska profilu.
EUI iesniedz Komisijai minēto kopējo regulatīvo tehnisko standartu projektus līdz [PB: ievietot datumu, kas ir divus gadus pēc spēkā stāšanās dienas].
Komisijai tiek deleģētas pilnvaras papildināt šo regulu, pieņemot 2. punktā minētos regulatīvos tehniskos standartus attiecīgi saskaņā ar 10.–14. pantu Regulā (ES) Nr. 1093/2010, Regulā (ES) Nr. 1094/2010 un Regulā (ES) Nr. 1095/2010 .
17. pants
Ziņošana par būtiskiem ar IKT saistītiem incidentiem
1. Finanšu vienības par būtiskiem ar IKT saistītiem incidentiem ziņo 41. pantā minētajai attiecīgajai kompetentajai iestādei, ievērojot 3. punktā paredzēto termiņu.
Piemērojot šā punkta pirmo daļu, finanšu vienības pēc visas attiecīgās informācijas ievākšanas un analīzes sagatavo incidenta ziņojumu, izmantojot 18. pantā minēto veidni, un iesniedz to kompetentajai iestādei.
Ziņojumā ietver visu informāciju, kas nepieciešama kompetentajai iestādei, lai noteiktu būtiskā ar IKT saistītā incidenta nozīmīgumu un izvērtētu iespējamo pārrobežu ietekmi.
1.a Finanšu vienības var brīvprātīgi paziņot attiecīgajai kompetentajai iestādei par būtiskiem kiberdraudiem, ja tās uzskata, ka apdraudējums ir būtisks finanšu sistēmai, pakalpojumu lietotājiem vai klientiem. Attiecīgā kompetentā iestāde var sniegt šādu informāciju citām attiecīgajām iestādēm saskaņā ar 5. punktu.
2. Ja notiek būtisks ar IKT saistīts incidents un tas būtiski ietekmē pakalpojuma lietotāju un klientu finanšu intereses, finanšu vienības, uzzinājušas par šo faktu, bez nepamatotas kavēšanās informē pakalpojuma lietotājus un klientus par būtisko ar IKT saistīto incidentu un▐ informē tos par attiecīgajiem pasākumiem, kas veikti, lai mazinātu šā incidenta nelabvēlīgo ietekmi. Ja finanšu vienības veikto pretpasākumu dēļ pakalpojuma lietotājiem un klientiem nav nodarīts kaitējums, prasību par pakalpojuma lietotāju un klientu informēšanu nepiemēro.
3. Finanšu vienības 41. pantā minētajai kompetentajai iestādei iesniedz:
(a) sākotnēju paziņojumu par būtisko ar IKT saistīto incidentu, kurā ietver tālāk izklāstīto informāciju, kas paziņotājai vienībai iespēju robežās pieejama:
i) par incidentiem, kas būtiski traucē finanšu vienības sniegto pakalpojumu pieejamību, paziņo kompetentajai iestādei bez nepamatotas kavēšanās un jebkurā gadījumā 24 stundu laikā pēc tam, kad tām kļuvis zināms par incidentu;
ii) par incidentiem, kas būtiski ietekmē finanšu vienību, bet ne tās sniegto pakalpojumu pieejamību, paziņo kompetentajai iestādei bez nepamatotas kavēšanās un jebkurā gadījumā 72 stundu laikā pēc tam, kad tām kļuvis zināms par incidentu;
iii) par incidentiem, kas ietekmē finanšu vienības glabāto persondatu integritāti, konfidencialitāti vai drošību, paziņo kompetentajai iestādei bez nepamatotas kavēšanās un jebkurā gadījumā 24 stundu laikā pēc tam, kad tām kļuvis zināms par incidentu;
(b) starpposma ziņojumu, līdzko sākotnējā incidenta statuss ir būtiski mainījies vai kļūst zināma jauna informācija, kas varētu būtiski ietekmēt to, kā kompetentā iestāde rīkojas ar IKT saistīta incidenta gadījumā, pēc a) apakšpunktā minētā sākotnējā paziņojuma, kam vajadzības gadījumā seko atjaunināti paziņojumi ikreiz, kad ir pieejams attiecīgs statusa atjauninājums, kā arī pēc kompetentās iestādes konkrēta pieprasījuma;
(c) gala ziņojumu, kad ir pabeigta pamatcēloņu analīze un neatkarīgi no tā, vai mazināšanas pasākumi jau ir vai nav ieviesti, un kad ir pieejami faktiskie ietekmes rādītāji, ar ko aizstāt aplēses, bet ne vēlāk kā pēc mēneša no sākotnējā ziņojuma nosūtīšanas dienas;
(ca) ja c) apakšpunktā minētā gala ziņojuma iesniegšanas laikā incidents vēl notiek, gala ziņojumu iesniedz vienu mēnesi pēc incidenta atrisināšanas.
Attiecīgā kompetentā iestāde, kas minēta 41. pantā, paredz, ka pienācīgi pamatotos gadījumos finanšu vienība drīkst neievērot a), b), c) un ca) apakšpunktā noteiktos termiņus, pienācīgi ņemot vērā finanšu vienību spēju sniegt pareizu un jēgpilnu informāciju par būtiskiem ar IKT saistītiem incidentiem.
4. Finanšu vienības šajā pantā noteikto ziņošanas pienākumu var deleģēt trešās puses pakalpojumu sniedzējam vienīgi pēc tam, kad deleģēšanu atļāvusi attiecīgā 41. pantā minētā kompetentā iestāde. Šādas deleģēšanas gadījumos finanšu vienība joprojām pilnībā atbild par incidentu paziņošanas prasību izpildi.
5. Kad kompetentā iestāde ir saņēmusi 1. punktā minēto paziņojumu, tā bez liekas kavēšanās sniedz informāciju par būtisko ar IKT saistīto incidentu:
(a) attiecīgā gadījumā — EBI, EVTI vai EAAPI;
(b) par šīs regulas 2. panta 1. punkta a), b) un c) apakšpunktā minētajām finanšu vienībām attiecīgā gadījumā — ECB; kā arī
(c) vienotajam kontaktpunktam, kas izraudzīts saskaņā ar Direktīvas (ES) 2016/1148 8. pantu, vai CSIRT, kas izraudzītas saskaņā ar Direktīvas (ES) 2016/1149 9. pantu;
(ca) noregulējuma iestādei, kas ir atbildīga par attiecīgo finanšu vienību; Vienotajai noregulējuma valdei (VNV) attiecībā uz vienībām, kas minētas Regulas (ES) Nr. 806/2014 7. panta 2. punktā, un vienībām un grupām, kas minētas Regulas (ES) Nr. 806/2014 7. panta 4. punkta b) apakšpunktā un 5. punktā, ja ir izpildīti minēto punktu piemērošanas nosacījumi;
(cb) valstu noregulējuma iestādēm attiecībā uz vienībām un grupām, kas minētas Regulas (ES) Nr. 806/2014 7. panta 3. punktā; valstu noregulējuma iestādes reizi ceturksnī sniedz VNV kopsavilkumu par ziņojumiem, ko tās saņēmušas saskaņā ar šo punktu attiecībā uz Regulas (ES) Nr. 806/2014 7. panta 3. punktā minētajām vienībām un grupām;
(cc) citām attiecīgajām valsts iestādēm, tostarp citu dalībvalstu iestādēm.
6. EBI, EVTI vai EAAPI un ECB sadarbībā ar ENISA novērtē būtisko ar IKT saistīto incidentu nozīmīgumu citām attiecīgajām valsts iestādēm un par to tās attiecīgi informē iespējami īsā laikā. ECB paziņo Eiropas Centrālo banku sistēmas locekļiem par jautājumiem, kuri attiecas uz maksājumu sistēmu. Pamatojoties uz minēto paziņojumu, kompetentās iestādes vajadzības gadījumā veic visus pasākumus, kas nepieciešami, lai īstermiņā aizsargātu finanšu sistēmas drošību.
18. pants
Ziņojumu satura un veidņu saskaņošana
1. EUI, izmantojot Apvienoto komiteju un apspriežoties ar ENISA un ECB, izstrādā:
(a) kopējo regulatīvo tehnisko standartu projektus, ar ko:
(1) nosaka par būtiskiem ar IKT saistītiem incidentiem iesniegto ziņojumu saturu;
(2) sīkāk precizē nosacījumus, saskaņā ar kuriem finanšu vienības pēc kompetentās iestādes iepriekšēja apstiprinājuma var deleģēt trešo personu, kas sniedz pakalpojumus, šajā nodaļā izklāstītos ziņošanas pienākumus;
(3) sīkāk precizē kritērijus, kuriem atbilstīgi nosaka būtiska ar IKT saistīta incidenta ietekmi uz finanšu vienību 17. panta 3. punkta a) apakšpunkta vajadzībām;
(b) kopējo īstenošanas tehnisko standartu projektus, ar ko nosaka standarta veidlapas, veidnes un procedūras, kā finanšu vienības ziņo par būtisku ar IKT saistītu incidentu.
EUI iesniedz Komisijai pirmās daļas a) apakšpunktā minēto kopējo regulatīvo tehnisko standartu projektus un pirmās daļas b) apakšpunktā minēto kopējo īstenošanas tehnisko standartu projektus līdz xx 202x [PB: ievietot datumu, kas ir vienu gadu pēc spēkā stāšanās dienas].
Komisijai tiek deleģētas pilnvaras papildināt šo regulu, pieņemot pirmās daļas a) apakšpunktā minētos kopējos regulatīvos tehniskos standartus attiecīgi saskaņā ar 10.–14. pantu Regulā (ES) Nr. 1093/2010, Regulā (ES) Nr. 1095/2010 un Regulā (ES) Nr. 1094/2010.
Komisijai tiek deleģētas pilnvaras pieņemt pirmās daļas b) apakšpunktā minētos kopējos īstenošanas tehniskos standartus attiecīgi saskaņā ar Regulas (ES) Nr. 1093/2010, (ES) Nr. 1095/2010 un (ES) Nr. 1094/2010 15. pantu.
2. Kamēr nav zināmi 19. pantā minētā priekšizpētes ziņojuma rezultāti par incidentu ziņošanas turpmāku centralizāciju, EUI ar Apvienotās komitejas starpniecību un sadarbībā ar kompetentajām iestādēm, ECB, VNV un ENISA izstrādā pamatnostādnes informācijas apmaiņai par būtisku ar IKT saistītu incidentu ziņojumiem saskaņā ar 17. panta 5. punktu.
Pirmajā daļā minētajās pamatnostādnēs ņem vērā vismaz šādu informāciju:
(a) visefektīvākos saziņas kanālus;
(b) apmaināmo datu drošības, konfidencialitātes un integritātes saglabāšanu;
(c) finanšu vienību iespējamo iesaistīšanu, lai papildinātu 40. pantā minēto informācijas apmaiņu.
19. pants
Centralizēta ziņošana par būtiskiem ar IKT saistītiem incidentiem
1. EUI ar Apvienotās komitejas starpniecību un apspriežoties ar ECB un ENISA, sagatavo kopīgu ziņojumu, kurā izvērtē iespēju turpināt centralizēt ziņošanu par incidentiem, izveidojot vienotu ES centrmezglu finanšu vienību ziņojumiem par būtiskiem ar IKT saistītiem incidentiem. Ziņojumā aplūko veidus, kā atvieglot ar IKT saistītu incidentu paziņošanas plūsmu, samazināt ar to saistītās izmaksas un izmantot tematiskās analīzes, lai uzlabotu uzraudzības konverģenci.
2. Šā panta 1. punktā minētajā ziņojumā ir vismaz šādi elementi:
(a) priekšnoteikumi šāda vienota ES centrmezgla izveidei;
(b) ieguvumi, ierobežojumi un iespējamie riski;
(ba) spēja nodrošināt sadarbspēju un novērtēt tās pievienoto vērtību salīdzinājumā ar citām attiecīgajām ziņošanas shēmām, tostarp Direktīvā (ES) 2016/1148 minēto shēmu;
(c) darbības vadības elementi;
(d) dalības nosacījumi;
(e) kārtība, kādā finanšu vienības un valstu kompetentās iestādes var piekļūt vienotajam ES centrmezglam;
(f) provizorisks novērtējums par finansiālajām izmaksām, kas saistītas ar vienotā ES centrmezgla atbalsta darbības platformas izveidi, tostarp tai nepieciešamajām zināšanām.
3. EUI iesniedz 1. punktā minēto ziņojumu Komisijai, Eiropas Parlamentam un Padomei līdz xx 202x [OV: ievietot datumu, kas ir trīs gadus pēc spēkā stāšanās dienas].
20. pants
Uzrauga atgriezeniskā saite
1. Saņemot 17. panta 1. punktā minēto ziņojumu, kompetentā iestāde apstiprina paziņojuma saņemšanu un pēc iespējas ātrāk sniedz finanšu vienībai visu vajadzīgo atgriezenisko saiti vai norādījumus, jo īpaši, lai apspriestu tiesiskās aizsardzības līdzekļus vienības līmenī vai veidus, kā samazināt nelabvēlīgo ietekmi pa nozarēm, kā arī gadījumos, kad tas varētu būt noderīgi, pamatojoties uz tās saņemtajiem ziņojumiem par būtiskiem ar IKT saistītiem incidentiem, sniedz visām attiecīgajām finanšu vienībām pienācīgi anonimizētu atgriezenisko saiti, pārskatu un izlūkdatus.
2. EUI ar Apvienotās komitejas starpniecību katru gadu sniedz anonimizētu un apkopotu informāciju par būtisku ar IKT saistītu incidentu paziņojumiem, kas saņemti no kompetentajām iestādēm, izklāstot vismaz ar IKT saistīto būtisko incidentu skaitu, to būtību, ietekmi uz finanšu vienību vai klientu darbību, aprēķinātās izmaksas un veiktos korektīvos pasākumus.
EUI izdod brīdinājumus un sagatavo augsta līmeņa statistiku, lai atbalstītu IKT apdraudējumu un neaizskaramības novērtējumus.
20.a pants
Ar maksājumiem saistīti darbības vai drošības incidenti attiecībā uz konkrētām finanšu vienībām
Šajā nodaļā paredzētās prasības piemēro arī ar maksājumiem saistītiem darbības vai drošības incidentiem un būtiskiem ar maksājumiem saistītiem darbības vai drošības incidentiem, ja tie attiecas uz finanšu vienībām, kas minētas 2. panta 1. punkta a), b) un c) apakšpunktā.
IV NODAĻA
DIGITĀLĀS DARBĪBAS NOTURĪBAS TESTĒŠANA
21. pants
Vispārējās prasības digitālās darbības noturības testu veikšanai
1. Lai novērtētu gatavību ar IKT saistītiem incidentiem vai identificētu digitālās darbības noturības vājās vietas, trūkumus vai nepilnības un nekavējoties īstenotu korektīvos pasākumus, finanšu vienības, kas nav mikrouzņēmumi, izveido, uztur un pārskata stabilu un visaptverošu digitālās darbības noturības testēšanas programmu kā 5. pantā minētās IKT riska pārvaldības sistēmas neatņemamu daļu.
2. Digitālās darbības noturības testēšanas programma ietver virkni novērtējumu, testu, metodiku, prakses un rīku, ko piemēro saskaņā ar 22. un 23. panta noteikumiem.
3. Veicot šā panta 1. punktā minēto digitālās darbības noturības testēšanas programmu, finanšu vienības ievēro uz risku balstītu pieeju, ņemot vērā IKT risku mainīgo ainu, visus īpašos riskus, kuriem finanšu vienība ir vai varētu būt pakļauta, informācijas aktīvu un sniegto pakalpojumu kritisko svarīgumu, kā arī jebkuru citu faktoru, ko finanšu vienība uzskata par nozīmīgu.
4. Finanšu vienības nodrošina, ka testēšanu veic neatkarīgas personas, kas var būt iekšējas vai ārējas. Ja testus veic iekšējais testētājs, finanšu vienības šā uzdevuma veikšanai piešķir pietiekamus resursus un nodrošina, ka visā testa izstrādes un izpildes laikā netiek pieļauti interešu konflikti.
5. Finanšu vienības izveido procedūras un politikas pasākumus, lai noteiktu par prioritārām, klasificētu un risinātu visas problēmas, kuru pastāvēšana ir atzīta visā testu veikšanas procesā, un izveido iekšējās validēšanas metodiku, lai pārliecinātos, ka visas konstatētās vājās vietas, trūkumi vai nepilnības ir pilnībā novērsti.
6. Finanšu vienības nodrošina, ka vismaz reizi gadā pienācīgi tiek testētas visas kritiski svarīgās IKT sistēmas un lietojumprogrammas▐.
22. pants
IKT rīku un sistēmu testēšana
1. Regulas 21. pantā minētā digitālās darbības noturības testēšanas programma paredz veikt pilnu atbilstīgu testu loku.
Šie testi var ietvert neaizskaramības novērtējumus un skenēšanu, atklātā pirmkoda analīzi, tīkla drošības novērtējumus, nepilnību analīzi, fiziskās drošības pārbaudes, anketas un skenēšanas programmatūras risinājumus, pirmkodu pārskatīšanu (ja iespējams), uz scenārijiem balstītus testus, saderības testēšanu, veiktspējas testēšanu, testēšanu “no gala līdz galam” vai ielaušanās testēšanu.
2. Regulas 2. panta 1. punkta f) un g) apakšpunktā minētās finanšu vienības veic neaizskaramības novērtējumu, pirms tiek (atkārtoti) ieviesti jauni vai esoši pakalpojumi, kas atbalsta finanšu vienības kritiski svarīgās funkcijas, lietojumprogrammas un infrastruktūras komponentus.
23. pants
IKT rīku, sistēmu un procesu padziļināta testēšana, balstoties uz draudu vadītu ielaušanās testēšanu
1. Saskaņā ar 3. punkta otro daļu identificētās finanšu vienības vismaz reizi trijos gados veic padziļinātu testēšanu, izmantojot draudu vadītu ielaušanās testēšanu.
2. Draudu vadīta ielaušanās testēšana aptver vismaz finanšu vienības kritiski svarīgās vai svarīgās funkcijas un pakalpojumus, un to veic, ja iespējams, aktīvā izstrādes sistēmā, kas atbalsta šīs funkcijas, vai prototipa izstrādes sistēmā, kurai ir tāda pati drošības konfigurācija. Draudu vadītas ielaušanās testēšanas precīzu jomu, balstoties uz kritiski svarīgu vai svarīgu funkciju un pakalpojumu novērtējumu, nosaka finanšu vienības un validē kompetentās iestādes. Vienam draudu vadītas ielaušanās testam nav jāaptver visas kritiski svarīgās vai svarīgās funkcijas.
Pirmās daļas vajadzībām finanšu vienības identificē visus attiecīgos pamatā esošos IKT procesus, sistēmas un tehnoloģijas, kas atbalsta kritiski svarīgas vai svarīgas funkcijas un pakalpojumus, ieskaitot kritiski svarīgas vai svarīgas funkcijas un pakalpojumus, kas uzticēti ārpakalpojumā vai par ko noslēgts līgums ar trešām personām, kas sniedz IKT pakalpojumus.
Ja draudu vadīta ielaušanās testēšana aptver kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus, un vajadzības gadījumā tādas trešās personas, kas sniedz IKT pakalpojumus un nav kritiski svarīgas, finanšu vienība veic nepieciešamos pasākumus, lai nodrošinātu šo pakalpojumu sniedzēju piedalīšanos. Šīm trešām personām, kas sniedz IKT pakalpojumus, nav jāsniedz ne informācija, ne arī citi sīkāki dati par elementiem, kas neattiecas uz attiecīgo finanšu vienību attiecīgo kritiski svarīgo vai svarīgo funkciju riska pārvaldības kontroles pasākumiem. Šāda testēšana nedrīkst kaitēt citiem trešo personu, kas sniedz IKT pakalpojumus, klientiem.
Gadījumos, kad draudu vadītā ielaušanās testēšanā iesaistīta trešā persona, kas sniedz IKT pakalpojumus, varētu ietekmēt to pakalpojumu sniegšanas kvalitāti, konfidencialitāti vai drošību, kurus attiecīgā trešā persona, kas sniedz IKT pakalpojumus, nodrošina citiem klientiem, uz kuriem neattiecas šīs regulas darbības joma, vai tādas trešās personas, kas sniedz IKT pakalpojumus, darbību vispārējo integritāti, finanšu vienība un trešā persona, kas sniedz IKT pakalpojumus, var ar līgumu vienoties, ka trešā persona, kas sniedz IKT pakalpojumus, drīkst pati tieši slēgt līgumisku vienošanos ar ārēju testētāju. Trešās personas, kas sniedz IKT pakalpojumus, šādu līgumisku vienošanos var slēgt visu to finanšu vienību vārdā, kuras ir attiecīgās trešās personas pakalpojumu lietotāji, nolūkā veikt apvienotu testēšanu.
Finanšu vienības piemēro efektīvas riska pārvaldības kontroles, lai mazinātu risku, ka varētu tikt ietekmēti pašas finanšu vienības, tās darījumu partneru vai finanšu nozares dati, bojāti aktīvi vai traucētas kritiski svarīgas vai svarīgas funkcijas vai darbības.
Pēc testa beigām, kad apstiprināti ziņojumi un sanācijas plāni, finanšu vienība un ārējie testētāji iesniedz vienotajai publiskajai iestādei, kas izraudzīta saskaņā ar 3.a punktu, vai ENISA gadījumos, kad trešās personas, kas sniedz IKT pakalpojumus, pašas slēdz līgumisku vienošanos ar ārējiem testētājiem, testēšanas rezultātu konfidenciālu kopsavilkumu un dokumentus, kas apstiprina, ka draudu vadītā ielaušanās testēšana ir veikta atbilstīgi prasībām. Attiecīgā gadījumā vienotā publiskā iestāde vai ENISA izsniedz apliecinājumu, ar ko apstiprina, ka tests ir veikts saskaņā ar attiecīgajos dokumentos noteiktajām prasībām, lai tādējādi varētu nodrošināt draudu vadītas ielaušanās testēšanas savstarpēju atzīšanu kompetentajās iestādēs. Šo apliecinājumu dara zināmu finanšu vienības kompetentajai iestādei un attiecīgā gadījumā kritiski svarīgās trešās personas, kas sniedz IKT pakalpojumus, galvenajam pārraugam.
3. Finanšu vienības vai trešās personas, kas sniedz IKT pakalpojumus un kam ir atļauts tieši noslēgt līgumiskas vienošanās ar ārēju testētāju saskaņā ar šā panta 2. punktu, draudu vadītas ielaušanās testēšanas veikšanai noslēdz līgumus ar testētājiem saskaņā ar 24. pantu.
Neskarot iespēju deleģēt šajā pantā paredzētos uzdevumus un pilnvaras citām kompetentajām iestādēm, kas atbild par draudu vadītu ielaušanās testēšanu, kompetentās iestādes identificē finanšu vienības, kam jāveic draudu vadīta ielaušanās testēšana samērīgā veidā, balstoties uz šādu faktoru izvērtējumu:
(a) ar ietekmi saistīti faktori, jo īpaši finanšu vienības sniegto pakalpojumu un darbību kritiskais svarīgums;
(b) iespējamās bažas par finanšu stabilitāti, attiecīgā gadījumā ieskaitot finanšu vienības sistēmiskumu valsts vai Savienības līmenī;
(c) finanšu vienības konkrētais IKT riska profils, IKT gatavības līmenis vai attiecīgās tehnoloģijas īpašības.
3.a Dalībvalstis izraugās vienotu publisku iestādi, kas ir atbildīga par draudu vadītu ielaušanās testēšanu finanšu nozarē valsts līmenī, izņemot finanšu vienību identificēšanu saskaņā ar 3. punktu, un cita starpā par draudu vadītu ielaušanās testēšanu, kuru veic finanšu vienības un trešās personas, kas sniedz IKT pakalpojumus un kas tieši slēdz līgumiskas vienošanās ar ārējiem testētājiem. Izraudzītajai vienotajai publiskajai iestādei šajā nolūkā uztic visas vajadzīgās pilnvaras un uzdevumus.
4. EUI sadarbībā ar ENISA, pēc apspriešanās ar ECB un ņemot vērā attiecīgo regulējumu Savienībā, ko piemēro uz izlūkdatiem balstītai, draudu vadītai ielaušanās testēšanai, tostarp TIBER-EU sistēmā, izstrādā vienu regulatīvo tehnisko standartu projektu kopumu, lai sīkāk noteiktu:
(a) šā panta 3. punkta otrās daļas piemērošanas vajadzībām izmantotos kritērijus;
(b) prasības attiecībā uz:
i) šā panta 2. punktā minēto draudu vadītas ielaušanās testu darbības jomu;
ii) testēšanas metodiku un pieeju, ko ievēro katrā testēšanas procesa konkrētajā posmā;
iii) testēšanas rezultātu, slēgšanas un kļūdu novēršanas posmus;
(c) tādas uzraudzības sadarbības veidu, kas vajadzīga, lai īstenotu draudu vadītu ielaušanās testēšanu saistībā ar finanšu vienībām, kuras darbojas vairāk nekā vienā dalībvalstī, un testēšanu, ko veic ārēji testētāji, kuri tieši noslēguši līgumisku vienošanos ar trešām personām, kas sniedz IKT pakalpojumus, saskaņā ar šā panta 2. punktu, kā arī sekmētu šādas testēšanas pilnīgu savstarpēju atzīšanu, lai nodrošinātu pienācīgu uzraudzības iesaisti un elastīgu īstenošanu nolūkā ņemt vērā finanšu apakšnozaru vai vietējo finanšu tirgu īpatnības.
EUI iesniedz Komisijai minēto regulatīvo tehnisko standartu projektus līdz [OV: ievietot datumu, kas ir sešus mēnešus pirms spēkā stāšanās dienas].
Komisijai tiek deleģētas pilnvaras papildināt šo regulu, pieņemot otrajā daļā minētos regulatīvos tehniskos standartus attiecīgi saskaņā ar 10.–14. pantu Regulā (ES) Nr. 1093/2010, Regulā (ES) Nr. 1095/2010 un Regulā (ES) Nr. 1094/2010.
24. pants
Prasības testētājiem
1. Finanšu vienības un trešās personas, kas sniedz IKT pakalpojumus un kas drīkst tieši slēgt līgumiskas vienošanās ar ārēju testētāju saskaņā ar 23. panta 2. punktu, draudu vadītas ielaušanās testēšanai izmanto tikai testētājus:
(a) kam ir visaugstākā piemērotība un reputācija;
(b) kam ir tehniskās un organizēšanas spējas, kā arī tie ir apliecinājuši, ka tiem ir īpaša zinātība par draudu izlūkdatiem, ielaušanās testēšanu vai sarkanās komandas testēšanu;
(c) ko ir sertificējusi dalībvalsts akreditācijas struktūra vai kas ievēro oficiālus rīcības kodeksus vai ētikas regulējumu neatkarīgi no tā, vai testētāji ir no Savienības vai no trešām valstīm;
(d) kas▐ sniedz neatkarīgu apliecinājumu vai revīzijas ziņojumu saistībā ar tādu risku stabilu pārvaldību, kas ir saistīti ar draudu vadītu ielaušanās testu veikšanu, tostarp finanšu vienības konfidenciālās informācijas pienācīgu aizsardzību un finanšu vienības darījumdarbības risku atlīdzināšanu;
(e) kam▐ ir pienācīgs un pilnīgs attiecīgas profesionālās apdrošināšanas segums, tostarp pret ļaunprātīgas rīcības un nolaidības riskiem;
(ea) attiecībā uz iekšējiem testētājiem to izmantošanu ir apstiprinājusi attiecīgā kompetentā iestāde un vienotā publiskā iestāde, kas izraudzīta saskaņā ar 23. panta 3.a punktu, un minētās iestādes ir pārliecinājušās, ka konkrētā finanšu vienība ir šim uzdevumam atvēlējusi pietiekamus resursus un ir nodrošinājusi, ka visā testa izstrādes un izpildes laikā netiek pieļauti interešu konflikti.
2. Finanšu vienības un trešās personas, kas sniedz IKT pakalpojumus un kas drīkst tieši slēgt līgumiskas vienošanās ar ārēju testētāju saskaņā ar 23. panta 2. punktu, nodrošina, ka vienošanās, kas noslēgtas ar ārējiem testētājiem, paredz stabili pārvaldīt draudu vadītas ielaušanās testu rezultātus un ka to apstrāde, ieskaitot izveidošanu, projekta izstrādi, glabāšanu, apkopošanu, ziņošanu, paziņošanu vai iznīcināšanu, nerada riskus finanšu vienībai.
V NODAĻA
AR TREŠO PERSONU SAISTĪTA IKT RISKA PĀRVALDĪBA
I IEDAĻA
AR TREŠO PERSONU SAISTĪTA IKT RISKA STABILAS PĀRVALDĪBAS PAMATPRINCIPI
25. pants
Vispārīgie principi
Finanšu vienības savās IKT riska pārvaldības sistēmā pārvalda ar trešo personu saistīto IKT risku kā IKT riska neatņemamu daļu saskaņā ar turpmāk izklāstītajiem principiem.
1. Finanšu vienības, kurām ir līgumiskas vienošanās par IKT pakalpojumu izmantošanu savas darījumdarbības veikšanai, nepārtraukti ir pilnībā atbildīgas par visu šajā regulā un piemērojamos finanšu pakalpojumu tiesību aktos noteikto saistību ievērošanu un izpildi.
2. Finanšu vienības īsteno ar trešo personu saistītā riska pārvaldību saskaņā ar proporcionalitātes principu, ņemot vērā:
(a) ar IKT saistītu atkarību veidu, apmēru, sarežģītību un svarīgumu;
(b) riskus, kuri rodas no līgumiskas vienošanās par IKT pakalpojumu sniegšanu, kas noslēgta ar trešām personām, kas sniedz IKT pakalpojumus, ņemot vērā attiecīgā pakalpojuma, procesa vai funkcijas kritisko svarīgumu vai svarīgumu un iespējamo ietekmi uz finanšu pakalpojumu un darbību nepārtrauktību un kvalitāti individuālā un grupas līmenī;
(ba) to, vai IKT pakalpojumu sniedzējs ir grupas iekšējais IKT pakalpojumu sniedzējs.
3. Finanšu vienības, kas nav mikrouzņēmumi, kā daļu no IKT riska pārvaldības sistēmas pieņem un regulāri pārskata ar trešo personu saistītā IKT riska stratēģiju▐. Šajā stratēģijā ietver rīcībpolitiku attiecībā uz trešo personu, kas sniedz IKT pakalpojumus, sniegto IKT pakalpojumu izmantošanu, un to piemēro individuāli, kā arī attiecīgā gadījumā — subkonsolidēti un konsolidēti. Vadības struktūra regulāri pārskata riskus, kas identificēti attiecībā uz kritiski svarīgu vai svarīgu funkciju uzticēšanu ārpakalpojuma sniedzējiem.
4. Finanšu vienības IKT riska pārvaldības sistēmas ietvaros vienības līmenī, kā arī subkonsolidētajā un konsolidētajā līmenī uztur un atjaunina informācijas reģistru saistībā ar katru līgumisku vienošanos par izmantotajiem IKT pakalpojumiem, ar ko atbalsta kritiski svarīgas vai svarīgas funkcijas un ko sniedz trešās personas.
Pirmajā daļā minētās līgumiskās vienošanās attiecīgi dokumentē▐.
Kamēr nav stājušies spēkā 10. punktā minētie īstenošanas tehniskie standarti, finanšu vienības ievēro EUI un kompetento iestāžu izdotās pamatnostādnes un citus pasākumus, ja tie ir pieejami.
Finanšu vienības vismaz reizi gadā sniedz kompetentajām iestādēm informāciju par jaunu pasākumu skaitu attiecībā uz to IKT pakalpojumu izmantošanu, ar ko atbalsta kritiski svarīgas vai svarīgas funkcijas, trešo personu, kas sniedz IKT pakalpojumus, kategorijām, līgumisku vienošanos veidiem un nodrošinātajiem pakalpojumiem un funkcijām.
Finanšu vienības pēc pieprasījuma dara kompetentajai iestādei pieejamu pilno informācijas reģistru vai pieprasīto informāciju, kā arī jebkādu informāciju, ko uzskata par nepieciešamu finanšu vienības efektīvas uzraudzības nodrošināšanai.
Finanšu vienības laikus informē kompetento iestādi par plānotu līgumu noslēgšanu par kritiski svarīgām vai svarīgām funkcijām, kā arī par to, ka funkcija ir kļuvusi par kritiski svarīgu vai svarīgu.
5. Finanšu vienības, pirms tās noslēdz līgumisku vienošanos par IKT pakalpojumu izmantošanu:
(a) novērtē, vai līgumiskā vienošanās attiecas uz kritiski svarīgu vai svarīgu funkciju;
(b) novērtē, vai ir izpildīti uzraudzības nosacījumi līguma slēgšanai;
(c) identificē un novērtē visus būtiskos riskus saistībā ar līgumisko vienošanos, tostarp iespēju, ka šāda līgumiska vienošanās var sekmēt IKT koncentrācijas riska palielināšanos;
(d) ar visu pienācīgo rūpību pārbauda iespējamās trešās personas, kas sniedz IKT pakalpojumus, un visos atlases un novērtēšanas procesos nodrošina, ka trešā persona, kas sniedz IKT pakalpojumus, ir piemērota;
(e) identificē un novērtē interešu konfliktus, ko var izraisīt līgumiskā vienošanās.
6. Līgumiskas vienošanās ar trešām personām, kas sniedz IKT pakalpojumus, finanšu vienības var slēgt tikai tad, ja attiecīgo trešo personu darbība atbilst augstiem, atbilstošiem un atjauninātiem informācijas drošības standartiem. Nosakot to, vai ieviestie drošības standarti ir atbilstīgi, arī ņem vērā jaunākos standartus.
7. Īstenojot piekļuves, pārbaudes un revīzijas tiesības attiecībā uz trešo personu, kas sniedz IKT pakalpojumus saistībā ar kritiski svarīgām vai svarīgām funkcijām, finanšu vienības, izmantojot uz risku balstītu pieeju, iepriekš nosaka revīziju un pārbaužu biežumu un revidējamās jomas, ievērojot vispārpieņemtus revīzijas standartus un atbilstīgi uzraudzības norādījumiem par šādu revīzijas standartu izmantošanu un iestrādāšanu.
Ja līgumiska vienošanās ir ar sīki izstrādātu tehnoloģiskās sarežģītības līmeni, finanšu vienība pārbauda, vai revidentiem, neatkarīgi no tā, vai tie ir iekšēji revidenti, revidentu grupas vai ārējie revidenti, piemīt atbilstīgas prasmes un zināšanas, lai efektīvi veiktu attiecīgās revīzijas un novērtējumus.
8. Finanšu vienības nodrošina, ka līgumiskas vienošanās par IKT pakalpojumu izmantošanu ļauj finanšu vienībām veikt atbilstīgus korektīvus vai novēršanas pasākumus, kuri varētu ietvert līgumisko vienošanos pilnīgu izbeigšanu, ja nav iespējams veikt labojumus, vai daļēju izbeigšanu, ja ir iespējams veikt labojumus, saskaņā ar piemērojamiem tiesību aktiem, vismaz šādos apstākļos:
(a) trešā persona, kas sniedz IKT pakalpojumus, būtiski pārkāpj piemērojamos tiesību aktus, noteikumus vai līguma noteikumus;
(aa) Kopīgā pārraudzības struktūra saskaņā ar 37. pantu ir sniegusi ieteikumu kritiski svarīgai trešai personai, kas sniedz IKT pakalpojumus;
(b) apstākļi, kuri identificēti visā ar trešo personu saistītā riska pārraudzībā un kurus uzskata par tādiem, kas var mainīt ar līgumisko vienošanos sniegto funkciju izpildi, tostarp būtiskas izmaiņas, kas ietekmē trešās personas, kas sniedz IKT pakalpojumus, struktūru vai situāciju;
(c) pastāv apliecinātas trešās personas, kas sniedz IKT pakalpojumus, nepilnības attiecībā uz tās līguma ar finanšu vienību vispārējo IKT riska pārvaldību un jo īpaši attiecībā uz to, kā tas nodrošina konfidenciālu, personisku vai citādi sensitīvu datu vai konfidenciālas informācijas drošību un integritāti;
(d) pierādāmi apstākļi, kad kompetentā iestāde attiecīgās līgumiskās vienošanās rezultātā vairs noteikti nevar efektīvi uzraudzīt finanšu vienību.
8.a Lai finanšu vienības līmenī mazinātu traucējumu risku, pienācīgi pamatotos apstākļos un ar savu kompetento iestāžu piekrišanu finanšu vienība var nolemt neizbeigt līgumiskās attiecības ar trešām personām, kas sniedz IKT pakalpojumus, līdz tā spēj pāriet pie citas trešās personas, kas sniedz IKT pakalpojumus, vai arī pāriet uz iekšējiem risinājumiem, kuri atbilst sniegtā pakalpojuma sarežģītībai, saskaņā ar 9. punktā minēto atkāpšanās stratēģiju.
8.b Gadījumos, kad līgumiskas vienošanās ar trešām personām, kas sniedz IKT pakalpojumus, tiek izbeigtas kādā no 8. punkta a) līdz d) apakšpunktā uzskaitītajiem apstākļiem, finanšu vienības nesedz izmaksas par datu nosūtīšanu no trešās personas, kas sniedz IKT pakalpojumus, ja šāda nosūtīšana pārsniedz sākotnējā līgumā paredzētās datu nosūtīšanas izmaksas.
9. Attiecībā uz IKT pakalpojumiem, kas saistīti ar kritiski svarīgām vai svarīgām funkcijām, finanšu vienības ievieš atkāpšanās stratēģijas, kas periodiski jāpārskata. Atkāpšanās stratēģijās ņem vērā riskus, kas var rasties trešo personu, kas sniedz IKT pakalpojumus, līmenī, jo īpaši to saistību iespējama neizpilde, sniegto funkciju kvalitātes pasliktināšanās, jebkādi darījumdarbības traucējumi neatbilstošas vai nesekmīgas pakalpojumu sniegšanas dēļ, vai ar attiecīgās funkcijas pienācīgu un nepārtrauktu izvietošanu saistīta būtiska riska rašanās, vai līgumisko vienošanos izbeigšana ar trešām personām, kas sniedz IKT pakalpojumus, jebkuru 8. panta a) līdz d) apakšpunktā uzskaitīto apstākļu dēļ.
Finanšu vienības nodrošina, ka tās var atkāpties no līgumiskas vienošanās:
(a) netraucējot to darījumdarbībai;
(b) neierobežojot atbilstību regulatīvajām prasībām;
(c) nekaitējot klientiem sniegto pakalpojumu nepārtrauktībai un kvalitātei.
Atkāpšanās plāni ir visaptveroši, dokumentēti un attiecīgos gadījumos — pietiekami testēti.
Finanšu vienības identificē alternatīvus risinājumus un izstrādā pārejas plānus, kas tām ļauj ar līgumu noteiktās funkcijas un attiecīgos datus pārvietot no trešās personas, kas sniedz IKT pakalpojumus, un droši un vienoti nodot tos citiem pakalpojumu sniedzējiem vai atkārtoti iekļaut vienības iekšienē.
Finanšu vienības veic attiecīgus ārkārtas pasākumus, lai nodrošinātu darbības nepārtrauktību visos pirmajā daļā minētajos gadījumos.
10. EUI ar Apvienotās komitejas starpniecību izstrādā īstenošanas tehnisko standartu projektus, lai izveidotu standarta veidnes 4. punktā minētā informācijas reģistra vajadzībām.
EUI iesniedz Komisijai minēto īstenošanas tehnisko standartu projektus līdz [OV: ievietot datumu, kas ir vienu gadu pēc regulas spēkā stāšanās dienas].
Komisijai tiek deleģētas pilnvaras pieņemt pirmajā daļā minētos īstenošanas tehniskos standartus attiecīgi saskaņā ar 10.–14. pantu Regulā (ES) Nr. 1093/2010, Regulā (ES) Nr. 1095/2010 un Regulā (ES) Nr. 1094/2010.
11. EUI ar Apvienotās komitejas starpniecību izstrādā regulatīvo standartu projektus:
(a) lai sīkāk precizētu 3. punktā minētās rīcībpolitikas detalizēto saturu saistībā ar līgumisko vienošanos par trešās personas, kas sniedz IKT pakalpojumus, sniegto IKT pakalpojumu izmantošanu, atsaucoties uz attiecīgās vienošanās par IKT pakalpojumu izmantošanu dzīves cikla galvenajiem posmiem;
(b) attiecībā uz informāciju, kas iekļaujama 4. punktā minētajā informācijas reģistrā.
EUI iesniedz Komisijai minēto regulatīvo tehnisko standartu projektus līdz [PB: ievietot datumu, kas ir astoņpadsmit mēnešus pēc spēkā stāšanās dienas].
Komisijai tiek deleģētas pilnvaras papildināt šo regulu, pieņemot otrajā daļā minētos regulatīvos tehniskos standartus attiecīgi saskaņā ar 10.–14. pantu Regulā (ES) Nr. 1093/2010, Regulā (ES) Nr. 1095/2010 un Regulā (ES) Nr. 1094/2010.
26. pants
IKT koncentrācijas riska un tālākas nodošanas apakšuzņēmējiem sākotnējais novērtējums
1. Veicot 25. panta 5. punkta c) apakšpunktā minētā IKT koncentrācijas riska identificēšanu un novērtēšanu, finanšu vienības ņem vērā, vai līgumiskas vienošanās noslēgšana par IKT pakalpojumiem, kuri balsta kritiski svarīgas vai svarīgas funkcijas, radītu kādas no šādām sekām:
(a) līguma noslēgšana ar trešo personu, kas sniedz IKT pakalpojumus un kas nav viegli aizstājama; vai
(b) pastāvētu vairākas līgumiskas vienošanās attiecībā uz IKT pakalpojumu, kuri balsta kritiski svarīgas vai svarīgas funkcijas, sniegšanu ar tādu pašu trešo personu, kas sniedz IKT pakalpojumus, vai ar cieši saistītām trešām personām, kas sniedz IKT pakalpojumus.
Finanšu vienības izvērtē izmaksas un ieguvumus no alternatīvu risinājumu izmantošanas, piemēram, dažādu trešo personu, kas sniedz IKT pakalpojumus, izmantošanas, ņemot vērā, vai un kā paredzētie risinājumi atbilst digitālās darbības noturības stratēģijā izklāstītajām darījumdarbības vajadzībām un mērķiem.
2. Ja līgumiskā vienošanās par IKT pakalpojumu, kuri balsta kritiski svarīgas vai svarīgas funkcijas, izmantošanu ietver iespēju, ka trešā persona, kas sniedz IKT pakalpojumus, kritiski svarīgu vai svarīgu funkciju nodod tālāk ārpakalpojumā citām trešām personām, kas sniedz IKT pakalpojumus, finanšu vienības izvērtē ieguvumus un riskus, kas varētu rasties saistībā ar šādu tālāknodošanu ārpakalpojumā▐.
Ja līgumisko vienošanos par IKT pakalpojumu, kuri balsta kritiski svarīgas vai svarīgas funkcijas, izmantošanu slēdz ar trešo personu, kas sniedz IKT pakalpojumus, ▐finanšu vienības apsver attiecīgus faktorus, kuru vidū ir vismaz:
(a) ▐
(b) ▐
(c) maksātnespējas tiesību noteikumi, ko piemērotu, ja trešā persona, kas sniedz IKT pakalpojumus, bankrotētu; un
(d) ierobežojumi, kas varētu rasties saistībā ar finanšu vienības datu steidzamu atgūšanu.
Ja līgumisko vienošanos par IKT pakalpojumu, kuri balsta kritiski svarīgas vai svarīgas funkcijas, izmantošanu slēdz ar trešo personu, kas sniedz IKT pakalpojumus un kas ir iedibināta trešā valstī, līdztekus pirmajā un otrajā daļā minētajiem apsvērumiem finanšu vienības apsver arī:
i) Savienības datu aizsardzības noteikumu ievērošanu; un
ii) šajā regulā paredzēto noteikumu rezultatīvu izpildes panākšanu.
Ja šādas līgumiskas vienošanās cita starpā ietver arī kritiski svarīgu vai svarīgu funkciju tālāknodošanu ārpakalpojumā, finanšu vienības vērtē, vai un kā iespējamās garās vai sarežģītās apakšuzņēmēju ķēdes varētu ietekmēt to spēju pilnībā novērtēt otrajā un trešajā daļā uzskaitītos faktorus, lai uzraudzītu ar līgumu nodotās funkcijas, un kompetentās iestādes spēju šajā ziņā efektīvi uzraudzīt finanšu vienību.
27. pants
Svarīgākie līgumu noteikumi
1. Finanšu vienības un trešās personas, kas sniedz IKT pakalpojumus, tiesības un pienākumus sadala skaidri un noformulē rakstiski. Visu līgumu, kurā ir ietvertas pakalpojumu līmeņa vienošanās, dokumentē rakstiski, un tas ir pieejams pusēm papīra vai lejupielādējamā un piekļūstamā formātā.
2. Finanšu vienības un trešās personas, kas sniedz IKT pakalpojumus, nodrošina, ka līgumiskas vienošanās par IKT pakalpojumu izmantošanu ietver vismaz:
(a) visu trešās personas, kas sniedz IKT pakalpojumus, sniegto funkciju un pakalpojumu skaidru un pilnīgu aprakstu, tostarp norādot, vai ir atļauts kritiski svarīgu vai svarīgu funkciju vai būtiskas tās daļas nodot apakšuzņēmējam un, ja jā — nosacījumus, ko piemēro nodošanai apakšuzņēmējam;
(b) ar līgumu vai apakšuzņēmuma līgumu nodoto funkciju un pakalpojumu izpildes un datu apstrādes vietu, proti, reģionus un valstis, ieskaitot to glabāšanas vietu, kā arī prasību trešai personai, kas sniedz IKT pakalpojumus, iepriekš paziņot finanšu vienībai, ja tā plāno šīs vietas mainīt;
(c) noteikumus par datu, tostarp personas datu, piekļūstamību, pieejamību, integritāti, drošībukonfidencialitāti un aizsardzību;
(ca) noteikumus par to, kā nodrošināt piekļuvi finanšu vienības apstrādātajiem personas datiem un datiem, kas nav personas dati, to atgūšanu un atgriešanu viegli piekļūstamā formātā trešās personas, kas sniedz IKT pakalpojumus, maksātnespējas, noregulējuma vai darījumdarbības izbeigšanas gadījumā vai līgumisku vienošanos izbeigšanas gadījumā;
(d) pilnīgus pakalpojumu līmeņa aprakstus, tostarp to atjauninājumus un pārskatīšanu, kā arī precīzus kvantitatīvus un kvalitatīvus darbības mērķus saskaņotajos pakalpojumu līmeņos, lai ļautu finanšu vienībai veikt efektīvu uzraudzību un bez liekas kavēšanās dotu iespēju veikt atbilstīgus koriģējošus pasākumus, ja netiek ievēroti saskaņotie pakalpojumu līmeņi;
(e) ▐
(f) trešās personas, kas sniedz IKT pakalpojumus, pienākumu ar sniegto pakalpojumu saistīta IKT incidenta gadījumā sniegt palīdzību bez papildu izmaksām vai par iepriekš noteiktu maksu;
(g) prasības trešai personai, kas sniedz IKT pakalpojumus, īstenot un pārbaudīt darījumdarbības ārkārtas situāciju plānus un ieviest IKT drošības pasākumus, instrumentus un politikas pasākumus, kas nodrošina pienācīgu līmeni pakalpojumu drošai sniegšanai finanšu vienībai saskaņā ar tās normatīvo regulējumu;
(h) ▐
(i) trešās personas, kas sniedz IKT pakalpojumus, pienākumu pilnībā sadarboties ar finanšu vienības kompetentajām iestādēm un noregulējuma iestādēm, tostarp to ieceltajām personām;
(j) izbeigšanas tiesības un ar to saistītos minimālos termiņus, kādos jāpaziņo par līguma izbeigšanu, kas atbilst kompetento un noregulējuma iestāžu gaidām, un, ja minētās līgumiskās vienošanās ietekmē grupas iekšējo IKT pakalpojumu sniedzēju tajā pašā grupā, analīzi, kuras pamatā ir uz risku balstīta pieeja;
(k) atkāpšanās stratēģijas, jo īpaši obligāta piemērota pārejas perioda noteikšanu:
i) kuras laikā trešā persona, kas sniedz IKT pakalpojumus, turpinās nodrošināt attiecīgās funkcijas vai pakalpojumus nolūkā samazināt finanšu vienības darbības traucējumu risku vai nodrošināt tās efektīvu noregulējumu un pārstrukturēšanu;
ii) kas ļauj finanšu vienībai pāriet pie citas trešās personas, kas sniedz IKT pakalpojumus, vai pāriet uz risinājumiem vienības telpās, kas atbilst sniegtā pakalpojuma sarežģītībai;
iia) gadījumos, kad līgumiska vienošanās ietekmē trešo personu, kas sniedz IKT pakalpojumus tās pašas grupas iekšienē, tas ir jāanalizē, izmantojot uz risku balstītu pieeju;
(ka) noteikumu par personas datu apstrādi, kuru veic trešā persona, kas sniedz IKT pakalpojumus, atbilstoši Regulai (ES) 2016/679.
2.a Papildus 2. punktā izklāstītajam līgumiskas vienošanās par kritiski svarīgu vai svarīgu funkciju nodrošināšanu ietver vismaz:
(a) trešai personai, kas sniedz IKT pakalpojumus, saistošos paziņošanas termiņus un ziņošanas pienākumus attiecībā pret finanšu vienību, ieskaitot paziņošanu par jebkādu notikumu attīstību, kura varētu būtiski ietekmēt trešās personas, kas sniedz IKT pakalpojumus, spēju efektīvi veikt kritiski svarīgās vai svarīgās funkcijas atbilstīgi saskaņotajiem pakalpojumu līmeņiem;
(b) tiesības pastāvīgi uzraudzīt trešās personas, kas sniedz IKT pakalpojumus, veikto izpildi, kas ietver:
i) finanšu vienības vai ieceltas trešās personas tiesības piekļūt, pārbaudīt un veikt revīziju, kā arī tiesības uz vietas pārskatīt attiecīgo dokumentu kopijas, ja tiem ir kritiski svarīga nozīme trešo personu, kas sniedz IKT pakalpojumus, darbībās, un šo tiesību efektīvu īstenošanu nekavē un neierobežo citas līgumiskas vienošanās vai īstenošanas politika;
ii) tiesības vienoties par alternatīviem garantijas līmeņiem, ja tiek skartas citu klientu tiesības;
iii) trešās personas, kas sniedz IKT pakalpojumus, apņemšanos pilnībā sadarboties kompetento iestāžu, galvenā pārrauga, finanšu vienības vai ieceltas trešās personas veiktajās pārbaudēs uz vietas un revīzijās un sīkāku informāciju par šādu inspekciju un revīziju tvērumu, kārtību un biežumu.
Atkāpjoties no b) apakšpunkta, trešā persona, kas sniedz IKT pakalpojumus, un finanšu vienība var vienoties, ka piekļuves, pārbaudes un revīzijas veikšanas tiesības ir iespējams deleģēt neatkarīgai trešai personai, kuru iecēlusi trešā persona, kas sniedz IKT pakalpojumus, un ka finanšu vienība no šādas trešās personas jebkurā brīdī var pieprasīt informāciju un garantiju par izpildes rezultātu, kuru nodrošina trešā persona, kas sniedz IKT pakalpojumus.
2.b Papildus šā panta 2. un 2.a punktā izklāstītajam līgumiskas vienošanās par IKT pakalpojumu sniegšanu, kurus nodrošina trešā valstī iedibināta trešā persona, kura atzīta par kritiski svarīgu saskaņā ar 28. panta 9. punktu un kura sniedz IKT pakalpojumus, atbilst šādiem nosacījumiem:
(a) nosaka, ka līgumu reglamentē kādas dalībvalsts tiesību akti; un
(b) garantē, ka kopīgā pārraudzības struktūra un galvenais pārraugs var izpildīt savus 30. pantā noteiktos pienākumus, pamatojoties uz šai tām 31. pantā noteiktajām pilnvarām.
Nav prasīts, lai pakalpojumus, par kuru sniegšanu ir noslēgtas līgumiskas vienošanās, sniedz uzņēmums, kas izveidots Savienībā saskaņā ar dalībvalsts tiesību aktiem.
3. Sarunās par līgumisku vienošanos finanšu vienības un trešās personas, kas sniedz IKT pakalpojumus, apsver iespēju izmantot konkrētiem pakalpojumiem izstrādātas līguma standartklauzulas.
3.a Kompetentajām iestādēm ir piekļūstamas šajā pantā minētās līgumiskās vienošanās. Minēto līgumisko vienošanos puses pirms šādas piekļuves piešķiršanas kompetentajām iestādēm var vienoties aizklāt sensitīvu komercinformāciju vai konfidenciālu informāciju, ja kompetentās iestādes ir pilnīgi informētas par aizklāšanas apjomu un veidu.
4. EUI ar Apvienotās komitejas starpniecību izstrādā regulatīvo tehnisko standartu projektus, lai sīkāk precizētu elementus, ko finanšu vienībai nepieciešams noteikt un novērtēt, uzticot ārpakalpojuma sniedzējam kritiski svarīgas vai svarīgas funkcijas, lai pienācīgi īstenotu 2. punkta a) apakšpunkta noteikumus. Izstrādājot minētos regulatīvo tehnisko standartu projektus, EUI ņem vērā finanšu vienību lielumu, to pakalpojumu, darbību un operāciju veidu, apmēru un sarežģītību, kā arī to vispārējo riska profilu.
EUI iesniedz Komisijai minēto regulatīvo tehnisko standartu projektus līdz [OV: ievietot datumu, kas ir 18 mēnešus pēc spēkā stāšanās dienas].
Komisijai tiek deleģētas pilnvaras papildināt šo regulu, pieņemot pirmajā daļā minētos regulatīvos tehniskos standartus attiecīgi saskaņā ar 10.–14. pantu Regulā (ES) Nr. 1093/2010, Regulā (ES) Nr. 1095/2010 un Regulā (ES) Nr. 1094/2010.
II IEDAĻA
KRITISKI SVARĪGU TREŠO PERSONU, KAS SNIEDZ IKT PAKALPOJUMUS, PĀRRAUDZĪBAS SISTĒMA
28. pants
Kritisku svarīgu trešo personu, kas sniedz IKT pakalpojumus, izraudzīšanās
1. EUI ar Apvienotās komitejas starpniecību un pēc saskaņā ar 29. panta 1. punktu izveidotā Pārraudzības struktūras ieteikuma, apspriedušās ar ENISA:
(a) izraugās trešās personas, kas sniedz IKT pakalpojumus un kas ir kritiski svarīgas finanšu vienībām, ņemot vērā 2. punktā noteiktos kritērijus;
(b) EBI, EVTI vai EAAPI ieceļ par galveno pārraugu katrai kritiski svarīgai trešai personai, kas sniedz IKT pakalpojumus, atkarībā no tā, vai finanšu vienību, kuras izmanto IKT pakalpojumu, ko sniedz šī kritiski svarīgā trešā persona, un uz kurām attiecas attiecīgi viena no Regulām (ES) Nr. 1093/2010 (ES), Nr. 1094/2010 vai (ES) Nr. 1095/2010, aktīvu kopējā vērtība veido vairāk nekā pusi no visu to finanšu vienību kopējo aktīvu vērtības, kuras izmanto kritiski svarīgās trešās personas, kas sniedz IKT pakalpojumus, kā apliecina šo finanšu vienību konsolidētās bilances vai, ja bilances nav konsolidētas — atsevišķas bilances.
Galvenais pārraugs, kas iecelts saskaņā ar pirmās daļas b) apakšpunktu, ir atbildīgs par kritiski svarīgās trešās personas, kas sniedz IKT pakalpojumus, ikdienas pārraudzību.
2. Šā panta 1. punkta a) apakšpunktā minētās izraudzīšanās pamatā ir visi šādi kritēriji:
(a) sistēmiskā ietekme uz finanšu pakalpojumu sniegšanas stabilitāti, nepārtrauktību vai kvalitāti gadījumā, ja attiecīgajai trešai personai, kas sniedz IKT pakalpojumus, iestātos plaši darbības traucējumi, kuru dēļ tā nespētu sniegt savus pakalpojumus, ņemot vērā to finanšu vienību skaitu, kam attiecīgā trešā persona sniedz IKT pakalpojumus;
(b) finanšu vienību, kuras paļaujas uz attiecīgo trešo personu, kas sniedz IKT pakalpojumus, sistēmiskais raksturs vai nozīme, ko novērtē saskaņā ar šādiem parametriem:
i) globālo sistēmiski nozīmīgo iestāžu (G-SNI) vai citu sistēmiski nozīmīgu iestāžu (C-SNI) skaits, kuras paļaujas uz attiecīgo trešo personu, kas sniedz IKT pakalpojumus;
ii) iepriekš i) apakšpunktā minēto G-SNI vai C-SNI un citu finanšu vienību savstarpējā atkarība, tostarp situācijas, kad G-SNI vai C-SNI sniedz finanšu infrastruktūras pakalpojumus citām finanšu vienībām;
(c) finanšu vienību paļaušanās uz attiecīgās trešās personas, kas sniedz IKT pakalpojumus, sniegtajiem pakalpojumiem saistībā ar tādu finanšu vienību kritiski svarīgām vai svarīgām funkcijām, kurās galu galā ir iesaistīta viena un tā pati trešā persona, kas sniedz IKT pakalpojumus, neatkarīgi no tā, vai finanšu vienības šos pakalpojumus izmanto tieši vai netieši, izmantojot apakšuzņēmuma līgumus;
(d) trešās personas, kas sniedz IKT pakalpojumus, aizstājamības pakāpe, ņemot vērā šādus parametrus:
i) reālu alternatīvu trūkums, pat daļējs, ņemot vērā konkrētā tirgū strādājošo trešo personu, kas sniedz IKT pakalpojumus, ierobežoto skaitu vai attiecīgās trešās personas, kas sniedz IKT pakalpojumus, tirgus daļu, vai attiecīgo tehnisko sarežģītību vai komplicētību, tostarp attiecībā uz jebkuru patentētu tehnoloģiju, vai trešās personas, kas sniedz IKT pakalpojumus, organizācijas vai darbības specifiku;
ii) grūtības daļēji vai pilnībā migrēt attiecīgos datus un darba slodzes no attiecīgās trešās personas, kas sniedz IKT pakalpojumus, pie citas, ko rada vai nu būtiskas finansiālās izmaksas, laika vai citu resursu patēriņš, ko varētu radīt migrācijas process, vai palielināts IKT risks vai cits operacionālais risks, kam finanšu vienība var tikt pakļauta, ja tā veiktu šādu migrēšanu;
(e) to dalībvalstu skaits, kurās IKT pakalpojumus sniedz attiecīgā trešā persona;
(f) to dalībvalstu skaits, kurās darbojas finanšu vienības, kas izmanto IKT pakalpojumus, ko sniedz attiecīgā trešā persona.
(fa) attiecīgā tā pakalpojuma būtiskums un nozīme, kuru nodrošina trešā persona, kas sniedz IKT pakalpojumus.
2.a Kopīgā pārraudzības struktūra pirms novērtēšanas sākuma, kura vajadzīga, lai veiktu 1. punkta a) apakšpunktā minēto izraudzīšanos, par to paziņo trešai personai, kas sniedz IKT pakalpojumus.
Kopīgā pārraudzības struktūra trešai personai, kas sniedz IKT pakalpojumus, paziņo pirmajā daļā minētā novērtējuma rezultātu, sniedzot ieteikuma projektu par kritisko svarīgumu. Sešās nedēļās no minētā ieteikuma projekta saņemšanas dienas trešā persona, kas sniedz IKT pakalpojumus, var iesniegt kopīgajai pārraudzības struktūrai pamatotu paziņojumu par novērtējumu. Pamatotajā paziņojumā iekļauj visu attiecīgo papildu informāciju, kuru trešā persona, kas sniedz IKT pakalpojumus, uzskata par vajadzīgu, lai apstiprinātu izraudzīšanās procedūras pilnīgumu un precizitāti vai apstrīdētu ieteikuma par kritisko svarīgumu projektu. EUI apvienotā komiteja pamatoto paziņojumu pienācīgi izvērtē un, pirms pieņem lēmumu par izraudzīšanos, no trešās personas, kas sniedz IKT pakalpojumus, var pieprasīt papildu informāciju vai pierādījumus.
EUI apvienotā komiteja paziņo trešai personai, kas sniedz IKT pakalpojumus, par to, ka attiecīgā trešā persona ir izraudzīta kā kritiski svarīga. Trešai personai, kas sniedz IKT pakalpojumus, ir vismaz trīs mēneši no paziņojuma saņemšanas, lai veiktu vajadzīgos pielāgojumus, kuri ļauj kopīgajai pārraudzības struktūrai pildīt savus pienākumus saskaņā ar 30. pantu, un lai informētu finanšu vienības, kam šīs trešās personas sniedz IKT pakalpojumus. Kopīgā pārraudzības struktūra var atļaut pielāgojumu veikšanas laikposmu pagarināt maksimāli par trim mēnešiem, ja to pieprasa un pienācīgi pamato izraudzītā trešā persona, kas sniedz IKT pakalpojumus.
3. Komisija saskaņā ar 50. pantu ir pilnvarota pieņemt deleģēto aktu, ar ko sīkāk nosaka 2. punktā minētos kritērijus.
4. Šā panta 1. punkta a) apakšpunktā minēto izraudzīšanās mehānismu neizmanto, kamēr Komisija nav pieņēmusi deleģēto aktu saskaņā ar 3. punktu.
5. Šā panta 1. punkta a) apakšpunktā minēto izraudzīšanās mehānismu nepiemēro attiecībā uz trešām personām, kas sniedz IKT pakalpojumus un kam piemēro Līguma par Eiropas Savienības darbību 127. panta 2. punktā minēto uzdevumu atbalstam izveidotās pārraudzības sistēmas.
6. Kopīgā pārraudzības struktūra, apspriežoties ar ENISA, nosaka, publicē un regulāri atjaunina Savienības līmeņa kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, sarakstu.
7. Šā panta 1. punkta a) apakšpunkta mērķiem kompetentās iestādes katru gadu apkopotā veidā nosūta 25. panta 4. punktā minētos ziņojumus saskaņā ar 29. pantu izveidotajai kopīgajai pārraudzības struktūrai. Kopīgā pārraudzības struktūra izvērtē finanšu vienību atkarību no trešām personām, kas sniedz IKT pakalpojumus, balstoties uz informāciju, kas saņemta no kompetentajām iestādēm.
8. Trešās personas, kas sniedz IKT pakalpojumus, kuras nav iekļautas 6. punktā minētajā sarakstā, var pieprasīt, lai tās iekļauj šajā sarakstā.
Pirmās daļas vajadzībām trešā persona, kas sniedz IKT pakalpojumus, iesniedz argumentētu pieteikumu EBI, EVTI vai EAAPI, kas ar Apvienotās komitejas starpniecību lemj, vai iekļaut trešo personu, kas sniedz IKT pakalpojumus, sarakstā saskaņā ar 1. punkta a) apakšpunktu.
Otrajā daļā minēto lēmumu pieņem un par to paziņo trešai personai, kas sniedz IKT pakalpojumus, sešu mēnešu laikā no pieteikuma saņemšanas.
8.a EUI apvienotā komiteja pēc kopīgās pārraudzības struktūras ieteikuma izraugās trešā valstī iedibinātas trešās personas, kas sniedz IKT pakalpojumus un kas ir kritiski svarīgas finanšu vienībām saskaņā ar 1. punkta a) apakšpunktu.
Veicot šā punkta pirmajā daļā minēto iecelšanu, EUI un kopīgā pārraudzības struktūra ievēro 2.a punktā noteiktos procedūras posmus.
9. Finanšu vienības neizmanto trešā valstī iedibinātu kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, ja vien šai trešai personai, kas sniedz IKT pakalpojumus., nav saskaņā ar dalībvalsts aktiem Savienībā izveidots uzņēmums un tā nav noslēgusi līgumisku vienošanos saskaņā ar 27. panta 2.b punktu.
29. pants
Pārraudzības sistēmas struktūra
1. Tiek izveidota kopīgā pārraudzības struktūra, lai tā pārraudzītu ar trešo personu saistīto IKT risku visās finanšu nozarēs un tieši pārraudzītu trešās personas, kas sniedz IKT pakalpojumus un saskaņā ar 28. pantu ir izraudzītas kā kritiski svarīgas.
Kopīgajai pārraudzības struktūrai ir tikai pārraudzības pilnvaras, kuras attiecas uz IKT riskiem, kas saistīti ar IKT pakalpojumiem, kurus finanšu vienībām nodrošina kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus.
Kopīgā pārraudzības struktūra regulāri apspriež attiecīgo IKT risku un neaizsargātību notikumu attīstību un veicina vienotas pieejas izmantošanu ar trešo personu saistīto IKT risku uzraudzībā Savienības mērogā.
2. Kopīgā pārraudzības struktūra katru gadu veic visu kritiski svarīgo trešo personu, kas sniedz IKT pakalpojumus, veikto pārraudzības darbību rezultātu un konstatējumu kolektīvu novērtējumu un veicina koordinēšanas pasākumus, lai palielinātu finanšu vienību digitālās darbības noturību, veicinātu labāko praksi IKT koncentrācijas riska risināšanā un izpētītu atbildību mīkstinošus faktorus pārrobežu riska nodošanas gadījumos.
Kopīgā pārraudzības struktūra saskaņā ar Regulas (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010 56. panta 1. punktu iesniedz visaptverošus kritiski svarīgo trešo personu, kas sniedz IKT pakalpojumus, kritērijus, ko Apvienotā komiteja pieņem kā EUI kopīgās nostājas.
3. Kopīgo pārraudzības struktūru veido EUI izpilddirektori un viens augsta līmeņa pārstāvis no EUI pašreizējā personāla un viens augsta līmeņa pārstāvis no vismaz astoņām valsts kompetentajām iestādēm. Pa vienam pārstāvim no Eiropas Komisijas, ESRK, ECB un ENISA un vismaz viens neatkarīgs eksperts, ko ieceļ saskaņā ar šā panta 3.a punktu, piedalās ▌kā novērotāji.
Pēc tam, kad notikusi 28. panta 1. punktā paredzētā ikgadējā kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, izraudzīšanās, EUI Apvienotā komiteja lemj par to, kuras valstu kompetentās iestādes kļūs par kopīgās pārraudzības struktūras loceklēm, un šajā nolūkā ņem vērā šādus faktorus:
(a) cik daudz ir kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus un kas dalībvalstī ir iedibinātas vai sniedz pakalpojumus;
(b) cik lielā mērā finanšu vienības dalībvalstī paļaujas uz kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus;
(c) kāda salīdzinoši ir valsts kompetentās iestādes zinātība;
(d) kādi ir valsts kompetentajai iestādei pieejamie resursi un kapacitāte;
(e) nepieciešamība nodrošināt, lai kopīgās pārraudzības struktūras darbība un lēmumu pieņemšana būtu racionāla, nesarežģīta un efektīva.
Kopīgā pārraudzības struktūra savos dokumentos un lēmumos dalās ar visām valstu kompetentajām iestādēm, kas nav tās locekles.
Kopīgās pārraudzības struktūras darbu atbalsta un tai palīdz īpaši izraudzīts personāls no EUI.
3.a Šā panta 3. punktā minēto neatkarīgo ekspertu kopīgā pārraudzības struktūra ieceļ par novērotāju atklātā un pārredzamā pieteikšanās procesā.
Neatkarīgo ekspertu ieceļ uz diviem gadiem, balstoties uz viņa speciālajām zināšanām finanšu stabilitātes, digitālās darbības noturības un IKT drošības jautājumos.
Ieceltais neatkarīgais eksperts neieņem nekādus amatus valsts, Savienības vai starptautiskā līmenī. Neatkarīgais eksperts rīkojas neatkarīgi un objektīvi vienīgi Savienības interesēs kopumā un nelūdz un nepieņem Savienības iestāžu vai struktūru, jebkuras dalībvalsts valdības vai citas publiskas vai privātas struktūras norādījumus.
Kopīgā pārraudzības struktūra var nolemt par novērotāju iecelt vairāk nekā vienu neatkarīgu ekspertu.
4. EUI saskaņā ar Regulas (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010 16. pantu līdz [OV: ievietot datumu, kas ir 18 mēnešus pēc spēkā šīs regulas stāšanās spēkā dienas] izdod pamatnostādnes par kopīgās pārraudzības struktūras, galvenā pārrauga un kompetento iestāžu sadarbību šīs iedaļas vajadzībām attiecībā uz sīki izstrādātām procedūrām un nosacījumiem, kas attiecas uz uzdevumu izpildi starp kompetentajām iestādēm un kopīgo pārraudzības struktūru, un informāciju par kompetentajām iestādēm nepieciešamās informācijas apmaiņu, lai nodrošinātu turpmāku rīcību pēc ieteikumiem, ko kopīgā pārraudzības struktūra saskaņā ar 31. panta 1. punkta d) apakšpunktu adresējusi kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus.
5. Šajā iedaļā izklāstītās prasības neskar Direktīvas (ES) 2016/1148 un citu Savienības noteikumu par mākoņdatošanas pakalpojumu sniedzēju pārraudzību piemērošanu.
6. Kopīgā pārraudzības struktūra katru gadu iesniedz Eiropas Parlamentam, Padomei un Komisijai ziņojumu par šīs iedaļas piemērošanu.
30. pants
Galvenā pārrauga uzdevumi
1. Galvenais pārraugs, kas iecelts saskaņā ar 28. panta 1. punkta b) apakšpunktu, vada un koordinē kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, ikdienas pārraudzību un ir galvenais kontaktpunkts minētajām kritiski svarīgajām trešām personām, kas sniedz IKT pakalpojumus.
1.a Galvenais pārraugs novērtē, vai katrai kritiski svarīgajai trešai personai, kas sniedz IKT pakalpojumus, ir ieviesti visaptveroši, stabili un efektīvi noteikumi, procedūras, mehānismi un kārtība, lai pārvaldītu IKT riskus, ko tā var radīt finanšu vienībām. Uzmanība minētajā novērtējumā galvenokārt tiek pievērsta IKT pakalpojumiem, kas balsta kritiski svarīgas vai svarīgas funkcijas, kuras finanšu vienībām nodrošina kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus, bet novērtējums var būt arī plašāks, ja tas ir būtiski ar minētajām funkcijām saistīto risku novērtēšanai.
2. Šā panta 1.a punktā minētais novērtējums ietver:
(a) IKT prasības, lai jo īpaši nodrošinātu to pakalpojumu drošību, pieejamību, nepārtrauktību, mērogojamību un kvalitāti, kurus kritiski svarīgā trešā persona, kas sniedz IKT pakalpojumus, sniedz finanšu vienībām, kā arī spēju nepārtraukti uzturēt augstus drošības, konfidencialitātes un integritātes standartus;
(b) fizisko drošību, kas palīdz nodrošināt IKT drošību, ieskaitot telpu, objektu, datu centru drošību;
(c) riska pārvaldības procesus, ieskaitot IKT riska pārvaldības rīcībpolitiku, IKT darbības nepārtrauktības un IKT negadījuma seku novēršanas plānus;
(d) pārvaldības kārtību, tostarp organizatorisku struktūru ar skaidriem, pārredzamiem un konsekventiem atbildības un pārskatatbildības noteikumiem, kas ļauj veikt efektīvu IKT riska pārvaldību;
(e) būtisku ar IKT saistītu incidentu apzināšanu, uzraudzību un tūlītēju paziņošanu finanšu vienībām, šo incidentu, jo īpaši kiberuzbrukumu, pārvaldību un atrisināšanu;
(f) datu pārnesamības, lietojumprogrammu pārnesamības un sadarbspējas mehānismus, kas finanšu vienībām nodrošina izbeigšanas tiesību efektīvu īstenošanu;
(g) IKT sistēmu, infrastruktūras un kontroles testēšanu;
(h) IKT revīzijas;
(i) tādu attiecīgu valsts un starptautisko standartu izmantošanu, ko piemēro IKT pakalpojumu sniegšanai finanšu vienībām.
3. Balstoties uz 1.a punktā minēto novērtējumu, ko veic galvenais pārraugs, kopīgā pārraudzības struktūra galvenā pārrauga koordinācijā un vadībā sagatavo un ierosina skaidru, detalizētu un pamatotu individuālās pārraudzības plānu attiecībā uz katru kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus.
Sagatavojot pārraudzības plāna projektu, kopīgā pārraudzības struktūra apspriežas ar visām attiecīgajām kompetentajām iestādēm un vienotajiem kontaktpunktiem, kas minēti Direktīvas (ES) 2016/1148 8. pantā, lai nodrošinātu, ka tie atbilst pienākumiem, kuri kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, paredzēti minētajā direktīvā, un ka šie pienākumi nedublējas.
Pārraudzības plānu katru gadu pieņem galvenā pārrauga valde.
Pirms pieņemšanas pārraudzības plāna projektu katru gadu paziņo kritiski svarīgajai trešai personai, kas sniedz IKT pakalpojumus.
Saņemot pārraudzības plāna projektu, kritiski svarīgā trešā persona, kas sniedz IKT pakalpojumus, sešu nedēļu laikā to izskata un iesniedz par to pamatotu paziņojumu. Šādu pamatotu paziņojumu var iesniegt tikai tad, ja kritiski svarīgā trešā persona, kas sniedz IKT pakalpojumus, spēj sniegt pierādījumus, ka pārraudzības plāna izpilde radītu nesamērīgu ietekmi vai traucējumus klientiem, uz kuriem šī regula neattiecas, vai ka pastāv iedarbīgāks vai efektīvāks risinājums identificēto IKT risku pārvaldībai. Ja šāds paziņojums ir iesniegts, kritiski svarīgā trešā persona, kas sniedz IKT pakalpojumus, ierosina kopīgajai pārraudzības struktūrai iedarbīgāku vai efektīvāku risinājumu pārraudzības plāna projekta mērķu sasniegšanai.
Pirms pārraudzības plāna pieņemšanas galvenā pārrauga valde pienācīgi ņem vērā pamatoto paziņojumu un trešai personai, kas sniedz IKT pakalpojumus, var pieprasīt papildu informāciju vai pierādījumus.
4. Tiklīdz 3. punktā minētie gada pārraudzības plāni ir pieņemti un paziņoti kritiski svarīgajām trešām personām, kas sniedz IKT pakalpojumus, kompetentās iestādes attiecībā uz kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, var veikt pasākumus tikai ar kopīgās pārraudzības struktūras piekrišanu.
31. pants
Pārraudzības pilnvaras
1. Pildot šajā iedaļā paredzētos pienākumus, galvenajam pārraugam ir šādas pilnvaras attiecībā uz pakalpojumiem, kurus finanšu vienībām sniedz kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus:
(a) pieprasīt visu attiecīgo informāciju un dokumentus saskaņā ar 32. pantu;
(b) veikt vispārēju izmeklēšanu un pārbaudes uz vietas saskaņā ar 33. un 34. pantu;
(c) pieprasīt ziņojumus pēc pārraudzības darbību pabeigšanas, kuros ir norādītas kritiski svarīgo trešo personu, kas sniedz IKT pakalpojumus, veiktās darbības vai īstenotie novēršanas pasākumi saistībā ar 1.a punktā minētajiem ieteikumiem.
1.a Lai veiktu šajā iedaļā noteiktos pienākumus un pamatojoties uz informāciju, ko ieguvis galvenais pārraugs, un uz galvenā pārrauga veiktās izmeklēšanas rezultātiem, kopīgajai pārraudzības struktūrai ir pilnvaras: sniegt ieteikumus attiecībā uz 30. panta 2. punktā minētajām jomām, jo īpaši saistībā ar šādiem jautājumiem:
i) konkrētu IKT drošības un kvalitātes prasību vai procesu izmantošanu, jo īpaši saistībā ar ielāpu, atjauninājumu, šifrēšanas un citu drošības pasākumu ieviešanu, kurus kopīgā pārraudzības struktūra uzskata par nozīmīgiem finanšu vienībām sniegto pakalpojumu IKT drošības nodrošināšanai;
ii) noteikumu un nosacījumu izmantošanu, ieskaitot to tehnisko īstenošanu, saskaņā ar kuriem finanšu vienībām IKT pakalpojumus sniedz kritiski svarīgas trešās personas un kurus kopīgā pārraudzības struktūra uzskata par nozīmīgiem saistībā ar viena kļūdaina ķēdes punkta rašanās novēršanu vai tā pastiprināšanu, vai IKT koncentrācijas riska gadījumā — iespējamās sistēmiskās ietekmes uz Savienības finanšu nozari mazināšanu;
iii) pēc saskaņā ar 32. un 33. pantu veiktas pārbaudes attiecībā uz apakšuzņēmuma līgumiem, tostarp apakšuzņēmuma tālāku deleģēšanu, ko kritiski svarīgās trešās personas, kas sniedz IKT pakalpojumus, plāno darīt ar citām trešām personām, kas sniedz IKT pakalpojumus, vai ar trešā valstī reģistrētiem IKT apakšuzņēmējiem, jebkuriem plānotiem apakšuzņēmuma līgumiem, tostarp apakšuzņēmuma tālāku deleģēšanu, ja kopīgā pārraudzības struktūra uzskata, ka tālāka apakšuzņēmuma slēgšana var radīt risku finanšu vienības pakalpojumu sniegšanai vai finanšu stabilitātes risku;
iv) atteikšanos noslēgt tālākus apakšuzņēmuma līgumus, ja ir spēkā šādi kumulatīvi nosacījumi:
– paredzētais apakšuzņēmējs ir trešā valstī iedibināta trešā persona, kas sniedz IKT pakalpojumus, vai IKT apakšuzņēmējs, un tam nav saskaņā ar dalībvalsts tiesību aktiem Savienībā izveidota uzņēmuma;
– apakšuzņēmuma līguma slēgšana attiecas uz kritiski svarīgu vai svarīgu finanšu vienības funkciju;
– apakšuzņēmuma līgumu slēgšana radīs nopietnus un skaidrus riskus finanšu vienībai vai Savienības finanšu sistēmas finanšu stabilitātei.
1.b Šā panta 1. un 1.a punktā minētās pilnvaras vajadzības gadījumā īsteno attiecībā uz IKT pakalpojumiem, kuri balsta kritiski svarīgas vai svarīgas funkcijas un kurus nodrošina kritiski svarīga trešā persona, kas sniedz IKT pakalpojumus.
1.c Īstenojot pilnvaras, kas minētas šā panta 1. un 1.a punktā, galvenais pārraugs un kopīgā pārraudzības struktūra pienācīgi ņem vērā sistēmu, kas izveidota ar Direktīvu (ES) 2016/1148, un, ja nepieciešams, apspriežas ar attiecīgajām kompetentajām iestādēm, kuras izveidotas ar minēto direktīvu, lai lieki nedublētu tehniskos un organizatoriskos pasākumus, kuri varētu būt piemērojami kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus.
2. Pirms kopīgā pārraudzības struktūra pabeidz un sniedz ieteikumus saskaņā ar 1.a punktu, tā informē kritiski svarīgo trešo personu, kas sniedz IKT pakalpojumus, par savām iecerēm un dod šai trešai personai, kas sniedz IKT pakalpojumus, iespēju sniegt informāciju, kura — kā šī trešā persona pamatoti uzskata — būtu jāņem vērā, pirms tiek pabeigta ieteikuma izstrāde, vai kuru šī trešā persona sniedz, lai plānotos ieteikumus apstrīdētu. Ieteikumu var apstrīdēt cita starpā ar šādu pamatojumu: ieteikums nesamērīgi ietekmētu klientus, uz kuriem šī regula neattiecas, vai radītu šādiem klientiem traucējumus vai pastāv iedarbīgāks un efektīvāks risinājums, kā pārvaldīt konstatēto risku.
3. Kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus, labticīgi sadarbojas ar galveno pārraugu un kopīgo pārraudzības struktūru un palīdz pildīt to uzdevumus.
4. Galvenais pārraugs var nolemt gadījumā, ja tiek konstatēta pilnīga vai daļēja neatbilstība pasākumiem, kas jāveic saskaņā ar 1. punkta a), b) vai c) apakšpunktu, un pēc tam, kad beidzies vismaz 60 kalendāro dienu laikposms no dienas, kad kritiski svarīga trešā persona, kas sniedz IKT pakalpojumus, saņēmusi paziņojumu par pasākumu, piemērot periodisku sodu maksājumu, lai piespiestu kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus, pildīt prasības.
4.a Šā panta 4. punktā minēto periodisko soda maksājumu galvenais pārraugs piemēro tikai kā galējo līdzekli un gadījumos, kad kritiski svarīgā trešā persona, kas sniedz IKT pakalpojumus, nav ievērojusi pasākumus, kuri jāveic saskaņā ar 1. punkta a), b) vai c) apakšpunktu.
5. Šā panta 4. punktā minēto periodisko soda maksājumu piemēro katru dienu, līdz tiek panākta atbilstības prasību ievērošana, bet ne ilgāk kā sešus mēnešus pēc tam, kad par to paziņots kritiski svarīgai trešai personai, kas sniedz IKT pakalpojumus.
6. Periodiskā soda maksājuma summa, rēķinot no lēmumā par periodiska soda maksājuma piemērošanu paredzētā datuma, ir līdz 1 % no kritiski svarīgās trešās personas, kas sniedz IKT pakalpojumus, dienas vidējā apgrozījuma, kas saistīts ar šīs regulas aptvertajām finanšu vienībām sniegtajiem pakalpojumiem, pasaulē iepriekšējā finanšu gadā.
7. Soda maksājums ir administratīvs un izpildāms piespiedu kārtā. Izpildi reglamentē tās valsts spēkā esošās civilprocesa normas, kurā veic pārbaudes un notiek piekļuve. Attiecīgās dalībvalsts tiesām ir piekritīgas ar izpildes procesa pārkāpumiem saistītās sūdzības. Soda maksājumu summas ieskaita Eiropas Savienības vispārējā budžetā.
8. EUI publisko informāciju par visiem periodiskiem soda maksājumiem, kas piemēroti, ja vien šādas informācijas publiskošana būtiski nekaitē finanšu tirgiem vai nerada nesamērīgu kaitējumu iesaistītajām personām.
9. Galvenais pārraugs pirms periodiska soda maksājuma piemērošanas saskaņā ar 4. punktu nodrošina procesā iesaistītā kritiski svarīgās trešās personas, kas sniedz IKT pakalpojumus, pārstāvjiem tiesības tikt uzklausītiem attiecībā uz konstatējumiem, kā arī pamato savus lēmumus tikai ar konstatējumiem, par kuriem procesā iesaistītajām kritiski svarīgajām trešām personām, kas sniedz IKT pakalpojumus, ir bijis iespējams izteikties. Lietas izskatīšanā pilnībā ievēro procesā iesaistīto personu tiesības uz aizstāvību. Šīs personas ir tiesīgas piekļūt lietas materiāliem, ievērojot citu personu likumīgās intereses attiecībā uz viņu komercnoslēpumu aizsardzību. Tiesības piekļūt lietas materiāliem neattiecas uz konfidenciālu informāciju vai galvenā pārrauga iekšējiem darba sagatavošanas dokumentiem.
32. pants
Informācijas pieprasījums
1. Galvenais pārraugs ar vienkāršu pieprasījumu vai lēmumu var noteikt, ka kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, ir jāsniedz visa informācija, kas galvenajam pārraugam ir nepieciešama, lai pildītu šajā regulā noteiktos pienākumus, ieskaitot visus attiecīgos darījumdarbības vai darbības dokumentus, līgumus, rīcībpolitikas dokumentus, IKT drošības revīzijas ziņojumus, ar IKT saistītu incidentu ziņojumus, kā arī jebkuru informāciju, kas ir saistīta ar personām, kam kritiski svarīga trešā persona, kas sniedz IKT pakalpojumus, ir nodevusi ārpakalpojumā darbības funkcijas vai darbības.
Kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, ir pienākums sniegt pirmajā daļā minēto informāciju tikai par pakalpojumiem, kas sniegti finanšu vienībām, uz kurām attiecas šī regula un kuras kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, pakalpojumus izmanto kritiski svarīgām vai svarīgām funkcijām. Kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus, paziņo attiecīgajai finanšu vienībai par pieprasījumiem, kas attiecas uz šo finanšu vienību.
2. Sūtot vienkāršu pieprasījumu sniegt informāciju saskaņā ar 1. punktu, galvenais pārraugs:
(a) atsaucas uz šo pantu kā pieprasījuma juridisko pamatu;
(b) norāda pieprasījuma mērķi;
(c) norāda, kāda informācija ir vajadzīga;
(d) nosaka termiņu, līdz kuram informācija ir jāsniedz;
(e) informē kritiski svarīgās trešās personas, kuras sniedz IKT pakalpojumus un no kuras tiek pieprasīta informāciju, pārstāvi, ka tā var nesniegt šo informāciju, bet, ja tā atbildi sniedz brīvprātīgi, sniegtā informācija nedrīkst būt nepatiesa un maldinoša.
3. Ar lēmumu pieprasot sniegt informāciju saskaņā ar 1. punktu, galvenais pārraugs:
(a) atsaucas uz šo pantu kā pieprasījuma juridisko pamatu;
(b) norāda pieprasījuma mērķi;
(c) norāda, kāda informācija ir vajadzīga;
(d) nosaka saprātīgu termiņu, līdz kuram informācija ir jāsniedz;
(e) norāda 31. panta 4. punktā paredzēto periodisko soda maksājumu, ja pieprasītā informācija nav sniegta pilnā apmērā vai ja šāda informācija nav sniegta termiņā, kas minēts d) apakšpunktā;
(f) norāda uz tiesībām šo lēmumu apstrīdēt EUI Apelācijas padomē un uz iespēju to pārskatīt Eiropas Savienības Tiesā (“Tiesa”) attiecīgi saskaņā ar Regulas (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010 60. un 61. pantu.
4. Kritiski svarīgo trešo personu, kas sniedz IKT pakalpojumus, pārstāvji sniedz pieprasīto informāciju. Juristi, kas ir attiecīgi pilnvaroti rīkoties, var sniegt informāciju savu klientu vārdā. Kritiski svarīga trešā persona, kas sniedz IKT pakalpojumus, ir pilnībā atbildīga, ja sniegtā informācija ir nepilnīga, nepareiza vai maldinoša.
5. Galvenais pārraugs nekavējoties nosūta lēmuma kopiju, lai sniegtu informāciju to finanšu vienību kompetentajām iestādēm, kuras izmanto IKT pakalpojumus, ko sniedz kritiski svarīgās trešās personas.
33. pants
Vispārēja izmeklēšana
1. Lai veiktu savus pienākumus saskaņā ar šo regulu, galvenais pārraugs, kam palīdz 35. panta 1. punktā minētā pārbaudes grupa, var veikt trešo personu, kas sniedz IKT pakalpojumus, vajadzīgo izmeklēšanu saskaņā ar proporcionalitātes principu. Galvenais pārraugs izmeklēšanu veic piesardzīgi un izmeklēšanā nodrošina, ka tiek aizsargātas tādu kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, klientu tiesības, uz kuriem šī regula neattiecas, cita starpā attiecībā uz ietekmi uz pakalpojumu līmeņiem, datu pieejamību un konfidencialitāti.
2. Galvenais pārraugs ir pilnvarots:
(a) pārbaudīt uzskaites dokumentus, datus, procedūras un pārējos materiālus, kas saistīti ar tā uzdevumu izpildi, neatkarīgi no tā, kādā veidā šī informācija tiek glabāta;
(b) droši izskatīt šādu uzskaites dokumentu, datu, procedūru un citu materiālu apstiprinātas kopijas vai izrakstus;
(c) uzaicināt trešās personas, kas sniedz IKT pakalpojumus, pārstāvjus sniegt mutiskus vai rakstiskus paskaidrojumus par faktiem vai dokumentiem, kas attiecas uz izmeklēšanas priekšmetu un mērķi, un fiksēt atbildes;
(d) iztaujāt jebkuru citu fizisku vai juridisku personu, kas piekrīt iztaujāšanai, lai iegūtu informāciju, kas saistīta ar izmeklēšanas priekšmetu;
(e) pieprasīt telefona sarunu izdrukas vai datplūsmas pārskatus.
3. Amatpersonas un citas personas, ko galvenais pārraugs pilnvarojis veikt 1. punktā minēto izmeklēšanu, īsteno savas pilnvaras, uzrādot rakstisku atļauju, kurā norādīts izmeklēšanas priekšmets un mērķis.
Minētajā atļaujā norāda arī 31. panta 4. punktā paredzētos periodiskos soda maksājumus, ja pieprasīto ierakstu, datu, procedūru vai citu materiālu sagatavošana vai atbilžu sniegšana uz trešās personas, kas sniedz IKT pakalpojumus, pārstāvjiem uzdotajiem jautājumiem nenotiek vai ir nepilnīga.
4. Trešo personu, kas sniedz IKT pakalpojumus, pārstāvjiem ir jāpakļaujas izmeklēšanai, pamatojoties uz galvenā pārrauga lēmumu. Lēmumā nosaka izmeklēšanas priekšmetu un mērķi, periodiskos soda maksājumus, kas paredzēti 31. panta 4. punktā, tiesiskās aizsardzības līdzekļus, kuri pieejami saskaņā ar Regulu (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010, un tiesības vērsties Tiesā, lai šo lēmumu pārskatītu.
5. Galvenie pārraugi laicīgi pirms izmeklēšanas informē to finanšu vienību kompetentās iestādes, kas izmanto IKT pakalpojumus, ko sniedz šīs trešās personas, par izmeklēšanu un atļauju saņēmušo personu identitāti.
34. pants
Pārbaudes uz vietas
1. Lai veiktu savus pienākumus saskaņā ar šo regulu, galvenais pārraugs, kam palīdz 35. panta 1. punktā minētās pārbaudes grupas, var ieiet un veikt visas vajadzīgās pārbaudes uz vietas visās trešo personu, kas sniedz IKT pakalpojumus, uzņēmuma telpās, zemes gabalos vai īpašumos, piemēram, galvenajos birojos, operāciju centros, rezerves telpās, kā arī veikt pārbaudes bezsaistē.
Pilnvaras veikt pirmajā daļā minētās pārbaudes uz vietas neattiecas uz objektiem Savienībā vien, ar noteikumu, ka objekta pārbaude trešā valstī atbilst visām šādām prasībām:
– galvenajam pārraugam ir jāveic savi pienākumus saskaņā ar šo regulu;
– tam ir tieša saikne ar IKT pakalpojumu sniegšanu Savienības finanšu vienībām;
– tas ir būtiski notiekošai izmeklēšanai.
1.a Pārbaudi uz vietas galvenais pārraugs un pārbaudes grupa veic piesardzīgi un tajā nodrošina, ka tiek aizsargātas tādu kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, klientu tiesības, uz kuriem šī regula neattiecas, cita starpā attiecībā uz ietekmi uz pakalpojumu līmeņiem, datu pieejamību un konfidencialitāti.
2. Amatpersonas un citas personas, kuras galvenais pārraugs ir pilnvarojis veikt pārbaudi uz vietas, var iekļūt jebkādās šādas uzņēmējdarbības telpās, zemesgabalos vai īpašumos, un tām ir visas pilnvaras aizzīmogot jebkādas uzņēmuma telpas un grāmatas vai ierakstus par pārbaudes laiku un tādā apjomā, kādā tas nepieciešams pārbaudei.
Tās īsteno savas pilnvaras, uzrādot rakstisku atļauju, kurā norādīts pārbaudes priekšmets un mērķis, kā arī 31. panta 4. punktā paredzētie periodiskie soda maksājumi gadījumam, ja attiecīgo trešo personu, kas sniedz IKT pakalpojumus, pārstāvji nepakļaujas pārbaudei.
3. Galvenie pārraugi laikus pirms pārbaudes informē to finanšu vienību kompetentās iestādes, kas izmanto IKT pakalpojumus, ko sniedz šī trešā persona.
4. Pārbaudes aptver visu attiecīgo IKT sistēmu, tīklu, ierīču, informācijas un datu klāstu, ko galvenais pārraugs uzskata par pārbaudāmu un tehnoloģiski būtisku un ko izmanto pakalpojumu sniegšanai finanšu vienībām vai kas sekmē šādu pakalpojumu sniegšanu.
5. Pirms plānotās pārbaudes uz vietas galvenie pārraugi saprātīgā termiņā par to paziņo kritiski svarīgajām trešām personām, kas sniedz IKT pakalpojumus, ja vien šāds paziņojums nav iespējams ārkārtas vai krīzes situācijas dēļ vai ja tas radītu situāciju, kad pārbaude vai revīzija vairs nebūtu efektīva.
6. Kritiski svarīga trešā persona, kas sniedz IKT pakalpojumus, pakļaujas pārbaudei uz vietas, ko uzdots veikt ar galvenā pārrauga lēmumu. Šajā lēmumā norāda pārbaudes priekšmetu un mērķi, nosaka dienu, kurā tā sāksies, un norāda periodiskos soda maksājumus, kas paredzēti 31. panta 4. punktā, tiesiskās aizsardzības līdzekļus, kas pieejami saskaņā ar Regulu (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010, kā arī tiesības vērsties Tiesā, lai šo lēmumu pārskatītu.
7. Ja galvenā pārrauga pilnvarotās amatpersonas un citas personas konstatē, ka kritiski svarīga trešā persona, kas sniedz IKT pakalpojumus, iebilst pret pārbaudi, kas noteikta saskaņā ar šo pantu, galvenais pārraugs informē kritiski svarīgo trešo personu, kas sniedz IKT pakalpojumus, par šāda iebilduma sekām, tostarp par iespēju attiecīgo finanšu vienību kompetentajām iestādēm izbeigt ar šo kritiski svarīgo trešo personu, kas sniedz IKT pakalpojumus, noslēgtās līgumiskās vienošanās.
35. pants
Pastāvīgā pārraudzība
1. Veicot vispārēju izmeklēšanu vai pārbaudes uz vietas, galvenajam pārraugam palīdz katrai kritiski svarīgajai trešai personai, kas sniedz IKT pakalpojumus, izveidota pārbaudes grupa.
2. Šā panta 1. punktā minēto kopīgo pārbaudes grupu veido galvenā pārrauga, pārējo EUI un attiecīgo kompetento iestāžu, kas uzrauga finanšu vienības, kurām IKT pakalpojumus sniedz kritiski svarīga trešā persona, darbinieki, kuri pievienojas pārraudzības darbību sagatavošanai un izpildei, nepārsniedzot 10 locekļu skaitu. Visiem kopīgās pārbaudes dalībniekiem ir zinātība IKT un operacionālā riska jomā. Kopīgā pārbaudes grupa strādā iecelta EUI darbinieka (“galvenā pārrauga koordinators”) vadībā.
3. EUI ar Apvienotās komitejas starpniecību izstrādā kopēju regulatīvo tehnisko standartu projektus, lai sīkāk precizētu to kopīgās pārbaudes grupas locekļu iecelšanu, kas nāk no attiecīgajām kompetentajām iestādēm, kā arī pārbaudes grupas uzdevumus un darba kārtību. EUI iesniedz Komisijai minēto regulatīvo tehnisko standartu projektus līdz [OV: ievietot datumu, kas ir vienu gadu pēc spēkā stāšanās dienas].
Komisijai tiek deleģētas pilnvaras pieņemt šā panta pirmajā daļā minētos regulatīvos tehniskos standartus attiecīgi saskaņā ar 10.–14. pantu Regulā (ES) Nr. 1093/2010, Regulā (ES) Nr. 1095/2010 un Regulā (ES) Nr. 1094/2010.
4. Trīs mēnešu laikā pēc tam, kad pabeigta izmeklēšana vai pārbaude uz vietas, kopīgā pārraudzības struktūra pieņem ieteikumus, kurus saskaņā ar 31. pantā minētajām pilnvarām adresē kritiski svarīgajai trešai personai, kas sniedz IKT pakalpojumus.
5. Šā panta 4. punktā minētos ieteikumus nekavējoties paziņo kritiski svarīgajai trešai personai, kas sniedz IKT pakalpojumus, un to finanšu vienību kompetentajām iestādēm, kurām tas sniedz pakalpojumus.
Lai izpildītu pārraudzības darbības, galvenie pāraugi un kopīgā pārraudzības struktūra var ņemt vērā visus attiecīgos trešās personas izsniegtos sertifikātus un trešās personas, kas sniedz IKT pakalpojumus, iekšējās vai ārējās revīzijas ziņojumus, ko darījusi pieejamus kritiski svarīgā trešā persona, kas sniedz IKT pakalpojumus.
36. pants
Saskaņoti nosacījumi, kas ļauj veikt pārraudzību
1. EUI ar Apvienotās komitejas starpniecību izstrādā regulatīvo tehnisko standartu projektus, lai noteiktu:
(a) informāciju, ko pieteikumā par 28. panta 8. punktā paredzēto brīvprātīgo iestāšanos sniedz kritiski svarīgā trešā persona, kas sniedz IKT pakalpojumus;
(b) ziņojumu saturu un formātu, ko var pieprasīt 31. panta 1. punkta c) apakšpunkta vajadzībām;
(c) informācijas sniegšanu, tostarp struktūru, formātus un metodes, kas kritiski svarīgajai trešai personai, kas sniedz IKT pakalpojumus, jāizmanto, lai iesniegtu, atklātu vai ziņotu informāciju saskaņā ar 31. panta 1. punktu;
(d) detalizētu informāciju par kompetento iestāžu veikto novērtējumu attiecībā uz pasākumiem, ko veic kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus, pamatojoties uz kopīgās pārraudzības struktūras ieteikumiem saskaņā ar 37. panta 2. punktu.
2. EUI iesniedz Komisijai minēto regulatīvo tehnisko standartu projektus līdz [OV: ievietot datumu, kas ir vienu gadu pēc spēkā stāšanās dienas].
Komisijai tiek deleģētas pilnvaras papildināt šo regulu, pieņemot pirmajā daļā minētos regulatīvos tehniskos standartus attiecīgi saskaņā ar 10.–14. pantu Regulā (ES) Nr. 1093/2010, Regulā (ES) Nr. 1095/2010 un Regulā (ES) Nr. 1094/2010.
37. pants
Kompetento iestāžu turpmākā rīcība
1. Attiecīgā termiņā, kas ir 30 kalendārās dienas pēc kopīgās pārraudzības struktūras sniegto ieteikumu saņemšanas saskaņā ar 31. panta 1.a punktu, kritiski svarīgās trešās personas, kas sniedz IKT pakalpojumus, paziņo kopīgajai pārraudzības struktūrai par to, vai plāno ievērot minētos ieteikumus. Kopīgā pārraudzības struktūra šo informāciju nekavējoties pārsūta attiecīgo finanšu vienību kompetentajām iestādēm.
2. Kompetentās iestādes informē finanšu vienības, kuras noslēgušas līgumiskas vienošanās ar kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, par riskiem, kuri identificēti ieteikumos, ko kopīgā pārraudzības struktūra adresējusi minētajām kritiski svarīgajām trešām personām, kas sniedz IKT pakalpojumus, saskaņā ar 31. panta 1.a punktu, un uzrauga, vai finanšu vienības ņem vērā identificētos riskus. Kopīgā pārraudzības struktūra uzrauga, vai kritiski svarīgās trešās personas, kas sniedz IKT pakalpojumus, šajos ieteikumos identificētos riskus ir novērsušas.
3. Ja regulatīvos mērķus nevar panākt ar citiem pasākumiem un valstu kompetentās iestādes ir izsniegušas skartajām finanšu vienībām brīdinājumus, balstoties uz kopīgās pārraudzības struktūras sniegto informāciju, galvenā pārrauga valde pēc kopīgās pārraudzības struktūras ieteikuma un apspriešanās ar skarto finanšu vienību kompetentajām iestādēm var nolemt īslaicīgi pilnībā vai daļēji apturēt finanšu vienībām, kuras ir pakļautas kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, adresētajos ieteikumos identificētajiem riskiem, sniegta pakalpojuma izmantošanu vai izvietošanu, kamēr šie riski nav novērsti. Ja nepieciešams un galējā gadījumā, tās var noteikt, ka kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, ir pilnībā vai daļēji jāizbeidz attiecīgās līgumiskas vienošanās, kas ir noslēgtas finanšu vienībām, kuras pakļautas identificētajiem riskiem.
4. Pieņemot 3. punktā minētos lēmumus, galvenā pārrauga valde ņem vērā kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus, nenovērstā riska veidu un tā lielumu, kā arī neatbilstības smagumu saskaņā ar šādiem kritērijiem:
(a) neatbilstības smagumu un ilgumu;
(b) vai neatbilstība ir atklājusi būtiskus trūkumus kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, procedūrās, vadības sistēmā, riska pārvaldībā un iekšējā kontrolē;
(c) vai neatbilstība ir veicinājusi vai izraisījusi finanšu noziegumu vai kā citādi ir ar to saistīta;
(d) vai neatbilstība ir notikusi tīši vai nolaidības dēļ;
(da) vai apturēšana vai izbeigšana neradīs kritiski svarīgās trešās personas, kas sniedz IKT pakalpojumus, pakalpojumu lietotāja darbības pārrāvuma risku.
4.a Šā panta 3. punktā paredzētie lēmumi tiek īstenoti tikai tad, kad par to ir pienācīgi informētas visas skartās finanšu vienības. Skartajām finanšu vienībām dod laiku, kas nepārsniedz absolūti nepieciešamo, lai pielāgotu ārpakalpojumu deleģēšanu un līgumiskās vienošanās ar kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, tā, lai neapdraudētu digitālās darbības noturību un īstenotu 25. pantā minētās izejas stratēģijas un pārkārtošanās plānus.
Kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus un uz ko attiecas 3. punktā paredzētie lēmumi, pilnībā sadarbojas ar skartajām finanšu vienībām.
5. Kompetentās iestādes regulāri informē kopīgo pārraudzības struktūru par pieejām un pasākumiem, ko tās veikušas, pildot finanšu vienību uzraudzības uzdevumus.
38. pants
Pārraudzības maksas
1. EUI no kritiski svarīgām trešām personām, kas sniedz IKT pakalpojumus, iekasē maksas, kas pilnībā sedz EUI obligātos izdevumus par pārraudzības uzdevumiem, ko veic saskaņā ar šo regulu, ieskaitot kompetento iestāžu, kas piedalās pārraudzības darbībās saskaņā ar 35. pantu, veiktā darba izmaksu atlīdzināšanu.
Kritiski svarīgai trešai personai, kas sniedz IKT pakalpojumus, piemērotās maksas sedz visas izmaksas, kuras radušās šajā iedaļā paredzēto pienākumu izpildē un ir proporcionālas tās apgrozījumam.
1.a Ja ir noslēgta administratīva vienošanās ar trešās valsts regulatīvo un uzraudzības iestādi saskaņā ar šā panta 1. punktu, minētā iestāde var kļūt par 35. panta 1. punktā minētās pārbaudes grupas locekli.
2. Komisija ir pilnvarota pieņemt deleģēto aktu saskaņā ar 50. pantu, lai papildinātu šo regulu, nosakot maksas apmēru un tās samaksas veidu.
39. pants
Starptautiskā sadarbība
1. EBI, EVTI un EAAPI attiecīgi saskaņā ar Regulas (ES) Nr. 1093/2010, (ES) Nr. 1094/2010 un (ES) Nr. 1095/2010 33. pantu var noslēgt administratīvas vienošanās ar trešo valstu regulatīvajām un uzraudzības iestādēm, lai veicinātu starptautisku sadarbību attiecībā uz IKT risku, kas saistīts ar trešo personu, dažādās finanšu nozarēs, jo īpaši izstrādājot IKT riska pārvaldības labākās prakses un kontroles, ietekmes mazināšanas pasākumu un incidentu atbilžu pārskatīšanas labāko praksi.
2. EUI ar Apvienotās komitejas starpniecību ik pēc pieciem gadiem iesniedz Eiropas Parlamentam, Padomei un Komisijai kopīgu konfidenciālu ziņojumu, kurā apkopoti secinājumi par attiecīgajām diskusijām ar 1. punktā minētajām trešo valstu iestādēm, veltot uzmanību ar trešo personu saistītā IKT riska attīstībai un ietekmei uz finanšu stabilitāti, tirgus integritāti, ieguldītāju aizsardzību vai vienotā tirgus darbību.
VI NODAĻA
INFORMĀCIJAS APMAIŅAS KĀRTĪBA
40. pants
Kiberdraudu informācijas un izlūkdatu informācijas apmaiņas kārtība
1. Finanšu vienības apņemas savstarpēji un ar trešām personām, kas sniedz IKT pakalpojumus, apmainīties ar informāciju par kiberdraudiem un izlūkdatiem, tajā skaitā pazīmēm, kas liecina par kompromitēšanu, taktiku, paņēmieniem un procedūrām, kiberdraudu trauksmes signāliem un konfigurēšanas rīkiem, ciktāl šāda informācijas un izlūkdatu kopīgošana:
(a) ir ar mērķi uzlabot finanšu vienību un trešo personu, kas sniedz IKT pakalpojumus, digitālās darbības noturību, jo īpaši palielinot informētību attiecībā uz kiberdraudiem, ierobežojot vai traucējot kiberdraudu izplatīšanos, atbalstot aizsardzības spējas, apdraudējuma atklāšanas metodes, seku mazināšanas stratēģijas vai reaģēšanas un seku novēršanas posmus;
(b) notiek uzticamās finanšu vienību un trešo personu, kas sniedz IKT pakalpojumus, kopienās;
(c) tiek īstenota, izmantojot informācijas apmaiņas pasākumus, kas aizsargā koplietotās informācijas iespējami sensitīvo raksturu, un ko reglamentē rīcības noteikumi, kuros pilnībā ievērota uzņēmējdarbības konfidencialitāte, personas datu aizsardzība[26] un nostādnes par konkurences politiku[27].
2. Šā panta 1. punkta c) apakšpunkta vajadzībām informācijas apmaiņas kārtība nosaka dalības nosacījumus un vajadzības gadījumā sīkāk nosaka valsts iestāžu iesaisti un statusu, kādā tās var būt saistītas ar informācijas apmaiņas kārtību, kā arī par darbības elementiem, tostarp specializētu IT platformu izmantošanu.
3. Finanšu vienības paziņo kompetentajām iestādēm par savu dalību 1. punktā minētajos informācijas apmaiņas pasākumos pēc to dalības atzīšanas vai attiecīgā gadījumā — dalības izbeigšanas, kad tā stājusies spēkā.
VII NODAĻA
KOMPETENTĀS IESTĀDES
41. pants
Kompetentās iestādes
Neskarot šīs regulas V nodaļas II iedaļā minētos noteikumus par kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, pārraudzības sistēmu, šajā regulā noteikto saistību izpildi saskaņā ar pilnvarām, kas piešķirtas ar attiecīgiem tiesību aktiem, nodrošina šādas kompetentās iestādes:
(a) kredītiestādēm — kompetentā iestāde, kas norīkota saskaņā ar Direktīvas 2013/36/ES 4. pantu, neskarot īpašos uzdevumus, kas ECB uzticēti ar Regulu (ES) Nr. 1024/2013;
(b) maksājumu pakalpojumu sniedzējiem — kompetentā iestāde, kas norīkota saskaņā ar Direktīvas (ES) 2015/2366 22. pantu;
(c) elektronisko maksājumu iestādēm — kompetentā iestāde, kas norīkota saskaņā ar Direktīvas 2009/110/EK 37. pantu;
(d) ieguldījumu brokeru sabiedrībām — kompetentā iestāde, kas norīkota saskaņā ar Direktīvas (ES) 2019/2034 4. pantu;
(e) kriptoaktīvu pakalpojumu sniedzējiem, kriptoaktīvu emitentiem un kriptoaktīvu piedāvātājiem, aktīviem piesaistītu tokenu emitentiem un piedāvātājiem un nozīmīgu aktīviem piesaistītu tokenu emitentiem — kompetentā iestāde, kas norīkota saskaņā ar [Regulas (ES) Nr. 20xx, KAT regula] 3. panta 1. punkta ee) apakšpunkta pirmo ievilkumu;
(f) centrālajiem vērtspapīru depozitārijiem un vērtspapīru norēķinu sistēmu operatoriem — kompetentā iestāde, kas norīkota saskaņā ar Regulas (ES) Nr. 909/2014 11. pantu;
(g) centrālajiem darījumu partneriem — kompetentā iestāde, kas norīkota saskaņā ar Regulas (ES) Nr. 648/2012 22. pantu;
(h) tirdzniecības vietām un datu ziņošanas pakalpojumu sniedzējiem — kompetentā iestāde, kas norīkota saskaņā ar Direktīvas 2014/65/ES 67. pantu;
(i) darījumu reģistriem — kompetentās iestādes, kas norīkotas saskaņā ar Regulas (ES) Nr. 648/2012 55. pantu;
(j) alternatīvo ieguldījumu fondu pārvaldniekiem — kompetentā iestāde, kas norīkota saskaņā ar Direktīvas 2011/61/EK 44. pantu;
(k) pārvaldības sabiedrībām — kompetentā iestāde, kas norīkota saskaņā ar Direktīvas 2009/65/EK 97. pantu;
(l) apdrošināšanas sabiedrībām un pārapdrošināšanas sabiedrībām — kompetentā iestāde, kas norīkota saskaņā ar Direktīvas 2009/138/EK 30. pantu;
(m) apdrošināšanas starpniekiem, pārapdrošināšanas starpniekiem un apdrošināšanas papildpakalpojuma starpniekiem — kompetentā iestāde, kas norīkota saskaņā ar Direktīvas (ES) 2016/97 12. pantu;
(n) arodpensijas kapitāla uzkrāšanas institūcijām — kompetentā iestāde, kas norīkota saskaņā ar Direktīvas 2016/2341/EK 47. pantu;
(o) kredītreitingu aģentūrām — kompetentā iestāde, kas norīkota saskaņā ar Direktīvas (ES) 1060/2009 21. pantu;
(p) obligātajiem revidentiem un revīzijas uzņēmumiem — kompetentā iestāde, kas norīkota saskaņā ar Direktīvas 2006/43/EK 32. pantu un 3. panta 3. punktu;
(q) kritiski svarīgu etalonu administratoriem — kompetentā iestāde, kas norīkota saskaņā ar Regulas (ES) 2016/1011 40. un 41. pantu;
(r) kolektīvās finansēšanas pakalpojumu sniedzējiem — kompetentā iestāde, kas norīkota saskaņā ar Regulas (ES) 2020/1503 29. pantu;
(s) vērtspapīrošanas repozitorijiem — kompetentā iestāde, kas norīkota saskaņā ar Regulas (ES) Nr. 2017/2402 10. pantu un 14. panta 1. punktu.
42. pants
Sadarbība ar struktūrām un iestādēm, kas izveidotas ar Direktīvu (ES) 2016/1148
1. Lai sekmētu sadarbību un ļautu veikt uzraudzības apmaiņu starp kompetentajām iestādēm, kas ieceltas ar šo regulu, un saskaņā ar Direktīvas (ES) 2016/1148 11. pantu izveidoto sadarbības grupu, EUI un kompetentās iestādes tiek aicinātas piedalīties sadarbības grupas darbā gadījumos, kad šis darbs ir saistīts attiecīgi ar pārraudzības un uzraudzības darbībām, ko veic attiecībā uz vienībām, kuras uzskaitītas Direktīvas (ES) 2016/1148 II pielikuma 7. punktā un kuras saskaņā ar šīs regulas 28. pantu ir arī izraudzītas kā kritiski svarīgas trešās personas, kas sniedz IKT pakalpojumus.
2. Kompetentās iestādes vajadzības gadījumā var konsultēties ar vienoto kontaktpunktu un valstu datordrošības incidentu reaģēšanas vienībām, kas minētas attiecīgi Direktīvas (ES) 2016/1148 8. un 9. pantā.
2.a Galvenais pārraugs pirms vispārējas izmeklēšanas un pārbaudēm uz vietas saskaņā ar šīs regulas 33. un 34. pantu informē attiecīgās kompetentās iestādes, kas izraudzītas saskaņā ar Direktīvu (ES) 2016/1148, un sadarbojas ar tām.
43. pants
Finanšu starpnozaru mācības, saziņa un sadarbība
1. EUI ar Apvienotās komitejas starpniecību un sadarbībā ar kompetentajām iestādēm, ECB, Vienoto noregulējuma valdi attiecībā uz informāciju par vienībām, kuras ir Regulas (ES) Nr. 806/2014 darbības jomā, un ESRK var izveidot mehānismus, kas ļauj apmainīties ar efektīvu praksi starp finanšu nozarēm, lai uzlabotu informētību par situāciju un noteiktu starpnozaru kopīgo kiberneaizskaramību un riskus.
Tās var izstrādāt krīzes pārvarēšanas un ārkārtas situāciju pasākumus, kuros ietilpst kiberuzbrukuma scenāriji, lai attīstītu saziņas kanālus un pakāpeniski nodrošinātu efektīvu ES līmeņa koordinētu reakciju, ja būtisks pārrobežu IKT incidents vai būtiski kiberdraudi radītu sistēmisku ietekmi uz Savienības finanšu nozari kopumā.
Šajās mācībās vajadzības gadījumā var arī pārbaudīt finanšu nozares atkarību no citām ekonomikas nozarēm.
2. Kompetentās iestādes, EBI, EVTI vai EAAPI, ECB, valstu noregulējuma iestādes un Vienotā noregulējuma valde attiecībā uz informāciju par vienībām, kuras ir Regulas (ES) Nr. 806/2014 darbības jomā, cieši sadarbojas savā starpā un apmainās ar informāciju, lai veiktu savus pienākumus saskaņā ar 42.–48. pantu. Kompetentās iestādes cieši koordinē uzraudzību, lai apzinātu un novērstu šīs regulas pārkāpumus, izstrādātu un sekmētu labāko praksi, veicinātu sadarbību, stiprinātu interpretācijas saskaņotību un nodrošinātu vairākjurisdikciju novērtējumus jebkādu domstarpību gadījumā.
44. pants
Administratīvi sodi un korektīvi pasākumi
1. Kompetentajām iestādēm ir visas uzraudzības, izmeklēšanas un sankciju pilnvaras, kas vajadzīgas, lai izpildītu pienākumus saskaņā ar šo regulu.
2. Šā panta 1. punktā minētās pilnvaras ietver vismaz šādas pilnvaras:
(a) piekļūt jebkuram dokumentam vai datiem jebkādā formātā, kurus kompetentās iestādes uzskata par nozīmīgiem tās uzraudzības pienākumu veikšanā, un saņemt to kopiju vai nokopēt tos;
(b) veikt pārbaudes uz vietas vai izmeklēšanu;
(c) pieprasīt koriģējošus un korektīvus pasākumus šīs regulas prasību pārkāpšanas gadījumos.
3. Neskarot dalībvalstu tiesības piemērot kriminālsodus saskaņā ar 46. pantu, dalībvalstis paredz noteikumus, ar ko nosaka attiecīgus administratīvos sodus un korektīvus pasākumus šīs regulas pārkāpumu gadījumos, kā arī nodrošina to efektīvu īstenošanu.
Šiem sodiem un pasākumiem jābūt iedarbīgiem, samērīgiem un atturošiem.
4. Dalībvalstis piešķir kompetentajām iestādēm pilnvaras par šīs regulas pārkāpumiem piemērot vismaz šādus administratīvos sodus vai korektīvus pasākumus:
(a) izdot rīkojumu fiziskai vai juridiskai personai pārtraukt attiecīgo rīcību un atturēties no tās atkārtošanas;
(b) pieprasīt pagaidu vai pastāvīgu jebkuras tādas prakses vai rīcības pārtraukšanu, ko uzskata par pretēju šīs regulas noteikumiem, un novērst minētās prakses vai rīcības atkārtošanos;
(c) pieņemt jebkāda veida pasākumus, tostarp finansiāla rakstura pasākumus, lai nodrošinātu to, ka finanšu vienības turpina ievērot juridiskās prasības;
(d) ciktāl to atļauj valsts tiesību akti, pieprasīt telesakaru operatora rīcībā esošos datu plūsmas ierakstus, ja ir pamatotas aizdomas par šīs regulas pārkāpumu un ja šādi ieraksti var būt noderīgi, izmeklējot šīs regulas pārkāpumus; un
(e) izdot publiskus paziņojumus, tostarp publiskus paziņojumus, kuros norādīta fiziskās vai juridiskās personas identitāte un pārkāpuma būtība.
5. Ja 2. punkta c) apakšpunktā un 4. punktā minētie noteikumi attiecas uz juridiskām personām, dalībvalstis, ievērojot valsts tiesību aktos paredzētos nosacījumus, piešķir kompetentajām iestādēm pilnvaras piemērot administratīvos sodus un korektīvos pasākumus vadības struktūras locekļiem un citām personām, kas saskaņā ar valsts tiesību aktiem ir saucamas pie atbildības par pārkāpumu.
6. Dalībvalstis nodrošina, ka jebkurš lēmums, ar ko uzliek 2. punkta c) apakšpunktā minētos administratīvos sodus vai korektīvos pasākumus, ir pienācīgi pamatots un ka uz to attiecas tiesības to pārsūdzēt.
45. pants
Administratīvo sodu un korektīvo pasākumu piemērošanas pilnvaru īstenošana
1. Kompetentās iestādes pēc vajadzības īsteno pilnvaras uzlikt 44. pantā minētos administratīvos sodus un korektīvos pasākumus saskaņā ar attiecīgās valsts tiesisko regulējumu:
(a) tieši;
(b) sadarbojoties ar citām iestādēm;
(c) uz savu atbildību deleģējot savas pilnvaras citām iestādēm; un
(d) iesniedzot pieteikumu kompetentajām tiesas iestādēm.
2. Kompetentās iestādes, nosakot saskaņā ar 44. pantu uzlikta administratīvā soda vai korektīva pasākuma veidu un apmēru, ņem vērā visus nozīmīgos apstākļus, tostarp to, cik lielā mērā pārkāpums izdarīts tīši vai izriet no neuzmanības, un visus citus atbilstīgos apstākļus, tostarp vajadzības gadījumā:
(a) pārkāpuma būtiskumu, smagumu un ilgumu;
(b) fiziskās vai juridiskās personas, kas ir atbildīga par pārkāpumu, atbildības pakāpi;
(c) atbildīgās fiziskās vai juridiskās personas finansiālo stāvokli;
(d) atbildīgās fiziskās vai juridiskās personas gūtās peļņas vai novērsto zaudējumu nozīmīgumu, ciktāl to var noteikt;
(e) pārkāpuma radītos zaudējumus trešām personām, ja tos var noteikt;
(f) atbildīgās personas sadarbības līmeni ar kompetento iestādi, neskarot vajadzību nodrošināt attiecīgās personas gūto ienākumu vai novērsto zaudējumu atdošanu;
(g) atbildīgās fiziskās vai juridiskās personas iepriekš izdarītos pārkāpumus.
46. pants
Kriminālsodi
1. Dalībvalstis var nolemt neparedzēt noteikumus par administratīviem sodiem vai korektīviem pasākumiem attiecībā uz pārkāpumiem, par kuriem saskaņā ar attiecīgās valsts tiesību aktiem piemēro kriminālsodus.
2. Ja dalībvalstis izvēlējušās noteikt kriminālsodus par šīs regulas pārkāpumiem, tās nodrošina, ka ir ieviesti atbilstoši pasākumi, lai kompetentajām iestādēm attiecīgajā tiesību sistēmā būtu visas nepieciešamās pilnvaras koordinēt sadarbību ar tiesu, prokuratūras un tiesībaizsardzības iestādēm, kas vajadzīgas, lai saņemtu konkrētu informāciju, kas saistīta ar kriminālizmeklēšanu vai procedūrām, kas sāktas attiecībā uz šīs regulas pārkāpumiem, un lai to pašu informāciju sniegtu citām kompetentajām iestādēm un EBI, EVTI vai EAAPI, lai izpildītu pienākumu sadarboties šīs regulas vajadzībām.
47. pants
Ziņošanas pienākums
Dalībvalstis Komisijai, EVTI, EBI un EAAPI dara zināmus normatīvos un administratīvos aktus, ar ko īsteno šo nodaļu, tostarp visus attiecīgos krimināltiesību noteikumus [OV: ievietot datumu, kas ir 12 mēnešus pēc spēkā stāšanās dienas]. Dalībvalstis bez liekas kavēšanās informē Komisiju, EVTI, EBI un EAAPI par turpmākiem grozījumiem tajos.
48. pants
Informācijas par administratīvajiem sodiem publicēšana
1. Kompetentās iestādes savā oficiālajā tīmekļa vietnē bez nepamatotas kavēšanās publicē jebkuru lēmumu, ar kuru piemērots administratīvais sods, kas nav pārsūdzams, pēc tam, kad par minēto lēmumu ir paziņots soda adresātam.
2. Publikācijā, kas minēta 1. punktā, ietver informāciju par pārkāpuma veidu un būtību, piemērotajiem sodiem un — izņēmuma kārtā — par pārkāpumu atbildīgo personu identitāti.
3. Ja kompetentā iestāde pēc katrā gadījumā atsevišķi veikta novērtējuma uzskata, ka identitātes publicēšana juridisku personu gadījumā vai identitātes un personas datu publicēšana fizisko personu gadījumā būtu nesamērīga, apdraudētu finanšu tirgu stabilitāti vai notiekošu kriminālizmeklēšanu vai, ciktāl to var noteikt, radītu nesamērīgu kaitējumu attiecīgajai personai, tā attiecībā uz lēmumu, ar ko uzliek administratīvo sodu, pieņem kādu no šādiem risinājumiem:
(a) atlikt tā publicēšanu līdz brīdim, kad vairs nepastāv neviens nepublicēšanas iemesls;
(b) publicēt to anonīmi saskaņā ar valsts tiesību aktiem; vai
(c) atturēties no publicēšanas, ja a) un b) apakšpunktā izklāstītie risinājumi tiek uzskatīti vai nu par nepietiekamiem, lai garantētu finanšu tirgu stabilitātes apdraudējuma neiestāšanos, vai ja šāda publicēšana nebūtu proporcionāla piemērotā soda maigumam.
4. Gadījumā, ja tiek pieņemts lēmums publicēt administratīvo sodu anonīmi, kā minēts 3. punkta b) apakšpunktā, attiecīgo datu publicēšanu var atlikt.
5. Ja kompetentā iestāde publicē lēmumu, ar kuru uzliek administratīvo sodu, kurš ir pārsūdzēts attiecīgajās tiesu iestādēs, kompetentās iestādes nekavējoties savā oficiālajā tīmekļa vietnē ievieto arī šo informāciju un vēlāk — jebkādu turpmāku saistītu informāciju par šādas pārsūdzības iznākumu. Publicē arī jebkuru tiesas nolēmumu, ar ko atceļ lēmumu par administratīvā soda uzlikšanu.
6. Kompetentā iestāde nodrošina, ka jebkura publikācija, kas minēta 1.–4. punktā, tās oficiālajā tīmekļa vietnē ir pieejama vismaz piecus gadus pēc tās publicēšanas. Jebkuri personas dati, kas iekļauti publikācijā, tiek uzglabāti kompetentās iestādes oficiālajā tīmekļa vietnē tikai uz laikposmu, kas nepieciešams saskaņā ar piemērojamiem datu aizsardzības noteikumiem.
49. pants
Dienesta noslēpums
1. Uz konfidenciālu informāciju, kas saņemta, ar ko veikta apmaiņa vai kas nosūtīta, ievērojot šo regulu, attiecas 2. punktā izklāstītie nosacījumi par dienesta noslēpumu.
2. Dienesta noslēpuma ievērošanas pienākums attiecas uz visām personām, ko nodarbina vai ir nodarbinājušas šajā regulā paredzētās kompetentās iestādes vai kāda cita iestāde vai tirgus uzņēmums, vai fiziska vai juridiska persona, kurai kompetentās iestādes ir deleģējušas savas pilnvaras, tostarp arī to nolīgtiem revidentiem un ekspertiem.
3. Informāciju, uz ko attiecas dienesta noslēpums, nevar atklāt nevienai citai personai vai iestādei citādi, nekā ir paredzēts Savienības vai valsts tiesību noteikumos.
4. Visu informāciju, ar ko kompetentās iestādes apmainās saskaņā ar šo regulu un kas attiecas uz darījumu vai darbības apstākļiem un citiem ekonomiska vai personiska rakstura jautājumiem, uzskata par konfidenciālu, un tai piemēro dienesta noslēpuma prasības, ja vien kompetentā iestāde, sniedzot attiecīgo informāciju, nav atļāvusi to izpaust vai ja šāda izpaušana nav nepieciešama tiesvedībai.
VIII NODAĻA
DELEĢĒTIE AKTI
50. pants
Deleģēšanas īstenošana
1. Pilnvaras pieņemt deleģētos aktus Komisijai piešķir, ievērojot šajā pantā izklāstītos nosacījumus.
2. Pilnvaras pieņemt 28. panta 3. punktā un 38. panta 2. punktā minētos deleģētos aktus Komisijai piešķir uz piecu gadu laikposmu no [PB: ievietot datumu, kas ir piecus gadus pēc šīs regulas spēkā stāšanās dienas]. Komisija sagatavo ziņojumu par pilnvaru deleģēšanu vēlākais deviņus mēnešus pirms 5 gadu laikposma beigām. Pilnvaru deleģēšana tiek automātiski pagarināta uz tāda paša ilguma laikposmiem, ja vien Eiropas Parlaments vai Padome neiebilst pret šādu pagarinājumu vēlākais trīs mēnešus pirms katra laikposma beigām.
3. Eiropas Parlaments vai Padome jebkurā laikā var atsaukt 28. panta 3. punktā un 38. panta 2. punktā minēto pilnvaru deleģēšanu. Ar lēmumu par atsaukšanu izbeidz tajā norādīto pilnvaru deleģēšanu. Lēmums stājas spēkā nākamajā dienā pēc tā publicēšanas Eiropas Savienības Oficiālajā Vēstnesī vai vēlākā dienā, kas tajā norādīta. Tas neskar jau spēkā esošos deleģētos aktus.
4. Pirms deleģētā akta pieņemšanas Komisija apspriežas ar katras dalībvalsts ieceltajiem ekspertiem saskaņā ar principiem, kas noteikti 2016. gada 13. aprīļa Iestāžu nolīgumā par labāku likumdošanas procesu.
5. Tiklīdz Komisija pieņem deleģēto aktu, tā par to paziņo vienlaikus Eiropas Parlamentam un Padomei.
6. Saskaņā ar 28. panta 3. punktu un 38. panta 2. punktu pieņemts deleģētais akts stājas spēkā tikai tad, ja trijos mēnešos no dienas, kad minētais akts paziņots Eiropas Parlamentam un Padomei, ne Eiropas Parlaments, ne Padome nav izteikuši iebildumus vai ja pirms minētā laikposma beigām gan Eiropas Parlaments, gan Padome ir informējuši Komisiju par savu nodomu neizteikt iebildumus. Pēc Eiropas Parlamenta vai Padomes iniciatīvas šo laikposmu pagarina par trijiem mēnešiem.
IX NODAĻA
PĀREJAS UN NOBEIGUMA NOTEIKUMI
I IEDAĻA
51. pants
Pārskatīšanas klauzula
Komisija līdz [PB: ievietot datumu, kas ir pieci gadi pēc spēkā stāšanās dienas], vajadzības gadījumā — pēc apspriešanās ar EBI, EVTI, EAAPI un ESRK, veic pārskatīšanu un iesniedz ziņojumu Eiropas Parlamentam un Padomei, vajadzības gadījumā pievienojot tiesību akta priekšlikumu. Ziņojumā iekļauj vismaz šādu informāciju:
(a) iespēja paplašināt šīs regulas darbības jomu, attiecinot to arī uz maksājumu sistēmu operatoriem;
(b) ziņošanas par būtiskiem kiberdraudiem brīvprātīgais raksturs;
(c) 28. panta 2. punktā paredzētie kritiski svarīgu trešo personu, kas sniedz IKT pakalpojumus, izraudzīšanās kritēriji; un
(d) Kopīgās pārraudzības struktūras lēmumu pieņemšanas un informācijas apmaiņas starp kopīgo pārraudzības struktūru un trešo valstu kompetentajām iestādēm efektivitāte.
II IEDAĻA
GROZĪJUMI
52. pants
Grozījumi Regulā (EK) Nr. 1060/2009
Regulas (EK) Nr. 1060/2009 I pielikuma A iedaļas 4. panta pirmo daļu aizstāj ar šādu:
“Kredītreitingu aģentūrai ir pareizas administratīvas un grāmatvedības procedūras, iekšējie kontroles mehānismi, efektīvas riska novērtēšanas procedūras, kā arī efektīvi kontroles pasākumi un aizsargpasākumi IKT sistēmu pārvaldībai saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2021/xx* [DDN].
* Eiropas Parlamenta un Padomes Regula (ES) 2021/xx [...] (OV L XX, DD.MM.GGGG., X. lpp.).”.
53. pants
Grozījumi Regulā (ES) Nr. 648/2012
Regulu (ES) Nr. 648/2012 groza šādi:
(1) regulas 26. pantu groza šādi:
(a) panta 3. punktu aizstāj ar šādu:
“ 3. CCP uztur un izmanto organizatorisko struktūru, kas nodrošina tā pakalpojumu un darbību veikšanas nepārtrauktību un pareizu funkcionēšanu. Tas izmanto piemērotas un samērīgas sistēmas, resursus un procedūras, ieskaitot IKT sistēmas, ko pārvalda saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2021/xx* [DDN].
* Eiropas Parlamenta un Padomes Regula (ES) Nr. 2021/xx […](OV L XX, DD.MM.GGGG., X. lpp.).”;
(b) panta 6. punktu svītro;
(2) regulas 34. pantu groza šādi:
(a) panta 1. punktu aizstāj ar šādu:
“1. CCP iedibina, īsteno un uztur piemērotu uzņēmējdarbības nepārtrauktības politiku un negadījuma seku novēršanas plānu, kurā ietver saskaņā ar Regulu (ES) 2021/xx [DDN] izveidotus IKT uzņēmējdarbības nepārtrauktības un negadījuma seku novēršanas plānus, ar mērķi nodrošināt tā funkciju saglabāšanu, darbību laicīgu atjaunošanu un CCP izpildi.”;
(b) panta 3. punkta pirmo daļu aizstāj ar šādu:
“Lai nodrošinātu šā panta konsekventu piemērošanu, EVTI pēc apspriešanās ar ECBS dalībniekiem izstrādā regulatīvo tehnisko standartu projektus, kuros nosaka uzņēmējdarbības nepārtrauktības politikas un negadījuma seku novēršanas plāna minimālo saturu un prasības, izņemot IKT darbības nepārtrauktības un negadījuma seku novēršanas plānus.”;
(3) regulas 56. panta 3. punkta pirmo daļu aizstāj ar šādu daļu:
‘3. Lai nodrošinātu šā panta konsekventu piemērošanu, EVTI izstrādā regulatīvo tehnisko standartu projektus, izņemot attiecībā uz IKT riska pārvaldības prasībām, nosakot 1. punktā minēto sīkāko informāciju par reģistrācijas pieteikumu.”;
(4) regulas 79. panta 1. un 2. punktu aizstāj ar šādiem: “1.
“1. Darījumu reģistrs identificē darbības riska cēloņus un mazina tos arī, izstrādājot atbilstošas sistēmas, veicot pārbaudi un izmantojot procedūras, tostarp IKT sistēmas, ko pārvalda saskaņā ar Regulu (ES) Nr. 2021/xx [DDN].
2. Darījumu reģistrs izstrādā, īsteno un uztur atbilstošu uzņēmējdarbības nepārtrauktības politiku un negadījuma seku novēršanas plānu, ieskaitot saskaņā ar Regulu (ES) 2021/xx [DDN] izveidotus IKT uzņēmējdarbības nepārtrauktības un negadījuma seku novēršanas plānus un kura mērķis ir nodrošināt savu funkciju uzturēšanu, laicīgu darbības atsākšanu un darījumu reģistra pienākumu turpmāku izpildi.”;
(5) regulas 80. panta 1. punktu svītro.
54. pants
Grozījumi Regulā (ES) Nr. 909/2014
Regulas (ES) Nr. 909/2014 45. pantu groza šādi:
(1) panta 1. punktu aizstāj ar šādu:
“1. CVD identificē iekšējos un ārējos operacionālā riska avotus un pēc iespējas samazina to ietekmi, izmantojot atbilstīgus IKT instrumentus, kontroli un rīcībpolitiku, ko izveido un pārvalda saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2021/xx [DDN], tostarp visām tā uzturētajām vērtspapīru norēķinu sistēmām.
* Eiropas Parlamenta un Padomes Regula (ES) Nr. 2021/xx […](OV L XX, DD.MM.GGGG., X. lpp.).”;
(2) panta 2. punktu svītro;
(3) panta 3. un 4. punktu aizstāj ar šādu:
“3. CVD attiecībā uz tā sniegtajiem pakalpojumiem, kā arī attiecībā uz katru tā uzturēto vērtspapīru norēķinu sistēmu izveido, ievieš un uztur pienācīgu darbības nepārtrauktības nodrošināšanas politiku un negadījumu seku novēršanas plānu, ieskaitot saskaņā ar Regulu (ES) 2021/xx [DDN] izveidotu IKT darbības nepārtrauktības nodrošināšanas politiku un negadījuma seku novēršanas plānu, lai nodrošinātu, ka tā pakalpojumi tiek saglabāti un CVD darbība un pienākumu pildīšana tiek savlaicīgi atjaunota gadījumos, kad rodas nozīmīgs darbības traucējumu risks.
4. Šā panta 3. punktā minētais plāns paredz atjaunot visus darījumus un dalībnieku pozīcijas darbības pārtraukšanas brīdī, lai CVD dalībnieki varētu turpināt droši darboties un pabeigt norēķinus plānotajā datumā, tostarp nodrošinot, ka kritiskās IT sistēmas var atjaunot darbības no to pārtraukšanas brīža, kā paredzēts Regulas (ES) 2021/xx [DDN] 11. panta 5. un 7. punktā.”;
▌
55. pants
Grozījumi Regulā (ES) Nr. 600/2014
Regulu (ES) Nr. 600/2014 groza šādi:
(1) regulas 27.g pantu groza šādi:
(a) panta 4. punktu svītro;
(b) panta 8. punkta c) apakšpunktu aizstāj ar šādu:
(c) “c) konkrētas organizatoriskas prasības, kas izklāstītas 3. un 5. punktā.”;
(2) regulas 27.h pantu groza šādi:
(a) panta 5. punktu svītro;
(b) panta 8. punkta e) apakšpunktu aizstāj ar šādu:
“e) konkrētas organizatoriskas prasības, kas izklāstītas 4. punktā.”;
(3) regulas 27.i pantu groza šādi:
(a) panta 3. punktu svītro;
(b) panta 5. punkta b) apakšpunktu aizstāj ar šādu:
“b) konkrētas organizatoriskas prasības, kas izklāstītas 2. un 4. punktā.”.
56. pants
Stāšanās spēkā un piemērošana
Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.
To piemēro no [PB: ievietot datumu, kas ir 24 mēnešus pēc spēkā stāšanās dienas].
Tomēr 23. un 24. pantu piemēro no [PB: ievietot datumu, kas ir 36 mēnešus pēc šīs regulas spēkā stāšanās dienas].
Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.
Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.
Briselē,
Eiropas Parlamenta vārdā — Padomes vārdā —
priekšsēdētājs priekšsēdētājs
ATBILDĪGĀS KOMITEJAS PROCEDŪRA
Virsraksts |
Finanšu sektora digitālā darbības noturība un grozījumu izdarīšana Regulās (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014 un (ES) Nr. 909/2014 (DORA) |
|||
Atsauces |
COM(2020)0595 – C9-0304/2020 – 2020/0266(COD) |
|||
Datums, kad iesniedza EP |
24.9.2020 |
|
|
|
Atbildīgā komiteja Datums, kad paziņoja plenārsēdē |
ECON 17.12.2020 |
|
|
|
Komitejas, kurām lūgts sniegt atzinumu Datums, kad paziņoja plenārsēdē |
ITRE 17.12.2020 |
IMCO 17.12.2020 |
|
|
Atzinumu nesniedza Lēmuma datums |
ITRE 15.10.2020 |
IMCO 27.10.2020 |
|
|
Referenti Iecelšanas datums |
Billy Kelleher 15.10.2020 |
|
|
|
Izskatīšana komitejā |
14.4.2021 |
14.6.2021 |
|
|
Pieņemšanas datums |
1.12.2021 |
|
|
|
Galīgais balsojums |
+: –: 0: |
44 5 5 |
||
Komitejas locekļi, kas bija klāt galīgajā balsošanā |
Gerolf Annemans, Gunnar Beck, Marek Belka, Isabel Benjumea Benjumea, Stefan Berger, Gilles Boyer, Engin Eroglu, Markus Ferber, Jonás Fernández, Raffaele Fitto, Frances Fitzgerald, Luis Garicano, Sven Giegold, Valentino Grant, Claude Gruffat, José Gusmão, Enikő Győri, Eero Heinäluoma, Danuta Maria Hübner, Stasys Jakeliūnas, France Jamet, Billy Kelleher, Ondřej Kovařík, Georgios Kyrtsos, Aurore Lalucq, Philippe Lamberts, Aušra Maldeikienė, Pedro Marques, Costas Mavrides, Jörg Meuthen, Csaba Molnár, Siegfried Mureşan, Caroline Nagtegaal, Luděk Niedermayer, Lefteris Nikolaou-Alavanos, Lídia Pereira, Kira Marie Peter-Hansen, Sirpa Pietikäinen, Evelyn Regner, Antonio Maria Rinaldi, Alfred Sant, Martin Schirdewan, Joachim Schuster, Ralf Seekatz, Pedro Silva Pereira, Paul Tang, Irene Tinagli, Ernest Urtasun, Inese Vaidere, Johan Van Overtveldt, Stéphanie Yon-Courtin, Marco Zanni, Roberts Zīle |
|||
Aizstājēji, kas bija klāt galīgajā balsošanā |
Lefteris Christoforou |
|||
Iesniegšanas datums |
7.12.2021 |
|||
ATBILDĪGĀS KOMITEJAS GALĪGAIS BALSOJUMS PĒC SARAKSTA
44 |
+ |
ECR |
Raffaele Fitto, Johan Van Overtveldt, Roberts Zīle |
NI |
Enikő Győri |
PPE |
Isabel Benjumea Benjumea, Stefan Berger, Lefteris Christoforou, Markus Ferber, Frances Fitzgerald, Danuta Maria Hübner, Georgios Kyrtsos, Aušra Maldeikienė, Siegfried Mureşan, Luděk Niedermayer, Lídia Pereira, Sirpa Pietikäinen, Ralf Seekatz, Inese Vaidere |
Renew |
Gilles Boyer, Engin Eroglu, Luis Garicano, Billy Kelleher, Ondřej Kovařík, Caroline Nagtegaal, Stéphanie Yon-Courtin |
S&D |
Marek Belka, Jonás Fernández, Eero Heinäluoma, Aurore Lalucq, Pedro Marques, Costas Mavrides, Csaba Molnár, Evelyn Regner, Alfred Sant, Joachim Schuster, Pedro Silva Pereira, Paul Tang, Irene Tinagli |
Verts/ALE |
Sven Giegold, Claude Gruffat, Stasys Jakeliūnas, Philippe Lamberts, Kira Marie Peter-Hansen, Ernest Urtasun |
5 |
- |
ID |
Gerolf Annemans, Gunnar Beck, France Jamet, Jörg Meuthen |
NI |
Lefteris Nikolaou-Alavanos |
5 |
0 |
ID |
Valentino Grant, Antonio Maria Rinaldi, Marco Zanni |
The Left |
José Gusmão, Martin Schirdewan |
Izmantoto apzīmējumu skaidrojums:
+ : par
- : pret
0 : atturas
- [1] OV C 155, 30.4.2021., 38. lpp.
- [*] Grozījumi: jaunais vai grozītais teksts ir norādīts treknā slīprakstā; svītrojumus apzīmē ar simbolu ▌.
- [2] [pievienot atsauci] OV C , , . lpp.
- [3] OV C 155, 30.4.2021., 38. lpp.
- [4] ESRK 2020. gada februāra ziņojums par sistēmisko kiberrisku, https://www.esrb.europa.eu/pub/pdf/reports/esrb.report200219_systemiccyberrisk~101a09685e.en.pdf.
- [5] Kā norādīts Eiropas uzraudzības iestāžu pārskatam pievienotajā ietekmes novērtējumā SWD(2017) 308, ir aptuveni 5665 kredītiestādes, 5934 ieguldījumu brokeru sabiedrības, 2666 apdrošināšanas sabiedrības, 1573 AKUI, 2500 ieguldījumu pārvaldības sabiedrības, 350 tirgus infrastruktūras (piemēram, CCP, biržas, sistemātiskie internalizētāji, darījumu reģistri un daudzpusējas tirdzniecības sistēmas), 45 CRA un 2500 pilnvarotas maksājumu iestādes un elektroniskās naudas iestādes. Kopā — aptuveni līdz 21 233 vienībām, neiekļaujot kolektīvās finansēšanas vienības, obligātos revidentus un revīzijas uzņēmumus, kriptoaktīvu pakalpojumu sniedzējus un etalonu administratorus.
- [6] Komisijas paziņojums Eiropas Parlamentam, Padomei, Eiropas Centrālajai bankai, Eiropas Ekonomikas un sociālo lietu komitejai un Reģionu komitejai “Finanšu tehnoloģijas rīcības plāns konkurētspējīgākam un inovatīvākam Eiropas finanšu sektoram”, COM(2018)0109 final, https://ec.europa.eu/info/publications/180308-action-plan-fintech_en.
- [7] Eiropas Parlamenta un Padomes Direktīva (ES) 2016/1148 (2016. gada 6. jūlijs) par pasākumiem nolūkā panākt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā Savienībā (OV L 194, 19.7.2016., 1. lpp.).
- [8] Padomes Direktīva 2008/114/EK (2008. gada 8. decembris) par to, lai apzinātu un noteiktu Eiropas Kritiskās infrastruktūras un novērtētu vajadzību uzlabot to aizsardzību (OV L 345, 23.12.2008., 75. lpp.).
- [9] ENISA Incidentu klasifikācijas atsauces taksonomija, https://www.enisa.europa.eu/publications/reference-incident-classification-taxonomy.
- [10] Ieteikumi mākoņpakalpojumu izmantošanai (EBA/REC/2017/03), patlaban atcelti ar EBI Pamatnostādnēm par ārpakalpojumu izmantošanu (EBA/GL/2019/02).
- [11] Komisijas paziņojums “Pamatnostādnes par Līguma par Eiropas Savienības darbību 101. panta piemērojamību horizontālās sadarbības nolīgumiem”, 2011/C 11/01.
- [12] Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV L 119, 4.5.2016., 1. lpp.).
- [13] CPMI-IOSCO, Guidance on cyber resilience for financial market infrastructures, https://www.bis.org/cpmi/publ/d146.pdf G7 Fundamental Elements of Cybersecurity for the Financial Sector, https://www.ecb.europa.eu/paym/pol/shared/pdf/G7_Fundamental_Elements_Oct_2016.pdf; NIST kiberdrošības regulējums, https://www.nist.gov/cyberframework; FSP CIRR rīku kopums, https://www.fsb.org/2020/04/effective-practices-for-cyber-incident-response-and-recovery-consultative-document.
- [14] Turklāt, ja rastos risks, ka dominējošā stāvoklī esoša trešā persona, kas sniedz IKT pakalpojumus, varētu to izmantot ļaunprātīgi, finanšu vienībām vajadzētu būt iespējai arī iesniegt oficiālu vai neoficiālu sūdzību Eiropas Komisijai vai valstu konkurences tiesību iestādēm.
- [15] Eiropas Parlamenta un Padomes Direktīva 2014/59/ES (2014. gada 15. maijs), ar ko izveido kredītiestāžu un ieguldījumu brokeru sabiedrību atveseļošanas un noregulējuma režīmu un groza Padomes Direktīvu 82/891/EEK un Eiropas Parlamenta un Padomes Direktīvas 2001/24/EK, 2002/47/EK, 2004/25/EK, 2005/56/EK, 2007/36/EK, 2011/35/ES, 2012/30/ES un 2013/36/ES, un Eiropas Parlamenta un Padomes Regulas (ES) Nr. 1093/2010 un (ES) Nr. 648/2012 (OV L 173, 12.6.2014., 190. lpp.).
- [16] Padomes Regula (ES) Nr. 1024/2013 (2013. gada 15. oktobris), ar ko Eiropas Centrālajai bankai uztic īpašus uzdevumus saistībā ar politikas nostādnēm, kas attiecas uz kredītiestāžu prudenciālo uzraudzību (OV L 287, 29.10.2013., 63. lpp).
- [17] Eiropas Parlamenta un Padomes Regula (ES) Nr. 806/2014 (2014. gada 15. jūlijs), ar ko izveido vienādus noteikumus un vienotu procedūru kredītiestāžu un noteiktu ieguldījumu brokeru sabiedrību noregulējumam, izmantojot vienotu noregulējuma mehānismu un vienotu noregulējuma fondu, un groza Regulu (ES) Nr. 1093/2010 (OV L 225, 30.7.2014., 1. lpp.).
- [18] OV L 123, 12.5.2016., 1. lpp.
- [19] [Lūdzu, ievietojiet pilnu atsauci].
- [20] Eiropas Parlamenta un Padomes Regula (ES) 2019/881 (2019. gada 17. aprīlis) par ENISA (Eiropas Savienības Kiberdrošības aģentūra) un par informācijas un komunikācijas tehnoloģiju kiberdrošības sertifikāciju, un ar ko atceļ Regulu (ES) Nr. 526/2013 (Kiberdrošības akts) (OV L 151, 7.6.2019., 15. lpp.).
- [21] Eiropas Parlamenta un Padomes Direktīva (ES) 2018/1972 (2018. gada 11. decembris) par Eiropas Elektronisko sakaru kodeksa izveidi (pārstrādāta redakcija) (OV L 321, 17.12.2018., 36. lpp.).
- [22] Eiropas Parlamenta un Padomes Regula (ES) 2016/1011 (2016. gada 8. jūnijs) par indeksiem, ko izmanto kā etalonus finanšu instrumentos un finanšu līgumos vai ieguldījumu fondu darbības rezultātu mērīšanai, un ar kuru groza Direktīvu 2008/48/EK, Direktīvu 2014/17/ES un Regulu (ES) Nr. 596/2014 (OV L 171, 29.6.2016., 1. lpp.).
- [23] [Lūdzu, ievietojiet pilnu nosaukumu un OV informāciju].
- [24] Eiropas Parlamenta un Padomes Regula (ES) Nr. 575/2013 (2013. gada 26. jūnijs) par prudenciālajām prasībām attiecībā uz kredītiestādēm un ieguldījumu brokeru sabiedrībām, un ar ko groza Regulu (ES) Nr. 648/2012 (OV L 176, 27.6.2013., 1. lpp.).
- [25] Eiropas Parlamenta un Padomes Direktīva 2009/110/EK (2009. gada 16. septembris) par elektroniskās naudas iestāžu darbības sākšanu, veikšanu un konsultatīvu uzraudzību, par grozījumiem Direktīvā 2005/60/EK un Direktīvā 2006/48/EK un par Direktīvas 2000/46/EK atcelšanu (OV L 267, 10.10.2009., 7. lpp.).
- [26] Saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV L 119, 4.5.2016., 1. lpp.).
- [27] Komisijas paziņojums “Pamatnostādnes par Līguma par Eiropas Savienības darbību 101. panta piemērojamību horizontālās sadarbības nolīgumiem”, 2011/C 11/01.