SPRAWOZDANIE w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego oraz zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014
7.12.2021 - (COM(2020)0595 – C9-0304/2020 – 2020/0266(COD)) - ***I
Komisja Gospodarcza i Monetarna
Sprawozdawca: Billy Kelleher
PROJEKT REZOLUCJI USTAWODAWCZEJ PARLAMENTU EUROPEJSKIEGO
w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego oraz zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014
(COM(2020)0595 – C9-0304/2020 – 2020/0266(COD))
(Zwykła procedura ustawodawcza: pierwsze czytanie)
Parlament Europejski,
– uwzględniając wniosek Komisji przedstawiony Parlamentowi Europejskiemu i Radzie (COM(2020)0595),
– uwzględniając art. 294 ust. 2 i art. 114 Traktatu o funkcjonowaniu Unii Europejskiej, zgodnie z którymi wniosek został przedstawiony Parlamentowi przez Komisję (C9-0304/2020),
– uwzględniając art. 294 ust. 3 Traktatu o funkcjonowaniu Unii Europejskiej,
– uwzględniając opinię Europejskiego Komitetu Ekonomiczno-Społecznego z dnia 24 lutego 2021 r.[1],
– uwzględniając art. 59 Regulaminu,
– uwzględniając sprawozdanie Komisji Gospodarczej i Monetarnej (A9-0341/2021),
1. przyjmuje poniższe stanowisko w pierwszym czytaniu;
2. zwraca się do Komisji o ponowne przekazanie mu sprawy, jeśli zastąpi ona pierwotny wniosek, wprowadzi w nim istotne zmiany lub planuje ich wprowadzenie;
2. zobowiązuje swojego przewodniczącego do przekazania stanowiska Parlamentu Radzie i Komisji oraz parlamentom narodowym.
Poprawka 1
POPRAWKI PARLAMENTU EUROPEJSKIEGO[*]
do wniosku Komisji
---------------------------------------------------------
Wniosek
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY
w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014
(Tekst mający znaczenie dla EOG)
PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 114,
uwzględniając wniosek Komisji Europejskiej,
po przekazaniu projektu aktu ustawodawczego parlamentom narodowym,
uwzględniając opinię Europejskiego Banku Centralnego[2],
uwzględniając opinię Europejskiego Komitetu Ekonomiczno-Społecznego[3],
stanowiąc zgodnie ze zwykłą procedurą ustawodawczą,
a także mając na uwadze, co następuje:
(1) W epoce cyfrowej technologie informacyjno-komunikacyjne (ICT) wspierają złożone systemy wykorzystywane w codziennych działaniach społecznych. Napędzają one naszą gospodarkę w najważniejszych sektorach, w tym w sektorze finansów, oraz wzmacniają funkcjonowanie jednolitego rynku. Większy zakres cyfryzacji i wzajemnych powiązań zwiększa również ryzyko związane z ICT, przez co całe społeczeństwo – i w szczególności system finansowy – staje się bardziej narażone na cyberzagrożenia lub zakłócenia w funkcjonowaniu ICT. Chociaż powszechne wykorzystanie systemów ICT i wysoki stopień cyfryzacji oraz łączności stanowią obecnie podstawowe cechy wszystkich działań podmiotów finansowych w Unii, stopień uwzględnienia odporności cyfrowej w ich ramach operacyjnych nie jest jeszcze wystarczający.
(2) W ostatnich dziesięcioleciach stosowanie ICT zaczęło odgrywać kluczową rolę w sektorze finansów i obecnie ICT mają zasadnicze znaczenie dla wykonywania typowych codziennych funkcji wszystkich podmiotów finansowych. Cyfryzacja obejmuje na przykład płatności, które w coraz większym stopniu przechodzą z metod gotówkowych i papierowych na rzecz stosowania rozwiązań cyfrowych, a także rozliczanie i rozrachunek papierów wartościowych, handel elektroniczny i algorytmiczny, operacje udzielania pożyczek i finansowania, finansowanie „peer to peer”, rating kredytowy, ▌obsługę roszczeń i operacje działów zaplecza. Sektor ubezpieczeń również uległ przeobrażeniom dzięki wykorzystaniu ICT, czego przykładem jest pojawienie się cyfrowych pośredników ubezpieczeniowych działających przy pomocy technologii ubezpieczeniowej (InsurTech) oraz zawieranie ubezpieczeń i dystrybucja umów w formie cyfrowej. Finanse nie tylko stały się w dużej mierze cyfrowe w całym sektorze, ale cyfryzacja wzmocniła również wzajemne połączenia i zależności w ramach sektora finansowego oraz z infrastrukturą zewnętrzną i zewnętrznymi dostawcami usług.
(3) W sprawozdaniu z 2020 r. dotyczącym systemowego ryzyka w cyberprzestrzeni[4] Europejska Rada ds. Ryzyka Systemowego (ERRS) potwierdziła, że istniejący wysoki poziom wzajemnych powiązań między podmiotami finansowymi, rynkami finansowymi i infrastrukturami rynku finansowego, a w szczególności wzajemne zależności między ich systemami ICT mogą potencjalnie stanowić słabą stronę o charakterze systemowym, ponieważ lokalne cyberincydenty mogłyby szybko rozprzestrzenić się z każdego z około 22 000 unijnych podmiotów finansowych[5] na cały system finansowy nieograniczony granicami geograficznymi. Poważne naruszenia związane z ICT występujące w sektorze finansów nie dotyczą wyłącznie podmiotów finansowych postrzeganych osobno. Naruszenia te zwiększają również ryzyko rozpowszechnienia lokalnych słabych stron we wszystkich kanałach transmisji finansowej oraz potencjalnie wywołują niekorzystne konsekwencje dla stabilności unijnego systemu finansowego, powodując utratę płynności i ogólną utratę pewności i zaufania w odniesieniu do rynków finansowych.
(4) W ostatnich latach ryzyko związane z ICT przyciągnęło uwagę krajowych, europejskich i międzynarodowych decydentów, organów regulacyjnych i podmiotów normalizacyjnych, które starają się zwiększyć odporność, określić standardy i koordynować prace regulacyjne lub nadzorcze w tym zakresie. Na szczeblu międzynarodowym Bazylejski Komitet Nadzoru Bankowego, Komitet ds. Systemów Płatności i Rozrachunku, Rada Stabilności Finansowej, Instytut Stabilności Finansowej, a także grupy krajów G-7 i G-20 dążą do zapewnienia właściwym organom i podmiotom gospodarczym z różnych jurysdykcji narzędzi mających na celu wzmocnienie odporności ich systemów finansowych. W związku z tym konieczne jest uwzględnienie ryzyka związanego z ICT w kontekście ściśle połączonego wzajemnie globalnego systemu finansowego, w którym należy nadać priorytet spójności międzynarodowych regulacji i współpracy między właściwymi organami na całym świecie.
(5) Pomimo krajowych i europejskich ukierunkowanych polityk i inicjatyw ustawodawczych ryzyko związane z ICT nadal stanowi wyzwanie dla odporności operacyjnej, wydajności i stabilności unijnego systemu finansowego. Reforma, którą przeprowadzono po kryzysie finansowym z 2008 r., doprowadziła przede wszystkim do wzmocnienia odporności finansowej unijnego sektora finansowego, a także miała na celu zabezpieczenie konkurencyjności i stabilności Unii z punktu widzenia gospodarki, standardów ostrożnościowych i zachowań rynkowych. Chociaż bezpieczeństwo ICT i odporność cyfrowa są częścią ryzyka operacyjnego, elementy te zajmowały mniej centralne miejsce w agendzie regulacyjnej po kryzysie i zostały opracowane tylko w niektórych obszarach unijnej polityki dotyczącej usług finansowych oraz otoczenia regulacyjnego lub jedynie w niektórych państwach członkowskich.
(6) W Planie działania Komisji w zakresie technologii finansowej z 2018 r.[6] podkreślono kluczowe znaczenie zwiększenia cyberodporności unijnego sektora finansowego również z operacyjnego punktu widzenia, dla zapewnienia jego bezpieczeństwa technologicznego oraz sprawnego funkcjonowania, szybkiego przywracania gotowości do pracy po naruszeniach i incydentach związanych z ICT, umożliwiając ostatecznie skuteczne i sprawne świadczenie usług finansowych w całej Unii, w tym w sytuacjach skrajnych, przy jednoczesnej ochronie konsumenta oraz zaufania i pewności w odniesieniu do rynku.
(7) W kwietniu 2019 r. Europejski Urząd Nadzoru Bankowego (EUNB), Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA) oraz Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA) (nazywane wspólnie „Europejskimi Urzędami Nadzoru”) opublikowały wspólnie dwa zalecenia techniczne, w których wezwały do przyjęcia spójnego podejścia do ryzyka związanego z ICT w sektorze finansów oraz zaleciły wzmocnienie, w sposób proporcjonalny, operacyjnej odporności cyfrowej sektora usług finansowych za pośrednictwem unijnej inicjatywy sektorowej.
(8) Unijny sektor finansowy jest regulowany za pomocą zharmonizowanego jednolitego zbioru przepisów i podlega Europejskiemu Systemowi Nadzoru Finansowego. Przepisy dotyczące operacyjnej odporności cyfrowej i bezpieczeństwa ICT nie zostały jednak jeszcze w pełni lub spójnie zharmonizowane, mimo że operacyjna odporność cyfrowa ma zasadnicze znaczenie dla zapewnienia stabilności finansowej i integralności rynku w epoce cyfrowej i nie jest mniej ważna niż na przykład wspólne standardy ostrożnościowe lub zachowań rynkowych. Należy zatem rozbudować jednolity zbiór przepisów i system nadzoru, tak aby uwzględniały również ten element, poprzez wzmocnienie mandatów organów nadzoru finansowego w zakresie zarządzania ryzykiem ICT w sektorze finansowym, ochrony integralności i efektywności jednolitego rynku oraz ułatwiania jego należytego funkcjonowania.
(9) Rozbieżności legislacyjne i niejednolite krajowe podejścia regulacyjne lub nadzorcze do ryzyka związanego z ICT powodują powstanie przeszkód dla jednolitego rynku usług finansowych, utrudniając sprawne korzystanie ze swobody przedsiębiorczości i swobody świadczenia usług podmiotom finansowym działających w skali transgranicznej. Może zostać również zakłócona konkurencja między tego samego rodzaju podmiotami finansowymi działającymi w różnych państwach członkowskich. Zwłaszcza w przypadku obszarów, w których unijna harmonizacja jest bardzo ograniczona – takich jak testowanie operacyjnej odporności cyfrowej – lub nie istnieje – takich jak monitorowanie ryzyka ze strony zewnętrznych dostawców usług ICT – rozbieżności wynikające ze zmian planowanych na szczeblu krajowym mogłyby spowodować dalsze przeszkody dla funkcjonowania jednolitego rynku ze szkodą dla uczestników rynku i stabilności finansowej.
(10) Dotychczasowe częściowe tylko uwzględnienie przepisów dotyczących ryzyka związanego z ICT na szczeblu Unii świadczy o brakach lub pokrywaniu się działań w ważnych obszarach takich jak zgłaszanie incydentów związanych z ICT i testowanie operacyjnej odporności cyfrowej oraz prowadzi do niespójności wynikających z wprowadzanych rozbieżnych przepisów krajowych lub kosztownego stosowania nakładających się przepisów. Ma to szczególnie szkodliwy wpływ na użytkowników intensywnie wykorzystujących ICT, takich jak sektor finansów, ponieważ ryzyko związane z technologią nie zna granic państwowych, a sektor finansowy wprowadza swoje usługi na szeroką, transgraniczną skalę w Unii i poza nią.
Indywidualne podmioty finansowe prowadzące działalność transgraniczną lub posiadające kilka zezwoleń (np. jeden podmiot finansowy może posiadać zezwolenia na prowadzenie działalności bankowej, jako firma inwestycyjna i jako instytucja płatnicza, przy czym wszystkie z nich mogą być wydane przez różne właściwe organy w jednym lub w kliku państwach członkowskich) stają przed wyzwaniami operacyjnymi przy samodzielnym zwalczaniu ryzyka związanego z ICT oraz łagodzeniu szkodliwych skutków incydentów związanych z ICT w spójny, opłacalny sposób.
(10a) Ustanowienie i utrzymanie odpowiedniej infrastruktury sieci i systemów informatycznych jest również podstawowym warunkiem wstępnym dla skutecznych praktyk agregacji danych o ryzyku i sprawozdawczości w zakresie ryzyka, które z kolei są niezbędnym warunkiem solidnego i zrównoważonego zarządzania ryzykiem oraz procesów decyzyjnych instytucji kredytowych. Bazylejski Komitet Nadzoru Bankowego opublikował w 2013 r. zbiór zasad dotyczących efektywnej agregacji danych o ryzyku i sprawozdawczości w zakresie ryzyka („BCBS 239”), opartych na dwóch nadrzędnych zasadach dotyczących zarządzania i infrastruktury informatycznej, które należy wdrożyć do początku 2016 r. W sprawozdaniu z przeglądu tematycznego na temat efektywnej agregacji danych dotyczących ryzyka i sprawozdawczości w zakresie ryzyka, wydanym w maju 2018 r. przez Europejski Bank Centralny (EBC), oraz w sprawozdaniu z postępów Bazylejskiego Komitetu Nadzoru Bankowego z kwietnia 2020 r. stwierdzono, że postępy we wdrażaniu zasad przez globalne banki o znaczeniu systemowym są niezadowalające i dają powody do obaw. Aby ułatwić zapewnienie zgodności i dostosowanie do standardów międzynarodowych Komisja, w ścisłej współpracy z EBC i po konsultacji z EUNB i ERRS, powinna przygotować sprawozdanie oceniające, w jaki sposób zasady BCBS 239 współgrają z przepisami niniejszego rozporządzenia oraz, w stosownych przypadkach, w jaki sposób zasady te należy włączyć do prawa Unii.
(11) Biorąc pod uwagę, że do jednolitego zbioru przepisów nie dołączono kompleksowych ram dotyczących ICT lub ryzyka operacyjnego, konieczna jest dalsza harmonizacja najważniejszych wymogów w zakresie operacyjnej odporności cyfrowej dla wszystkich podmiotów finansowych. Zdolności i ogólna odporność, jakie – na podstawie takich najważniejszych wymogów – rozwiną podmioty finansowe w celu przetrwania przestojów operacyjnych, przyczyniłyby się do ochrony stabilności i integralności unijnych rynków finansowych, a tym samym do zapewnienia wysokiego poziomu ochrony inwestorów i konsumentów w Unii. Biorąc pod uwagę, że niniejsze rozporządzenie ma na celu przyczynienie się do sprawnego funkcjonowania jednolitego rynku, powinno ono opierać się na przepisach art. 114 TFUE zgodnie z jego wykładnią przyjętą w świetle utrwalonego orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej.
(12) Niniejsze rozporządzenie ma przede wszystkim na celu konsolidację i aktualizację wymogów dotyczących ryzyka związanego z ICT zawartych dotychczas osobno w poszczególnych rozporządzeniach i dyrektywach. Chociaż te unijne akty prawne obejmowały główne kategorie ryzyka finansowego (np. ryzyko kredytowe, ryzyko rynkowe, ryzyko kredytowe kontrahenta i ryzyko płynności, ryzyko związane z zachowaniem rynkowym), nie było możliwości kompleksowego uwzględnienia w nich, w momencie ich przyjęcia, wszystkich elementów odporności operacyjnej. Wymogi dotyczące ryzyka operacyjnego, jeżeli zostały szerzej opracowane w tych unijnych aktach prawnych, często sprzyjały tradycyjnemu ilościowemu podejściu do uwzględniania ryzyka (polegającemu na określeniu wymogu kapitałowego na potrzeby pokrycia ryzyka związanego z ICT), a nie określeniu ukierunkowanych wymogów jakościowych, aby zwiększyć zdolności za pośrednictwem wymogów mających na celu stworzenie zdolności w zakresie ochrony, wykrywania, powstrzymywania, przywracania gotowości do pracy i odbudowy w odniesieniu do incydentów związanych z ICT lub za pośrednictwem określenia zdolności w zakresie udostępniania informacji i testowania cyfrowego. Wspomniane dyrektywy i rozporządzenia miały przede wszystkim obejmować podstawowe przepisy dotyczące nadzoru ostrożnościowego, integralności rynku lub zachowań rynkowych.
W ramach niniejszego działania, które ma na celu konsolidację i aktualizację przepisów w sprawie ryzyka związanego z ICT, wszystkie przepisy dotyczące ryzyka cyfrowego w sektorze finansów zostaną po raz pierwszy zebrane w spójny sposób w jednym akcie ustawodawczym. Niniejsza inicjatywa powinna zatem wypełnić braki lub usunąć niespójności w niektórych z tych aktów prawnych, w tym związane ze stosowaną w nich terminologią, oraz powinna wyraźnie odnosić się do ryzyka związanego z ICT za pośrednictwem ukierunkowanych przepisów w sprawie zdolności w zakresie zarządzania ryzykiem związanym z ICT, udostępniania informacji i testowania oraz monitorowania ryzyka ze strony podmiotów zewnętrznych. Niniejsza inicjatywa ma również na celu zwiększenie świadomości na temat ryzyka związanego z ICT, wychodząc z założenia, że incydenty ICT i brak odporności operacyjnej mogą zagrozić dobrej kondycji finansowej podmiotów finansowych.
(13) Podmioty finansowe powinny przyjąć to samo podejście i stosować się do tych samych, opartych na zasadach przepisach podczas radzenia sobie z ryzykiem związanym z ICT, współmiernie do ich wielkości, charakteru, złożoności i profilu ryzyka. Spójność przyczynia się do wzmocnienia zaufania do systemu finansowego oraz ochrony jego stabilności, zwłaszcza w czasach wysokiej zależności od systemów, platform i infrastruktur ICT, co powoduje większe ryzyko cyfrowe.
Przestrzeganie zasad podstawowej higieny cyberbezpieczeństwa powinno również pozwolić uniknąć obciążania gospodarki znacznymi kosztami dzięki zminimalizowaniu wpływu i kosztów zakłóceń funkcjonowania ICT.
(14) Zastosowanie rozporządzenia sprzyja ograniczeniu złożoności regulacyjnej, wspiera spójność w zakresie nadzoru, zwiększa pewność prawa, przyczyniając się jednocześnie do ograniczenia kosztów przestrzegania przepisów, zwłaszcza dla podmiotów finansowych prowadzących działalność transgraniczną, i zmniejszenia zakłóceń konkurencji. Wybór rozporządzenia na potrzeby ustanowienia wspólnych ram operacyjnej odporności cyfrowej podmiotów finansowych wydaje się zatem najbardziej odpowiednim sposobem zagwarantowania jednolitego i spójnego stosowania wszystkich elementów zarządzania ryzykiem związanym z ICT przez unijny sektor finansowy.
(14a) Wdrożenie niniejszego rozporządzenia nie powinno jednak utrudniać innowacji w odniesieniu do sposobu, w jaki podmioty finansowe radzą sobie z kwestiami operacyjnej odporności cyfrowej przy przestrzeganiu jego przepisów, ani w odniesieniu do oferowanych przez nie usług lub usług oferowanych przez zewnętrznych dostawców usług ICT.
(15) Obecnie poza przepisami w sprawie usług finansowych ogólne ramy cyberbezpieczeństwa na poziomie Unii określa dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148[7]. Siedem sektorów krytycznych, do których dyrektywa ta ma zastosowanie, obejmuje również trzy rodzaje podmiotów finansowych, a mianowicie instytucje kredytowe, systemy obrotu i kontrahentów centralnych. Jednak biorąc pod uwagę, że w dyrektywie (UE) 2016/1148 określono mechanizm identyfikacji na szczeblu krajowym operatorów usług kluczowych, jedynie niektóre instytucje kredytowe i systemy obrotu oraz niektórzy kontrahenci centralni (zidentyfikowane lub zidentyfikowani przez państwa członkowskie) są w praktyce objęci jej zakresem i w związku z tym mają obowiązek spełniać określone w niej wymogi w zakresie bezpieczeństwa ICT i zgłaszania incydentów.
(16) Biorąc pod uwagę, że niniejsze rozporządzenie zwiększa poziom harmonizacji w zakresie elementów odporności cyfrowej dzięki wprowadzeniu wymogów w zakresie zarządzania ryzykiem związanym z ICT i zgłaszania incydentów związanych z ICT, które są bardziej rygorystyczne w porównaniu z wymogami określonymi w obecnych unijnych przepisach w sprawie usług finansowych, zapewnia to zwiększoną harmonizację również w porównaniu z wymogami określonymi w dyrektywie (UE) 2016/1148. W związku z tym w przypadku podmiotów finansowych niniejsze rozporządzenie stanowi lex specialis wobec dyrektywy (UE) 2016/1148.
Utrzymanie silnego związku między sektorem finansowym a unijnymi horyzontalnymi ramami cyberbezpieczeństwa ma zasadnicze znaczenie dla zapewnienia spójności z już przyjętymi przez państwa członkowskie strategiami w zakresie cyberbezpieczeństwa oraz umożliwienia organom nadzoru finansowego uzyskania informacji na temat cyberincydentów wpływających na inne sektory objęte dyrektywą (UE) 2016/1148.
(17) Aby umożliwić międzysektorowy proces uczenia się i skutecznie czerpać z doświadczeń innych sektorów podczas reagowania na cyberzagrożenia, podmioty finansowe, o których mowa w dyrektywie (UE) 2016/1148, powinny pozostać częścią „ekosystemu” tej dyrektywy (np. grupa współpracy NIS i CSIRT).
Europejskie Urzędy Nadzoru i właściwe organy krajowe powinny być w stanie uczestniczyć odpowiednio w dyskusjach na temat strategicznej polityki i technicznych pracach grupy współpracy NIS, wymianach informacji oraz w dalszym ciągu współpracować z pojedynczymi punktami kontaktowymi wyznaczonymi zgodnie z dyrektywą (UE) 2016/1148. Wspólny Organ Nadzoru, wiodące organy nadzorcze i właściwe organy zgodnie z niniejszym rozporządzeniem powinny również prowadzić konsultacje i współpracować z krajowymi CSIRT wyznaczonymi zgodnie z art. 9 dyrektywy (UE) 2016/1148.
Ponadto niniejsze rozporządzenie powinno zapewnić, aby sieć CSIRT ustanowiona dyrektywą (UE) 2016/1148 otrzymywała szczegółowe informacje na temat poważnych incydentów związanych z ICT.
(18) Ważne jest również zapewnienie spójności zarówno z dyrektywą w sprawie europejskiej infrastruktury krytycznej, która jest obecnie poddawana przeglądowi w celu zwiększenia poziomu ochrony i odporności infrastruktur krytycznych na zagrożenia niezwiązane z cyberatakami, jak i z dyrektywą w sprawie odporności podmiotów krytycznych[8], z uwzględnieniem możliwych skutków dla sektora finansowego.
(19) Dostawcy usług w chmurze stanowią jedną z kategorii dostawców usług cyfrowych objętych zakresem stosowania dyrektywy (UE) 2016/1148. W związku z tym podlegają oni nadzorowi ex post sprawowanemu przez organy krajowe wyznaczone zgodnie z tą dyrektywą, który jest ograniczony do wymogów w zakresie bezpieczeństwa ICT i zgłaszania incydentów określonych w tym akcie. Biorąc pod uwagę, że ramy nadzoru ustanowione niniejszym rozporządzeniem mają zastosowanie do wszystkich kluczowych zewnętrznych dostawców usług ICT, w tym dostawców usług w chmurze, jeżeli świadczą oni usługi ICT na rzecz podmiotów finansowych, należy uznać, że stanowią one uzupełnienie nadzoru sprawowanego zgodnie z dyrektywą (UE) 2016/1148, a zarówno merytoryczne, jak i proceduralne wymogi mające zastosowanie do kluczowych zewnętrznych dostawców usług ICT na mocy niniejszego rozporządzenia powinny być konsekwentne i spójne z wymogami określonymi w tej dyrektywie. Ponadto, wobec braku unijnych horyzontalnych ogólnosektorowych ram ustanawiających organ nadzoru cyfrowego, ramy nadzoru ustanowione w niniejszym rozporządzeniu powinny obejmować dostawców usług w chmurze.
(20) Aby zachować pełną kontrolę nad ryzykiem związanym z ICT, podmioty finansowe muszą posiadać kompleksowe umiejętności umożliwiające solidne i skuteczne zarządzanie ryzykiem związanym z ICT, wraz z konkretnymi mechanizmami oraz strategiami dotyczącymi zgłaszania incydentów związanych z ICT, testowania systemów ICT, kontroli i procesów, a także zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT i ryzykiem wewnątrz grupy związanym z ICT. Należy zaostrzyć wymogi dotyczące operacyjnej odporności cyfrowej systemu finansowego, umożliwiając jednocześnie proporcjonalne stosowanie wymogów, z uwzględnieniem ich charakteru, skali, złożoności i ogólnego profilu ryzyka.
(21) Progi i systematyki dotyczące zgłaszania incydentów związanych z ICT różnią się znacznie na szczeblu krajowym. Chociaż płaszczyznę porozumienia można osiągnąć dzięki właściwym pracom podejmowanym przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA)[9] i grupę współpracy NIS na rzecz podmiotów finansowych zgodnie z dyrektywą (UE) 2016/1148, rozbieżne podejścia do progów i systematyki nadal istnieją lub mogą pojawić się w przypadku pozostałych podmiotów finansowych. Wiąże się to z licznymi wymogami, które muszą spełnić podmioty finansowe, zwłaszcza podczas prowadzenia działalności w kilku unijnych jurysdykcjach i w przypadku, gdy są częścią grupy finansowej. Ponadto rozbieżności te mogą utrudniać tworzenie dalszych unijnych jednolitych lub scentralizowanych mechanizmów przyspieszających proces zgłaszania oraz wspierających szybką i sprawną wymianę informacji między właściwymi organami, co ma zasadnicze znacznie dla zwalczenia ryzyka związanego z ICT w przypadku ataków na wielką skalę, które mogą mieć konsekwencje systemowe.
(21a) Aby zmniejszyć obciążenie administracyjne i uniknąć złożoności i powielania wymogów sprawozdawczych dla dostawców usług płatniczych, którzy są objęci zakresem stosowania niniejszego rozporządzenia, wymogi dotyczące zgłaszania incydentów na mocy dyrektywy (UE) 2015/2366 powinny przestać obowiązywać. W związku z tym instytucje kredytowe, instytucje pieniądza elektronicznego i instytucje płatnicze powinny zgłaszać na mocy niniejszego rozporządzenia wszystkie incydenty operacyjne lub incydenty bezpieczeństwa związane z płatnościami i niezwiązane z płatnościami, które wcześniej zgłaszano na mocy dyrektywy (UE) 2015/2366, niezależnie od tego, czy incydenty te odnoszą się do ICT, czy też nie.
(22) Aby umożliwić właściwym organom wykonywanie ich zadań nadzorczych poprzez uzyskanie pełnego przeglądu charakteru, częstotliwości, znaczenia i skutków incydentów związanych z ICT oraz aby wzmocnić wymianę informacji między właściwymi organami publicznymi, w tym organami ścigania i organami ds. restrukturyzacji i uporządkowanej likwidacji, konieczne jest ustanowienie przepisów w celu stworzenia solidnego systemu zgłaszania incydentów związanych z ICT przewidującego wymogi, które eliminują luki w przepisach dotyczących sektora usług finansowych, oraz zniesienie wszelkich istniejących pokrywających się i dublujących się przepisów w celu obniżenia kosztów. W związku z tym zasadnicze znaczenie ma harmonizacja systemu zgłaszania incydentów związanych z ICT poprzez zobowiązanie wszystkich podmiotów finansowych do zgłaszania ich ▌właściwym organom za pomocą jednolitych usprawnionych ram określonych w niniejszym rozporządzeniu. Ponadto należy przyznać Europejskim Urzędom Nadzoru uprawnienia do doprecyzowania elementów zgłaszania incydentów związanych z ICT takich jak systematyka, ramy czasowe, zbiory danych, wzory i obowiązujące progi.
(23) Wymogi w zakresie testowania operacyjnej odporności cyfrowej opracowano w niektórych podsektorach finansowych w ramach kilku czasem nieskoordynowanych ram krajowych, w których poruszono te same kwestie w różny sposób. Prowadzi to do dublowania kosztów transgranicznych podmiotów finansowych i może utrudniać wzajemne uznawanie wyników. Nieskoordynowane testowanie może zatem dzielić jednolity rynek.
(24) Ponadto w przypadku braku wymogu testowania luki pozostają niewykryte, co naraża podmiot finansowy, a w ostatecznym rozrachunku również stabilność i integralność całego sektora finansowego, na większe ryzyko. Bez interwencji Unii testowanie operacyjnej odporności cyfrowej pozostałoby niepełne i nie istniałoby wzajemne uznawanie wyników testowania między różnymi jurysdykcjami. Ponadto, biorąc pod uwagę, że prawdopodobieństwo, że inne podsektory finansowe przyjęłyby takie systemy na szeroką skalę, jest niewielkie, ominęłyby je potencjalne korzyści, takie jak ujawnianie luk i zagrożeń, testowanie zdolności obronnych i ciągłości działania oraz większe zaufanie konsumentów, dostawców i partnerów biznesowych. Aby zlikwidować takie pokrywające się przepisy oraz rozbieżności i luki w przepisach, należy wprowadzić przepisy mające na celu skoordynowane testowanie przez podmioty finansowe oraz właściwe organy, ułatwiając tym samym wzajemne uznawanie zaawansowanego testowania w odniesieniu do znaczących podmiotów finansowych.
(25) Zależność podmiotów finansowych od usług ICT wynika częściowo z ich potrzeby dostosowania się do powstającej konkurencyjnej globalnej gospodarki cyfrowej, zwiększenia skuteczności ich działalności oraz zaspokojenia potrzeb konsumentów. Charakter i zakres takiej zależności stale zmieniał się w ostatnich latach, co przyczyniło się do obniżenia kosztów pośrednictwa finansowego, umożliwienia rozszerzania działalności i skalowalności w ramach prowadzenia działalności finansowej, przy jednoczesnym zapewnieniu szerokiego zakresu narzędzi ICT służących zarządzaniu złożonymi procesami wewnętrznymi.
(26) O intensywnym korzystaniu z usług ICT świadczą złożone ustalenia umowne, przy czym podmioty finansowe często napotykają trudności podczas negocjacji warunków umownych, które byłyby dostosowane do standardów ostrożnościowych lub innych wymogów regulacyjnych, którym podlegają, lub podczas innego rodzaju egzekwowania konkretnych praw, takich jak prawa dostępu lub prawa do audytu, jeżeli prawa te są zapisane w umowach. Ponadto w wielu takich umowach nie przewidziano wystarczających gwarancji umożliwiających pełnoprawne monitorowanie procesów podwykonawstwa, pozbawiając tym samym podmiot finansowy możliwości oceny powiązanych zagrożeń. Ponadto biorąc pod uwagę, że zewnętrzni dostawcy usług ICT często świadczą znormalizowane usługi na rzecz różnego rodzaju klientów, takie umowy mogą nie zawsze odpowiednio uwzględniać indywidualne lub szczególne potrzeby podmiotów sektora finansowego.
(27) Pomimo kilku ogólnych przepisów dotyczących outsourcingu zawartych w niektórych unijnych aktach prawnych dotyczących usług finansowych monitorowanie wymiaru umownego nie jest w pełni zakorzenione w unijnym prawodawstwie. Z uwagi na brak wyraźnych i dostosowanych do potrzeb standardów unijnych, które miałyby zastosowanie do ustaleń umownych zawieranych z zewnętrznymi dostawcami usług ICT, nie można kompleksowo uwzględnić zewnętrznego źródła ryzyka związanego z ICT. W związku z tym konieczne jest określenie pewnych najważniejszych zasad mających wyznaczać kierunek zarządzania przez podmioty finansowe ryzykiem ze strony zewnętrznych dostawców usług ICT, którym towarzyszyć będzie zestaw podstawowych praw umownych związanych z kilkoma elementami związanymi z wykonywaniem i rozwiązywaniem umów w celu zapisania pewnych minimalnych gwarancji stanowiących podstawę zdolności podmiotów finansowych do skutecznego monitorowania wszystkich zagrożeń powstających na poziomie zewnętrznego dostawcy usług ICT.
(28) Brakuje jednorodności i spójności w zakresie ryzyka związanego z zewnętrznymi dostawcami usług ICT oraz zależnością od zewnętrznych dostawców usług ICT. Pomimo pewnych starań na rzecz uwzględnienia obszaru outsourcingu, między innymi w postaci zaleceń z 2017 r. w sprawie outsourcingu zlecanego dostawcom usług w chmurze[10], kwestii ryzyka systemowego, które może powstać w wyniku kontaktu sektora finansowego z ograniczoną liczbą kluczowych zewnętrznych dostawców usług ICT, poświęcono w unijnych przepisach niewielką uwagę. Ten brak odniesienia do tej kwestii na szczeblu unijnym jest spotęgowany brakiem konkretnych kompetencji i narzędzi umożliwiających krajowym organom nadzoru osiągnięcie właściwego zrozumienia zależności od zewnętrznych dostawców usług ICT i odpowiednie monitorowanie zagrożeń wynikających z koncentracji takich zależności od zewnętrznych dostawców usług ICT.
(29) Biorąc pod uwagę potencjalne ryzyko systemowe spowodowane rozpowszechnieniem się praktyk dotyczących outsourcingu oraz koncentracją zewnętrznych dostawców usług ICT, a także mając na uwadze niewystarczający charakter krajowych mechanizmów umożliwiających organom nadzoru finansowego określanie ilościowo i jakościowo konsekwencji ryzyka związanego z ICT występującego u kluczowych zewnętrznych dostawców usług ICT, a także łagodzenie tych konsekwencji, konieczne jest ustanowienie odpowiednich unijnych ram nadzoru umożliwiających stałe monitorowanie działań zewnętrznych dostawców usług ICT, którzy świadczą kluczowe usługi dla podmiotów finansowych. Ponieważ wewnątrzgrupowe świadczenie usług ICT nie wiąże się z takim samym ryzykiem, dostawców usług ICT, którzy są częścią tej samej grupy lub instytucjonalnego systemu ochrony, nie należy definiować jako kluczowych zewnętrznych dostawców usług ICT.
(30) Biorąc pod uwagę, że zagrożenia związane z ICT stają się bardziej złożone i zaawansowane, odpowiednie środki wykrywania i zapobiegania zależą w dużej mierze od regularnej wymiany danych wywiadowczych na temat zagrożeń i luk między podmiotami finansowymi. Wymiana informacji przyczynia się do większej świadomości na temat cyberzagrożeń, co z kolei wzmacnia zdolność podmiotów finansowych do zapobiegania urzeczywistnieniu się zagrożeń oraz umożliwia podmiotom finansowym skuteczniejsze ograniczanie skutków incydentów związanych z ICT oraz sprawniejsze przywracanie gotowości. Wydaje się, że wobec braku wytycznych na szczeblu unijnym szereg czynników ogranicza taką wymianę danych wywiadowczych, zwłaszcza niepewność co do zgodności z ochroną danych osobowych, przepisami antymonopolowymi i zasadami dotyczącymi odpowiedzialności. Ważne jest zatem wzmocnienie ustaleń dotyczących współpracy i sprawozdawczości między podmiotami finansowymi i właściwymi organami, a także dzielenia się informacjami z opinią publiczną, aby opracować otwarte ramy wymiany informacji i podejście zakładające uwzględnianie bezpieczeństwa już w fazie projektowania, co ma zasadnicze znaczenie dla zwiększenia odporności operacyjnej i gotowości sektora finansowego na ryzyko związane z ICT. W ustaleniach dotyczących dzielenia się informacjami należy zawsze odpowiednio brać pod uwagę potencjalne zagrożenia związane z cyberbezpieczeństwem, ochroną danych lub tajemnicą handlową.
(31) Ponadto obawy dotyczące rodzaju informacji, które można udostępnić innym uczestnikom rynku lub organom innym niż organy nadzoru (takim jak ENISA – w przypadku wkładu analitycznego, lub Europol – w odniesieniu do celów egzekwowania prawa), skutkują wstrzymaniem przekazywania przydatnych informacji. Zakres i jakość wymiany informacji pozostają ograniczone i podzielone, a istotne wymiany przeprowadzane są w większości lokalnie (za pośrednictwem inicjatyw krajowych) oraz bez żadnych spójnych ogólnounijnych ustaleń w zakresie wymiany informacji dostosowanych do potrzeb zintegrowanego sektora finansowego. Ważne jest zatem wzmacnianie tych kanałów komunikacji i, w razie potrzeby i w stosownych przypadkach, uzyskiwanie informacji od organów niebędących organami nadzorczymi przez cały cykl nadzorczy.
(32) Należy także zachęcać podmioty finansowe do wspólnego wykorzystywania ich indywidualnej wiedzy i praktycznego doświadczenia na szczeblu strategicznym, taktycznym i operacyjnym w celu wzmocnienia ich zdolności w zakresie odpowiedniego oceniania i monitorowania cyberzagrożeń, obrony przed cyberzagrożeniami i reagowania na cyberzagrożenia. W związku z tym konieczne jest umożliwienie powstania na szczeblu Unii mechanizmów ustaleń dotyczących dobrowolnej wymiany informacji, które – pod warunkiem wdrożenia w zaufanych środowiskach – pomogłyby społeczności finansowej zapobiegać zagrożeniom i wspólnie na nie reagować dzięki szybkiemu ograniczeniu rozpowszechnienia ryzyka związanego z ICT i utrudnieniu wystąpienia potencjalnego efektu domina we wszystkich kanałach finansowych. Mechanizmy te powinno się stosować w pełnej zgodności z mającymi zastosowanie unijnymi przepisami prawa konkurencji[11], a także w sposób gwarantujący pełną zgodność z unijnymi przepisami o ochronie danych, głównie rozporządzeniem (UE) 2016/679 Parlamentu Europejskiego i Rady[12], w szczególności w kontekście przetwarzania danych osobowych, które jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, o czym jest mowa w art. 6 ust. 1 lit. f) tego rozporządzenia.
(33) Niezależnie od szerokiego zakresu stosowania przewidzianego w niniejszym rozporządzeniu, stosując zasady dotyczące operacyjnej odporności cyfrowej, w tym wymogi ram zarządzania ryzykiem, należy uwzględniać istotne różnice między podmiotami finansowymi pod względem wielkości, charakteru, złożoności i profilu ryzyka. Co do zasady, ukierunkowując zasoby i zdolności na wdrażanie ram zarządzania ryzykiem w zakresie ryzyka związanego z ICT, podmioty finansowe powinny odpowiednio dostosować swoje potrzeby w obszarze ICT do swojej wielkości, charakteru, złożoności, profilu działalności i profilu względnego ryzyka, natomiast właściwe organy powinny nadal oceniać i weryfikować podejście do takiego podziału.
(34) Ponieważ większe podmioty finansowe mogą korzystać z większych zasobów i są w stanie szybko przeznaczyć fundusze na opracowanie struktur zarządzania i stworzenie szeregu strategii korporacyjnych, wyłącznie od podmiotów finansowych, które nie są mikroprzedsiębiorstwami w rozumieniu niniejszego rozporządzenia, powinno wymagać się tworzenia bardziej złożonych rozwiązań w zakresie zarządzania. Podmioty takie są lepiej przygotowane w szczególności do ustanowienia specjalnych stanowisk w strukturach zarządzania w celu nadzorowania ustaleń umownych z zewnętrznymi dostawcami usług ICT lub w celu zarządzania kryzysowego, organizowania zarządzania w zakresie ryzyka związanego z ICT zgodnie z modelem trzech linii obrony lub do przyjęcia dokumentu dotyczącego zasobów ludzkich, który kompleksowo objaśniałby politykę w zakresie praw dostępu.
Z tego samego powodu tylko od takich podmiotów finansowych powinno wymagać się przeprowadzania dogłębnych ocen po istotnych zmianach w infrastrukturze sieci i systemów informatycznych oraz powiązanych procedurach, do regularnego przeprowadzania analiz ryzyka w odniesieniu do starszych wersji systemów ICT lub do rozszerzenia zakresu testowania ciągłości działania oraz planów reagowania i przywrócenia gotowości do pracy w celu uwzględnienia scenariuszy pracy awaryjnej obejmujących przełączanie się z podstawowej infrastruktury ICT na urządzenia redundantne.
(35) Co więcej, ponieważ jedynie od tych podmiotów finansowych, które uznano za znaczące do celów zaawansowanego testowania odporności cyfrowej, powinno wymagać się przeprowadzenia testów penetracyjnych pod kątem wyszukiwania zagrożeń, procesy administracyjne i koszty finansowe związane z przeprowadzeniem takich testów powinny zostać przeniesione na niewielki odsetek podmiotów finansowych. Ponadto w celu zmniejszenia obciążeń regulacyjnych tylko podmioty finansowe niebędące mikroprzedsiębiorstwami powinny być proszone o regularne zgłaszanie właściwym organom wszystkich szacunkowych kosztów i strat spowodowanych znacznymi zakłóceniami w funkcjonowaniu ICT i poważnymi incydentami związanymi z ICT oraz wyników przeglądów powypadkowych dokonanych w następstwie takich zakłóceń w funkcjonowaniu ICT.
(36) Aby zapewnić pełną zgodność i ogólną spójność między strategiami biznesowymi poszczególnych podmiotów finansowych a zarządzaniem ryzykiem związanym z ICT, należy zobowiązać organ zarządzający do utrzymania kluczowej i aktywnej roli w kierowaniu i dostosowywaniu ram zarządzania ryzykiem związanym z ICT oraz ogólnej strategii w zakresie odporności cyfrowej. W podejściu, które przyjmie organ zarządzający, należy nie tylko skoncentrować się na środkach zapewniających odporność systemów ICT, ale także uwzględnić ludzi i procesy poprzez zestaw polityk, w których na każdym szczeblu struktury korporacyjnej i w odniesieniu do wszystkich pracowników buduje się świadomość czynników ryzyka w cyberprzestrzeni i zaangażowanie na rzecz ścisłego przestrzegania zasad w zakresie higieny cyberbezpieczeństwa na wszystkich szczeblach.
Ostateczna odpowiedzialność organu zarządzającego za zarządzanie w zakresie ryzyka związanego z ICT podmiotu finansowego powinna stanowić nadrzędną zasadę w tym kompleksowym podejściu, przekładającą się dodatkowo na ciągłe zaangażowanie organu zarządzającego w kontrolę monitorowania zarządzania w zakresie ryzyka związanego z ICT.
(37) Ponadto pełna rozliczalność organu zarządzającego idzie w parze z zabezpieczeniem poziomu inwestycji w ICT oraz ogólnego budżetu ICT podmiotu finansowego, tak aby mógł on osiągnąć swój podstawowy poziom operacyjnej odporności cyfrowej.
(38) W niniejszym rozporządzeniu, inspirowanym odpowiednimi międzynarodowymi, krajowymi i branżowymi normami, wytycznymi, zaleceniami lub podejściami w zakresie zarządzania ryzykiem w cyberprzestrzeni[13], promuje się zestaw funkcji ułatwiających ustanowienie ogólnej struktury zarządzania ryzykiem związanym z ICT. Dopóki główne funkcjonalności, jakie wdrażają podmioty finansowe, spełniają potrzeby w zakresie celów przewidzianych w funkcjach (identyfikacja, ochrona i zapobieganie, wykrywanie, reagowanie i przywrócenie gotowości do pracy, uczenie się i rozwój oraz komunikacja) określonych w niniejszym rozporządzeniu, podmioty finansowe zachowują swobodę korzystania z modeli zarządzania ryzykiem związanym z ICT, dla których opracowano inne ramy lub kategorie.
(39) Aby nadążyć za zmieniającym się krajobrazem cyberzagrożeń, podmioty finansowe powinny na bieżąco aktualizować systemy ICT, które muszą być niezawodne i posiadać wystarczającą zdolność nie tylko do zagwarantowania przetwarzania danych, które jest niezbędne do świadczenia ich usług, ale również do zapewnienia odporności technologicznej pozwalającej podmiotom finansowym na odpowiednie zaspokajanie dodatkowych potrzeb w zakresie przetwarzania danych, jakie mogą wynikać z trudnych warunków rynkowych lub innych niekorzystnych sytuacji. Niniejsze rozporządzenie nie pociąga za sobą żadnej normalizacji określonych systemów, narzędzi lub technologii ICT, lecz opiera się na odpowiednim stosowaniu przez podmioty finansowe europejskich i uznanych na szczeblu międzynarodowym norm technicznych (np. ISO) lub najlepszych praktyk branżowych, o ile takie stosowanie jest w pełni zgodne ze szczególnymi instrukcjami w zakresie nadzoru dotyczącymi stosowania i włączania norm międzynarodowych.
(40) Aby umożliwić podmiotom finansowym szybkie i sprawne rozwiązywanie incydentów związanych z ICT, w szczególności cyberataków, poprzez ograniczenie szkód i priorytetowe traktowanie wznowienia działalności i działań naprawczych, konieczne jest opracowanie skutecznych planów ciągłości działania i planów przywrócenia gotowości do pracy, biorąc pod uwagę, czy dana funkcja jest kluczowa czy ważna. Chociaż systemy kopii zapasowych powinny rozpocząć przetwarzanie bez zbędnej zwłoki, ich uruchomienie nie powinno jednak w żaden sposób zagrażać integralności i bezpieczeństwu sieci i systemów informatycznych lub poufności danych.
(41) Podczas gdy niniejsze rozporządzenie pozwala podmiotom finansowym na określenie w sposób elastyczny zakładanego czasu wznowienia funkcji, a tym samym na wyznaczanie go poprzez pełne uwzględnienie charakteru i krytyczności danej funkcji oraz wszelkich szczególnych potrzeb biznesowych, przy określaniu zakładanego czasu wznowienia funkcji należy również wymagać oceny potencjalnego ogólnego wpływu na efektywność rynku.
(42) Poważne konsekwencje cyberataków nasilają się, gdy dochodzi do nich w sektorze finansowym, który jest obszarem o wiele bardziej narażonym na to, że stanie się celem złośliwych propagatorów dążących do osiągnięcia zysków finansowych bezpośrednio u źródła. Aby ograniczyć takie ryzyko i zapobiec niedostępności lub utracie integralności systemów ICT oraz naruszeniu poufnych danych lub uszkodzeniu fizycznej infrastruktury ICT, należy znacznie usprawnić procedurę zgłaszania przez podmioty finansowe poważnych incydentów związanych z ICT.
Udostępnianie informacji w zakresie incydentów związanych z ICT powinno być ujednolicone w odniesieniu do wszystkich podmiotów finansowych poprzez nałożenie na nie obowiązku zgłaszania ich wyłącznie właściwym dla nich właściwym organom. Chociaż takie udostępnianie informacji obejmowałoby wszystkie podmioty finansowe, nie powinno ono obejmować wszystkich w ten sam sposób, ponieważ odpowiednie progi w zakresie istotności i ramy czasowe powinny być skalibrowane w taki sposób, aby uwzględniać jedynie poważne incydenty związane z ICT. Bezpośrednie udostępnianie informacji umożliwiłoby organom sprawującym nadzór finansowy dostęp do informacji na temat incydentów związanych z ICT. Niemniej jednak organy sprawujące nadzór finansowy powinny przekazywać te informacje niefinansowym organom publicznym (właściwym organom ds. bezpieczeństwa sieci i informacji, krajowym organom ochrony danych i organom ścigania w przypadku zdarzeń o charakterze przestępczym). Informacje na temat incydentów związanych z ICT powinny być wzajemnie przekazywane: organy sprawujące nadzór finansowy powinny przekazywać podmiotowi finansowemu wszelkie niezbędne informacje zwrotne lub wytyczne, natomiast Europejskie Urzędy Nadzoru powinny udostępniać zanonimizowane dane na temat zagrożeń i luk związanych z danym zdarzeniem, aby wspomóc szerzej pojętą zbiorową obronę.
(43) Należy rozważyć ewentualną centralizację zgłoszeń dotyczących incydentów związanych z ICT za pomocą jednego centralnego unijnego punktu zgłaszania poważnych incydentów związanych z ICT, który odpowiednie zgłoszenia otrzymywałby bezpośrednio i automatycznie powiadamiał właściwe organy krajowe albo służyłby jedynie jako centralne miejsce do przekazywania zgłoszeń przez właściwe organy krajowe i pełniłby funkcję koordynującą. Europejskie Urzędy Nadzoru powinny być zobowiązane do przygotowania, w porozumieniu z EBC i ENISA, w określonym terminie, wspólnego sprawozdania badającego możliwość ustanowienia takiego centralnego unijnego węzła informacyjnego.
(44) W celu osiągnięcia solidnej operacyjnej odporności cyfrowej oraz zgodnie z normami międzynarodowymi (np. określonymi przez G-7 podstawowymi elementami dotyczącymi testów penetracyjnych pod kątem wyszukiwania zagrożeń) podmioty finansowe, które nie są mikroprzedsiębiorstwami, powinny regularnie testować swoje systemy ICT i personel pracujący z ICT pod kątem skuteczności ich zdolności w zakresie zapobiegania, wykrywania, reagowania i przywrócenia gotowości do pracy, aby wykrywać i eliminować potencjalne luki w obszarze ICT. Aby uwzględnić różnice między podsektorami finansowymi i w ramach tych podsektorów w zakresie gotowości podmiotów finansowych do reagowania w obszarze cyberbezpieczeństwa, testy powinny obejmować szeroki zakres narzędzi i działań, począwszy od oceny podstawowych wymogów (np. oceny narażenia i skanowanie pod tym kątem, analizy otwartego oprogramowania, oceny bezpieczeństwa sieci, analizy braków, fizyczne kontrole bezpieczeństwa, kwestionariusze i rozwiązania w zakresie oprogramowania skanującego, w miarę możliwości przeglądy kodu źródłowego, testy scenariuszowe, testy kompatybilności, testy wydajności lub testy typu „end-to-end”), aż po bardziej zaawansowane testy (np. testy penetracyjne pod kątem wyszukiwania zagrożeń w przypadku podmiotów finansowych wystarczająco zaawansowanych z punktu widzenia ICT, aby były w stanie przeprowadzić takie testy). Test operacyjnej odporności cyfrowej powinien być zatem bardziej wymagający dla znaczących podmiotów finansowych (takich jak duże instytucje kredytowe, giełdy papierów wartościowych, centralne depozyty papierów wartościowych, kontrahenci centralni itp.). Jednocześnie test operacyjnej odporności cyfrowej powinien także mieć większe znaczenie w przypadku niektórych podsektorów odgrywających kluczową rolę systemową (np. płatności, bankowość, systemy rozliczeń i rozrachunku), a mniejsze w przypadku innych (np. podmiotów zarządzających aktywami, agencji ratingowych itp.). Transgraniczne podmioty finansowe korzystające ze swobody przedsiębiorczości lub świadczenia usług w Unii powinny spełniać jeden zestaw wymogów w zakresie zaawansowanych testów (np. testów penetracyjnych pod kątem wyszukiwania zagrożeń) w swoim macierzystym państwie członkowskim, a test ten powinien obejmować infrastrukturę ICT we wszystkich jurysdykcjach, w których grupa transgraniczna prowadzi działalność w Unii, co pozwoli grupom transgranicznym ponosić koszty przeprowadzenia testów tylko w jednej jurysdykcji. Ponadto w celu zacieśnienia współpracy z zaufanymi państwami trzecimi w dziedzinie odporności podmiotów finansowych Komisja i właściwe organy powinny dążyć do ustanowienia ram wzajemnego uznawania wyników testów penetracyjnych pod kątem wyszukiwania zagrożeń.
Państwa członkowskie powinny wyznaczyć specjalny organ publiczny odpowiedzialny za testy penetracyjne pod kątem wyszukiwania zagrożeń w sektorze finansowym na szczeblu krajowym. Tym specjalnym organem publicznym może być na przykład właściwy organ krajowy lub organ publiczny wyznaczony zgodnie z art. 8 dyrektywy (UE) 2016/1148 (dyrektywa w sprawie bezpieczeństwa sieci i informacji). Specjalny organ publiczny powinien odpowiadać za wydawanie potwierdzeń, że test penetracyjny pod kątem wyszukiwania zagrożeń przeprowadzono zgodnie z wymogami. Takie potwierdzenia powinny ułatwić wzajemne uznawanie testów przez właściwe organy.
Niektóre podmioty finansowe mają możliwość przeprowadzania wewnętrznych zaawansowanych testów, podczas gdy inne będą zlecać testy podmiotom zewnętrznym z Unii lub z państwa trzeciego. W związku z tym ważne jest, aby wszyscy testerzy podlegali tym samym jasnym wymogom. Aby zapewnić niezależność testerów wewnętrznych, ich wykorzystanie powinno podlegać zatwierdzeniu przez właściwy organ.
Metodologia testów penetracyjnych pod kątem wyszukiwania zagrożeń nie powinna być narzucana, należy jednak uznać, że stosowanie istniejących zasad ramowych dotyczących autoryzowanych ataków opartych o analizę zagrożeń (TIBER-EU) jest zgodne z wymogami określonymi w niniejszym rozporządzeniu dla testów penetracyjnych pod kątem wyszukiwania zagrożeń.
Do czasu wejścia w życie niniejszego rozporządzenia oraz opracowania i przyjęcia przez Europejskie Urzędy Nadzoru obowiązkowych regulacyjnych standardów technicznych w odniesieniu do testów penetracyjnych pod kątem wyszukiwania zagrożeń podmioty finansowe powinny stosować się do odpowiednich unijnych wytycznych i przepisów mających zastosowanie do testów penetracyjnych opartych na analizie zagrożeń, ponieważ będą one nadal obowiązywać po wejściu w życie niniejszego rozporządzenia.
(44a) Odpowiedzialność za przeprowadzanie testów penetracyjnych pod kątem wyszukiwania zagrożeń oraz za ogólne zarządzanie cyberbezpieczeństwem i zapobieganie cyberatakom powinna w pełni spoczywać na podmiocie finansowym, a potwierdzenia wydawane przez organy powinny służyć wyłącznie do celów wzajemnego uznawania i nie powinny wykluczać podejmowania jakichkolwiek działań następczych w odniesieniu do poziomu ryzyka związanego z ICT, na które narażony jest podmiot finansowy, ani być postrzegane jako zatwierdzenie jego zdolności w zakresie zarządzania ryzykiem związanym z ICT i jego ograniczania.
(45) Aby zapewnić należyte monitorowanie ryzyka ze strony zewnętrznych dostawców usług ICT, konieczne jest ustanowienie zbioru opartych na zasadach przepisów regulujących monitorowanie przez podmioty finansowe ryzyka występującego w kontekście funkcji zlecanych zewnętrznym dostawcom usług ICT, zwłaszcza w odniesieniu do wypełniania kluczowych lub ważnych funkcji przez zewnętrznych dostawców usług ICT, oraz, w bardziej ogólnym zakresie, w kontekście zależności pod względem ICT od osób trzecich.
(46) Podmiot finansowy powinien przez cały czas ponosić pełną odpowiedzialność za wypełnianie obowiązków wynikających z niniejszego rozporządzenia. Proporcjonalne monitorowanie zagrożeń występujących na poziomie zewnętrznego dostawcy usług ICT należy zorganizować tak, aby odpowiednio uwzględnić charakter, skalę, złożoność i znaczenie zależności w zakresie ICT, krytyczność lub znaczenie usług, procesów lub funkcji objętych ustaleniami umownymi, a ostatecznie na podstawie starannej oceny jakiegokolwiek potencjalnego wpływu na ciągłość i jakość usług finansowych na szczeblu indywidualnym i grupowym, w zależności od przypadku, a także to, czy usługi ICT świadczone są przez dostawcę wewnątrz grupy, czy też dostawcę zewnętrznego.
(47) Takie monitorowanie należy prowadzić zgodnie ze strategicznym podejściem do ryzyka ze strony zewnętrznych dostawców usług ICT sformalizowanym poprzez przyjęcie przez organ zarządzający podmiotu finansowego specjalnej strategii, opartej na ciągłym badaniu wszystkich takich zależności w zakresie ICT od osób trzecich. Aby zwiększyć świadomość organów sprawujących nadzór co do zależności w zakresie ICT od osób trzecich, a także w celu dalszego wspierania ram dotyczących nadzoru ustanowionych w niniejszym rozporządzeniu, organy sprawujące nadzór powinny regularnie otrzymywać istotne informacje z rejestrów i powinny mieć możliwość żądania wyciągów z tych rejestrów na zasadzie ad hoc.
(48) Gruntowna analiza poprzedzająca zawarcie umowy powinna mieć miejsce przed formalnym dokonaniem ustaleń umownych oraz stanowić ich podstawę, natomiast środki naprawcze, które mogą obejmować częściowe lub całkowitewypowiedzenie umowy, powinny być podejmowane w przypadku zaistnienia co najmniej szeregu okoliczności wskazujących na poważne braki po stronie zewnętrznego dostawcy usług ICT.
(49) Aby zaradzić skutkom systemowym koncentracji ryzyka ze strony osób trzecich w obszarze ICT, należy promować zrównoważone rozwiązania poprzez elastyczne i stopniowe podejście, ponieważ sztywne limity lub ścisłe ograniczenia mogą utrudniać prowadzenie działalności gospodarczej i swobodę zawierania umów. Podmioty finansowe powinny dokładnie oceniać ustalenia umowne w celu określenia prawdopodobieństwa wystąpienia takiego ryzyka, w tym poprzez dogłębną analizę ustaleń dotyczących podoutsourcingu▐. Na tym etapie oraz w celu osiągnięcia odpowiedniej równowagi między koniecznością zachowania swobody zawierania umów a koniecznością zagwarantowania stabilności finansowej, nie uważa się za właściwe wprowadzenia sztywnych limitów i ograniczeń dotyczących ekspozycji wobec osób trzecich w obszarze ICT. Wspólny Organ Nadzoru, sprawujący nadzór nad każdym z kluczowych zewnętrznych dostawców usług ICT, oraz europejski urząd nadzoru wyznaczony do sprawowania bieżącego nadzoru („wiodący organ nadzorczy”) podczas wykonywania zadań w zakresie nadzoru powinny zwrócić szczególną uwagę na pełne zrozumienie skali wzajemnych zależności i wykrycie konkretnych przypadków, w których wysoki poziom koncentracji kluczowych zewnętrznych dostawców usług ICT w Unii może stanowić zagrożenie dla stabilności i integralności systemu finansowego Unii, a także powinny zapewnić dialog z kluczowymi zewnętrznymi dostawcami usług ICT w przypadku stwierdzenia takiego zagrożenia[14].
(50) Aby móc regularnie oceniać i monitorować zdolność zewnętrznego dostawcy usług ICT do bezpiecznego świadczenia usług na rzecz podmiotu finansowego bez negatywnego wpływu na odporność tego podmiotu, należy ujednolicić kluczowe elementy umowne w trakcie realizacji umów z zewnętrznymi dostawcami usług ICT. Elementy te obejmują jedynie minimum aspektów umownych uznawanych za kluczowe dla umożliwienia pełnego monitorowania przez podmiot finansowy z punktu widzenia zapewnienia jego odporności cyfrowej uzależnionej od stabilności i bezpieczeństwa usług ICT.
(51) W ustaleniach umownych należy w szczególności zawrzeć specyfikację kompletnych opisów funkcji i usług, miejsc, w których takie funkcje i usługi są świadczone i w których przetwarzane są dane, jak również wskazanie pełnych opisów poziomu usług wraz z ilościowymi i jakościowymi celami w zakresie wydajności w ramach uzgodnionych poziomów usług, aby umożliwić podmiotowi finansowemu skuteczne monitorowanie. Podobnie przepisy dotyczące dostępu, dostępności, integralności, bezpieczeństwa i ochrony danych osobowych, jak również gwarancji dostępu, odzyskiwania i zwrotu w przypadku niewypłacalności, rozwiązania, zaprzestania działalności gospodarczej przez zewnętrznego dostawcę usług ICT lub wypowiedzenia ustaleń umownych, powinno się również uznawać za istotne elementy zapewniające zdolność podmiotu finansowego do zapewnienia monitorowania ryzyka ze strony osób trzecich.
(52) W celu zapewnienia, aby podmioty finansowe zachowały pełną kontrolę nad wszelkimi wydarzeniami, które mogą mieć negatywny wpływ na ich bezpieczeństwo w obszarze ICT, należy określić okresy wypowiedzenia i obowiązki sprawozdawcze zewnętrznego dostawcy usług ICT w przypadku wydarzeń, które mogą mieć istotny wpływ na zdolność skutecznego wykonywania przez tego dostawcę kluczowych lub ważnych funkcji, w tym udzielania przez niego pomocy w przypadku wystąpienia incydentu związanego z ICT, który jest istotny z punktu widzenia usług świadczonych przez zewnętrznego dostawcę usług ICT podmiotowi finansowemu w ramach uzgodnionych poziomów usług, bez dodatkowych kosztów lub po kosztach określonych ex ante. Dodatkowe usługi ICT, od których podmioty finansowe nie są zależne pod względem operacyjnym, nie są objęte niniejszym rozporządzeniem.
Ponadto określona w niniejszym rozporządzeniu definicja „kluczowej lub ważnej funkcji” powinna obejmować definicję „funkcji krytycznych” określoną w art. 2 ust. 1 pkt 35 dyrektywy Parlamentu Europejskiego i Rady 2014/59/UE z dnia 15 maja 2014 r.[15]. W związku z tym funkcje, które są funkcjami krytycznymi zgodnie z dyrektywą (UE) 2014/59/UE, powinny być funkcjami kluczowymi lub ważnymi w rozumieniu niniejszego rozporządzenia.
(53) W przypadku ustaleń umownych dotyczących kluczowych lub ważnych funkcji prawa dostępu oraz prawo do kontroli i audytu przez podmiot finansowy lub wyznaczoną osobę trzecią stanowią kluczowe instrumenty bieżącego monitorowania przez podmioty finansowe wyników zewnętrznego dostawcy usług ICT w połączeniu z pełną współpracą tego ostatniego podczas kontroli. Analogicznie Wspólnemu Organowi Nadzoru i wiodącemu organowi nadzorczemu podmiotu finansowego powinny przysługiwać, na podstawie otrzymanych zawiadomień, podobne prawa do kontroli i audytu zewnętrznego dostawcy usług ICT, z zastrzeżeniem zachowania poufności, przy czym należy uważać, by nie zakłócać usług świadczonych na rzecz innych klientów zewnętrznego dostawcy usług ICT. Podmiot finansowy i zewnętrzny dostawca usług ICT powinni mieć możliwość uzgodnienia, że prawa dostępu, kontroli i audytu mogą zostać przekazane niezależnej osobie trzeciej.
(54) W ustaleniach umownych należy zawrzeć wyraźne prawo do rozwiązania umowy i związane z nim minimalne okresy wypowiedzenia, a także specjalne strategie wyjścia umożliwiające w szczególności obowiązkowe okresy przejściowe, w których zewnętrzni dostawcy usług ICT powinni nadal pełnić odpowiednie funkcje, aby zmniejszyć ryzyko zakłóceń na poziomie podmiotu finansowego lub umożliwić temu ostatniemu skuteczne przejście do innego zewnętrznego dostawcy usług ICT lub alternatywnie skorzystanie z rozwiązań dostępnych na miejscu, współmiernie do złożoności świadczonej usługi. Ponadto instytucje kredytowe powinny zadbać o to, aby odpowiednie umowy na usługi ICT były solidne i w pełni egzekwowalne w przypadku restrukturyzacji i uporządkowanej likwidacji instytucji kredytowej. Zgodnie z oczekiwaniami organów ds. restrukturyzacji i uporządkowanej likwidacji instytucje kredytowe powinny zadbać o to, by odpowiednie umowy na usługi ICT wykazywały się odpornością w przypadku restrukturyzacji i uporządkowanej likwidacji. Te podmioty finansowe powinny dopilnować, aby umowy zawierały – obok innych wymogów – klauzule uniemożliwiające ich wypowiedzenie, zawieszenie i modyfikację z powodu restrukturyzacji lub uporządkowanej likwidacji, dopóki wykonywane są kluczowe lub ważne funkcje ICT.
(55) Ponadto dobrowolne stosowanie standardowych klauzul umownych opracowanych przez Komisję na potrzeby usług w chmurze może zapewnić dodatkowy komfort podmiotom finansowym i ich zewnętrznym dostawcom usług ICT poprzez zwiększenie poziomu pewności prawa w zakresie korzystania z usług w chmurze przez sektor finansowy, z zachowaniem pełnej zgodności z wymogami i oczekiwaniami określonymi w regulacjach dotyczących usług finansowych. Prace te opierają się na środkach przewidzianych już w Planie działania w zakresie technologii finansowej z 2018 r., w którym zapowiedziano, że Komisja zamierza wspierać i ułatwiać opracowywanie standardowych klauzul umownych dotyczących korzystania z usług w chmurze na zasadzie outsourcingu przez podmioty finansowe, czerpiąc z międzysektorowych wysiłków zainteresowanych stron świadczących usługi w chmurze, które Komisja ułatwiła dzięki zaangażowaniu sektora finansowego.
(55a) Europejskie Urzędy Nadzoru powinny być upoważnione do opracowania wykonawczych standardów technicznych i regulacyjnych określających oczekiwania co do polityki w zakresie zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT oraz wymogów umownych. Do czasu wejścia w życie tych standardów podmioty finansowe powinny stosować się do odpowiednich wytycznych i innych przepisów wydanych przez Europejskie Urzędy Nadzoru i właściwe organy.
(56) Aby wesprzeć ujednolicenie i poprawę efektywności podejść w zakresie nadzoru nad ryzykiem ze strony zewnętrznych dostawców usług ICT w sektorze finansowym, wzmocnić operacyjną odporność cyfrową podmiotów finansowych, które przy wykonywaniu funkcji operacyjnych polegają na kluczowych zewnętrznych dostawcach usług ICT, a tym samym przyczynić się do utrzymania stabilności systemu finansowego Unii oraz integralności jednolitego rynku usług finansowych, kluczowi zewnętrzni dostawcy usług ICT powinni podlegać unijnym ramom nadzoru.
(57) Ponieważ szczególne traktowanie jest uzasadnione wyłącznie w przypadku kluczowych zewnętrznych dostawców usług, należy wprowadzić mechanizm wyznaczania do celów stosowania unijnych ram nadzoru, aby uwzględnić wymiar i charakter zależności sektora finansowego od takich zewnętrznych dostawców usług ICT, co przekłada się na zestaw kryteriów ilościowych i jakościowych, które określałyby parametry w zakresie krytyczności jako podstawę do objęcia ramami nadzoru. Kluczowi zewnętrzni dostawcy usług ICT, którzy nie zostali automatycznie wyznaczeni na podstawie wspomnianych wyżej kryteriów, powinni mieć możliwość dobrowolnego przystąpienia do ram nadzoru, natomiast ci zewnętrzni dostawcy usług ICT, których objęto już mechanizmami ram nadzoru wspierającymi na poziomie Eurosystemu realizację zadań, o których mowa w art. 127 ust. 2 Traktatu o funkcjonowaniu Unii Europejskiej, nie powinni w związku z tym podlegać tym kryteriom. Podobnie przedsiębiorstwa, które są częścią grupy finansowej i które świadczą usługi ICT wyłącznie na rzecz podmiotów finansowych należących do tej samej grupy finansowej, nie powinny podlegać mechanizmowi wyznaczania kluczowych dostawców usług.
(58) Wymóg bycia zarejestrowanym w Unii odnoszący się do zewnętrznych dostawców usług ICT, których uznano za kluczowych, nie przekłada się na lokalizację danych, ponieważ niniejsze rozporządzenie nie pociąga za sobą żadnych dalszych wymogów w zakresie podejmowania w Unii działań związanych z przechowywaniem lub przetwarzaniem danych. Wymóg posiadania przedsiębiorstwa, na przykład podmiotu zależnego ustanowionego w Unii na mocy prawa państwa członkowskiego ma na celu zapewnienie punktu kontaktowego między zewnętrznym dostawcą usług ICT a wiodącym organem nadzorczym i Wspólnym Organem Nadzoru oraz zadbanie o to, by wiodący organ nadzorczy i Wspólny Organ Nadzoru były w stanie wykonywać swoje obowiązki i uprawnienia w zakresie nadzoru i egzekwowania przepisów przewidziane w niniejszym rozporządzeniu. Zakontraktowane usługi zewnętrznego dostawcy usług ICT nie muszą być świadczone przez jego podmiot w Unii.
(58a) Ponieważ fakt wyznaczenia jako kluczowego dostawcy mógłby mieć znaczące skutki dla zewnętrznych dostawców usług ICT, należy przewidzieć prawo do wcześniejszego wysłuchania, tak aby Europejskie Urzędy Nadzoru i Wspólny Organ Nadzoru miały obowiązek należycie uwzględnić wszelkie dodatkowe informacje przekazane przez zewnętrznych dostawców usług ICT w trakcie procesu wyznaczania.
(59) Ramy nadzorcze powinny pozostawać bez uszczerbku dla kompetencji państw członkowskich w zakresie prowadzenia własnych misji w zakresie sprawowania nadzoru w odniesieniu do zewnętrznych dostawców usług ICT, których nie uznano za kluczowych w świetle niniejszego rozporządzenia, ale którzy mogą być uznani za ważnych na szczeblu krajowym.
(60) Aby wykorzystać obecną wielowarstwową strukturę instytucjonalną w obszarze usług finansowych, Wspólny Komitet Europejskich Urzędów Nadzoru powinien nadal zapewniać ogólną międzysektorową koordynację w odniesieniu do wszystkich kwestii dotyczących ryzyka związanego z ICT, za pośrednictwem nowo powołanego Wspólnego Organu Nadzoru, który będzie wydawać zarówno indywidualne decyzje skierowane do kluczowych zewnętrznych dostawców usług ICT, jak i zbiorowe zalecenia, w szczególności w zakresie analizy porównawczej programów dotyczących sprawowania nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT, a także określania najlepszych praktyk w zakresie rozwiązywania problemów związanych z ryzykiem koncentracji w obszarze ICT.
(61) Aby zapewnić odpowiedni nadzór w całej Unii nad zewnętrznymi dostawcami usług ICT odgrywającymi kluczową rolę w funkcjonowaniu sektora finansowego, należy ustanowić Wspólny Organ Nadzoru w celu bezpośredniego nadzorowania zewnętrznych dostawców usług ICT. Ponadto jeden z Europejskich Urzędów Nadzoru powinien zostać wyznaczony jako wiodący organ nadzorczy w odniesieniu do każdego kluczowego zewnętrznego dostawcy usług ICT w celu prowadzenia i koordynowania bieżącego nadzoru i prac dochodzeniowych, pełnienia funkcji pojedynczego punktu kontaktowego oraz zapewnienia ciągłości. Wspólny Organ Nadzoru i wiodący organ nadzorczy powinny działać bez zakłóceń, aby zapewnić skuteczny bieżący nadzór, a także całościowe podejście do procesu decyzyjnego i zaleceń.
(62) Wiodące organy nadzorcze powinny posiadać niezbędne uprawnienia do prowadzenia dochodzeń, kontroli na miejscu ▌ u kluczowych zewnętrznych dostawców usług ICT, dostępu do wszystkich istotnych lokali i lokalizacji oraz pełnych i aktualnych informacji, co umożliwi im uzyskanie rzeczywistego wglądu w rodzaj, wymiar i wpływ ryzyka ze strony zewnętrznych dostawców usług ICT dla podmiotów finansowych i ostatecznie dla systemu finansowego Unii.
(62a) Powierzenie Wspólnemu Organowi Nadzoru bezpośredniego nadzoru jest warunkiem wstępnym do zrozumienia i wyeliminowania systemowego wymiaru ryzyka związanego z ICT w sektorze finansowym. Wpływ wywierany w Unii przez kluczowych zewnętrznych dostawców usług ICT oraz związane z nim potencjalne problemy dotyczące ryzyka koncentracji w obszarze ICT wymagają przyjęcia wspólnego podejścia na poziomie Unii. Przeprowadzanie licznych audytów i korzystanie z praw dostępu przez szereg właściwych organów osobno przy niewielkiej lub braku jakiejkolwiek koordynacji nie zapewniłoby pełnego przeglądu ryzyka ze strony zewnętrznych dostawców usług ICT, powodując jednocześnie niepotrzebną redundancję, obciążenie i złożoność na poziomie kluczowych zewnętrznych dostawców usług ICT mierzących się z tak dużą liczbą wniosków.
(63) Wspólny Organ Nadzoru powinien mieć możliwość wydawania zaleceń w zakresie ryzyka związanego z ICT oraz odpowiednich środków zaradczych, w tym sprzeciwiania się określonym ustaleniom umownym, które ostatecznie wpływają na stabilność podmiotu finansowego lub systemu finansowego. Właściwe organy krajowe powinny należycie uwzględniać przestrzeganie takich zaleceń merytorycznych wydanych przez Wspólny Organ Nadzoru w ramach swoich funkcji związanych z nadzorem ostrożnościowym nad podmiotami finansowymi. Przed sfinalizowaniem takich zaleceń kluczowi zewnętrzni dostawcy usług ICT powinni mieć możliwość przekazania informacji, które ich zdaniem powinny zostać uwzględnione przed sfinalizowaniem i wydaniem zalecenia.
(63a) Aby uniknąć powielania i sprzeczności ze środkami technicznymi i organizacyjnymi mającymi zastosowanie do kluczowych zewnętrznych dostawców usług ICT, wiodące organy nadzorcze i Wspólny Organ Nadzoru powinny należycie uwzględniać ramy ustanowione dyrektywą (UE) 2016/1148 przy wykonywaniu swoich uprawnień zgodnie z ramami nadzoru określonymi w niniejszym rozporządzeniu. Przed wykonaniem takich uprawnień Wspólny Organ Nadzoru i wiodący organ nadzorczy powinny skonsultować się z odpowiednimi właściwymi organami uprawnionymi na mocy dyrektywy (UE) 2016/1148.
(64) Ramy nadzoru w żaden sposób ani w żadnej części nie zastępują zarządzania przez podmioty finansowe ryzykiem wynikającym z korzystania z zewnętrznych dostawców usług ICT, w tym obowiązku bieżącego monitorowania ustaleń umownych uzgodnionych z kluczowymi zewnętrznymi dostawcami usług ICT, oraz nie wpływają na pełną odpowiedzialność podmiotów finansowych za przestrzeganie i wywiązywanie się ze wszystkich wymogów niniejszego rozporządzenia i odpowiednich przepisów dotyczących usług finansowych. Aby uniknąć powielania i nakładania się działań, właściwe organy powinny powstrzymać się od samodzielnego podejmowania jakichkolwiek działań mających na celu monitorowanie ryzyka ze strony kluczowych zewnętrznych dostawców usług ICT. Wszelkie takie działania należy uprzednio skoordynować i uzgodnić w kontekście ram nadzoru.
(65) Aby wspierać ujednolicenie na szczeblu międzynarodowym najlepszych praktyk, które mają być stosowane przy dokonywaniu przeglądu cyfrowego zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT, należy zachęcać Europejskie Urzędy Nadzoru do zawierania porozumień o współpracy z odpowiednimi właściwymi organami nadzoru i organami regulacyjnymi państw trzecich w celu ułatwienia opracowania najlepszych praktyk w zakresie zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT.
(66) Aby wykorzystać wiedzę techniczną ekspertów właściwych organów w zakresie zarządzania operacyjnego i zarządzania ryzykiem związanym z ICT, wiodące organy nadzorcze powinny przy przeprowadzaniu ogólnych dochodzeń lub kontroli na miejscu korzystać z doświadczeń poszczególnych krajów w zakresie nadzoru i ustanowić specjalne zespoły ds. kontroli dla każdego z poszczególnych kluczowych zewnętrznych dostawców usług ICT, łącząc multidyscyplinarne zespoły w celu wspierania zarówno przygotowania, jak i rzeczywistej realizacji działań nadzorczych, w tym kontroli na miejscu u kluczowych zewnętrznych dostawców usług ICT, a także niezbędnych działań następczych.
(67) Właściwe organy powinny posiadać wszelkie niezbędne uprawnienia w zakresie sprawowania nadzoru, prowadzenia dochodzeń i nakładania sankcji, aby zapewnić stosowanie niniejszego rozporządzenia. Informacje o karach administracyjnych powinny być co do zasady publikowane. Ponieważ podmioty finansowe i zewnętrzni dostawcy usług ICT mogą mieć siedziby w różnych państwach członkowskich oraz podlegać nadzorowi różnych właściwych organów sektorowych, należy zapewnić ścisłą współpracę pomiędzy odpowiednimi właściwymi organami, w tym EBC w zakresie zadań szczególnych powierzonych mu na mocy rozporządzenia Rady (UE) nr 1024/2013[16], oraz konsultacje z Europejskimi Urzędami Nadzoru, a współpraca ta powinna opierać się na wzajemnej wymianie informacji i zapewnieniu pomocy w kontekście działalności nadzorczej. Jednolita Rada ds. Restrukturyzacji i Uporządkowanej Likwidacji, chociaż nie jest właściwym organem do celów niniejszego rozporządzenia, powinna być jednak zaangażowana w mechanizmy wzajemnej wymiany informacji w odniesieniu do podmiotów objętych zakresem rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 806/2014[17].
(68) W celu dalszego ilościowego i jakościowego określenia kryteriów wyznaczania kluczowych zewnętrznych dostawców usług ICT oraz ujednolicenia opłat z tytułu nadzoru, należy przekazać Komisji uprawnienia do przyjęcia aktów zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej w odniesieniu do: bardziej szczegółowego określenia skutków systemowych, jakie niedopełnienie obowiązków przez zewnętrznego dostawcę usług ICT mogłoby mieć dla obsługiwanych przez niego podmiotów finansowych, liczby globalnych instytucji o znaczeniu systemowym lub innych instytucji o znaczeniu systemowym, które polegają na danym zewnętrznym dostawcy usług ICT, liczby zewnętrznych dostawców usług ICT działających na określonym rynku, kosztów przejścia na usługi innego zewnętrznego dostawcy usług ICT, liczby państw członkowskich, w których dany zewnętrzny dostawca usług ICT świadczy usługi i w których działają podmioty finansowe korzystające z usług takiego dostawcy, a także wysokości opłat z tytułu nadzoru oraz sposobu ich uiszczania.
Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa[18]. W szczególności, aby zapewnić Parlamentowi Europejskiemu i Radzie udział na równych zasadach w przygotowaniu aktów delegowanych, instytucje te otrzymują wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji mogą systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych.
(69) Ponieważ niniejsze rozporządzenie, wraz z dyrektywą Parlamentu Europejskiego i Rady (UE) nr 20xx/xx[19], pociąga za sobą konsolidację przepisów dotyczących zarządzania ryzykiem związanym z ICT, obejmujących wiele rozporządzeń i dyrektyw z dorobku prawnego UE w zakresie usług finansowych, w tym rozporządzenia (WE) nr 1060/2009, rozporządzenia (UE) nr 648/2012, rozporządzenia (UE) nr 600/2014 oraz rozporządzenia (UE) nr 909/2014, w celu zapewnienia pełnej spójności należy zmienić te rozporządzenia, aby wyjaśnić, że odpowiednie przepisy dotyczące ryzyka związanego z ICT ustanowiono w niniejszym rozporządzeniu.
W ramach procesu konsolidacji należy dokonać przeglądu i zmiany odpowiednich wytycznych wydanych lub przygotowywanych obecnie przez Europejskie Urzędy Nadzoru w sprawie stosowania tych rozporządzeń i dyrektyw, tak aby podstawa prawna wymogów dotyczących ryzyka związanego z ICT w prawie Unii pochodziła wyłącznie z niniejszego rozporządzenia, aktów wykonawczych do niego oraz decyzji i zaleceń podjętych zgodnie z tym rozporządzeniem w odniesieniu do podmiotów objętych jego zakresem.
(69a) Standardy techniczne powinny zapewniać spójną harmonizację wymogów określonych w niniejszym rozporządzeniu. Opracowanie projektów regulacyjnych standardów technicznych, które nie wymagają podejmowania decyzji politycznych, w celu przedłożenia Komisji, należy powierzyć Europejskim Urzędom Nadzoru jako organom dysponującym wysokim poziomem wiedzy specjalistycznej. Należy opracować regulacyjne standardy techniczne w dziedzinie zarządzania ryzykiem związanym z ICT, udostępniania informacji, testowania i kluczowych wymogów dotyczących należytego monitorowania ryzyka ze strony zewnętrznych dostawców usług ICT. Opracowując projekty regulacyjnych standardów technicznych, Europejskie Urzędy Nadzoru powinny należycie uwzględniać swoje uprawnienia w odniesieniu do aspektów proporcjonalności i zasięgać opinii odpowiednich komitetów doradczych ds. proporcjonalności, w szczególności w związku ze stosowaniem niniejszego rozporządzenia do MŚP i spółek o średniej kapitalizacji.
(70) Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym z udziałem ekspertów. Komisja i Europejskie Urzędy Nadzoru powinny zapewnić, aby wspomniane standardy i wymogi mogły być stosowane przez wszystkie podmioty finansowe w sposób proporcjonalny do charakteru, skali i stopnia złożoności tych podmiotów oraz ich działalności.
(71) W celu ułatwienia porównywalności sprawozdań dotyczących poważnych incydentów związanych z ICT oraz zapewnienia przejrzystości w zakresie ustaleń umownych dotyczących korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT, Europejskie Urzędy Nadzoru należy upoważnić do opracowania projektów wykonawczych standardów technicznych ustanawiających standardowe szablony, formularze i procedury dla podmiotów finansowych na potrzeby zgłaszania poważnych incydentów związanych z ICT, jak również standardowych szablonów na potrzeby rejestrowania informacji. Przy opracowywaniu tych standardów Europejskie Urzędy Nadzoru powinny uwzględnić charakter, wielkość, złożoność i profil biznesowy podmiotów finansowych oraz charakter i poziom ryzyka prowadzonej przez nie działalności. Komisja powinna być uprawniona do przyjmowania tych wykonawczych standardów technicznych w drodze aktów wykonawczych zgodnie z art. 291 TFUE oraz zgodnie z art. 15, odpowiednio, rozporządzenia (UE) nr 1093/2010, rozporządzenia (UE) nr 1094/2010 oraz rozporządzenia (UE) nr 1095/2010. Ponieważ dalsze wymogi określono już w aktach delegowanych i wykonawczych opartych na regulacyjnych i wykonawczych standardach technicznych odpowiednio w rozporządzeniach (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 i (UE) nr 909/2014, należy upoważnić Europejskie Urzędy Nadzoru, indywidualnie albo wspólnie za pośrednictwem Wspólnego Komitetu, do przedłożenia Komisji regulacyjnych i wykonawczych standardów technicznych w celu przyjęcia aktów delegowanych i wykonawczych przenoszących i aktualizujących istniejące przepisy dotyczące zarządzania ryzykiem związanym z ICT.
(72) Działanie to będzie się wiązało z późniejszymi zmianami istniejących aktów delegowanych i wykonawczych przyjętych w poszczególnych obszarach prawodawstwa dotyczącego usług finansowych. Należy zmienić zakres artykułów dotyczących ryzyka operacyjnego, na podstawie których uprawnienia zawarte w tych aktach upoważniały do przyjmowania aktów delegowanych i wykonawczych, w celu przeniesienia do niniejszego rozporządzenia wszystkich przepisów dotyczących operacyjnej odporności cyfrowej, które stanowią obecnie część tych rozporządzeń.
(73) Ponieważ cele niniejszego rozporządzenia, a mianowicie osiągnięcie wysokiego poziomu operacyjnej odporności cyfrowej w odniesieniu do wszystkich podmiotów finansowych, nie mogą zostać w wystarczającym stopniu osiągnięte przez państwa członkowskie, gdyż wymaga to harmonizacji wielu różnych przepisów istniejących obecnie w niektórych aktach Unii albo w systemach prawnych poszczególnych państw członkowskich, natomiast ze względu na skalę i skutki tych celów osiągnięcie ich może być bardziej skuteczne na szczeblu unijnym, Unia może przyjąć środki zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności określoną w tym samym artykule niniejsze rozporządzenie nie wykracza poza zakres niezbędny do osiągnięcia tego celu,
PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE:
ROZDZIAŁ I
PRZEPISY OGÓLNE
Artykuł 1
Przedmiot
1. Niniejszym rozporządzeniem ustanawia się następujące jednolite wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych wspierających procesy biznesowe podmiotów finansowych, niezbędne do osiągnięcia wysokiego wspólnego poziomu operacyjnej odporności cyfrowej:
a) wymogi mające zastosowanie do podmiotów finansowych w odniesieniu do:
– zarządzania ryzykiem związanym z wykorzystaniem technologii informacyjno-komunikacyjnych (ICT);
– zgłaszania poważnych incydentów związanych z ICT właściwym organom;
– zgłaszania właściwym organom przez podmioty finansowe, o którym mowa w art. 2 ust. 1 lit. a)–c), poważnych incydentów operacyjnych lub incydentów bezpieczeństwa związanych z płatnościami;
– testowania operacyjnej odporności cyfrowej;
– wymiany informacji i danych wywiadowczych w związku z cyberzagrożeniami i lukami w tym obszarze;
– środków na rzecz należytego zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT przez podmioty finansowe;
b) wymogi w odniesieniu do ustaleń umownych zawartych między zewnętrznymi dostawcami usług ICT a podmiotami finansowymi;
c) ramy nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT świadczącymi usługi na rzecz podmiotów finansowych;
d) zasady współpracy między właściwymi organami oraz zasady nadzoru i egzekwowania przepisów przez właściwe organy w odniesieniu do wszystkich kwestii objętych niniejszym rozporządzeniem.
2. W odniesieniu do podmiotów finansowych zidentyfikowanych jako operatorzy usług kluczowych na mocy przepisów krajowych transponujących art. 5 dyrektywy (UE) 2016/1148 niniejsze rozporządzenie uznaje się za sektorowy akt prawny Unii do celów art. 1 ust. 7 tej dyrektywy.
2a. Niniejsze rozporządzenie nie narusza kompetencji państw członkowskich dotyczących utrzymania bezpieczeństwa publicznego, obrony i bezpieczeństwa narodowego.
Artykuł 2
Zakres podmiotowy
1. Niniejsze rozporządzenie ma zastosowanie do następujących podmiotów:
a) instytucji kredytowych;
b) instytucji płatniczych;
c) instytucji pieniądza elektronicznego;
d) firm inwestycyjnych;
e) dostawców usług w zakresie kryptoaktywów, emitentów i oferentów kryptoaktywów, emitentów i oferentów tokenów powiązanych z aktywami oraz emitentów znaczących tokenów powiązanych z aktywami;
f) centralnych depozytów papierów wartościowych i operatorów systemów rozrachunku papierów wartościowych,
g) kontrahentów centralnych;
h) systemów obrotu;
i) repozytoriów transakcji;
j) zarządzających alternatywnymi funduszami inwestycyjnymi;
k) spółek zarządzających;
l) dostawców usług w zakresie udostępniania informacji;
m) zakładów ubezpieczeń i zakładów reasekuracji;
n) pośredników ubezpieczeniowych, pośredników reasekuracyjnych i pośredników oferujących ubezpieczenia uzupełniające, którzy nie są mikroprzedsiębiorstwami, małymi lub średnimi przedsiębiorstwami, chyba że te mikroprzedsiębiorstwa, małe lub średnie przedsiębiorstwa opierają się wyłącznie na zorganizowanych zautomatyzowanych systemach sprzedaży,
o) instytucji pracowniczych programów emerytalnych (IORP), które nie obsługują programów emerytalnych liczących łącznie mniej niż 15 uczestników,
p) agencji ratingowych;
q) biegłych rewidentów i firm audytorskich, które nie są mikroprzedsiębiorstwami, małymi lub średnimi przedsiębiorstwami, chyba że takie mikroprzedsiębiorstwa, małe lub średnie przedsiębiorstwa świadczą usługi audytorskie na rzecz podmiotów wymienionych w niniejszym artykule, z wyjątkiem mikroprzedsiębiorstw oraz małych lub średnich przedsiębiorstw, które są jednostkami audytorskimi nienastawionymi na osiąganie zysku zgodnie z art. 2 ust. 3 rozporządzenia (UE) nr 537/2014, chyba że właściwy organ uzna, że wyjątek jest nieważny;
r) administratorów kluczowych wskaźników referencyjnych;
s) dostawców usług finansowania społecznościowego;
t) repozytoriów sekurytyzacji;
u) zewnętrznych dostawców usług ICT.
1a. Niniejsze rozporządzenie, z wyjątkiem rozdziału V sekcja II, ma również zastosowanie do dostawców usług ICT wewnątrz grupy.
2. Do celów niniejszego rozporządzenia podmioty, o których mowa w lit. a)–t), są wspólnie określane jako „podmioty finansowe”.
2a. Do celów niniejszego rozporządzenia, z wyjątkiem rozdziału V sekcja II, zewnętrzni dostawcy usług ICT i dostawcy usług ICT wewnątrz grupy są wspólnie określani jako „zewnętrzni dostawcy usług ICT”.
Artykuł 3
Definicje
Do celów niniejszego rozporządzenia stosuje się następujące definicje:
1) „operacyjna odporność cyfrowa” oznacza zdolność podmiotu finansowego do budowania, gwarantowania i weryfikowania swojej integralności operacyjnej ▌przez zapewnianie, bezpośrednio albo pośrednio (korzystając z usług zewnętrznych dostawców usług ICT), ▌ ciągłego świadczenia usług finansowych oraz ich jakości w obliczu zakłóceń operacyjnych mających wpływ na zdolności podmiotu finansowego w zakresie ICT;
2) „sieci i systemy informatyczne” oznaczają sieci i systemy informatyczne w rozumieniu art. 4 pkt 1 dyrektywy (UE) 2016/1148;
3) „bezpieczeństwo sieci i systemów informatycznych” oznacza bezpieczeństwo sieci i systemów informatycznych w rozumieniu art. 4 pkt 2 dyrektywy (UE) 2016/1148;
4) „ryzyko związane z ICT” oznacza każdą dającą się racjonalnie określić okoliczność związaną z użytkowaniem sieci i systemów informatycznych, ▌która – jeżeli dojdzie do jej urzeczywistnienia – może zagrozić bezpieczeństwu sieci i systemów informatycznych, dowolnego narzędzia lub procesu zależnego od ICT, działania i procesu lub świadczenia usług▌;
5) „zasoby informacyjne” oznaczają zbiór informacji, w formie materialnej albo niematerialnej, który jest wart ochrony;
6) „incydent związany z ICT” oznacza nieprzewidziany, stwierdzony incydent, lub serię powiązanych ze sobą incydentów, który zagraża bezpieczeństwu sieci i systemów informatycznych▌ lub ma negatywny wpływ na dostępność, poufność, ciągłość, integralność lub autentyczność usług finansowych świadczonych przez podmiot finansowy;
6a) „incydent operacyjny lub incydent bezpieczeństwa związany z płatnościami” oznacza zdarzenie, lub serię powiązanych ze sobą zdarzeń, nieprzewidziane przez podmioty finansowe, o których mowa w art. 2 ust. 1 lit. a)–c), które ma lub może mieć negatywny wpływ na integralność, dostępność, poufność, autentyczność lub ciągłość usług związanych z płatnościami;
7) „poważny incydent związany z ICT” oznacza incydent związany z ICT, który ma lub może mieć duży negatywny wpływ na sieci i systemy informatyczne, które wspierają krytyczne funkcje podmiotu finansowego;
7a) „poważny incydent operacyjny lub poważny incydent bezpieczeństwa związany z płatnościami” oznacza incydent operacyjny lub incydent bezpieczeństwa związany z płatnościami, który spełnia kryteria określone w art. 16;
8) „cyberzagrożenie” oznacza cyberzagrożenie w rozumieniu art. 2 pkt 8 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881[20];
8a) „znaczne cyberzagrożenie” oznacza cyberzagrożenie, którego cechy wyraźnie wskazują, że może ono spowodować poważny incydent związany z ICT;
9) „cyberatak” oznacza złośliwy incydent związany z ICT polegający na próbie zniszczenia, ujawnienia, zmiany, dezaktywacji, kradzieży lub uzyskania nieuprawnionego dostępu do składnika aktywów lub jego nieuprawnionego wykorzystania przez jakiegokolwiek agresora;
10) „analiza zagrożeń” oznacza informacje, które zostały zagregowane, przekształcone, przeanalizowane, zinterpretowane lub wzbogacone w celu zapewnienia niezbędnego kontekstu na potrzeby podejmowania decyzji i które umożliwiają odpowiednie i wystarczające zrozumienie w celu złagodzenia skutków incydentu związanego z ICT lub cyberzagrożenia, w tym informacje dotyczące technicznych szczegółów cyberataku, osób odpowiedzialnych za atak oraz ich sposobu działania i motywacji;
11) „ochrona w głąb” oznacza strategię związaną z ICT, integrującą ludzi, procesy i technologie w celu ustanowienia szeregu barier na wielu poziomach i w zakresie wielu wymiarów podmiotu;
12) „luka” oznacza słabość, wrażliwość lub wadę zasobu, systemu, procesu lub mechanizmu kontroli, które mogą zostać wykorzystane do stworzenia cyberzagrożenia;
13) „testy penetracyjne pod kątem wyszukiwania zagrożeń” oznaczają ramy naśladujące taktykę, techniki i procedury stosowane w rzeczywistości przez agresorów stanowiących cyberzagrożenie, które zapewniają kontrolowane, dostosowane do konkretnych zagrożeń, oparte na analizie zagrożeń (zespół atakujący) testy działających na bieżąco krytycznych systemów produkcji podmiotu;
14) „ryzyko ze strony zewnętrznych dostawców usług ICT” oznacza ryzyko związane z ICT, które może wystąpić w przypadku podmiotu finansowego w związku z korzystaniem przez niego z usług ICT świadczonych przez zewnętrznych dostawców usług ICT lub przez ich podwykonawców;
15) „zewnętrzny dostawca usług ICT” oznacza przedsiębiorstwo świadczące usługi ICT, w tym podmiot finansowy świadczący usługi ICT, który jest częścią przedsiębiorstwa dostarczającego szerszą gamę produktów lub usług, ale z wyłączeniem dostawców komponentów sprzętowych i przedsiębiorstw, które uzyskały zezwolenie na mocy prawa Unii i świadczą usługi łączności elektronicznej, o których mowa w art. 2 pkt 4 of dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/1972[21];
15a) „dostawca usług ICT wewnątrz grupy” oznacza przedsiębiorstwo, które jest częścią grupy finansowej i które świadczy usługi ICT wyłącznie na rzecz podmiotów finansowych należących do tej samej grupy lub podmiotów finansowych należących do tego samego systemu ochrony instytucjonalnej, w tym ich jednostek dominujących, jednostek zależnych, oddziałów lub innych podmiotów będących wspólną własnością lub pod wspólną kontrolą;
16) „usługi ICT” oznaczają usługi cyfrowe i usługi w zakresie danych świadczone w sposób ciągły za pośrednictwem systemów ICT na rzecz użytkownika wewnętrznego lub zewnętrznego lub większej liczby takich użytkowników, z wyłączeniem umów dotyczących usług telekomunikacyjnych;
17) „kluczowa lub ważna funkcja” oznacza działalność lub usługę, które mają zasadnicze znaczenie dla funkcjonowania podmiotu finansowego i których zakłócenie mogłoby stanowić istotne zagrożenie dla solidności lub ciągłości usług i działalności podmiotu finansowego, lub których zaprzestanie lub wadliwe lub zakończone niepowodzeniem działanie mogłoby stanowić istotne zagrożenie dla dalszego wypełniania przez podmiot finansowy warunków i obowiązków wynikających z udzielonego mu zezwolenia lub jego innych obowiązków wynikających z obowiązujących przepisów dotyczących usług finansowych, w tym „funkcji krytycznych” w rozumieniu art. 2 ust. 1 pkt 35 dyrektywy 2014/59/UE;
18) „kluczowy zewnętrzny dostawca usług ICT” oznacza zewnętrznego dostawcę usług ICT wyznaczonego na mocy art. 28 i podlegającego ramom nadzoru, o których mowa w art. 29–37;
19) „zewnętrzny dostawca usług ICT z siedzibą w państwie trzecim” oznacza zewnętrznego dostawcę usług ICT, który jest osobą prawną mającą siedzibę w państwie trzecim▌ i zawarł z podmiotem finansowym umowę o świadczenie usług ICT;
20) „podwykonawca usług ICT z siedzibą w państwie trzecim” oznacza podwykonawcę usług ICT, który jest osobą prawną mającą siedzibę w państwie trzecim▌ i zawarł umowę z zewnętrznym dostawcą usług ICT lub z zewnętrznym dostawcą usług ICT mającym siedzibę w państwie trzecim;
21) „ryzyko koncentracji w obszarze ICT” oznacza ekspozycję na poszczególnych lub wielu powiązanych ze sobą kluczowych zewnętrznych dostawców usług ICT, która prowadzi do takiego stopnia uzależnienia od takich dostawców, że niedostępność, awaria lub innego rodzaju niedociągnięcie tych ostatnich może potencjalnie zagrozić stabilności finansowej całej Unii lub zdolności podmiotu finansowego▌ do wypełniania kluczowych lub ważnych funkcji lub przyczynić się do poniesienia innego rodzaju negatywnych skutków, w tym dużych strat;
22) „organ zarządzający” oznacza organ zarządzający w rozumieniu art. 4 ust. 1 pkt 36 dyrektywy 2014/65/UE, art. 3 ust. 1 pkt 7 dyrektywy 2013/36/UE, art. 2 ust. 1 lit. s) dyrektywy 2009/65/WE, art. 2 ust. 1 pkt 45 rozporządzenia (UE) nr 909/2014, art. 3 ust. 1 pkt 20 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/1011[22], art. 3 ust. 1 pkt 18 rozporządzenia Parlamentu Europejskiego i Rady (UE) 20xx/xx[23] [MiCA] lub równorzędne osoby, które faktycznie zarządzają podmiotem lub pełnią kluczowe funkcje zgodnie z odpowiednimi przepisami unijnymi lub krajowymi;
23) „instytucja kredytowa” oznacza instytucję kredytową w rozumieniu art. 4 ust. 1 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013[24];
23a) „instytucja kredytowa wyłączona na mocy dyrektywy 2013/36/UE” oznacza instytucję korzystającą z wyłączenia zgodnie z art. 2 ust. 5 pkt 4–23 dyrektywy 2013/36/UE;
24) „firma inwestycyjna” oznacza firmę inwestycyjną w rozumieniu art. 4 ust. 1 pkt 1 dyrektywy 2014/65/UE;
24a) „mała i niepowiązana wzajemnie firma inwestycyjna” oznacza firmę inwestycyjną, która spełnia warunki określone w art. 12 ust. 1 rozporządzenia (UE) 2019/2033;
25) „instytucja płatnicza” oznacza instytucję płatniczą w rozumieniu art. 1 ust. 1 lit. d) dyrektywy (UE) 2015/2366;
25a) „instytucja płatnicza wyłączona na mocy dyrektywy (UE) 2015/2366” oznacza instytucję płatniczą korzystającą z wyłączenia zgodnie z art. 32 ust. 1 dyrektywy (UE) 2015/2366;
26) „instytucja pieniądza elektronicznego” oznacza instytucję pieniądza elektronicznego w rozumieniu art. 2 pkt 1 dyrektywy Parlamentu Europejskiego i Rady 2009/110/WE[25];
26a) „instytucja pieniądza elektronicznego wyłączona na mocy dyrektywy 2009/110/WE” oznacza instytucję pieniądza elektronicznego korzystającą z wyłączenia na mocy art. 9 dyrektywy 2009/110/WE;
27) „kontrahent centralny” oznacza kontrahenta centralnego w rozumieniu art. 2 pkt 1 rozporządzenia (UE) nr 648/2012;
28) „repozytorium transakcji” oznacza repozytorium transakcji w rozumieniu art. 2 pkt 2 rozporządzenia (UE) nr 648/2012;
29) „centralny depozyt papierów wartościowych” oznacza centralny depozyt papierów wartościowych w rozumieniu art. 2 ust. 1 pkt 1 rozporządzenia (UE) nr 909/2014;
30) „system obrotu” oznacza system obrotu w rozumieniu art. 4 ust. 1 pkt 24 dyrektywy 2014/65/UE;
31) „zarządzający alternatywnymi funduszami inwestycyjnymi” oznacza zarządzającego alternatywnymi funduszami inwestycyjnymi w rozumieniu art. 4 ust. 1 lit. b) dyrektywy 2011/61/UE;
32) „spółka zarządzająca” oznacza spółkę zarządzającą w rozumieniu art. 2 ust. 1 lit. b) dyrektywy 2009/65/WE;
33) „dostawca usług w zakresie udostępniania informacji” oznacza dostawcę usług w zakresie udostępniania informacji w rozumieniu art. 4 ust. 1 pkt 63 dyrektywy 2014/65/UE;
34) „zakład ubezpieczeń” oznacza zakład ubezpieczeń w rozumieniu art. 13 pkt 1 dyrektywy 2009/138/WE;
35) „zakład reasekuracji” oznacza zakład reasekuracji w rozumieniu art. 13 pkt 4 dyrektywy 2009/138/WE;
36) „pośrednik ubezpieczeniowy” oznacza pośrednika ubezpieczeniowego w rozumieniu art. 2 ust. 1 pkt 3 dyrektywy (UE) 2016/97;
37) „pośrednik oferujący ubezpieczenia uzupełniające” oznacza pośrednika oferującego ubezpieczenia uzupełniające w rozumieniu art. 2 ust. 1 pkt 4 dyrektywy (UE) 2016/97;
38) „pośrednik reasekuracyjny” oznacza pośrednika reasekuracyjnego w rozumieniu art. 2 ust. 1 pkt 5 dyrektywy (UE) 2016/97;
39) „instytucja pracowniczych programów emerytalnych” oznacza instytucję pracowniczych programów emerytalnych w rozumieniu art. 1 pkt 6 dyrektywy (UE) 2016/2341;
40) „agencja ratingowa” oznacza agencję ratingową w rozumieniu art. 3 pkt 1 lit. a) rozporządzenia (WE) nr 1060/2009;
41) „biegły rewident” oznacza biegłego rewidenta w rozumieniu art. 2 pkt 2 dyrektywy 2006/43/WE;
42) „firma audytorska” oznacza firmę audytorską w rozumieniu art. 2 pkt 3 dyrektywy 2006/43/WE;
43) „dostawca usług w zakresie kryptoaktywów” oznacza dostawcę usług w zakresie kryptoaktywów w rozumieniu art. 3 ust. 1 pkt 8 rozporządzenia (UE) 202x/xx r. [do Urzędu Publikacji: wstawić odniesienie do MiCA];
44) „emitent kryptoaktywów” oznacza emitenta kryptoaktywów w rozumieniu art. 3 ust. 1 pkt 6 [do Urzędu Publikacji: wstawić odniesienie do MiCA];
44a) „oferent” oznacza oferenta w rozumieniu art. 3 ust. 1 pkt [(XX)] [do Urzędu Publikacji: wstawić odniesienie do MiCA];
44b) „oferent kryptoaktywów” oznacza oferenta kryptoaktywów w rozumieniu art. 3 ust. 1 pkt [(XX)] [do Urzędu Publikacji: wstawić odniesienie do MiCA];
45) „emitent tokenów powiązanych z aktywami” oznacza emitenta tokenów powiązanych z aktywami w rozumieniu art. 3 ust. 1 lit. i) [do Urzędu Publikacji: wstawić odniesienie do MiCA];
45a) „oferent tokenów powiązanych z aktywami” oznacza oferenta tokenów powiązanych z aktywami w rozumieniu art. 3 ust. 1 pkt [(XX)] [do Urzędu Publikacji: wstawić odniesienie do MiCA];
46) „emitent znaczących tokenów powiązanych z aktywami” oznacza emitenta znaczących tokenów powiązanych z aktywami w rozumieniu art. 3 ust. 1 pkt (XX) [do Urzędu Publikacji: wstawić odniesienie do MiCA];
47) „administrator kluczowych wskaźników referencyjnych” oznacza administratora kluczowych wskaźników referencyjnych w rozumieniu art. 3 pkt 25 rozporządzenia 2016/1011 [do Urzędu Publikacji: wstawić odniesienie do rozporządzenia o wskaźnikach referencyjnych];
48) „dostawca usług finansowania społecznościowego” oznacza dostawcę usług finansowania społecznościowego w rozumieniu art. 2 ust. 1 lit. e) rozporządzenia (UE) 2020/1503 [do Urzędu Publikacji: wstawić odniesienie do rozporządzenia w sprawie finansowania społecznościowego];
49) „repozytorium sekurytyzacji” oznacza repozytorium sekurytyzacji w rozumieniu art. 2 pkt 23 rozporządzenia (UE) 2017/2402;
50) „mikroprzedsiębiorstwo, małe i średnie przedsiębiorstwo” oznacza podmiot finansowy w rozumieniu art. 2 załącznika do zalecenia 2003/361/WE.
50a) „organ ds. restrukturyzacji i uporządkowanej likwidacji” oznacza organ wyznaczony przez państwo członkowskie zgodnie z art. 3 dyrektywy 2014/59/UE lub Jednolitą Radę ds. Restrukturyzacji i Uporządkowanej Likwidacji ustanowioną zgodnie z art. 42 rozporządzenia (UE) nr 806/2014.
Artykuł 3a
Zasada proporcjonalności
1. Podmioty finansowe stosują przepisy wprowadzone w rozdziałach II, III i IV zgodnie z zasadą proporcjonalności, biorąc pod uwagę wielkość, charakter, skalę i złożoność swoich usług, działań i operacji oraz ogólny profil ryzyka.
2. Zgodnie z zasadą proporcjonalności art. 4–14 niniejszego rozporządzenia nie mają zastosowania do:
a) małych i niepowiązanych wzajemnie firm inwestycyjnych lub instytucji płatniczych wyłączonych na mocy dyrektywy (UE) 2015/2366;
b) instytucji kredytowych wyłączonych na mocy dyrektywy 2013/36/UE;
c) instytucji pieniądza elektronicznego wyłączonych na mocy dyrektywy 2009/110/WE; lub
d) małych instytucji pracowniczych programów emerytalnych.
3. Na podstawie rocznego sprawozdania z przeglądu ram zarządzania ryzykiem związanym z ICT, o którym mowa w art. 5 ust. 6 i art. 14a ust. 2, odpowiednie właściwe organy dokonują przeglądu i oceny stosowania zasady proporcjonalności przez podmiot finansowy oraz stwierdzają, czy ramy zarządzania ryzykiem związanym z ICT danego podmiotu finansowego zapewniają należyte zarządzanie ryzykiem związanym z ICT oraz operacyjną odporność cyfrową i pokrycie ryzyka związanego z ICT. W toku przeglądu i oceny właściwe organy biorą pod uwagę wielkość podmiotu finansowego, charakter, skalę i złożoność jego usług, działań i operacji oraz jego ogólny profil ryzyka.
4. W przypadku gdy odpowiedni właściwy organ uzna, że ramy zarządzania ryzykiem związanym z ICT stosowane przez podmiot finansowy są niewystarczające i nieproporcjonalne, nawiązuje dialog z tym podmiotem finansowym w celu usunięcia niedociągnięć i zapewnienia pełnej zgodności z rozdziałem II.
5. Europejskie Organy Nadzoru opracowują projekty regulacyjnych standardów technicznych w odniesieniu do:
a) określenia zakresu, w jakim obowiązki dotyczące zarządzania ryzykiem związanym z ICT mają zastosowanie do każdego z podmiotów finansowych wymienionych w ust. 1;
b) doprecyzowania treści i formatu rocznego sprawozdania z przeglądu ram zarządzania ryzykiem związanym z ICT, o którym mowa w ust. 3;
c) doprecyzowania zasad i procedur, których mają przestrzegać właściwe organy i podmioty finansowe podczas dialogu, o którym mowa w ust. 4.
6. Europejskie Organy Nadzoru przedstawiają Komisji projekty regulacyjnych standardów technicznych, o których mowa w ust. 5, do dnia [do Urzędu Publikacji: wstawić datę przypadającą 1 rok po wejściu rozporządzenia w życie].
Komisja jest uprawniona do przyjmowania regulacyjnych standardów technicznych, o których mowa w ust. 5 niniejszego artykułu, zgodnie z art. 10–14 odpowiednio rozporządzeń (UE) nr 1093/2010, (UE) nr 1094/2010 i (UE) nr 1095/2010.
ROZDZIAŁ II
ZARZĄDZANIE RYZYKIEM ZWIĄZANYM Z ICT
SEKCJA I
Artykuł 4
Zarządzanie i organizacja
1. Podmioty finansowe posiadają wewnętrzne ramy zarządzania i kontroli, które zapewniają skuteczne i ostrożne zarządzanie wszystkimi rodzajami ryzyka związanego z ICT, w celu osiągnięcia wysokiego poziomu operacyjnej odporności cyfrowej.
2. Organ zarządzający podmiotu finansowego określa, zatwierdza i nadzoruje wdrażanie wszystkich ustaleń dotyczących ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 5 ust. 1, oraz ponosi odpowiedzialność za ich wdrażanie.
Do celów akapitu pierwszego organ zarządzający:
a) ponosi ostateczną odpowiedzialność za zarządzanie ryzykiem związanym z ICT podmiotu finansowego;
aa) wprowadza procedury i polityki mające zapewnić utrzymanie wysokich standardów bezpieczeństwa, poufności i integralności danych;
b) ustala wyraźne role i obowiązki w odniesieniu do wszystkich funkcji związanych z ICT;
c) określa odpowiedni poziom tolerancji ryzyka związanego z ICT podmiotu finansowego, o którym mowa w art. 5 ust. 9 lit. b);
d) zatwierdza i nadzoruje wdrażanie polityki ciągłości działania podmiotu finansowego w zakresie ICT oraz planu przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej w zakresie ICT, o których mowa odpowiednio w art. 10 ust. 1 i 3 i które mogą zostać przyjęte jako specjalna odrębna polityka i jako integralna część szerszej ogólnej polityki ciągłości działania podmiotu finansowego i planu przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej, i okresowo dokonuje przeglądu ich wdrażania;
e) zatwierdza plany audytów ICT, audyty ICT i ich istotne zmiany i okresowo dokonuje ich przeglądu;
f) przydziela odpowiedni budżet w celu zaspokojenia potrzeb podmiotu finansowego w zakresie operacyjnej odporności cyfrowej w odniesieniu do wszystkich rodzajów zasobów, w tym odpowiednich szkoleń poświęconych ryzyku związanemu z ICT i umiejętności wszystkich ▌ pracowników, i okresowo dokonuje jego przeglądu;
g) zatwierdza politykę podmiotu finansowego w zakresie ustaleń dotyczących korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT i okresowo dokonuje jej przeglądu;
h) jest należycie informowany o ustaleniach zawartych z zewnętrznymi dostawcami usług ICT w sprawie korzystania z usług ICT, o wszelkich odnośnych planowanych istotnych zmianach dotyczących zewnętrznych dostawców usług ICT oraz o potencjalnym wpływie takich zmian na kluczowe lub ważne funkcje objęte tymi ustaleniami, w tym otrzymuje streszczenie analizy ryzyka w celu oceny wpływu tych zmian;
i) jest regularnie informowany o co najmniej poważnych incydentach związanych z ICT i ich skutkach oraz o środkach reagowania, środkach przywrócenia gotowości do pracy i środkach naprawczych.
3. Podmioty finansowe inne niż mikroprzedsiębiorstwa ustanawiają funkcję polegającą na monitorowaniu ustaleń w danym podmiocie finansowym dotyczących korzystania z usług ICT, zwłaszcza zawartych z zewnętrznymi dostawcami usług ICT, lub wyznaczają członka kadry kierowniczej wyższego szczebla jako odpowiedzialnego za nadzorowanie związanej z tym ekspozycji na ryzyko i odpowiedniej dokumentacji.
4. Członkowie organu zarządzającego podmiotu finansowego aktywnie aktualizują wiedzę i umiejętności wystarczające do zrozumienia i oceny ryzyka związanego z ICT i jego wpływu na działalność podmiotu finansowego, w tym poprzez regularny udział w specjalnych szkoleniach, współmiernych do zarządzanego ryzyka związanego z ICT.
SEKCJA II
Artykuł 5
Ramy zarządzania ryzykiem związanym z ICT
1. Podmioty finansowe dysponują solidnymi, kompleksowymi i dobrze udokumentowanymi ramami zarządzania ryzykiem związanym z ICT, które umożliwiają im szybkie, skuteczne i kompleksowe reagowanie na ryzyko związane z ICT oraz zapewnienie wysokiego poziomu operacyjnej odporności cyfrowej ▌.
2. Ramy zarządzania ryzykiem związanym z ICT, o których mowa w ust. 1, obejmują strategie, polityki, procedury, protokoły i narzędzia ICT, które są niezbędne do właściwej i skutecznej ochrony wszystkich odpowiednich elementów fizycznych i infrastruktury, w tym sprzętu komputerowego, serwerów, a także wszystkich odpowiednich obiektów, ośrodków przetwarzania danych i wyznaczonych obszarów wrażliwych, w celu zapewnienia odpowiedniej ochrony wszystkich tych elementów fizycznych przed ryzykiem, w tym przed uszkodzeniem i nieuprawnionym dostępem lub użytkowaniem.
3. Podmioty finansowe minimalizują wpływ ryzyka związanego z ICT, wdrażając odpowiednie strategie, polityki, procedury, protokoły i narzędzia określone w ramach zarządzania ryzykiem związanym z ICT. Dostarczają one pełnych i aktualnych informacji na temat ryzyka związanego z ICT oraz ram zarządzania ryzykiem związanym z ICT, na żądanie właściwych organów.
4. W kontekście ram zarządzania ryzykiem związanym z ICT, o których mowa w ust. 1, podmioty finansowe inne niż mikroprzedsiębiorstwa wdrażają system zarządzania bezpieczeństwem informacji oparty na uznanych normach międzynarodowych i zgodny z wytycznymi nadzorczymi, o ile są już dostępne i odpowiednie, w tym wskazówkami określonymi w odpowiednich wytycznych opracowanych przez Europejskie Organy Nadzoru, oraz regularnie dokonują jego przeglądu.
5. Podmioty finansowe inne niż mikroprzedsiębiorstwa powierzają obowiązek zarządzania ryzykiem związanym z ICT i nadzór nad nim funkcji kontroli oraz zapewniają niezależność takiej funkcji kontroli w celu uniknięcia konfliktów interesów. Podmioty finansowe zapewniają odpowiednią niezależność funkcji zarządzania ICT, funkcji kontroli oraz funkcji audytu wewnętrznego, zgodnie z modelem trzech linii obrony lub wewnętrznym modelem zarządzania ryzykiem i kontroli ryzyka.
6. Ramy zarządzania ryzykiem związanym z ICT, o których mowa w ust. 1, są dokumentowane i poddawane przeglądowi co najmniej raz w roku, a także w przypadku wystąpienia poważnych incydentów związanych z ICT oraz zgodnie z instrukcjami nadzorczymi lub wnioskami wynikającymi z odpowiednich testów lub procesów audytu operacyjnej odporności cyfrowej. Są one stale ulepszane na podstawie wniosków płynących z wdrażania i monitorowania.
Sprawozdanie z przeglądu ram zarządzania ryzykiem związanym z ICT przedkłada się co roku właściwemu organowi.
7. Jeśli chodzi o podmioty finansowe inne niż mikroprzedsiębiorstwa, ramy zarządzania ryzykiem związanym z ICT, o których mowa w ust. 1, są regularnie kontrolowane przez audytorów w zakresie ICT posiadających wystarczającą wiedzę, umiejętności i wiedzę fachową w zakresie ryzyka związanego z ICT. Częstotliwość i przedmiot audytów ICT są współmierne do ryzyka związanego z ICT podmiotu finansowego.
8. Ustanawia się formalny proces działań następczych, w tym zasady terminowej weryfikacji oraz wdrażania środków naprawczych w następstwie krytycznych ustaleń audytu ICT, biorąc pod uwagę wnioski z przeglądu audytu. ▐
9. Ramy zarządzania ryzykiem związanym z ICT, o których mowa w ust. 1, obejmują strategię operacyjnej odporności cyfrowej, w której określono sposób wdrażania tych ram. W tym celu zawierają one metody przeciwdziałania ryzyku związanemu z ICT i osiągania szczególnych celów w dziedzinie ICT,
a) wyjaśniając, w jaki sposób ramy zarządzania ryzykiem związanym z ICT wspierają strategię biznesową i cele biznesowe podmiotu finansowego;
b) ustalając poziom tolerancji ryzyka w odniesieniu do ryzyka związanego z ICT, zgodnie z apetytem na ryzyko podmiotu finansowego, oraz analizując tolerancję wpływu zakłóceń w funkcjonowaniu ICT;
c) określając jasne cele w zakresie bezpieczeństwa informacji;
d) objaśniając ▌ architekturę ICT oraz wszelkie zmiany niezbędne do osiągnięcia konkretnych celów biznesowych;
e) przedstawiając poszczególne mechanizmy wprowadzone w celu wykrywania skutków incydentów związanych z ICT, ochrony przed nimi i zapobiegania im;
f) dokumentując liczbę zgłoszonych poważnych incydentów związanych z ICT oraz skuteczność środków zapobiegawczych;
g) wskazując kluczowe zależności od zewnętrznych dostawców usług ICT oraz określając szczegółowo strategie wyjścia w odniesieniu do takich kluczowych zależności;
h) wdrażając testowanie operacyjnej odporności cyfrowej, zgodnie z rozdziałem IV niniejszego rozporządzenia;
i) przedstawiając strategię komunikacji w przypadku incydentów związanych z ICT, których ujawnienie jest wymagane zgodnie z art. 13.
10. Za zgodą właściwych organów podmioty finansowe mogą zlecić zadania związane ze sprawdzaniem zgodności z wymogami dotyczącymi zarządzania ryzykiem związanym z ICT ▌przedsiębiorstwom zewnętrznym.
Po poinformowaniu właściwych organów podmioty finansowe mogą powierzyć zadanie związane ze sprawdzaniem zgodności z wymogami dotyczącymi zarządzania ryzykiem związanym z ICT przedsiębiorstwom wewnątrz grupy.
W przypadku powierzenia zadań, o którym mowa w akapicie drugim, podmiot finansowy pozostaje w pełni odpowiedzialny za sprawdzanie zgodności z wymogami dotyczącymi zarządzania ryzykiem związanym z ICT.
Artykuł 6
Systemy, protokoły i narzędzia ICT
1. Aby reagować na ryzyko związane z ICT i zarządzać nim, podmioty finansowe stosują i utrzymują zaktualizowane systemy, protokoły i narzędzia ICT, które▌ spełniają następujące warunki:
a) systemy i narzędzia są odpowiednie do ▌skali operacji wspierających prowadzenie ich działalności;
b) są niezawodne;
c) mają wystarczającą zdolność do dokładnego przetwarzania danych niezbędnych do prowadzenia działalności i świadczenia usług w odpowiednim czasie oraz do obsługi wolumenów zleceń, komunikatów lub transakcji występujących w okresach szczytowego obciążenia, w zależności od potrzeb, w tym w przypadku wprowadzenia nowej technologii;
d) są odporne pod względem technologicznym, aby odpowiednio poradzić sobie z dodatkowymi potrzebami w zakresie przetwarzania informacji, które mogą być wymagane w skrajnych warunkach rynkowych lub w innych niekorzystnych sytuacjach.
2. W przypadku gdy podmioty finansowe stosują uznane na szczeblu międzynarodowym normy techniczne i wiodące praktyki branżowe w zakresie bezpieczeństwa informacji i wewnętrznych kontroli ICT, stosują one te normy i praktyki zgodnie z wszelkimi odpowiednimi zaleceniami nadzorczymi dotyczącymi ich włączenia.
Artykuł 7
Identyfikowanie
1. W kontekście ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 5 ust. 1, podmioty finansowe identyfikują, klasyfikują i odpowiednio dokumentują wszystkie kluczowe lub ważne funkcje biznesowe związane z ICT, zasoby informacyjne wspierające te funkcje oraz konfiguracje i wzajemne połączenia systemu ICT z wewnętrznymi i zewnętrznymi systemami ICT. Podmioty finansowe dokonują w miarę potrzeb, a co najmniej raz w roku, oceny, jak kluczowe lub ważne są funkcje biznesowe związane z ICT, oraz przeglądu adekwatności klasyfikacji zasobów informacyjnych i wszelkiej stosownej dokumentacji.
2. Podmioty finansowe na bieżąco identyfikują wszystkie źródła ryzyka związanego z ICT, w szczególności ekspozycję na ryzyko w odniesieniu do innych podmiotów finansowych i pochodzące od tych podmiotów, oraz oceniają cyberzagrożenia i luki w obszarze ICT istotne dla ich kluczowych lub ważnych funkcji biznesowych i zasobów informacyjnych związanych z ICT. Podmioty finansowe dokonują regularnie, a co najmniej raz w roku, przeglądu scenariuszy ryzyka, które mają na nie wpływ.
3. Podmioty finansowe inne niż mikroprzedsiębiorstwa przeprowadzają w stosownych przypadkach ocenę ryzyka przy każdej większej zmianie w infrastrukturze sieci i systemów informatycznych, w procesach lub procedurach mających wpływ na ich funkcje, procesach wspierających lub zasobach informacyjnych.
4. Podmioty finansowe wskazują wszystkie konta systemów ICT, w tym konta zdalne, zasoby sieciowe i cały sprzęt komputerowy, oraz ewidencjonują urządzenia materialne uznane za krytyczne. Podmioty finansowe ewidencjonują konfigurację kluczowych lub ważnych zasobów ICT z uwzględnieniem ich celu oraz powiązania i współzależności między tymi poszczególnymi zasobami ICT.
5. Podmioty finansowe określają i dokumentują wszystkie kluczowe lub ważne procesy, które zależą od zewnętrznych dostawców usług ICT, oraz określają wzajemne powiązania z zewnętrznymi dostawcami usług ICT, którzy wspierają kluczowe lub ważne funkcje.
6. Do celów ust. 1, 4 i 5 podmioty finansowe prowadzą i regularnie aktualizują odpowiednie zapasy.
7. Podmioty finansowe inne niż mikroprzedsiębiorstwa regularnie, a co najmniej raz w roku, przeprowadzają szczegółową ocenę ryzyka związanego z ICT w odniesieniu do wszystkich starszych wersji systemów ICT, w tym systemów, które nadal są używane i spełniają swoje funkcje, ale:
a) są stare lub bliskie wycofania z eksploatacji, w przypadku sprzętu komputerowego;
b) ich dostawca nie zapewnia już wsparcia lub konserwacji; lub
c) ich aktualizacja jest niemożliwa lub nieopłacalna. Starsze wersje systemów ICT podlegają corocznej ocenie ryzyka związanego z ICT, w szczególności przed połączeniem i po połączeniu ▌ technologii, aplikacji lub systemów.
Artykuł 8
Ochrona i zapobieganie
1. Na potrzeby odpowiedniej ochrony systemów ICT oraz w celu organizacji środków reagowania podmioty finansowe na bieżąco monitorują i kontrolują funkcjonowanie systemów i narzędzi ICT oraz minimalizują wpływ powiązanego ryzyka, wdrażając odpowiednie narzędzia, polityki i procedury w zakresie bezpieczeństwa ICT.
2. Podmioty finansowe opracowują, nabywają i wdrażają strategie, polityki, procedury, protokoły i narzędzia w zakresie bezpieczeństwa ICT, których celem jest w szczególności zapewnienie odporności, ciągłości działania i dostępności systemów ICT wspierających kluczowe i ważne funkcje oraz utrzymanie wysokich standardów bezpieczeństwa, poufności i integralności danych, zarówno gdy są przechowywane, jak i wykorzystywane lub przesyłane.
3. Aby osiągnąć cele, o których mowa w ust. 2, podmioty finansowe stosują ▌technologie i procesy ICT, które:
a) maksymalizują bezpieczeństwo środków przekazu informacji;
b) minimalizują ryzyko uszkodzenia lub utraty danych, nieuprawnionego dostępu i usterek technicznych, które mogą utrudniać prowadzenie działalności gospodarczej;
c) zapobiegają wyciekowi informacji;
d) zapewniają ochronę danych przed wewnętrznym ryzykiem związanym z ICT, w tym ryzkiem związanym z niewłaściwym administrowaniem, przetwarzaniem i błędem ludzkim.
4. W kontekście ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 5 ust. 1, podmioty finansowe, zgodnie ze swoim profilem ryzyka:
a) opracowują i dokumentują politykę bezpieczeństwa informacji określającą zasady ochrony poufności, integralności i dostępności swoich zasobów, danych i zasobów informacyjnych ICT, zapewniając jednocześnie pełną ochronę zasobów, danych i zasobów informacyjnych ICT swoich klientów, jeżeli stanowią one część systemów ICT tego podmiotu finansowego;
b) zgodnie z podejściem opartym na analizie ryzyka ustalają należyte zarządzanie siecią i infrastrukturą z wykorzystaniem odpowiednich technik, metod i protokołów, które mogą obejmować wdrażanie ▌mechanizmów izolowania zasobów informacyjnych, które były przedmiotem cyberataku;
c) wdrażają polityki, procedury i kontrole ograniczające fizyczny i wirtualny dostęp do zasobów i danych systemu ICT do tego, co jest wymagane jedynie do uzasadnionych i zatwierdzonych funkcji i działań▌;
d) wdrażają polityki i protokoły dotyczące silnych mechanizmów uwierzytelniania oraz ochrony kluczy kryptograficznych, oparte na odpowiednich normach i specjalnych systemach kontroli ▌;
e) wdrażają polityki, procedury i kontrole w zakresie zarządzania zmianą w systemach ICT, w tym zmianami w oprogramowaniu, sprzęcie komputerowym, komponentach oprogramowania układowego, systemie lub zmianami dotyczącymi bezpieczeństwa, które opierają się na podejściu opartym na ocenie ryzyka i stanowią integralną część ogólnego procesu zarządzania zmianami w podmiocie finansowym, w celu zapewnienia rejestrowania, testowania, oceniania, zatwierdzania, wdrażania i weryfikowania w sposób kontrolowany wszystkich zmian w systemach ICT;
f) mają odpowiednią i kompleksową politykę dotyczącą poprawek i aktualizacji.
Do celów lit. b) podmioty finansowe projektują infrastrukturę przyłączeniową do sieci w sposób umożliwiający jej jak najszybsze wydzielenie i zapewniają jej podział i segmentację w celu zminimalizowania efektu domina i zapobiegania mu, zwłaszcza w przypadku wzajemnie powiązanych procesów finansowych.
Do celów lit. e) proces zarządzania zmianami ICT zatwierdzają właściwe struktury kierownicze i obejmuje on specjalne protokoły umożliwiające wprowadzanie zmian w sytuacjach nadzwyczajnych.
Artykuł 9
Wykrywanie
1. Podmioty finansowe dysponują mechanizmami pozwalającymi na szybkie wykrywanie nietypowych działań, zgodnie z art. 15, w tym problemów związanych z wydajnością sieci ICT i incydentów związanych z ICT, oraz, gdy jest możliwe pod względem technologicznym, na identyfikację i monitorowanie wszystkich potencjalnych pojedynczych istotnych punktów awarii.
Wszystkie mechanizmy wykrywania, o których mowa w akapicie pierwszym, są regularnie testowane zgodnie z art. 22.
2. Mechanizmy wykrywania, o których mowa w ust. 1, ▌uruchamiają procesy wykrywania incydentów związanych z ICT oraz reagowania na incydenty związane z ICT, w tym automatyczne mechanizmy ostrzegawcze dla odpowiednich pracowników odpowiedzialnych za reagowanie na incydenty związane z ICT.
3. Podmioty finansowe przeznaczają wystarczające zasoby i zdolności ▌ na monitorowanie działalności użytkowników, występowania nieprawidłowości w zakresie ICT oraz incydentów związanych z ICT, w szczególności cyberataków.
3a. Podmioty finansowe rejestrują wszystkie incydenty związane z ICT, które mają wpływ na stabilność, ciągłość lub jakość usług finansowych, w tym przypadki, gdy incydent ma lub może mieć wpływ na takie usługi.
4. Podmioty finansowe, o których mowa w art. 2 ust. 1 lit. l), dodatkowo posiadają systemy umożliwiające skuteczną kontrolę sprawozdań z transakcji pod kątem kompletności, wykrywanie przeoczeń i oczywistych błędów oraz żądanie ponownego przesłania wszelkich takich błędnych sprawozdań.
Artykuł 10
Reagowanie i przywracanie gotowości do pracy
1. W kontekście ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 5 ust. 1, oraz w oparciu o wymogi dotyczące identyfikacji określone w art. 7, podmioty finansowe wprowadzają ▌ kompleksową politykę ciągłości działania w zakresie ICT, która może zostać przyjęta jako specjalna odrębna polityka i jako integralna część szerszej ogólnej polityki w zakresie operacyjnej ciągłości działania podmiotu finansowego.
Polityka ciągłości działania w zakresie ICT ma na celu zarządzanie ryzykiem, które mogłoby mieć szkodliwy wpływ na systemy ICT i usługi ICT podmiotów finansowych, oraz ograniczanie tego ryzyka, a także, w razie potrzeby, ułatwianie szybkiego przywrócenia ich gotowości do pracy. Opracowując politykę ciągłości działania w zakresie ICT, podmioty finansowe uwzględniają w szczególności ryzyko, które mogłoby mieć szkodliwy wpływ na usługi ICT i systemy ICT.
2. Podmioty finansowe realizują politykę ciągłości działania w zakresie ICT, o której mowa w ust. 1, poprzez specjalne, odpowiednie i udokumentowane ustalenia, plany, procedury i mechanizmy, których celem jest:
b) zapewnienie ciągłości pełnienia przez podmiot finansowy jego kluczowych funkcji;
c) szybkie, właściwe i skuteczne reagowanie na wszystkie incydenty związane z ICT, w szczególności między innymi cyberataki, i ich rozwiązywanie w sposób ograniczający szkody i nadający priorytet wznowieniu działań i działaniom mającym na celu przywrócenie gotowości do pracy;
d) bezzwłoczne uruchamianie specjalnych planów umożliwiających zastosowanie środków, procesów i technologii ograniczających rozprzestrzenianie się, dostosowanych do każdego rodzaju incydentu związanego z ICT i zapobiegających dalszym szkodom, jak również dostosowanych do potrzeb procedur reagowania i przywracania gotowości do pracy ustanowionych zgodnie z art. 11;
e) szacowanie wstępnych skutków, szkód i strat;
f) określanie działań w zakresie komunikacji i zarządzania kryzysowego, które zapewniają przekazywanie aktualnych informacji wszystkim odpowiednim pracownikom wewnętrznym i zewnętrznym zainteresowanym stronom zgodnie z art. 13 i zgłaszanie ich właściwym organom zgodnie z art. 17.
3. W kontekście ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 5 ust. 1, podmioty finansowe wdrażają powiązany z ich działalnością plan przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej w zakresie ICT, który w przypadku podmiotów finansowych innych niż mikroprzedsiębiorstwa podlega niezależnym przeglądom audytowym.
4. Podmioty finansowe wprowadzają, utrzymują i okresowo testują odpowiednie plany ciągłości działania w zakresie ICT, w szczególności w odniesieniu do kluczowych lub ważnych funkcji zlecanych zewnętrznym dostawcom usług ICT lub będących przedmiotem ustaleń z tymi dostawcami.
5. W ramach kompleksowego zarządzania ryzykiem związanym z ICT podmioty finansowe:
a) co najmniej raz w roku oraz po wprowadzeniu istotnych zmian w kluczowych lub ważnych systemach ICT testują politykę ciągłości działania w zakresie ICT oraz plan przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej w zakresie ICT;
b) testują plany działań informacyjnych na wypadek wystąpienia sytuacji kryzysowej ustanowione zgodnie z art. 13.
Do celów lit. a) podmioty finansowe inne niż mikroprzedsiębiorstwa uwzględniają w planach testów scenariusze cyberataków i pracy awaryjnej w trakcie przełączania się z podstawowej infrastruktury ICT na nadmiarowe zdolności w zakresie ICT, kopie zapasowe i urządzenia redundantne, które są konieczne do wypełniania obowiązków określonych w art. 11.
Podmioty finansowe dokonują regularnych przeglądów swojej polityki ciągłości działania w zakresie ICT oraz planu przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej w zakresie ICT, uwzględniając wyniki testów przeprowadzonych zgodnie z akapitem pierwszym oraz zalecenia wynikające z kontroli audytowych lub przeglądów nadzorczych.
6. Podmioty finansowe inne niż mikroprzedsiębiorstwa posiadają funkcję zarządzania w sytuacji kryzysowej albo w formie specjalnej funkcji, albo jako części funkcji odpowiedzialnych za reagowanie na incydenty i zarządzanie nimi. Funkcja zarządzania w sytuacji kryzysowej – w przypadku uruchomienia ich polityki ciągłości działania w zakresie ICT lub planu przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej w zakresie ICT – określa jasne procedury zarządzania wewnętrznymi i zewnętrznymi działaniami informacyjnymi na wypadek wystąpienia sytuacji kryzysowej zgodnie z art. 13.
7. W przypadku uruchomienia polityki ciągłości działania w zakresie ICT lub planu przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej w zakresie ICT podmioty finansowe prowadzą ewidencję istotnych działań prowadzonych przed wystąpieniem zakłóceń i w trakcie ich wystąpienia. Taka ewidencja jest łatwo dostępna.
8. Podmioty finansowe, o których mowa w art. 2 ust. 1 lit. f), dostarczają właściwym organom kopie wyników testów ciągłości działania w zakresie ICT lub podobnych testów przeprowadzonych w okresie objętym przeglądem.
9. Podmioty finansowe inne niż mikroprzedsiębiorstwa zgłaszają właściwym organom wszystkie szacowane koszty i straty finansowe spowodowane znacznymi zakłóceniami w funkcjonowaniu ICT oraz poważnymi incydentami związanymi z ICT.
9a. Europejskie Urzędy Nadzoru za pośrednictwem Wspólnego Komitetu opracowują wspólne wytyczne dotyczące metodyki obliczania kosztów i ilościowego określania strat, o których mowa w ust. 9.
Artykuł 11
Zasady tworzenia kopii zapasowych i metody odzyskiwania danych
1. W celu zapewnienia przywrócenia systemów ICT przy minimalnym przestoju i ograniczonych zakłóceniach, w kontekście ram zarządzania ryzykiem związanym z ICT podmioty finansowe opracowują:
a) zasady tworzenia kopii zapasowych, w których określono zakres danych, które obejmuje kopia zapasowa, oraz minimalną częstotliwość tworzenia kopii zapasowej, w oparciu o krytyczność informacji lub wrażliwość danych;
b) metody odzyskiwania danych.
2. Zgodnie z zasadami tworzenia kopii zapasowych określonymi w ust. 1 lit. a) systemy kopii zapasowych rozpoczynają przetwarzanie bez zbędnej zwłoki, chyba że ich uruchomienie zagrażałoby bezpieczeństwu sieci i systemów informatycznych lub integralności bądź poufności danych.
3. Przy przywracaniu danych z kopii zapasowych przy użyciu własnych systemów podmioty finansowe korzystają z systemów ICT, które są oddzielone fizycznie lub logicznie od ich głównego systemu ICT i które są zabezpieczone przed wszelkim nieupoważnionym dostępem lub zakłóceniem integralności ICT.
W przypadku podmiotów finansowych, o których mowa w art. 2 ust. 1 lit. g), plany naprawcze umożliwiają odzyskanie wszystkich transakcji realizowanych w chwili wystąpienia zakłócenia, tak aby umożliwić kontrahentowi centralnemu dalsze niezawodne prowadzenie działalności oraz ukończenie rozrachunku w wyznaczonym terminie.
4. Podmioty finansowe analizują potrzebę utrzymania nadmiarowych zdolności w zakresie ICT posiadających zasoby i funkcje, które są wystarczające i odpowiednie do zaspokojenia potrzeb biznesowych i spełniają wymogi w zakresie operacyjnej odporności cyfrowej określone w niniejszym rozporządzeniu.
5. Podmioty finansowe, o których mowa w art. 2 ust. 1 lit. f), utrzymują lub zapewniają utrzymanie przez swoich zewnętrznych dostawców usług ICT co najmniej drugiej lokalizacji przetwarzania danych, wyposażonej w zasoby, zdolności, funkcje i personel wystarczające i odpowiednie do zaspokojenia potrzeb biznesowych.
Druga lokalizacja przetwarzania danych:
a) znajduje się w takiej odległości geograficznej od głównego miejsca przetwarzania danych, która zapewnia posiadanie odmiennego profilu ryzyka i zapobiega oddziaływaniu na nią zdarzenia, które wpłynęło na główne miejsce przetwarzania danych;
b) może zapewnić ciągłość kluczowych usług identycznie jak w przypadku głównego miejsca przetwarzania danych lub świadczyć usługi na poziomie niezbędnym do zapewnienia realizacji przez podmiot finansowy kluczowych działań w ramach celów związanych ze wznowieniem funkcji;
c) jest ▌dostępna dla personelu podmiotu finansowego, aby zapewnić ciągłość świadczenia kluczowych lub ważnych funkcji, w przypadku gdy główne miejsce przetwarzania danych stanie się niedostępne.
6. Określając zakładany czas wznowienia oraz akceptowalny poziom utraty danych w odniesieniu do każdej funkcji, podmioty finansowe biorą pod uwagę to, czy funkcja jest ważna lub krytyczna, oraz potencjalny ogólny wpływ na efektywność rynku. Takie zakładane czasy wznowienia funkcji zapewniają osiągnięcie uzgodnionych poziomów usług w scenariuszach warunków skrajnych.
7. Podczas odzyskiwania danych po incydencie związanym z ICT podmioty finansowe zapewniają najwyższy poziom integralności danych, na przykład przeprowadzają wielokrotne kontrole, w tym uzgodnienia. Takie kontrole ▌ przeprowadza się również podczas odtwarzania danych pochodzących od zewnętrznych zainteresowanych stron, aby zapewnić spójność wszystkich danych między systemami.
Artykuł 12
Uczenie się i rozwój
1. Podmioty finansowe dysponują zdolnościami i personelem ▌umożliwiającymi im gromadzenie informacji na temat luk oraz cyberzagrożeń, incydentów związanych z ICT, w szczególności cyberataków, oraz analizę ich prawdopodobnego wpływu na operacyjną odporność cyfrową podmiotów finansowych.
2. Podmioty finansowe przeprowadzają przeglądy poważnych incydentów związanych z ICT po wystąpieniu istotnych zakłóceń w ich głównej działalności związanych z funkcjonowaniem ICT, analizując przyczyny zakłócenia i identyfikując wymagane ulepszenia operacji ICT lub polityki ciągłości działania w zakresie ICT, o której mowa w art. 10.
W przypadku wprowadzenia zmian dotyczących reagowania na ryzyko związane z ICT stwierdzone w wyniku przeglądu poważnych incydentów związanych z ICT podmioty finansowe inne niż mikroprzedsiębiorstwa informują o wszystkich istotnych zmianach właściwe organy, wyszczególniając wymagane ulepszenia oraz sposób, w jaki mają one w przyszłości zapobiegać zakłóceniom lub je łagodzić. Powiadomienie właściwych organów o zmianach może nastąpić przed wprowadzeniem zmian lub po ich wprowadzeniu.
W ramach przeglądów incydentów związanych z ICT, o których mowa w akapicie pierwszym, przeprowadzanych po ich wystąpieniu bada się, czy przestrzegano ustalonych procedur i czy podjęte działania były skuteczne, w tym pod względem:
a) szybkości reagowania na ostrzeżenia dotyczące bezpieczeństwa i określania skutków incydentów związanych z ICT oraz ich wagi;
b) jakości i szybkości przeprowadzania analizy śledczej;
c) skuteczności eskalacji incydentów w podmiocie finansowym;
d) skuteczności komunikacji wewnętrznej i zewnętrznej.
3. W procesie oceny ryzyka związanego z ICT należycie uwzględnia się na bieżąco wnioski z testów operacyjnej odporności cyfrowej przeprowadzonych zgodnie z art. 23 i 24 oraz z rzeczywistych incydentów związanych z ICT, w szczególności cyberataków, wraz z wyzwaniami związanymi z uruchomieniem planów ciągłości działania lub planów przywrócenia gotowości do pracy, a także z odpowiednimi informacjami wymienianymi z kontrahentami i ocenianymi podczas przeglądów nadzorczych. Ustalenia te przekładają się na stosowne przeglądy odpowiednich elementów ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 5 ust. 1.
4. Podmioty finansowe monitorują skuteczność wdrażania swojej strategii odporności cyfrowej określonej w art. 5 ust. 9. Ewidencjonują one zmiany ryzyka związanego z ICT w czasie, w tym bliskość tego ryzyka do kluczowych lub ważnych funkcji, analizują częstotliwość, rodzaje, skalę i zmiany incydentów związanych z ICT, w szczególności cyberataków i ich wzorców, w celu zrozumienia poziomu narażenia na ryzyko związane z ICT oraz zwiększenia dojrzałości i gotowości podmiotu finansowego do działania w cyberprzestrzeni.
5. Kadra kierownicza ds. ICT składa organowi zarządzającemu co najmniej raz w roku sprawozdanie z ustaleń, o których mowa w ust. 3, i przedstawia zalecenia.
6. Podmioty finansowe w ramach swoich programów szkoleniowych dla personelu przygotowują obowiązkowe moduły obejmujące programy zwiększania świadomości w zakresie bezpieczeństwa ICT oraz szkolenia w zakresie operacyjnej odporności cyfrowej. Programy zwiększania świadomości w zakresie bezpieczeństwa ICT skierowane są do całego personelu. Szkolenia w zakresie operacyjnej odporności cyfrowej skierowane są co najmniej do wszystkich pracowników mających uprawnienia bezpośredniego dostępu do systemów ICT oraz do kadry kierowniczej wyższego szczebla. Złożoność modułów szkoleniowych jest współmierna do poziomu bezpośredniego dostępu członków personelu do systemów ICT, ze szczególnym uwzględnieniem ich dostępu do kluczowych lub ważnych funkcji.
Podmioty finansowe inne niż mikroprzedsiębiorstwa na bieżąco monitorują zmiany technologiczne, również aby zrozumieć możliwy wpływ wdrażania takich nowych technologii na wymogi bezpieczeństwa ICT i operacyjną odporność cyfrową. Śledzą one rozwój najnowszych procesów zarządzania ryzykiem związanym z ICT, skutecznie przeciwdziałając dotychczasowym lub nowym formom cyberataków.
Artykuł 13
Komunikacja
1. W kontekście ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 5 ust. 1, podmioty finansowe posiadają plany działań informacyjnych umożliwiające odpowiedzialne ujawnianie co najmniej poważnych incydentów związanych z IT lub poważnych luk klientom i kontrahentom, a także, w stosownych przypadkach, opinii publicznej.
Plany działań informacyjnych, o których mowa w akapicie pierwszym, zapewniają również coroczne ujawnianie klientom i kontrahentom podsumowania wszystkich incydentów związanych z ICT. Przy takim ujawnieniu w pełni uwzględnia się tajemnicę handlową podmiotu finansowego oraz jego klientów i kontrahentów i nie osłabia się ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 5 ust. 1.
2. W kontekście ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 5 ust. 1, podmioty finansowe realizują politykę komunikacyjną dla pracowników i zewnętrznych zainteresowanych stron. W polityce komunikacyjnej skierowanej do pracowników uwzględnia się potrzebę rozróżnienia między pracownikami zaangażowanymi w zarządzanie ryzykiem związanym z ICT, w szczególności w zakresie reagowania i przywracania gotowości do pracy, a pracownikami, których należy informować.
3. Co najmniej jednej osobie w podmiocie powierza się zadanie wdrożenia strategii komunikacyjnej w zakresie co najmniej poważnych incydentów związanych z ICT oraz rolę rzecznika ds. kontaktów z opinią publiczną i mediami.
Artykuł 14
Dalsza harmonizacja narzędzi, metod, procesów i polityk zarządzania ryzykiem związanym z ICT
Europejski Urząd Nadzoru Bankowego (EUNB), Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA) oraz Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA) opracowują, w porozumieniu z Agencją Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA), projekty regulacyjnych standardów technicznych do następujących celów:
a) doprecyzowanie elementów, które należy uwzględnić w politykach, procedurach, protokołach i narzędziach w zakresie bezpieczeństwa ICT, o których mowa w art. 8 ust. 2, w celu zapewnienia bezpieczeństwa sieci, odpowiednich zabezpieczeń przed włamaniami i wykorzystaniem danych niezgodnie z przeznaczeniem, zachowania autentyczności i integralności danych, w tym technik kryptograficznych, oraz zagwarantowania dokładnego i szybkiego przesyłania danych bez poważnych zakłóceń i zbędnych opóźnień;
d) doprecyzowanie elementów kontroli praw zarządzania dostępem, o których mowa w art. 8 ust. 4 lit. c), oraz związanej z nimi polityki zasobów ludzkich określającej prawa dostępu, procedury przyznawania i cofania praw, monitorowanie nietypowych zachowań w odniesieniu do ryzyka związanego z ICT za pomocą odpowiednich wskaźników, w tym dotyczących wzorców wykorzystania sieci, godzin, działalności informatycznej i nieznanych urządzeń;
e) doprecyzowanie elementów określonych w art. 9 ust. 1 umożliwiających szybkie wykrywanie nietypowych działań oraz kryteriów, o których mowa w art. 9 ust. 2, uruchamiania procesów wykrywania incydentów związanych z ICT i reagowania na nie;
f) doprecyzowanie elementów polityki ciągłości działania w zakresie ICT, o której mowa w art. 10 ust. 1;
g) doprecyzowanie testowania planów ciągłości działania w zakresie ICT, o których mowa w art. 10 ust. 5, aby zapewnić należyte uwzględnienie scenariuszy, w których jakość pełnienia kluczowej lub ważnej funkcji pogarsza się do niedopuszczalnego poziomu lub funkcja ta przestaje być pełniona, a także należyte uwzględnienie potencjalnego wpływu niewypłacalności lub innych rodzajów awarii któregokolwiek z odnośnych zewnętrznych dostawców usług ICT oraz, w stosownych przypadkach, ryzyka politycznego w jurysdykcjach odnośnych dostawców;
h) doprecyzowanie elementów planu przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej w zakresie ICT, o którym mowa w art. 10 ust. 3.
EUNB, ESMA i EIOPA przedkładają Komisji te projekty regulacyjnych standardów technicznych do dnia [Dz.U.: należy wstawić datę przypadającą 1 rok od dnia wejścia w życie niniejszego rozporządzenia] r.
Komisja jest uprawniona do przyjmowania regulacyjnych standardów technicznych, o których mowa w akapicie pierwszym, zgodnie z art. 10–14 odpowiednio rozporządzenia (UE) nr 1093/2010, rozporządzenia (UE) nr 1094/2010 i rozporządzenia (UE) nr 1095/2010.
Artykuł 14a
Ramy zarządzania ryzykiem związanym z ICT dla małych, niepowiązanych wzajemnie i objętych wyłączeniem podmiotów
1. Zgodnie z art. 3a małe i niepowiązane wzajemnie firmy inwestycyjne, instytucje płatnicze wyłączone na mocy dyrektywy (UE) 2015/2366, instytucje kredytowe wyłączone na mocy dyrektywy 2013/36/UE, instytucje pieniądza elektronicznego wyłączone na mocy dyrektywy 2009/110/WE oraz małe instytucje pracowniczych programów emerytalnych wprowadzają i utrzymują solidne i udokumentowane ramy zarządzania ryzykiem związanym z ICT, które:
a) szczegółowo określają mechanizmy i środki mające na celu szybkie, skuteczne i kompleksowe zarządzanie wszystkimi rodzajami ryzyka związanego z ICT, m.in. w celu ochrony odpowiednich elementów fizycznych i infrastruktury;
b) stale monitorują bezpieczeństwo i funkcjonowanie wszystkich systemów ICT;
c) minimalizują wpływ ryzyka związanego z ICT poprzez stosowanie solidnych, odpornych i zaktualizowanych systemów, protokołów i narzędzi ICT, które są odpowiednie do wspierania realizacji ich działań i świadczenia usług;
d) odpowiednio chronią poufność, integralność i dostępność sieci danych i systemów informatycznych;
e) umożliwiają szybką identyfikację i wykrywanie źródeł ryzyka i nieprawidłowości w sieci i systemach informatycznych oraz szybkie reagowanie na incydenty ICT.
2. Ramy zarządzania ryzykiem związanym z ICT, o których mowa w ust. 1, są dokumentowane i poddawane przeglądowi co najmniej raz w roku, a także w przypadku wystąpienia poważnych incydentów związanych z ICT oraz zgodnie z instrukcjami nadzorczymi lub wnioskami wynikającymi z odpowiednich testów operacyjnej odporności cyfrowej lub procesów audytu. Są one stale ulepszane na podstawie wniosków płynących z wdrażania i monitorowania.
Sprawozdanie z przeglądu ram zarządzania ryzykiem związanym z ICT przedkłada się co roku właściwemu organowi.
ROZDZIAŁ III
INCYDENTY ZWIĄZANE Z ICT
ZARZĄDZANIE, KLASYFIKACJA i ZGŁASZANIE
Artykuł 15
Proces zarządzania incydentami związanymi z ICT
1. Podmioty finansowe ustanawiają i wdrażają proces zarządzania incydentami związanymi z ICT w celu wykrywania incydentów związanych z ICT, zarządzania nimi i ich zgłaszania oraz wprowadzają jako ostrzeżenia wskaźniki wczesnego ostrzegania.
2. Podmioty finansowe ustanawiają odpowiednie procedury i procesy mające zapewnić spójne i zintegrowane monitorowanie incydentów związanych z ICT i postępowanie z takimi incydentami oraz działania następcze w związku z takimi incydentami, aby zagwarantować zidentyfikowanie i uwzględnienie podstawowych przyczyn, co ma zapobiec występowaniu takich incydentów.
3. Proces zarządzania incydentami związanymi z ICT, o którym mowa w ust. 1, obejmuje:
a) ustanowienie procedur identyfikowania, śledzenia, rejestrowania, kategoryzowania i klasyfikowania incydentów związanych z ICT według ich priorytetu oraz wagi i krytyczności usług, na które incydenty te mają wpływ, zgodnie z kryteriami, o których mowa w art. 16 ust. 1;
b) przydzielenie ról i obowiązków, które należy wprowadzić w odniesieniu do różnych rodzajów i scenariuszy incydentów związanych z ICT;
c) określenie planów działań informacyjnych skierowanych do pracowników, zewnętrznych zainteresowanych stron i mediów zgodnie z art. 13 oraz powiadamiania klientów, wewnętrznych procedur eskalacji, w tym skarg klientów związanych z ICT, jak również, w stosownych przypadkach, dostarczania informacji podmiotom finansowym działającym jako kontrahenci;
d) zapewnienie zgłaszania przynajmniej poważnych incydentów związanych z ICT właściwej kadrze kierowniczej wyższego szczebla oraz informowanie organu zarządzającego o poważnych incydentach związanych z ICT wraz z wyjaśnieniem wpływu, reakcji i dodatkowych kontroli, które należy ustanowić w wyniku poważnych incydentów związanych z ICT;
e) ustanowienie procedur reagowania na incydenty związane z ICT w celu złagodzenia skutków i zapewnienia przywrócenia operacyjności i bezpieczeństwa usług w rozsądnym terminie.
Artykuł 16
Klasyfikacja incydentów związanych z ICT
1. Podmioty finansowe dokonują klasyfikacji incydentów związanych z ICT i określają ich wpływ na podstawie następujących kryteriów:
a) liczby użytkowników lub kontrahentów finansowych, których dotknęło zakłócenie spowodowane incydentem związanym z ICT▐;
b) czasu trwania incydentu związanego z ICT, w tym przerwa w świadczeniu usług;
c) zasięgu geograficznego, który ma incydent związany z ICT, w szczególności jeżeli dotyczy on więcej niż dwóch państw członkowskich;
d) utraty danych, którą powoduje incydent związany z ICT, np. utraty integralności, utraty poufności lub utraty dostępności;
e) wagi wpływu incydentu związanego z ICT na systemy ICT podmiotu finansowego;
f) krytyczności usług, których dotyczy incydent związany z ICT, w tym transakcji i operacji podmiotu finansowego;
g) wpływu gospodarczego incydentu związanego z ICT, zarówno w kategoriach bezwzględnych, jak i względnych.
2. Europejskie Urzędy Nadzoru – za pośrednictwem Wspólnego Komitetu Europejskich Urzędów Nadzoru („Wspólny Komitet”) i w koordynacji z Europejskim Bankiem Centralnym (EBC) i ENISA – opracowują wspólne projekty regulacyjnych standardów technicznych, doprecyzowując:
a) kryteria określone w ust. 1, w tym progi istotności do celów ustalania poważnych incydentów związanych z ICT, które podlegają obowiązkowi zgłaszania określonemu w art. 17 ust. 1;
b) kryteria, które mają być stosowane przez właściwe organy do celów oceny znaczenia poważnych incydentów związanych z ICT dla jurysdykcji innych państw członkowskich, oraz szczegółowe informacje dotyczące zgłaszania poważnych incydentów związanych z ICT, które mają być udostępniane innym właściwym organom zgodnie z art. 17 ust. 5 i 6.
3. Opracowując wspólne projekty regulacyjnych standardów technicznych, o których mowa w ust. 2, Europejskie Urzędy Nadzoru biorą pod uwagę normy międzynarodowe, jak również specyfikacje opracowane i opublikowane przez ENISA, w tym, w stosownych przypadkach, specyfikacje dotyczące innych sektorów gospodarki. Europejskie Urzędy Nadzoru uwzględniają ponadto fakt, że terminowe i skuteczne zarządzanie incydentem przez małe przedsiębiorstwa i mikroprzedsiębiorstwa nie jest ograniczone koniecznością przestrzegania wymogów dotyczących klasyfikacji określonych w niniejszym artykule. Europejskie Urzędy Nadzoru biorą również pod uwagę wielkość podmiotów finansowych, charakter, skalę i złożoność ich usług, działań i operacji oraz ich ogólny profil ryzyka.
Europejskie Urzędy Nadzoru przedstawiają Komisji te wspólne projekty regulacyjnych standardów technicznych do dnia [Urząd Publikacji: należy wstawić datę przypadającą 2 lata od dnia wejścia w życie niniejszego rozporządzenia] r.
Komisja jest uprawniona do uzupełnienia niniejszego rozporządzenia w drodze przyjmowania regulacyjnych standardów technicznych, o których mowa w ust. 2, zgodnie z art. 10–14 odpowiednio rozporządzenia (UE) nr 1093/2010, rozporządzenia (UE) nr 1094/2010 i rozporządzenia (UE) nr 1095/2010.
Artykuł 17
Zgłaszanie poważnych incydentów związanych z ICT
1. Podmioty finansowe zgłaszają poważne incydenty związane z ICT odpowiedniemu właściwemu organowi, o którym mowa w art. 41, w terminach określonych w ust. 3.
Do celów akapitu pierwszego podmioty finansowe – po zebraniu i przeanalizowaniu wszystkich istotnych informacji – sporządzają sprawozdanie z incydentu, wykorzystując wzór, o którym mowa w art. 18, i przedkładają je właściwemu organowi.
Sprawozdanie to zawiera wszystkie informacje niezbędne właściwemu organowi do określenia znaczenia poważnego incydentu związanego z ICT oraz do oceny ewentualnych skutków transgranicznych.
1a. Podmioty finansowe mogą dobrowolnie zgłaszać znaczne cyberzagrożenia odpowiedniemu właściwemu organowi, jeżeli uznają dane zagrożenie za istotne dla systemu finansowego, użytkowników usług lub klientów. Odpowiedni właściwy organ może przekazać takie informacje innym odpowiednim organom zgodnie z ust. 5.
2. W przypadku gdy poważny incydent związany z ICT wystąpi i ma istotny wpływ na interesy finansowe użytkowników usług i klientów, podmioty finansowe bez zbędnej zwłoki informują swoich użytkowników usług i klientów o poważnym incydencie związanym z ICT oraz▐ informują ich o istotnych środkach, które podjęto w celu ograniczenia niekorzystnych skutków takiego incydentu. W przypadku gdy nie wystąpią szkody dla użytkowników usług i klientów wynikające ze środków zaradczych podjętych przez podmiot finansowy, wymóg informowania użytkowników usług i klientów nie ma zastosowania.
3. Podmioty finansowe przedkładają właściwemu organowi, o którym mowa w art. 41:
a) wstępne zgłoszenie poważnego incydentu związanego z ICT, które zawiera informacje dostępne podmiotowi zgłaszającemu, na zasadzie najlepszych starań, w następujący sposób:
(i) w odniesieniu do incydentów, które znacząco zakłócają dostępność usług świadczonych przez podmiot finansowy, właściwy organ jest powiadamiany bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od uzyskania informacji o incydencie;
(ii) w odniesieniu do incydentów, które mają znaczący wpływ na dany podmiot w innych aspektach niż dostępność usług świadczonych przez ten podmiot, właściwy organ jest powiadamiany bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od uzyskania informacji o incydencie;
(iii) w odniesieniu do incydentów, które mają wpływ na integralność, poufność lub bezpieczeństwo danych osobowych przechowywanych przez ten podmiot finansowy, właściwy organ jest powiadamiany bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od uzyskania informacji o incydencie;
b) sprawozdanie śródokresowe, gdy tylko status pierwotnego incydentu ulegnie znacznej zmianie lub pojawią się nowe informacje, które mogłyby mieć poważny wpływ na sposób, w jaki właściwy organ podejmuje działania w odniesieniu do incydentu związanego z ICT, nie później niż tydzień po wstępnym powiadomieniu, o którym mowa w lit. a), po którym, w stosownych przypadkach, składa się uaktualnione powiadomienia za każdym razem, gdy dostępna jest odpowiednia aktualizacja statusu, jak również na specjalny wniosek właściwego organu;
c) sprawozdanie końcowe, po zakończeniu analizy podstawowych przyczyn, niezależnie od tego, czy wdrożono już środki ograniczające niekorzystne skutki incydentu, oraz po udostępnieniu danych dotyczących rzeczywistego oddziaływania zastępujących dane szacunkowe, jednak nie później niż w terminie jednego miesiąca od daty przesłania wstępnego powiadomienia.
ca) jeżeli incydent jeszcze trwa w momencie przedłożenia sprawozdania końcowego, o którym mowa w lit. c), sprawozdanie końcowe przedstawia się miesiąc po rozwiązaniu problemu.
Odpowiedni właściwy organ, o którym mowa w art. 41, zapewnia, aby w należycie uzasadnionych przypadkach podmiot finansowy mógł odstąpić od terminów określonych w lit. a), b), c) i ca) niniejszego ustępu, należycie uwzględniając zdolność podmiotów finansowych do dostarczania dokładnych i konkretnych informacji w odniesieniu do poważnych incydentów związanych z ICT.
4. Podmioty finansowe mogą powierzyć obowiązki zgłaszania na podstawie niniejszego artykułu zewnętrznemu dostawcy usług wyłącznie po zatwierdzeniu przekazania przez odpowiedni właściwy organ, o którym mowa w art. 41. W przypadku takiego powierzenia obowiązków podmiot finansowy ponosi pełną odpowiedzialność za spełnienie wymogów dotyczących zgłaszania incydentów.
5. Po otrzymaniu sprawozdania, o którym mowa w ust. 1, właściwy organ bez zbędnej zwłoki przekazuje szczegółowe informacje dotyczące poważnego incydentu związanego z ICT:
a) EUNB, ESMA lub EIOPA, stosownie do przypadku;
b) EBC, w stosownych przypadkach, w przypadku podmiotów finansowych, o których mowa w art. 2 ust. 1 lit. a), b) i c); oraz
c) pojedynczemu punktowi kontaktowemu wyznaczonemu zgodnie z art. 8 dyrektywy (UE) 2016/1148 lub CSIRT wyznaczonym zgodnie z art. 9 dyrektywy (UE) 2016/1148;
ca) organowi ds. restrukturyzacji i uporządkowanej likwidacji odpowiedzialnemu za dany podmiot finansowy; Jednolitej Radzie ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB) w odniesieniu do podmiotów, o których mowa w art. 7 ust. 2 rozporządzenia (UE) nr 806/2014, oraz w odniesieniu do podmiotów i grup, o których mowa w art. 7 ust. 4 lit. b) i art. 7 ust. 5 rozporządzenia (UE) nr 806/2014, jeżeli spełnione są warunki stosowania tych ustępów;
cb) krajowym organom ds. restrukturyzacji i uporządkowanej likwidacji w odniesieniu do podmiotów i grup, o których mowa w art. 7 ust. 3 rozporządzenia (UE) nr 806/2014. Krajowe organy ds. restrukturyzacji i uporządkowanej likwidacji co kwartał przekazują SRB podsumowanie sprawozdań otrzymanych na mocy niniejszej litery w odniesieniu do podmiotów i grup, o których mowa w art. 7 ust. 3 rozporządzenia (UE) nr 806/2014;
cc) innym właściwym organom publicznym, w tym organom w innych państwach członkowskich.
6. EUNB, ESMA lub EIOPA i EBC, we współpracy z ENISA, oceniają istotność poważnego incydentu związanego z ICT dla innych odpowiednich organów publicznych i jak najszybciej odpowiednio je powiadamiają. EBC powiadamia członków Europejskiego Systemu Banków Centralnych o kwestiach mających znaczenie dla systemu płatności. Na podstawie tego powiadomienia właściwe organy podejmują w stosownych przypadkach wszelkie niezbędne środki w celu ochrony bieżącej stabilności systemu finansowego.
Artykuł 18
Harmonizacja treści i wzorów zgłoszeń
1. Europejskie Urzędy Nadzoru, za pośrednictwem Wspólnego Komitetu i po konsultacji z ENISA oraz EBC, opracowują:
a) wspólne projekty regulacyjnych standardów technicznych w celu:
1) ustalenia treści zgłoszeń dotyczących poważnych incydentów związanych z ICT;
2) doprecyzowania warunków, na jakich podmioty finansowe mogą powierzyć zewnętrznemu dostawcy usług, po uprzednim zatwierdzeniu przez właściwy organ, obowiązki sprawozdawcze określone w niniejszym rozdziale;
3) doprecyzowania kryteriów określania wpływu poważnego incydentu związanego z ICT na podmiot finansowy do celów art. 17 ust. 3 lit. a).
b) wspólne projekty wykonawczych standardów technicznych w celu ustanowienia standardowych formularzy, wzorów i procedur stosowanych przez podmioty finansowe do celów zgłaszania poważnych incydentów związanych z ICT.
Europejskie Urzędy Nadzoru przedkładają Komisji wspólne projekty regulacyjnych standardów technicznych, o których mowa w akapicie pierwszym lit. a), oraz wspólne projekty wykonawczych standardów technicznych, o których mowa w akapicie pierwszym, do dnia xx 202x r. [Urząd Publikacji: należy wstawić datę przypadającą 2 lata od dnia wejścia w życie niniejszego rozporządzenia].
Komisja jest uprawniona do uzupełnienia niniejszego rozporządzenia w drodze przyjmowania wspólnych regulacyjnych standardów technicznych, o których mowa w akapicie pierwszym, zgodnie z art. 10–14 odpowiednio rozporządzenia (UE) nr 1093/2010, rozporządzenia (UE) nr 1095/2010 i rozporządzenia (UE) nr 1094/2010.
Komisja jest uprawniona do przyjmowania wspólnych wykonawczych standardów technicznych, o których mowa w akapicie pierwszym lit. b), zgodnie z art. 15 odpowiednio rozporządzenia (UE) nr 1093/2010, rozporządzenia (UE) nr 1095/2010 i rozporządzenia (UE) nr 1094/2010.
2. W oczekiwaniu na wyniki sprawozdania na temat wykonalności, o którym mowa w art. 19, dotyczącego dalszej centralizacji zgłaszania incydentów, Europejskie Urzędy Nadzoru, za pośrednictwem Wspólnego Komitetu i we współpracy z właściwymi organami, EBC, SRB i ENISA, opracowują wytyczne dotyczące wymiany informacji na temat zgłoszeń dotyczących poważnych incydentów związanych z ICT zgodnie z art. 17 ust. 5.
Wytyczne, o których mowa w akapicie pierwszym, obejmują przynajmniej następujące elementy:
a) najskuteczniejsze kanały komunikacji;
b) zachowanie bezpieczeństwa, poufności i integralności wymienianych danych;
c) ewentualne zaangażowanie podmiotów finansowych w celu uzupełnienia wymiany informacji, o której mowa w art. 40.
Artykuł 19
Centralizacja zgłaszania poważnych incydentów związanych z ICT
1. Europejskie Urzędy Nadzoru, za pośrednictwem Wspólnego Komitetu oraz w porozumieniu z EBC i ENISA, przygotowują wspólne sprawozdanie, w którym oceniona zostanie wykonalność dalszej centralizacji zgłaszania incydentów poprzez ustanowienie jednego unijnego węzła informacyjnego na potrzeby zgłaszania poważnych incydentów związanych z ICT przez podmioty finansowe. W sprawozdaniu zbadane zostają sposoby ułatwienia przepływu zgłoszeń incydentów związanych z ICT, ograniczenia związanych z nimi kosztów i wsparcia analiz tematycznych w celu zwiększenia konwergencji w zakresie nadzoru.
2. Sprawozdanie, o którym mowa w ust. 1, obejmuje co najmniej:
a) warunki wstępne do utworzenia jednego unijnego węzła informacyjnego;
b) korzyści, ograniczenia i możliwe ryzyko;
ba) zdolność do ustanowienia interoperacyjności i oceny jej wartości dodanej w odniesieniu do innych odpowiednich systemów sprawozdawczości, w tym dyrektywy (UE) 2016/1148.
c) elementy zarządzania operacyjnego;
d) warunki członkostwa;
e) zasady dostępu podmiotów finansowych i właściwych organów krajowych do jednego unijnego węzła informacyjnego;
f) wstępną ocenę kosztów finansowych związanych z utworzeniem platformy operacyjnej wspierającej jeden unijny węzeł informacyjny, w tym wymaganą wiedzę fachową.
3. Europejskie Urzędy Nadzoru przedkładają Komisji, Parlamentowi Europejskiemu i Radzie sprawozdanie, o którym mowa w ust. 1, do dnia xx 202x r. [Urząd Publikacji: należy wstawić datę przypadającą 3 lata od dnia wejścia w życie niniejszego rozporządzenia].
Artykuł 20
Informacje zwrotne od organów nadzoru
1. Po otrzymaniu sprawozdania, o którym mowa w art. 17 ust. 1, właściwy organ potwierdza otrzymanie powiadomienia i jak najszybciej przekazuje podmiotowi finansowemu wszelkie niezbędne informacje zwrotne lub wytyczne, w szczególności w celu omówienia środków zaradczych na poziomie danego podmiotu lub sposobów ograniczenia do minimum negatywnych skutków we wszystkich sektorach oraz przekazania odpowiednio zanonimizowanych informacji zwrotnych, wglądu i analiz wszystkim odnośnym podmiotom finansowym, jeśli mogłoby to być korzystne, w oparciu o wszelkie otrzymane zgłoszenia poważnych incydentów związanych z ICT.
2. Europejskie Urzędy Nadzoru – za pośrednictwem Wspólnego Komitetu – składają corocznie, na podstawie zanonimizowanych i zbiorczych danych, sprawozdanie dotyczące powiadomień o poważnych incydentach związanych z ICT otrzymanych od właściwych organów, określając co najmniej liczbę poważnych incydentów związanych z ICT, ich charakter, wpływ na działalność podmiotów finansowych lub klientów, szacowane koszty i podjęte działania naprawcze.
Europejskie Urzędy Nadzoru wydają ostrzeżenia i opracowują dane statystyczne wysokiego poziomu w celu wsparcia oceny zagrożeń i luk w obszarze ICT.
Artykuł 20a
Incydenty operacyjne lub incydenty bezpieczeństwa związane z płatnościami dotyczące niektórych podmiotów finansowych
Wymogi określone w niniejszym rozdziale mają również zastosowanie do incydentów operacyjnych lub incydentów bezpieczeństwa związanych z płatnościami oraz do poważnych incydentów operacyjnych lub incydentów bezpieczeństwa związanych z płatnościami, w przypadku gdy dotyczą one podmiotów finansowych, o których mowa w art. 2 ust. 1 lit. a), b) i c).
ROZDZIAŁ IV
TESTOWANIE OPERACYJNEJ ODPORNOŚCI CYFROWEJ
Artykuł 21
Ogólne wymogi dotyczące przeprowadzania testów operacyjnej odporności cyfrowej
1. Do celów oceny gotowości na wypadek incydentów związanych z ICT, określania braków, niedociągnięć lub słabych punktów w zakresie operacyjnej odporności cyfrowej oraz niezwłocznego wdrażania środków naprawczych podmioty finansowe inne niż mikroprzedsiębiorstwa ustanawiają i utrzymują▐ , solidny i kompleksowy program testowania operacyjnej odporności cyfrowej stanowiący integralną część ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 5, oraz dokonują przeglądu tego programu.
2. Program testowania operacyjnej odporności cyfrowej obejmuje szereg ocen, testów, metodyk, praktyk i narzędzi, które należy stosować zgodnie z przepisami art. 22 i 23.
3. Podczas realizacji programu testowania operacyjnej odporności cyfrowej, o którym mowa w ust. 1, podmioty finansowe stosują podejście oparte na analizie ryzyka, uwzględniając zmieniające się środowisko ryzyka związanego z ICT, wszelkie szczególne rodzaje ryzyka, na które podmiot finansowy jest lub może być narażony, krytyczność zasobów informacyjnych i świadczonych usług, jak również wszelkie inne czynniki, które podmiot finansowy uzna za stosowne.
4. Podmioty finansowe zapewniają, aby testy były przeprowadzane przez niezależne strony wewnętrzne lub zewnętrzne. W przypadku gdy testy są przeprowadzane przez testera wewnętrznego, podmioty finansowe przeznaczają wystarczające zasoby i zapewniają unikanie konfliktów interesów na wszystkich etapach projektowania i realizacji testu.
5. Podmioty finansowe ustanawiają procedury i zasady ustalania hierarchii, klasyfikowania i uwzględniania wszystkich problemów stwierdzonych w trakcie przeprowadzania testów oraz ustanawiają wewnętrzne metody zatwierdzania w celu dopilnowania, aby w pełni usunięto wszystkie stwierdzone braki, niedociągnięcia lub słabe punkty.
6. Podmioty finansowe zapewniają, aby co najmniej raz w roku przeprowadzono odpowiednie testy wszystkich kluczowych systemów i aplikacji ICT.
Artykuł 22
Testowanie narzędzi i systemów ICT
1. Program testowania operacyjnej odporności cyfrowej, o którym mowa w art. 21, przewiduje przeprowadzenie pełnego zakresu odpowiednich testów.
Testy te mogą obejmować przeprowadzenie ocen narażenia i skanowania pod tym kątem, analiz otwartego oprogramowania, ocen bezpieczeństwa sieci, analiz braków, fizycznych kontroli bezpieczeństwa, kwestionariuszy i rozwiązań w zakresie oprogramowania skanującego, w miarę możliwości przeglądów kodu źródłowego, testów scenariuszowych, testów kompatybilności, testów wydajności, testów typu „end-to-end” lub testów penetracyjnych.
2. Podmioty finansowe, o których mowa w art. 2 ust. 1 lit. f) i g), przeprowadzają oceny narażenia przed każdym wdrożeniem lub przeniesieniem nowych lub istniejących usług wspierających kluczowe funkcje, aplikacje i elementy infrastruktury podmiotu finansowego.
Artykuł 23
Zaawansowane testowanie narzędzi, systemów i procesów ICT z wykorzystaniem testów penetracyjnych pod kątem wyszukiwania zagrożeń
1. Podmioty finansowe określone zgodnie z ust. 3 akapit drugi przeprowadzają co najmniej raz na trzy lata zaawansowane testy za pomocą testów penetracyjnych pod kątem wyszukiwania zagrożeń.
2. Testy penetracyjne pod kątem wyszukiwania zagrożeń obejmują co najmniej kluczowe lub ważne funkcje i usługi podmiotu finansowego i są przeprowadzane w miarę możliwości na działających systemach produkcyjnych wspierających takie funkcje lub na systemach przedprodukcyjnych z taką samą konfiguracją zabezpieczeń. Dokładny zakres testów penetracyjnych pod kątem wyszukiwania zagrożeń, na podstawie oceny kluczowych lub ważnych funkcji i usług, określają podmioty finansowe i zatwierdzają właściwe organy. Nie jest wymagane, aby pojedynczy test penetracyjny pod kątem wyszukiwania zagrożeń obejmował wszystkie funkcje krytyczne lub ważne.
Do celów akapitu pierwszego podmioty finansowe określają wszystkie istotne bazowe procesy, systemy i technologie ICT wspierające kluczowe lub ważne funkcje i usługi, w tym krytyczne lub ważne funkcje i usługi zlecone zewnętrznym dostawcom usług ICT lub będące przedmiotem umowy z takimi dostawcami.
W przypadku zakres zadań związanych z testami penetracyjnymi pod kątem wyszukiwania zagrożeń obejmuje kluczowych zewnętrznych dostawców usług ICT i, w razie konieczności, innych niż kluczowi zewnętrznych dostawców usług ICT, podmiot finansowy stosuje niezbędne środki w celu zapewnienia udziału tych dostawców. Od tych zewnętrznych dostawców usług ICT nie wymaga się przekazywania informacji ani szczegółów w odniesieniu do pozycji, które nie są istotne dla kontroli zarządzania ryzykiem w odniesieniu do odpowiednich kluczowych lub ważnych funkcji odnośnych podmiotów finansowych. Takie testy nie mogą mieć negatywnego wpływu na innych klientów zewnętrznych dostawców usług ICT.
W przypadku gdy udział zewnętrznego dostawcy usług ICT w testach penetracyjnych pod kątem wyszukiwania zagrożeń mógłby ewentualnie mieć wpływ na jakość, poufność lub bezpieczeństwo usług świadczonych przez zewnętrznego dostawcę ICT na rzecz innych klientów nieobjętych zakresem niniejszego rozporządzenia lub na ogólną integralność operacji zewnętrznego dostawcy usług ICT, podmiot finansowy i zewnętrzny dostawca usług ICT mogą uzgodnić w drodze umowy, że zewnętrzny dostawca usług ICT może zawrzeć bezpośrednie ustalenia umowne z testerem zewnętrznym. Zewnętrzni dostawcy usług ICT mogą zawierać takie ustalenia umowne w imieniu wszystkich podmiotów finansowych będących użytkownikami ich usług w celu przeprowadzenia wspólnych testów.
Podmioty finansowe stosują skuteczne środki kontroli zarządzania ryzykiem w celu ograniczenia ryzyka potencjalnego wpływu na dane, zniszczenia zasobów i zakłócenia kluczowych lub ważnych funkcji lub operacji samego podmiotu finansowego, jego kontrahentów lub sektora finansowego.
Na koniec testu, po uzgodnieniu sprawozdań i planów naprawczych, podmiot finansowy i testerzy zewnętrzni przedstawiają specjalnemu organowi publicznemu, wyznaczonemu zgodnie z ust. 3a lub – w przypadku zewnętrznych dostawców usług ICT, którzy zawarli bezpośrednie ustalenia umowne z testerami zewnętrznymi – ENISA, poufne streszczenie wyników testów oraz dokumentację potwierdzającą, że test penetracyjny pod kątem wyszukiwania zagrożeń przeprowadzono zgodnie z wymogami. Specjalny organ publiczny lub ENISA – stosownie do przypadku – wydaje potwierdzenie, że test został przeprowadzony zgodnie z wymogami określonymi w dokumentacji, aby umożliwić właściwym organom wzajemne uznawanie testów penetracyjnych pod kątem wyszukiwania zagrożeń. Potwierdzenie udostępnia się właściwemu organowi podmiotu finansowego oraz – w stosownych przypadkach – wiodącemu organowi nadzorczemu kluczowego zewnętrznego dostawcy usług ICT.
3. podmioty finansowe lub zewnętrzni dostawcy usług ICT, którym zezwolono na bezpośrednie zawieranie ustaleń umownych z testerem zewnętrznym zgodnie z ust. 2 niniejszego artykułu, zawierają z testerami umowy, których przedmiotem jest przeprowadzenie testów penetracyjnych pod kątem wyszukiwania zagrożeń.
Bez uszczerbku dla możliwości przekazywania zadań i kompetencji na mocy niniejszego artykułu innym właściwym organom odpowiedzialnym za testy penetracyjne pod kątem wyszukiwania zagrożeń, właściwe organy określają podmioty finansowe, które mają przeprowadzić testy penetracyjne pod kątem wyszukiwania zagrożeń, w sposób proporcjonalny▐ , w oparciu o ocenę:
a) czynników związanych z wpływem, w szczególności krytyczności świadczonych usług oraz działań podejmowanych przez podmiot finansowy;
b) ewentualnych obaw dotyczących stabilności finansowej, w tym systemowego charakteru podmiotu finansowego na poziomie krajowym lub unijnym, w stosownych przypadkach;
c) specyficznego profilu ryzyka związanego z ICT, poziomu zaawansowania podmiotu finansowego pod względem ICT lub rozwiązań technologicznych, które są z nim związane.
3a. Państwa członkowskie wyznaczają specjalny organ publiczny odpowiedzialny za testy penetracyjne pod kątem wyszukiwania zagrożeń w sektorze finansowym na szczeblu krajowym, z wyjątkiem identyfikacji podmiotów finansowych zgodnie z ust. 3, w tym testy penetracyjne pod kątem wyszukiwania zagrożeń przeprowadzane przez podmioty finansowe i zewnętrznych dostawców usług ICT zawierających bezpośrednio ustalenia umowne z testerami zewnętrznymi. Wyznaczonemu specjalnemu organowi publicznemu powierza się wszelkie kompetencje i zadania w tym zakresie.
4. Europejskie Urzędy Nadzoru, w koordynacji z ENISA, po konsultacji z EBC i z uwzględnieniem odpowiednich ram obowiązujących w Unii, które mają zastosowanie do testów penetracyjnych opartych na analizie zagrożeń, w tym ram TIBER-EU, opracowują projekty regulacyjnych standardów technicznych, aby doprecyzować:
a) kryteria wykorzystywane do celów stosowania ust. 3 akapit drugi niniejszego artykułu;
b) wymogi dotyczące:
(i) zakresu testów penetracyjnych pod kątem wyszukiwania zagrożeń, o których mowa w ust. 2 niniejszego artykułu;
(ii) metodyki testowania i podejścia, które należy stosować na każdym konkretnym etapie procesu testowania;
(iii) etapów testów odnoszących się do wyników, zamykania i środków naprawczych;
c) rodzaj współpracy w zakresie nadzoru potrzebny do przeprowadzenia i ułatwienia pełnego wzajemnego uznawania testów penetracyjnych pod kątem wyszukiwania zagrożeń w kontekście podmiotów finansowych, które działają w więcej niż jednym państwie członkowskim, oraz testów przeprowadzanych przez testerów zewnętrznych, którzy bezpośrednio zawarli ustalenia umowne z zewnętrznymi dostawcami usług ICT zgodnie z ust. 2 niniejszego artykułu, aby umożliwić odpowiedni poziom zaangażowania organów nadzoru i elastyczne wdrażanie uwzględniające specyfikę podsektorów finansowych lub lokalnych rynków finansowych.
Europejskie Urzędy Nadzoru przedkładają Komisji te projekty regulacyjnych standardów technicznych do dnia [Urząd Publikacji: należy wstawić datę przypadającą 6 miesięcy przed dniem wejścia w życie niniejszego rozporządzenia] r.
Komisja jest uprawniona do uzupełnienia niniejszego rozporządzenia w drodze przyjmowania regulacyjnych standardów technicznych, o których mowa w akapicie drugim, zgodnie z art. 10–14 odpowiednio rozporządzenia (UE) nr 1093/2010, rozporządzenia (UE) nr 1095/2010 i rozporządzenia (UE) nr 1094/2010.
Artykuł 24
Wymogi dotyczące testerów
1. Przy przeprowadzaniu testów penetracyjnych pod kątem wyszukiwania zagrożeń podmioty finansowe i zewnętrzni dostawcy usług ICT, którym zezwolono na bezpośrednie zawieranie ustaleń umownych z testerem zewnętrznym zgodnie z art. 23 ust. 2, korzystają wyłącznie z usług testerów, którzy:
a) są najbardziej odpowiedni do tego zadania i cieszą się największą renomą;
b) posiadają zdolności techniczne i organizacyjne oraz wykazują się szczególną wiedzą fachową w zakresie analizy zagrożeń, testów penetracyjnych lub testów z udziałem zespołów atakujących;
c) posiadają certyfikat wydany przez jednostkę akredytującą w państwie członkowskim lub stosują się do formalnych kodeksów postępowania lub ram etycznych, niezależnie od tego, czy testerzy pochodzą z Unii, czy z państwa trzeciego;
d) ▐ przedstawiają niezależne zapewnienie lub sprawozdanie z audytu dotyczące należytego zarządzania ryzykiem związanym z wykonywaniem testów penetracyjnych pod kątem wyszukiwania zagrożeń, w tym należytej ochrony poufnych informacji jednostki finansowej i dochodzenia roszczeń z tytułu ryzyka biznesowego jednostki finansowej;
e) ▐ są należycie i w pełni objęci odpowiednimi ubezpieczeniami od odpowiedzialności cywilnej z tytułu wykonywania zawodu, w tym od ryzyka wykroczeń i zaniedbań.
ea) w przypadku testerów wewnętrznych ich wykorzystanie zostało zatwierdzone przez odpowiedni właściwy organ i przez specjalny organ publiczny wyznaczony zgodnie z art. 23 ust. 3a, a organy te zweryfikowały, że podmiot finansowy dysponuje wystarczającymi zasobami i zapewnia unikanie konfliktów interesów na wszystkich etapach projektowania i realizacji testu.
2. Podmioty finansowe i zewnętrzni dostawcy usług ICT, którym zezwolono na bezpośrednie zawieranie ustaleń umownych z testerem zewnętrznym zgodnie z art. 23 ust. 2, zapewniają, aby ustalenia zawarte z testerami zewnętrznymi wymagały należytego zarządzania wynikami testów penetracyjnych pod kątem wyszukiwania zagrożeń oraz aby żadne ich przetwarzanie, w tym generowanie, sporządzanie, przechowywanie, agregowanie, zgłaszanie, przekazywanie lub niszczenie, nie stwarzały ryzyka dla podmiotu finansowego.
ROZDZIAŁ V
ZARZĄDZANIE RYZYKIEM ZE STRONY ZEWNĘTRZNYCH DOSTAWCÓW USŁUG ICT
SEKCJA I
GŁÓWNE ZASADY NALEŻYTEGO ZARZĄDZANIA RYZYKIEM ZE STRONY ZEWNĘTRZNYCH DOSTAWCÓW USŁUG ICT
Artykuł 25
Zasady ogólne
Podmioty finansowe zarządzają ryzykiem ze strony zewnętrznych dostawców usług ICT jako integralnym elementem ryzyka związanego z ICT wchodzącym w zakres ich ram zarządzania ryzykiem związanym z ICT oraz zgodnie z opisanymi poniżej zasadami.
1. Podmioty finansowe, które zawarły ustalenia umowne dotyczące korzystania z usług ICT w celu prowadzenia działalności gospodarczej, pozostają przez cały czas w pełni odpowiedzialne za wypełnianie i wywiązywanie się z wszystkich obowiązków wynikających z niniejszego rozporządzenia i obowiązujących przepisów dotyczących usług finansowych.
2. Zarządzanie przez podmioty finansowe ryzykiem ze strony zewnętrznych dostawców usług ICT odbywa się w świetle zasady proporcjonalności, z uwzględnieniem:
a) charakteru, skali, złożoności i znaczenia zależności w zakresie ICT;
b) ryzyka wynikającego z ustaleń umownych dotyczących korzystania z usług ICT zawartych z zewnętrznymi dostawcami usług ICT, biorąc pod uwagę krytyczność lub znaczenie danej usługi, procesu lub funkcji oraz potencjalny wpływ na ciągłość i jakość usług finansowych i działalności finansowej, na poziomie indywidualnym i grupowym;
ba) tego, czy dostawca usług ICT jest dostawcą usług ICT wewnątrz grupy.
3. Jako część swoich ram zarządzania ryzykiem związanym z ICT podmioty finansowe inne niż mikroprzedsiębiorstwa przyjmują i regularnie weryfikują strategię dotyczącą ryzyka ze strony zewnętrznych dostawców usług ICT▐. Strategia ta obejmuje politykę korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT i ma zastosowanie na zasadzie indywidualnej oraz, w stosownych przypadkach, na zasadzie subskonsolidowanej i skonsolidowanej. Organ zarządzający regularnie dokonuje przeglądu ryzyka zidentyfikowanego w odniesieniu do outsourcingu kluczowych lub ważnych funkcji.
4. W kontekście swoich ram zarządzania ryzykiem związanym z ICT podmioty finansowe prowadzą i aktualizują na poziomie podmiotu oraz na poziomie subskonsolidowanym i skonsolidowanym rejestr informacji w odniesieniu do wszystkich ustaleń umownych dotyczących korzystania z usług ICT wspierających kluczowe lub ważne funkcje świadczonych przez zewnętrznych dostawców usług ICT.
Ustalenia umowne, o których mowa w akapicie pierwszym, są odpowiednio udokumentowane▐.
Do czasu wejścia w życie wykonawczych standardów technicznych, o których mowa w ust. 10, podmioty finansowe stosują się do wytycznych i innych środków wydanych przez Europejskie Urzędy Nadzoru i właściwe organy, jeśli takie wytyczne i środki są dostępne.
Podmioty finansowe co najmniej raz w roku przedstawiają właściwym organom informacje na temat liczby nowych ustaleń dotyczących korzystania z usług ICT wspierających kluczowe lub ważne funkcje, kategorii zewnętrznych dostawców usług ICT, rodzaju ustaleń umownych oraz świadczonych usług i obsługiwanych funkcji.
Podmioty finansowe udostępniają właściwemu organowi, na jego wniosek, pełny rejestr informacji lub, zgodnie z treścią takiego wniosku, określone sekcje tego rejestru wraz ze wszelkimi informacjami uznanymi za niezbędne, aby umożliwić skuteczny nadzór nad podmiotem finansowym.
Podmioty finansowe informują w odpowiednim terminie właściwy organ o planowanym udzieleniu zamówienia obejmującego kluczowe lub ważne funkcje oraz o tym, że dana funkcja stała się kluczowa lub ważna.
5. Przed zawarciem ustalenia umownego dotyczącego korzystania z usług ICT podmioty finansowe są zobowiązane:
a) ocenić, czy ustalenie umowne dotyczy kluczowej lub ważnej funkcji;
b) ocenić, czy spełniono warunki nadzorcze dotyczące zawierania umów;
c) określić i ocenić wszystkie rodzaje istotnego ryzyka związane z ustaleniem umownym, w tym możliwość, że takie ustalenie umowne może przyczynić się do zwiększenia ryzyka koncentracji w obszarze ICT;
d) dołożyć należytej staranności w stosunku do potencjalnych zewnętrznych dostawców usług ICT i zapewnić, aby w trakcie całego procesu wyboru i oceny zewnętrzny dostawca usług ICT był odpowiedni;
e) zidentyfikować i ocenić konflikty interesów, które mogą wynikać z ustalenia umownego.
6. Podmioty finansowe mogą zawierać ustalenia umowne wyłącznie z zewnętrznymi dostawcami usług ICT, którzy przestrzegają wysokich, odpowiednich i aktualnych standardów w zakresie bezpieczeństwa▐. Przy ustalaniu, czy obowiązujące standardy w zakresie bezpieczeństwa są odpowiednie, uwzględnia się również najnowsze standardy.
7. Korzystając z praw dostępu, kontroli i audytu w odniesieniu do zewnętrznego dostawcy usług ICT w odniesieniu do krytycznych lub ważnych funkcji, podmioty finansowe, stosując podejście oparte na analizie ryzyka, określają z góry częstotliwość audytów i kontroli oraz obszary, które mają podlegać kontroli, przestrzegając powszechnie przyjętych standardów audytu zgodnie z wszelkimi instrukcjami nadzorczymi dotyczącymi stosowania i włączania takich standardów audytu.
W przypadku ustaleń umownych, które wiążą się ze złożonością technologiczną o dużym stopniu szczegółowości, podmiot finansowy sprawdza, czy audytorzy – zarówno wewnętrzni, jak i grupy audytorów lub audytorzy zewnętrzni – posiadają odpowiednie umiejętności i wiedzę umożliwiające skuteczne przeprowadzanie odpowiednich kontroli i ocen.
8. Podmioty finansowe zapewniają, aby ustalenia umowne dotyczące korzystania z usług ICT umożliwiały podmiotom finansowym podjęcie odpowiednich środków naprawczych lub zaradczych, które mogą obejmować całkowite rozwiązanie ustaleń, jeżeli nie jest możliwe ich skorygowanie, lub częściowe rozwiązanie ustaleń, o ile ich skorygowanie jest możliwe na mocy obowiązujących przepisów, co najmniej w następujących okolicznościach:
a) istotne naruszenie przez zewnętrznego dostawcę usług ICT obowiązujących przepisów ustawowych, wykonawczych lub warunków umowy;
aa) zalecenie wydane przez Wspólny Organ Nadzoru na podstawie art. 37 pod adresem kluczowego zewnętrznego dostawcy usług ICT;
b) zidentyfikowanie okoliczności w trakcie monitorowania ryzyka ze strony zewnętrznych dostawców usług ICT, w przypadku których to okoliczności uznano, że mogą one zmienić wykonywanie funkcji przewidzianych w ustaleniu umownym, w tym istotne zmiany mające wpływ na ustalenie umowne lub sytuację zewnętrznego dostawcy usług ICT;
c) wykazanie w przypadku zewnętrznego dostawcy usług ICT braków dotyczących ogólnego zarządzania ryzykiem związanym z ICT w umowie z podmiotem finansowym, a w szczególności w sposobie, w jaki zapewnia on bezpieczeństwo i integralność danych poufnych, osobowych lub w inny sposób wrażliwych lub danych nieosobowych;
d) wystąpienie okoliczności, w których właściwy organ wskutek odpowiednich ustaleń umownych ewidentnie nie może już skutecznie nadzorować podmiotu finansowego.
8a. Aby zmniejszyć ryzyko zakłóceń na poziomie podmiotu finansowego, w należycie uzasadnionych okolicznościach i w porozumieniu z jego właściwymi organami, podmiot finansowy może podjąć decyzję o niewypowiadaniu ustaleń umownych z zewnętrznym dostawcą usług ICT, dopóki nie będzie w stanie zmienić dostawcy na innego zewnętrznego dostawcę usług ICT lub przejść na rozwiązania wewnętrzne odpowiadające złożoności świadczonej usługi, zgodnie ze strategią wyjścia, o której mowa w ust. 9.
8b. W przypadkach gdy ustalenia umowne z zewnętrznymi dostawcami usług ICT zostają rozwiązane w którejkolwiek z okoliczności wymienionych w ust. 8 lit. a)–d), podmioty finansowe nie ponoszą kosztów przekazania danych od zewnętrznego dostawcy usług ICT, jeżeli koszt takiego przekazania przekracza koszt przekazania danych przewidziany w pierwotnej umowie.
9. W odniesieniu do usług ICT związanych z kluczowymi lub ważnymi funkcjami podmioty finansowe wprowadzają strategie wyjścia, które podlegają okresowym przeglądom. Strategie wyjścia uwzględniają ryzyko, które może pojawić się na poziomie zewnętrznego dostawcy usług ICT, w szczególności jego możliwej awarii, pogorszenia jakości obsługiwanych funkcji, wszelkich zakłóceń w działalności spowodowanych niewłaściwym lub nieudanym świadczeniem usług lub istotnego ryzyka związanego z odpowiednią i systematyczną realizacją funkcji lub w razie wypowiedzenia ustaleń umownych z zewnętrznymi dostawcami usług w którejkolwiek z okoliczności wymienionych w ust. 8 lit. a)–d).
Podmioty finansowe zapewniają sobie możliwość wycofania się z ustaleń umownych:
a) bez powodowania zakłóceń w swojej działalności;
b) bez ograniczania zgodności z wymogami regulacyjnymi;
c) bez szkody dla ciągłości i jakości usług świadczonych przez nie na rzecz klientów.
Plany wyjścia są kompleksowe, udokumentowane i, w stosownych przypadkach, wystarczająco przetestowane.
Podmioty finansowe określają rozwiązania alternatywne i opracowują plany przejściowe umożliwiające im odebranie funkcji będących przedmiotem umowy i odpowiednich danych zewnętrznemu dostawcy usług ICT oraz bezpieczne i integralne przekazanie ich dostawcom alternatywnym lub ponowne włączenie ich do struktury wewnętrznej.
Podmioty finansowe stosują odpowiednie środki awaryjne w celu utrzymania ciągłości działania we wszystkich okolicznościach, o których mowa w akapicie pierwszym.
10. Europejskie Urzędy Nadzoru – za pośrednictwem Wspólnego Komitetu – opracowują projekty wykonawczych standardów technicznych w celu ustanowienia standardowych wzorów na potrzeby rejestru informacji, o którym mowa w ust. 4.
Europejskie Urzędy Nadzoru przedstawiają Komisji te projekty wykonawczych standardów technicznych do dnia [Urząd Publikacji: należy wstawić datę przypadającą 1 rok od dnia wejścia w życie niniejszego rozporządzenia] r.
Komisja jest uprawniona do przyjmowania wykonawczych standardów technicznych, o których mowa w akapicie pierwszym, zgodnie z art. 15 odpowiednio rozporządzenia (UE) nr 1093/2010, rozporządzenia (UE) nr 1095/2010 i rozporządzenia (UE) nr 1094/2010.
11. Za pośrednictwem Wspólnego Komitetu Europejskie Urzędy Nadzoru opracowują projekty regulacyjnych standardów technicznych w celu doprecyzowania:
a) szczegółowej treści polityki, o której mowa w ust. 3, w odniesieniu do ustaleń umownych dotyczących korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT, poprzez odniesienie do głównych etapów cyklu życia odpowiednich ustaleń dotyczących korzystania z usług ICT;
b) rodzajów informacji, które mają być ujęte w rejestrze informacji, o którym mowa w ust. 4.
Europejskie Urzędy Nadzoru przedkładają Komisji te projekty regulacyjnych standardów technicznych do dnia [Urząd Publikacji: należy wstawić datę przypadającą 18 miesięcy od dnia wejścia w życie niniejszego rozporządzenia] r.
Komisja jest uprawniona do uzupełnienia niniejszego rozporządzenia w drodze przyjmowania regulacyjnych standardów technicznych, o których mowa w akapicie drugim, zgodnie z art. 10–14 odpowiednio rozporządzenia (UE) nr 1093/2010, rozporządzenia (UE) nr 1095/2010 i rozporządzenia (UE) nr 1094/2010.
Artykuł 26
Wstępna ocena ryzyka koncentracji w obszarze ICT i uzgodnień dotyczących dalszego podwykonawstwa
1. Dokonując identyfikacji i oceny ryzyka koncentracji w obszarze ICT, o którym mowa w art. 25 ust. 5 lit. c), podmioty finansowe biorą pod uwagę, czy zawarcie uzgodnienia umownego w związku z usługami ICT wwspierającymi kluczowe lub ważne funkcje prowadziłoby do któregokolwiek z poniższych skutków:
a) zawarcia umowy z zewnętrznym dostawcą usług ICT, którego nie można łatwo zastąpić; lub
b) posiadania wielu ustaleń umownych dotyczących świadczenia usług ICT wspierających kluczowe lub ważne funkcje z tym samym zewnętrznym dostawcą usług ICT lub z blisko powiązanymi zewnętrznymi dostawcami usług ICT.
Podmioty finansowe rozważają korzyści i koszty rozwiązań alternatywnych, takich jak korzystanie z usług różnych zewnętrznych dostawców usług ICT, biorąc pod uwagę, czy i w jaki sposób przewidywane rozwiązania odpowiadają potrzebom i celom biznesowym określonym w ich strategii odporności cyfrowej.
2. W przypadku gdy ustalenia umowne dotyczące korzystania z usług ICT wspierających kluczowe lub ważne funkcje obejmują możliwość dalszego zlecania podwykonawstwa kluczowej lub ważnej funkcji przez zewnętrznego dostawcę usług ICT innym zewnętrznym dostawcom usług ICT, podmioty finansowe rozważają korzyści i ryzyko, które mogą wystąpić w związku z takim ewentualnym podwykonawstwem▐.
W przypadku gdy ustalenia umowne dotyczące korzystania z usług ICT wspierających kluczowe lub ważne funkcje są zawierane z zewnętrznym dostawcą usług ICT▐, podmioty finansowe biorą pod uwagę istotne, co najmniej następujące czynniki:
a) ▐
b) ▐
c) przepisy prawa upadłościowego, które miałyby zastosowanie w przypadku upadłości zewnętrznego dostawcy usług ICT; oraz
d) wszelkie ograniczenia, które mogą powstać w związku z pilnym odzyskiwaniem danych podmiotu finansowego.
W przypadku gdy ustalenia umowne dotyczące korzystania z usług ICT wspierających kluczowe lub ważne funkcje są zawierane z zewnętrznym dostawcą usług ICT mającym siedzibę w państwie trzecim, podmioty finansowe oprócz kwestii wymienionych w akapicie pierwszym i drugim biorą pod uwagę również:
(i) przestrzeganie unijnych przepisów o ochronie danych; oraz
(ii) skuteczne egzekwowanie przepisów określonych w niniejszym rozporządzeniu.
W przypadkach gdy takie ustalenia umowne obejmują podwykonawstwo kluczowych lub ważnych funkcji, podmioty finansowe oceniają, czy i w jaki sposób potencjalnie długie lub złożone łańcuchy podwykonawstwa mogą wpływać na ich zdolność do pełnej oceny czynników wymienionych w akapicie drugim i trzecim, pełnego monitorowania funkcji będących przedmiotem umowy oraz na zdolność właściwego organu do skutecznego nadzoru nad podmiotem finansowym w tym zakresie.
Artykuł 27
Kluczowe postanowienia umowne
1. Prawa i obowiązki podmiotu finansowego i zewnętrznego dostawcy usług ICT są wyraźnie przypisane i określone na piśmie. Całość umowy, która obejmuje klauzule o gwarantowanym poziomie usług, musi być udokumentowana w formie pisemnej i dostępna dla stron w wersji papierowej lub w formacie umożliwiającym pobieranie i dostęp.
2. Podmioty finansowe i zewnętrzni dostawcy usług ICT zapewniają, aby ustalenia umowne dotyczące korzystania z usług ICT obejmowały co najmniej następujące elementy:
a) jasny i kompletny opis wszystkich funkcji i usług, które mają być świadczone przez zewnętrznego dostawcę usług ICT, ze wskazaniem, czy dozwolone jest podwykonawstwo kluczowej lub ważnej funkcji lub jej istotnych części, a jeżeli tak, to jakie warunki mają zastosowanie do takiego podwykonawstwa;
b) miejsca, mianowicie regiony lub państwa, w których mają być świadczone objęte umową lub podwykonawstwem funkcje i usługi ICT oraz w których mają być przetwarzane dane, w tym miejsce przechowywania, oraz wymóg, aby zewnętrzny dostawca usług ICT powiadomił z wyprzedzeniem podmiot finansowy, jeżeli przewiduje zmianę tych miejsc;
c) postanowienia dotyczące dostępu, dostępności, integralności, bezpieczeństwa, poufności i ochrony danych, w tym danych osobowych;
ca) postanowienia dotyczące zapewnienia dostępu, odzyskiwania i zwrotu w łatwo dostępnym formacie danych osobowych i nieosobowych przetwarzanych przez podmiot finansowy w przypadku niewypłacalności lub rozwiązania zewnętrznego dostawcy usług ICT lub zaprzestania przez niego działalności gospodarczej lub w przypadku wypowiedzenia ustaleń umownych;
d) pełne opisy poziomu usług, w tym ich aktualizacje i zmiany, oraz dokładne ilościowe i jakościowe cele w zakresie wyników w ramach uzgodnionych poziomów usług, aby umożliwić podmiotowi finansowemu skuteczne monitorowanie oraz umożliwić bezzwłoczne podjęcie odpowiednich działań naprawczych w przypadku nieosiągnięcia uzgodnionych poziomów usług;
e) ▐
f) obowiązek zapewnienia przez zewnętrznego dostawcę usług ICT pomocy w przypadku incydentu związanego z ICT w związku ze świadczoną usługą, bez dodatkowych opłat lub za opłatą określoną ex ante;
g) wymogi wobec zewnętrznego dostawcy usług ICT w zakresie wdrażania i testowania planów awaryjnych w związku z prowadzoną działalnością oraz posiadania środków, narzędzi i polityk zapewniających odpowiedni poziom bezpieczeństwa świadczenia usług przez podmiot finansowy zgodnie z jego ramami regulacyjnymi;
h) ▐
i) obowiązek pełnej współpracy zewnętrznego dostawcy usług ICT z właściwymi organami i organami ds. restrukturyzacji i uporządkowanej likwidacji podmiotu finansowego, w tym z osobami przez nie wyznaczonymi;
j) prawa do odstąpienia od umowy i związany z nimi minimalny okres wypowiedzenia umowy, zgodnie z oczekiwaniami właściwych organów prawa do odstąpienia od umowy i związany z nimi minimalny okres wypowiedzenia umowy, zgodnie z oczekiwaniami właściwych organów i organów ds. restrukturyzacji i uporządkowanej likwidacji oraz – jeżeli ustalenie umowne ma wpływ na dostawcę usług ICT wewnątrz tej samej grupy – analizę przeprowadzoną zgodnie z podejściem opartym na analizie ryzyka;
k) strategie wyjścia, w szczególności ustanowienie obowiązkowego odpowiedniego okresu przejściowego:
(i) podczas którego zewnętrzny dostawca usług ICT będzie nadal świadczył odpowiednie funkcje lub usługi w celu zmniejszenia ryzyka wystąpienia zakłóceń w funkcjonowaniu podmiotu finansowego lub w celu zapewnienia jego skutecznej uporządkowanej likwidacji bądź restrukturyzacji;
(ii) który umożliwia podmiotowi finansowemu zmianę zewnętrznego dostawcy usług ICT na innego dostawcę lub przejście na rozwiązania dostępne na miejscu zgodnie ze złożonością świadczonej usługi;
(iia) jeżeli to ustalenie umowne wpływa na dostawcę usług ICT wewnątrz tej samej grupy, analizuje się je zgodnie z podejściem opartym na analizie ryzyka;
ka) postanowienie dotyczące przetwarzania danych osobowych przez zewnętrznego dostawcę usług ICT, które ma być zgodne z rozporządzeniem (UE) 2016/679;
2a. ustalenia umowne dotyczące świadczenia funkcji kluczowych lub ważnych zawierają, oprócz ust. 2, co najmniej następujące elementy:
a) okresy wypowiedzenia i obowiązki sprawozdawcze zewnętrznego dostawcy usług ICT w stosunku do podmiotu finansowego, w tym powiadamianie o każdej zmianie, która może mieć istotny wpływ na zdolność skutecznego wykonywania przez tego dostawcę kluczowych lub ważnych funkcji zgodnie z uzgodnionymi poziomami usług;
b) prawo do monitorowania na bieżąco wyników osiąganych przez zewnętrznego dostawcę usług ICT, które obejmuje:
(i) prawo dostępu, kontroli i audytu przez podmiot finansowy lub przez wyznaczoną osobę trzecią oraz prawo wglądu do kopii odnośnej dokumentacji na miejscu, jeśli są one kluczowe dla operacji zewnętrznego dostawcy usług ICT, przy czym skutecznego wykonywania tych praw nie utrudniają ani nie ograniczają inne ustalenia umowne bądź polityka w zakresie wdrażania;
(ii) prawo do uzgodnienia alternatywnych poziomów zabezpieczenia w przypadku naruszenia praw innych klientów;
(iii) zobowiązanie zewnętrznego dostawcy usług ICT do pełnej współpracy podczas kontroli i audytów na miejscu przeprowadzanych przez właściwe organy, wiodący organ nadzorczy, podmiot finansowy lub wyznaczoną osobę trzecią oraz szczegółowe informacje na temat zakresu, warunków i częstotliwości takich kontroli i audytów;
Na zasadzie odstępstwa od lit. b) zewnętrzny dostawca usług ICT i podmiot finansowy mogą uzgodnić, że prawa dostępu, kontroli i audytu mogą zostać przekazane niezależnej osobie trzeciej, wyznaczonej przez zewnętrznego dostawcę usług ICT, oraz że podmiot finansowy może w dowolnym momencie zwrócić się do tej osoby trzeciej o informacje o wynikach zewnętrznego dostawcy usług ICT i o poświadczenie tych wyników.
2b. Ustalenia umowne dotyczące świadczenia usług ICT przez zewnętrznego dostawcę usług ICT mającego siedzibę w państwie trzecim i wyznaczonego jako dostawca kluczowy na podstawie art. 28 ust. 9, oprócz ust. 2 i 2a niniejszego artykułu:
a) stanowią, że umowa podlega prawu państwa członkowskiego; oraz
b) gwarantują, że Wspólny Organ Nadzoru i wiodący organ nadzorczy mogą wykonywać swoje obowiązki określone w art. 30 w oparciu o ich kompetencje określone w art. 31.
Usługi, w odniesieniu do których zawarto ustalenia umowne, nie muszą być świadczone przez przedsiębiorstwo utworzone w Unii zgodnie z prawem państwa członkowskiego.
3. Negocjując ustalenia umowne, podmioty finansowe i zewnętrzni dostawcy usług ICT rozważają zastosowanie standardowych klauzul umownych opracowanych dla określonych usług.
3a. Właściwe organy mają dostęp do ustaleń umownych, o których mowa w niniejszym artykule. Strony tych ustaleń umownych mogą zgodzić się na utajnienie szczególnie chronionych informacji handlowych lub informacji poufnych przed udzieleniem takiego dostępu właściwym organom, pod warunkiem że organy te zostaną w pełni poinformowane o zakresie i charakterze utajnionych informacji.
4. Europejskie Urzędy Nadzoru – za pośrednictwem Wspólnego Komitetu –opracowują projekty regulacyjnych standardów technicznych doprecyzowujących elementy, które podmiot finansowy musi określić i ocenić, zlecając podwykonawstwo kluczowych lub ważnych funkcji, w celu zapewnienia skuteczności przepisów ust. 2 lit. a). Opracowując projekty regulacyjnych standardów technicznych, Europejskie Urzędy Nadzoru biorą pod uwagę wielkość podmiotów finansowych, charakter, skalę i złożoność ich usług, działań i operacji oraz ich ogólny profil ryzyka.
Europejskie Urzędy Nadzoru przedkładają Komisji te projekty regulacyjnych standardów technicznych do dnia [Urząd Publikacji: należy wstawić datę przypadającą 18 miesięcy od dnia wejścia w życie niniejszego rozporządzenia] r.
Komisja jest uprawniona do uzupełnienia niniejszego rozporządzenia w drodze przyjmowania regulacyjnych standardów technicznych, o których mowa w akapicie pierwszym, zgodnie z art. 10–14 odpowiednio rozporządzenia (UE) nr 1093/2010, rozporządzenia (UE) nr 1095/2010 i rozporządzenia (UE) nr 1094/2010.
SEKCJA II
RAMY NADZORU NAD KLUCZOWYMI ZEWNĘTRZNYMI DOSTAWCAMI USŁUG ICT
Artykuł 28
Wyznaczenie kluczowych zewnętrznych dostawców usług ICT
1. Za pośrednictwem Wspólnego Komitetu i na podstawie zalecenia Organu Nadzoru ustanowionego zgodnie z art. 29 ust. 1, po konsultacji z ENISA, Europejskie Urzędy Nadzoru:
a) wyznaczają zewnętrznych dostawców usług ICT, którzy mają dla podmiotów finansowych kluczowe znaczenie, uwzględniając kryteria określone w ust. 2;
b) wyznaczają EUNB, ESMA albo EIOPA jako wiodący organ nadzorczy w odniesieniu do każdego z kluczowych zewnętrznych dostawców usług ICT, w zależności od tego, czy łączna wartość aktywów podmiotów finansowych korzystających z usług danego kluczowego zewnętrznego dostawcy usług ICT i objętych jednym z rozporządzeń, odpowiednio, (UE) nr 1093/2010 (UE), nr 1094/2010 lub (UE) nr 1095/2010, stanowi ponad połowę wartości łącznych aktywów wszystkich podmiotów finansowych korzystających z usług tego kluczowego zewnętrznego dostawcy usług ICT, wykazanych w bilansach skonsolidowanych lub w indywidualnych bilansach, jeżeli bilanse nie są skonsolidowane, tych podmiotów finansowych.
Wiodący organ nadzorczy wyznaczony zgodnie z akapitem pierwszym lit. b) odpowiada za bieżący nadzór nad kluczowym zewnętrznym dostawcą usług ICT.
2. Wyznaczenie, o którym mowa w ust. 1 lit. a), opiera się na wszystkich następujących kryteriach:
a) systemowym wpływie na stabilność, ciągłość lub jakość świadczenia usług finansowych, w przypadku gdy dany zewnętrzny dostawca usług ICT musiałby sprostać błędowi operacyjnemu na dużą skalę w zakresie świadczenia swoich usług, biorąc pod uwagę liczbę podmiotów finansowych, na rzecz których dany zewnętrzny dostawca usług ICT świadczy usługi;
b) systemowym charakterze lub znaczeniu podmiotów finansowych, które korzystają z usług danego zewnętrznego dostawcy usług ICT, ocenianym zgodnie z poniższymi parametrami:
(i) liczbą globalnych instytucji o znaczeniu systemowym lub innych instytucji o znaczeniu systemowym, które korzystają z usług danego zewnętrznego dostawcy usług ICT;
(ii) wzajemną zależnością między globalnymi instytucjami o znaczeniu systemowym lub innymi instytucjami o znaczeniu systemowym, o których mowa w ppkt (i), a innymi podmiotami finansowymi, obejmującą sytuacje, w których globalne instytucje o znaczeniu systemowym lub inne instytucje o znaczeniu systemowym świadczą usługi w zakresie infrastruktury finansowej na rzecz innych podmiotów finansowych;
c) korzystaniu przez podmioty finansowe z usług świadczonych przez danego zewnętrznego dostawcę usług ICT w odniesieniu do kluczowych lub ważnych funkcji podmiotów finansowych, które ostatecznie obejmują tego samego zewnętrznego dostawcę usług ICT, niezależnie od tego, czy podmioty finansowe korzystają z tych usług bezpośrednio czy pośrednio, za pomocą lub w ramach umów dalszego podwykonawstwa;
d) stopniu substytucyjności zewnętrznego dostawcy usług ICT, biorąc pod uwagę następujące parametry:
(i) brak realnych alternatyw, nawet częściowych, ze względu na ograniczoną liczbę zewnętrznych dostawców usług ICT działających na określonym rynku lub udział w rynku danego zewnętrznego dostawcy usług ICT, bądź techniczną złożoność lub techniczny stopień zaawansowania, w tym w odniesieniu do jakiejkolwiek zastrzeżonej technologii, bądź szczególne cechy organizacji lub działalności tego dostawcy;
(ii) trudności z częściową lub całkowitą migracją stosownych danych i nakładów pracy od danego zewnętrznego dostawcy usług ICT do innego zewnętrznego dostawcy usług ICT, ze względu na znaczące koszty finansowe, czas lub inny rodzaj zasobów, które mogą wiązać się z procesem migracji, albo ze względu na zwiększone ryzyko związane z ICT lub inne ryzyko operacyjne, na które podmiot finansowy może być narażony w wyniku takiej migracji;
e) liczbie państw członkowskich, w których dany zewnętrzny dostawca usług ICT świadczy usługi;
f) liczbie państw członkowskich, w których działają podmioty finansowe korzystające z usług danego zewnętrznego dostawcy usług ICT.
fa) istotności i znaczeniu usług świadczonych przez danego zewnętrznego dostawcę usług ICT.
2a. Wspólny Organ Nadzoru powiadamia zewnętrznego dostawcę usług ICT przed rozpoczęciem oceny do celów wyznaczenia, o którym mowa w ust. 1 lit. a).
Wspólny Organ Nadzoru powiadamia zewnętrznego dostawcę usług ICT o wyniku oceny, o której mowa w akapicie pierwszym, przedstawiając projekt zalecenia dotyczącego kluczowego charakteru dostawcy. W terminie sześciu tygodni od daty otrzymania projektu zalecenia zewnętrzny dostawca usług ICT może przedłożyć Wspólnemu Organowi Nadzoru uzasadnione oświadczenie w sprawie oceny. Oświadczenie to zawiera wszystkie istotne dodatkowe informacje uznane za odpowiednie przez zewnętrznego dostawcę usług ICT w celu potwierdzenia kompletności i dokładności procedury wyznaczenia lub zakwestionowania projektu zalecenia dotyczącego kluczowego charakteru dostawcy. Wspólny Komitet Europejskich Urzędów Nadzoru należycie uwzględnia uzasadnione oświadczenie i przed podjęciem decyzji o wyznaczeniu może zwrócić się do zewnętrznego dostawcy usług ICT o dalsze informacje lub dowody.
Wspólny Komitet Europejskich Urzędów Nadzoru powiadamia zewnętrznego dostawcę usług ICT o wyznaczeniu go na dostawcę kluczowego. Zewnętrzny dostawca usług ICT ma co najmniej trzy miesiące – od daty odbioru powiadomienia – na dokonanie wszelkich niezbędnych dostosowań, aby umożliwić Wspólnemu Organowi Nadzoru wykonywanie jego obowiązków zgodnie z art. 30, a także na powiadomienie podmiotów finansowych, na rzecz których kluczowy zewnętrzny dostawca usług ICT świadczy usługi. Wspólny Organ Nadzoru może zezwolić na przedłużenie okresu dostosowawczego o okres nieprzekraczający trzech miesięcy, jeżeli wyznaczony zewnętrzny dostawca usług ICT wystąpi z takim wnioskiem i należycie go uzasadni.
3. Komisja jest uprawniona do przyjęcia aktu delegowanego zgodnie z art. 50 w celu doprecyzowania kryteriów, o których mowa w ust. 2.
4. Mechanizmu wyznaczania, o którym mowa w ust. 1 lit. a), nie można stosować do czasu przyjęcia przez Komisję aktu delegowanego zgodnie z ust. 3.
5. Mechanizm wyznaczania, o którym mowa w ust. 1 lit. a), nie ma zastosowania do zewnętrznych dostawców usług ICT, którzy podlegają ramom nadzoru ustanowionym na potrzeby wspierania realizacji zadań, o których mowa w art. 127 ust. 2 Traktatu o funkcjonowaniu Unii Europejskiej.
6. Wspólny Organ Nadzoru, w porozumieniu z ENISA, sporządza, publikuje i regularnie aktualizuje wykaz kluczowych zewnętrznych dostawców usług ICT na poziomie Unii.
7. Do celów ust. 1 lit. a) właściwe organy przekazują Wspólnemu Organowi Nadzoru ustanowionemu na podstawie art. 29 sprawozdania w ujęciu rocznym i zagregowanym, o których mowa w art. 25 ust. 4. Wspólny Organ Nadzoru ocenia zależności podmiotów finansowych od zewnętrznych dostawców usług ICT na podstawie informacji uzyskanych od właściwych organów.
8. Zewnętrzni dostawcy usług ICT, których nie uwzględniono w wykazie, o którym mowa w ust. 6, mogą zwrócić się z wnioskiem o umieszczenie ich w tym wykazie.
Na potrzeby akapitu pierwszego zewnętrzni dostawcy usług ICT składają umotywowany wniosek do EUNB, ESMA lub EIOPA, które za pośrednictwem Wspólnego Komitetu podejmują decyzję, czy uwzględnić danego zewnętrznego dostawcę usług ICT w przedmiotowym wykazie zgodnie z ust. 1 lit. a).
Decyzja, o której mowa w akapicie drugim, zostaje przyjęta i przekazana zewnętrznemu dostawcy usług ICT w terminie 6 miesięcy od otrzymania wniosku.
8a. Wspólny Komitet Europejskich Urzędów Nadzoru, na podstawie zalecenia Wspólnego Organu Nadzoru, wyznacza zewnętrznych dostawców usług ICT mających siedzibę w państwie trzecim, którzy mają dla podmiotów finansowych kluczowe znaczenie zgodnie z ust. 1 lit. a).
Przy wyznaczaniu, o którym mowa w akapicie pierwszym niniejszego ustępu, Europejskie Urzędy Nadzoru i Wspólny Organ Nadzoru postępują zgodnie z krokami proceduralnymi określonymi w ust. 2a.
9. Podmioty finansowe nie korzystają z usług kluczowego zewnętrznego dostawcy usług ICT z siedzibą w państwie trzecim, chyba że zewnętrzny dostawca usług ICT posiada przedsiębiorstwo utworzone w Unii zgodnie z prawem państwa członkowskiego i zawarł ustalenia umowne zgodnie z art. 27 ust. 2b.
Artykuł 29
Struktura ram nadzoru
1. Wspólny Organ Nadzoru ustanawia się na potrzeby nadzorowania ryzyka ze strony zewnętrznych dostawców usług ICT w całym sektorze finansowym oraz bezpośredniego nadzoru nad zewnętrznymi dostawcami usług ICT wyznaczonymi jako dostawcy kluczowi na podstawie art. 28.
Rola Wspólnego Organu Nadzoru ogranicza się do uprawnień nadzorczych dotyczących ryzyka związanego z ICT w odniesieniu do usług ICT świadczonych na rzecz podmiotów finansowych przez kluczowych zewnętrznych dostawców usług ICT.
Wspólny Organ ds. Nadzoru regularnie omawia istotne zmiany dotyczące ryzyka i luk związanych z ICT oraz promuje spójne podejście przy monitorowaniu ryzyka ze strony zewnętrznych dostawców usług ICT w skali Unii.
2. Wspólny Organ ds. Nadzoru co roku dokonuje zbiorowej oceny wyników i ustaleń z działań nadzorczych przeprowadzonych w odniesieniu do wszystkich kluczowych zewnętrznych dostawców usług ICT i promuje środki koordynacji mające na celu zwiększenie operacyjnej odporności cyfrowej podmiotów finansowych, propagowanie najlepszych praktyk w zakresie eliminowania ryzyka koncentracji w obszarze ICT oraz analizę czynników łagodzących przenoszenie ryzyka między sektorami.
Wspólny Organ ds. Nadzoru przedkłada kompleksowe wskaźniki referencyjne kluczowych zewnętrznych dostawców usług ICT, które mają zostać przyjęte przez Wspólny Komitet jako wspólne stanowiska Europejskich Urzędów Nadzoru zgodnie z art. 56 akapit pierwszy rozporządzenia (UE) nr 1093/2010, rozporządzenia (UE) nr 1094/2010 i rozporządzenia (UE) nr 1095/2010.
3. W skład Wspólnego Organu ds. Nadzoru wchodzą dyrektorzy wykonawczy Europejskich Urzędów Nadzoru, po jednym przedstawicielu wysokiego szczebla z aktualnego personelu Europejskich Urzędów Nadzoru oraz po jednym przedstawicielu wysokiego szczebla z co najmniej ośmiu właściwych organów krajowych. ▌ Jako obserwatorzy uczestniczą ▌ po jednym przedstawicielu z Komisji Europejskiej, ERRS, EBC i ENISA, a także co najmniej jeden niezależny ekspert wyznaczony zgodnie z ust. 3a niniejszego artykułu.
Po corocznym wyznaczeniu kluczowych zewnętrznych dostawców usług ICT na podstawie art. 28 ust. 1 lit. a) Wspólny Komitet Europejskich Urzędów Nadzoru decyduje, które właściwe organy krajowe mają być członkami Wspólnego Organu Nadzoru, biorąc pod uwagę następujące czynniki:
a) liczbę kluczowych zewnętrznych dostawców usług ICT mających siedzibę lub świadczących usługi w danym państwie członkowskim;
b) zakres polegania podmiotów finansowych w danym państwie członkowskim na kluczowych zewnętrznych dostawcach usług ICT;
c) względną wiedzę fachową właściwego organu krajowego;
d) dostępne zasoby i zdolności właściwego organu krajowego;
e) konieczność usprawnienia, uproszczenia i zwiększenia skuteczności funkcjonowania Wspólnego Organu Nadzoru i jego procesu decyzyjnego.
Wspólny Organ Nadzoru udostępnia swoją dokumentację i decyzje wszystkim właściwym organom krajowym, które nie są jego członkami.
Prace Wspólnego Organu Nadzoru wspomaga specjalnie wybrany w tym celu personel z Europejskich Urzędów Nadzoru.
3a. Niezależny ekspert, o którym mowa w ust. 3 niniejszego artykułu, jest wyznaczany jako obserwator przez Wspólny Organ Nadzoru po przeprowadzeniu publicznej i przejrzystej procedury składania wniosków.
Niezależny ekspert jest wyznaczany na dwuletnią kadencję na podstawie posiadanej wiedzy fachowej w dziedzinie stabilności finansowej, operacyjnej odporności cyfrowej i bezpieczeństwa ICT.
Wyznaczony niezależny ekspert nie sprawuje żadnej innej funkcji na szczeblu krajowym, unijnym ani międzynarodowym. Niezależny ekspert działa niezależnie i obiektywnie wyłącznie w interesie Unii jako całości oraz nie zwraca się o instrukcje do instytucji lub organów unijnych, rządu żadnego z państw członkowskich lub do innego podmiotu publicznego lub prywatnego ani nie przyjmuje takich instrukcji.
Wspólny Organ Nadzoru może podjąć decyzję o wyznaczeniu więcej niż jednego niezależnego eksperta obserwatora.
4. Zgodnie z art. 16 rozporządzenia (UE) nr 1093/2010, rozporządzenia (UE) nr 1094/2010 i rozporządzenia (UE) nr 1095/2010 Europejskie Urzędy Nadzoru wydają wytyczne do dnia [Urząd Publikacji: należy wstawić datę przypadającą 18 miesięcy od dnia wejścia w życie niniejszego rozporządzenia] r. w zakresie współpracy między Wspólnym Organem ds. Nadzoru, wiodącym organem nadzorczym i właściwymi organami na potrzeby niniejszej sekcji dotyczące szczegółowych procedur i warunków odnoszących się do wykonywania zadań między właściwymi organami i Wspólnym Organem ds. Nadzoru oraz szczegółów wymiany informacji niezbędnych dla właściwych organów do zapewnienia działań następczych w związku z zaleceniami skierowanymi przez Wspólny Organ ds. Nadzoru na podstawie art. 31 ust. 1 lit. d) do kluczowych zewnętrznych dostawców usług ICT.
5. Wymogi określone w niniejszej sekcji pozostają bez uszczerbku dla stosowania dyrektywy (UE) 2016/1148 i nie naruszają innych unijnych przepisów dotyczących nadzoru mających zastosowanie do dostawców usług w chmurze.
6. Wspólny Organ ds. Nadzoru ▌co roku przedstawia Parlamentowi Europejskiemu, Radzie i Komisji sprawozdanie na temat stosowania przepisów niniejszej sekcji.
Artykuł 30
Zadania wiodącego organu nadzorczego
1. Wiodący organ nadzorczy, wyznaczony na podstawie art. 28 ust. 1 lit. b), prowadzi i koordynuje codzienny nadzór nad kluczowymi zewnętrznymi dostawcami usług ICT i jest głównym punktem kontaktowym dla tych kluczowych zewnętrznych dostawców usług ICT.
1a. Wiodący organ nadzorczy ocenia, czy każdy z kluczowych zewnętrznych dostawców usług ICT wprowadził kompleksowe, rozsądne i skuteczne zasady, procedury, mechanizmy i ustalenia służące do zarządzania ryzykiem związanym z ICT, które dostawca ten może stanowić dla podmiotów finansowych. Ocena ta koncentruje się przede wszystkim na usługach ICT wspierających kluczowe lub ważne funkcje pełnione przez zewnętrznych dostawców usług ICT na rzecz podmiotów finansowych, lecz może być obszerniejsza, jeżeli jest potrzebna do oceny ryzyka dla tych funkcji.
2. Ocena, o której mowa w ust. 1a, obejmuje:
a) wymogi z zakresu ICT mające na celu zapewnienie w szczególności bezpieczeństwa, dostępności, ciągłości, skalowalności i jakości usług, które zewnętrzny dostawca usług ICT świadczy na rzecz podmiotów finansowych, jak również możliwości utrzymania przez cały czas wysokich standardów bezpieczeństwa, poufności i integralności danych;
b) bezpieczeństwo fizyczne mające wpływ na zapewnienie bezpieczeństwa ICT, w tym bezpieczeństwo obiektów, urządzeń i ośrodków przetwarzania danych;
c) procesy zarządzania ryzykiem, w tym strategie zarządzania ryzykiem związanym z ICT, ciągłość działania ICT oraz plany przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej w zakresie ICT;
d) zasady zarządzania obejmujące strukturę organizacyjną z wyraźnymi, przejrzystymi i spójnymi obszarami odpowiedzialności i zasadami rozliczalności umożliwiającą skuteczne zarządzanie ryzykiem związanym z ICT;
e) identyfikację i monitorowanie poważnych incydentów związanych z ICT oraz ich szybkie zgłaszanie podmiotom finansowym, zarządzanie tymi incydentami i rozwiązywanie tych incydentów, w szczególności cyberataków;
f) mechanizmy przenoszenia danych oraz możliwości przenoszenia aplikacji i ich interoperacyjność, które zapewniają skuteczne wykonywanie praw do odstąpienia od umowy przez podmioty finansowe;
g) testowanie systemów, infrastruktury i kontroli ICT;
h) audyty ICT;
i) stosowanie odnośnych krajowych i międzynarodowych norm mających zastosowanie do świadczenia usług ICT na rzecz podmiotów finansowych.
3. Na podstawie oceny, o której mowa w ust. 1a, przeprowadzonej przez wiodący organ nadzorczy, Wspólny Organ Nadzoru w koordynacji z wiodącym organem nadzorczym i pod jego kierownictwem opracowuje i proponuje jasny, szczegółowy i uzasadniony indywidualny plan nadzoru dla każdego kluczowego zewnętrznego dostawcy usług ICT.
Przy przygotowywaniu projektu planu nadzoru Wspólny Organ Nadzoru konsultuje się ze wszystkimi odpowiednimi właściwymi organami i pojedynczymi punktami kontaktowymi, o których mowa w art. 8 dyrektywy (UE) 2016/1148, w celu zapewnienia, aby nie występowały niespójności lub powielania obowiązków kluczowego zewnętrznego dostawcy usług ICT wynikających z tej dyrektywy.
Plan nadzoru jest przyjmowany co roku przez zarząd wiodącego organu nadzorczego.
Przed przyjęciem projekt planu nadzoru przekazuje się każdemu z kluczowych zewnętrznych dostawców usług ICT.
Po otrzymaniu projektu planu nadzoru kluczowy zewnętrzny dostawca usług ICT ma sześć tygodni na dokonanie przeglądu i przedłożenie uzasadnionego oświadczenia w sprawie projektu planu nadzoru. Takie uzasadnione oświadczenie można złożyć wyłącznie w przypadku, gdy kluczowy zewnętrzny dostawca usług ICT jest w stanie przedstawić dowody na to, że wykonanie planu nadzoru spowodowałoby nieproporcjonalne skutki lub zakłócenia dla klientów nieobjętych niniejszym rozporządzeniem lub że istnieje efektywniejsze lub skuteczniejsze rozwiązanie w zakresie zarządzania zidentyfikowanym ryzykiem związanym z ICT. W przypadku złożenia takiego oświadczenia kluczowy zewnętrzny dostawca usług ICT proponuje Wspólnemu Organowi Nadzoru efektywniejsze lub skuteczniejsze rozwiązanie służące osiągnięciu celów określonych w projekcie planu nadzoru.
Przed przyjęciem planu nadzoru zarząd wiodącego organu nadzorczego należycie uwzględnia uzasadnione oświadczenie i może zwrócić się do zewnętrznego dostawcy usług ICT o dalsze informacje lub dowody.
4. Po przyjęciu i przekazaniu rocznych planów nadzoru, o których mowa w ust. 3, kluczowym zewnętrznym dostawcom usług ICT właściwe organy mogą zastosować środki dotyczące kluczowych zewnętrznych dostawców usług ICT wyłącznie w porozumieniu ze Wspólnym Organem Nadzoru.
Artykuł 31
Uprawnienia nadzorcze
1. Na potrzeby wykonywania obowiązków określonych w niniejszej sekcji wiodący organ nadzorczy posiada w odniesieniu do usług świadczonych przez kluczowych zewnętrznych dostawców usług ICT na rzecz podmiotów finansowych uprawnienia do:
a) występowania z wnioskiem o przekazanie wszystkich stosownych informacji i dokumentów zgodnie z art. 32;
b) prowadzenia ogólnych dochodzeń i kontroli na miejscu zgodnie z art. 33 i 34;
c) występowania z wnioskiem o złożenie sprawozdań po zakończeniu działań nadzorczych, w których omówiono działania podjęte lub środki zaradcze wdrożone przez kluczowych zewnętrznych dostawców usług ICT w związku z zaleceniami, o których mowa w ust. 1a;
1a. Do celów wykonywania obowiązków określonych w niniejszej sekcji oraz na podstawie informacji uzyskanych przez wiodący organ nadzorczy i wyników dochodzeń prowadzonych przez wiodący organ nadzorczy, Wspólny Organ Nadzoru posiada uprawnienia do kierowania zaleceń dotyczących obszarów, o których mowa w art. 30 ust. 2, odnoszących się w szczególności do:
(i) stosowania szczególnych wymogów lub procesów z zakresu bezpieczeństwa i jakości ICT, zwłaszcza w związku z wprowadzaniem poprawek, aktualizacji, szyfrowania i innych środków bezpieczeństwa, które Wspólny Organ Nadzoru uważa za istotne dla zapewnienia bezpieczeństwa ICT usług świadczonych na rzecz podmiotów finansowych;
(ii) korzystania z warunków i zasad, w tym ich technicznego wdrożenia, zgodnie z którymi kluczowi zewnętrzni dostawcy usług ICT świadczą usługi na rzecz podmiotów finansowych, które Wspólny Organ Nadzoru uważa za istotne dla zapobiegania powstawaniu pojedynczych punktów awarii lub ich nasileniu, lub dla minimalizowania potencjalnego wpływu systemowego na cały sektor finansowy Unii w przypadku ryzyka koncentracji w obszarze ICT;
(iii) po przeprowadzeniu analizy zgodnie z art. 32 i 33 dotyczącej umów podwykonawstwa, w tym umów podoutsourcingu, które kluczowi zewnętrzni dostawcy usług ICT zamierzają zawrzeć z innymi zewnętrznymi dostawcami usług ICT lub z podwykonawcami usług ICT z siedzibą w państwie trzecim – wszelkiego planowanego podwykonawstwa, w tym podoutsourcingu, w przypadku którego Wspólny Organ Nadzoru uważa, że dalsze podwykonawstwo może wywołać ryzyko dla świadczenia usług przez podmiot finansowy lub ryzyko dla stabilności finansowej;
(iv) odstąpienia od zawarcia umowy dalszego podwykonawstwa, jeżeli spełnione są łącznie poniższe warunki:
– przewidzianym podwykonawcą jest zewnętrzny dostawca usług ICT lub podwykonawca usług ICT z siedzibą w państwie trzecim, który nie posiada przedsiębiorstwa utworzonego w Unii zgodnie z prawem państwa członkowskiego;
– podwykonawstwo dotyczy kluczowej lub ważnej funkcji podmiotu finansowego;
– podwykonawstwo spowoduje poważne i wyraźne ryzyko dla podmiotu finansowego lub stabilności finansowej systemu finansowego Unii.
1b. Uprawnienia, o których mowa w ust. 1 i 1a, wykonuje się, w stosownych przypadkach, w odniesieniu do usług ICT wspierających inne niż kluczowe lub ważne funkcje świadczone przez kluczowego zewnętrznego dostawcę usług ICT.
1c. Wykonując uprawnienia, o których mowa w ust. 1 i 1a niniejszego artykułu, wiodący organ nadzorczy i Wspólny Organ Nadzoru należycie uwzględniają ramy ustanowione dyrektywą (UE) 2016/1148 oraz, w stosownych przypadkach, konsultują się z odpowiednimi właściwymi organami ustanowionymi tą dyrektywą, aby uniknąć niepotrzebnego powielania środków technicznych i organizacyjnych, które mogą mieć zastosowanie do kluczowych zewnętrznych dostawców usług ICT zgodnie z tą dyrektywą.
2. Przed sfinalizowaniem i wydaniem zaleceń zgodnie z ust. 1a Wspólny Organ Nadzoru informuje kluczowego zewnętrznego dostawcę usług ICT o swoich zamiarach i daje mu możliwość dostarczenia informacji, które jego zdaniem powinny zostać wzięte pod uwagę przed sfinalizowaniem zalecenia, lub możliwość zakwestionowania zamierzonych zaleceń. Podstawami zakwestionowania zalecenia mogą być: niewspółmierny wpływ na klientów nieobjętych niniejszym rozporządzeniem lub niewspółmierne zakłócenia dla takich klientów bądź istnienie efektywniejszego lub skuteczniejszego rozwiązania w zakresie zarządzania zidentyfikowanym ryzykiem.
3. Kluczowi zewnętrzni dostawcy usług ICT współpracują w dobrej wierze z wiodącym organem nadzorczym i Wspólnym Organem Nadzoru i pomagają im w wykonywaniu ich zadań.
4. W przypadku całkowitego lub częściowego niezastosowania się do środków, które należy podjąć zgodnie z ust. 1 lit. a), b) lub c) oraz po upływie co najmniej 60 dni kalendarzowych od dnia, w którym kluczowy zewnętrzny dostawca usług ICT otrzymał powiadomienie o środku, wiodący organ nadzorczy może nałożyć okresową karę pieniężną, aby nakłonić kluczowego zewnętrznego dostawcę usług ICT do zachowania zgodności.
4a. Wiodący organ nadzorczy nakłada okresową karę pieniężną, o której mowa w ust. 4, wyłącznie w ostateczności i w przypadkach, gdy kluczowy zewnętrzny dostawca usług ICT nie zastosował się do środków, które należy podjąć zgodnie z ust. 1 lit. a), b) lub c).
5. Okresowa kara pieniężna, o której mowa w ust. 4, jest nakładana za każdy dzień do czasu osiągnięcia zgodności i nie dłużej niż przez sześć miesięcy po powiadomieniu kluczowego zewnętrznego dostawcy usług ICT.
6. Kwota okresowej kary pieniężnej, naliczana od dnia określonego w decyzji nakładającej okresową karę pieniężną, wynosi do 1 % średniego dziennego światowego obrotu kluczowego zewnętrznego dostawcy usług ICT w poprzedzającym roku obrotowym w odniesieniu do usług świadczonych na rzecz podmiotów finansowych podlegających niniejszemu rozporządzeniu.
7. Okresowe kary pieniężne mają charakter administracyjny i podlegają egzekucji. Przebieg postępowania egzekucyjnego regulują przepisy dotyczące postępowania cywilnego obowiązujące w państwie członkowskim, na którego terytorium prowadzone są kontrole i dostęp. Do rozpatrywania skarg dotyczących nieprawidłowego przeprowadzania postępowania egzekucyjnego właściwe są sądy danego państwa członkowskiego. Kwoty okresowych kar pieniężnych przypisuje się do budżetu ogólnego Unii Europejskiej.
8. Europejskie Urzędy Nadzoru podają do wiadomości publicznej każdą nałożoną okresową karę pieniężną, chyba że takie publiczne ujawnienie zagrażałoby poważnie rynkom finansowym lub wyrządziłoby nieproporcjonalną szkodę stronom, których dotyczy.
9. Przed nałożeniem okresowej kary pieniężnej na podstawie ust. 4 wiodący organ nadzorczy musi zapewnić przedstawicielom kluczowego zewnętrznego dostawcy usług ICT, wobec którego toczy się postępowanie, możliwość bycia wysłuchanym w sprawie ustaleń i musi oprzeć swoją decyzję wyłącznie na ustaleniach, do których kluczowy zewnętrzny dostawca usług ICT objęty postępowaniem miał szansę się odnieść. W postępowaniu w pełni przestrzega się prawa do obrony osób, których dotyczy postępowanie. Osobom tym przysługuje prawo dostępu do akt sprawy, z zastrzeżeniem prawnie uzasadnionego interesu innych osób w zakresie ochrony ich tajemnicy handlowej. Prawo dostępu do akt sprawy nie obejmuje dostępu do informacji poufnych ani wewnętrznych dokumentów przygotowawczych wiodącego organu nadzorczego.
Artykuł 32
Wniosek o informacje
1. Wiodący organ nadzorczy może w drodze zwykłego wniosku lub decyzji zobowiązać kluczowych zewnętrznych dostawców usług ICT do przekazania wszelkich informacji, które są niezbędne dla wiodącego organu nadzorczego do wykonywania jego obowiązków wynikających z niniejszego rozporządzenia, w tym wszystkich stosownych dokumentów przedsiębiorstwa lub dokumentów operacyjnych, umów, dokumentacji strategii, sprawozdań z audytu dotyczącego bezpieczeństwa ICT, sprawozdań z incydentów związanych z ICT, jak również wszelkich informacji na temat stron, którym kluczowy zewnętrzny dostawca usług ICT zlecał funkcje lub działania operacyjne.
Od kluczowych zewnętrznych dostawców usług ICT wymaga się przekazywania informacji, o których mowa w akapicie pierwszym, wyłącznie w odniesieniu do usług świadczonych na rzecz podmiotów finansowych podlegających niniejszemu rozporządzeniu i korzystających z usług kluczowych zewnętrznych dostawców usług ICT do celów pełnienia kluczowych lub ważnych funkcji. Kluczowi zewnętrzni dostawcy usług ICT powiadamiają odpowiedni podmiot finansowy o wnioskach właściwych temu podmiotowi finansowemu.
2. Wysyłając zwykły wniosek o przekazanie informacji, o którym mowa w ust. 1, wiodący organ nadzorczy:
a) odwołuje się do niniejszego artykułu jako podstawy prawnej wniosku;
b) podaje cel tego wniosku;
c) określa, jakie informacje są wymagane;
d) wskazuje termin przekazania informacji;
e) informuje przedstawiciela kluczowego zewnętrznego dostawcy usług ICT, do którego zwraca się z wnioskiem o informacje, że nie jest on zobowiązany do ich przekazania, lecz w przypadku dobrowolnej odpowiedzi na wniosek przekazane informacje nie mogą być niezgodne z prawdą ani mylące.
3. Wzywając w drodze decyzji do przekazania informacji zgodnie z ust. 1, wiodący organ nadzorczy:
a) odwołuje się do niniejszego artykułu jako podstawy prawnej wniosku;
b) podaje cel tego wniosku;
c) określa, jakie informacje są wymagane;
d) wskazuje rozsądny termin przekazania informacji;
e) wskazuje okresowe kary pieniężne przewidziane w art. 31 ust. 4, w przypadku gdy przekazane wymagane informacje są niekompletne lub jeżeli takie informacje nie zostaną dostarczone w terminie, o którym mowa w lit. d);
f) informuje o prawie do odwołania od decyzji do Komisji Odwoławczej Europejskiego Urzędu Nadzoru i prawie do zaskarżenia tej decyzji do Trybunału Sprawiedliwości Unii Europejskiej („Trybunał Sprawiedliwości”) zgodnie z art. 60 i 61 odpowiednio rozporządzenia (UE) nr 1093/2010, rozporządzenia (UE) nr 1094/2010 i rozporządzenia (UE) nr 1095/2010.
4. Przedstawiciele kluczowych zewnętrznych dostawców usług ICT muszą przekazać wymagane informacje. Prawnicy należycie upoważnieni do działania mogą przekazać informacje w imieniu swoich klientów. Kluczowy zewnętrzny dostawca usług ICT pozostaje w pełni odpowiedzialny, jeżeli przekazane informacje są niepełne, niezgodne z prawdą lub mylące.
5. Wiodący organ nadzorczy niezwłocznie przesyła kopię decyzji, w której wzywa do przekazania informacji, organom właściwym dla podmiotów finansowych, które korzystają z usług kluczowego zewnętrznego dostawcy usług ICT.
Artykuł 33
Dochodzenia ogólne
1. W celu wykonywania swoich obowiązków wynikających z niniejszego rozporządzenia wiodący organ nadzorczy, przy wsparciu zespołu ds. kontroli, o którym mowa w art. 35 ust. 1, może prowadzić wszelkie niezbędne dochodzenia względem zewnętrznych dostawców usług ICT zgodnie z zasadą proporcjonalności. Prowadzając dochodzenia, wiodący organ nadzorczy zachowuje ostrożność i gwarantuje ochronę praw kluczowych zewnętrznych dostawców usług ICT nieobjętych niniejszym rozporządzeniem, w tym w odniesieniu do wpływu na poziom usług, dostępność danych i poufność.
2. Wiodący organ nadzorczy jest uprawniony do:
a) wglądu w dokumenty, dane, procedury i wszelkie inne materiały istotne z punktu widzenia realizacji swoich zadań, niezależnie od nośnika, na jakim są one przechowywane;
b) sprawdzania w sposób zabezpieczony uwierzytelnionych kopii lub wyciągów z takich dokumentów, danych, procedur i innych materiałów;
c) wzywania przedstawicieli zewnętrznego dostawcy usług ICT w celu złożenia przez nich ustnych lub pisemnych wyjaśnień na temat sytuacji faktycznej lub dokumentów związanych z przedmiotem i celem dochodzenia oraz do zaprotokołowania odpowiedzi;
d) prowadzenia rozmów z wszelkimi innymi osobami fizycznymi lub prawnymi, które wyrażą na to zgodę, w celu pozyskania informacji dotyczących przedmiotu dochodzenia;
e) żądania rejestrów połączeń telefonicznych i przesyłu danych.
3. Urzędnicy wiodącego organu nadzorczego i inne osoby upoważnione przez ten organ do prowadzenia dochodzeń, o których mowa w ust. 1, wykonują swoje uprawnienia po przedstawieniu pisemnego upoważnienia określającego przedmiot i cel dochodzenia.
W upoważnieniu tym wskazuje się również okresowe kary pieniężne przewidziane w art. 31 ust. 4, nakładane w przypadku, gdy wymagane dokumenty, dane, procedury lub inne materiały lub odpowiedzi na pytania zadane przedstawicielom zewnętrznego dostawcy usług ICT nie zostaną przekazane bądź udzielone lub są niepełne.
4. Przedstawiciele zewnętrznego dostawcy usług ICT mają obowiązek poddać się dochodzeniom na mocy decyzji wiodącego organu nadzorczego. W decyzji określa się przedmiot i cel dochodzenia, okresowe kary pieniężne przewidziane w art. 31 ust. 4 i środki odwoławcze dostępne na mocy rozporządzenia (UE) nr 1093/2010, rozporządzenia (UE) nr 1094/2010 i rozporządzenia (UE) nr 1095/2010 oraz wskazuje się na prawo do zaskarżenia decyzji do Trybunału Sprawiedliwości.
5. Z odpowiednim wyprzedzeniem przed rozpoczęciem dochodzenia wiodący organ nadzorczy informuje organy właściwe dla podmiotów finansowych, które korzystają z usług danego zewnętrznego dostawcy usług ICT, o samym dochodzeniu i o tożsamości upoważnionych osób.
Artykuł 34
Kontrole na miejscu
1. W celu wykonywania swoich obowiązków wynikających z niniejszego rozporządzenia wiodący organ nadzorczy, przy wsparciu zespołów ds. kontroli, o których mowa w art. 35 ust. 1, może wejść do lokali, na grunty lub do nieruchomości stanowiących miejsce prowadzenia działalności gospodarczej zewnętrznych dostawców usług ICT, takich jak siedziby, centra operacyjne i lokale dodatkowe, oraz przeprowadzać w nich wszystkie niezbędne kontrole na miejscu, a także przeprowadzać kontrole poza godzinami prowadzenia działalności.
Uprawnienia do przeprowadzania kontroli na miejscu, o których mowa w akapicie pierwszym, nie ograniczają się do obiektów w Unii, pod warunkiem że kontrola obiektu w państwie trzecim spełnia wszystkie następujące wymogi:
wiodący organ nadzorczy musi wykonywać swoje obowiązki na mocy niniejszego rozporządzenia;
kontrola ma bezpośredni związek ze świadczeniem usług ICT na rzecz unijnych podmiotów finansowych;
kontrola jest istotna dla toczącego się dochodzenia.
1a. Dokonując kontroli na miejscu, wiodący organ nadzorczy i zespół ds. kontroli zachowują ostrożność i gwarantują ochronę praw kluczowych zewnętrznych dostawców usług ICT nieobjętych niniejszym rozporządzeniem, w tym w odniesieniu do wpływu na poziom usług, dostępność danych i poufność.
2. Urzędnicy wiodącego organu nadzorczego i inne osoby upoważnione przez ten organ do przeprowadzenia kontroli na miejscu mogą wejść do takich lokali, na grunty lub do nieruchomości stanowiących miejsce prowadzenia działalności gospodarczej i mają oni wszelkie prawa do pieczętowania wszelkich lokali stanowiących miejsce prowadzenia działalności gospodarczej oraz wszelkich ksiąg lub dokumentów na czas kontroli i w zakresie koniecznym do jej przeprowadzenia.
Wykonują oni swoje uprawnienia po przedstawieniu pisemnego upoważnienia określającego przedmiot i cel kontroli oraz okresowe kary pieniężne przewidziane w art. 31 ust. 4, które podlegają nałożeniu w przypadku, gdy przedstawiciele odnośnych zewnętrznych dostawców usług ICT nie poddadzą się kontroli.
3. Z odpowiednim wyprzedzeniem przed rozpoczęciem kontroli wiodący organ nadzorczy informuje organy właściwe dla podmiotów finansowych, które korzystają z usług danego zewnętrznego dostawcy usług ICT.
4. Kontrole obejmują pełen zakres stosownych systemów, sieci, urządzeń, informacji i danych związanych z ICT, uznanych przez wiodący organ nadzorczy za odpowiednie i właściwe pod względem technologicznym oraz wykorzystywanych do świadczenia usług na rzecz podmiotów finansowych albo mających wpływ na świadczenie tych usług.
5. Przed każdą planowaną kontrolą na miejscu wiodący organ nadzorczy powiadamia z odpowiednim wyprzedzeniem danego kluczowego zewnętrznego dostawcę usług ICT, chyba że takie powiadomienie jest niemożliwe ze względu na nadzwyczajną lub kryzysową sytuację, lub jeżeli prowadziłoby do sytuacji, w której kontrola lub audyt nie byłyby już skuteczne.
6. Kluczowy zewnętrzny dostawca usług ICT jest zobowiązany poddać się kontrolom na miejscu zarządzonym na mocy decyzji wiodącego organu nadzorczego. W decyzji tej określa się przedmiot i cel kontroli, datę jej rozpoczęcia oraz okresowe kary pieniężne przewidziane w art. 31 ust. 4, środki odwoławcze dostępne na mocy rozporządzenia (UE) nr 1093/2010, rozporządzenia (UE) nr 1094/2010 i rozporządzenia (UE) nr 1095/2010 oraz prawo do zaskarżenia decyzji do Trybunału Sprawiedliwości.
7. Jeżeli urzędnicy wiodącego organu nadzorczego i inne osoby upoważnione przez ten organ stwierdzą, że kluczowy zewnętrzny dostawca usług ICT sprzeciwia się kontroli zarządzonej na mocy niniejszego artykułu, wiodący organ nadzorczy informuje kluczowego zewnętrznego dostawcę usług ICT o konsekwencjach takiego sprzeciwu, w tym o możliwości wypowiedzenia przez organy właściwe dla odnośnych podmiotów finansowych ustaleń umownych zawartych z danym kluczowym zewnętrznym dostawcą usług ICT.
Artykuł 35
Bieżący nadzór
1. Przy przeprowadzaniu dochodzeń ogólnych lub kontroli na miejscu wiodące organy nadzorcze są wspierane przez zespół ds. kontroli ustanowiony dla każdego z kluczowych zewnętrznych dostawców usług ICT.
2. Wspólny zespół ds. kontroli, o którym mowa w ust. 1, składa się z pracowników zatrudnionych w wiodącym organie nadzorczym, w innych Europejskich Urzędach Nadzoru i w odpowiednich właściwych organach nadzorujących podmioty finansowe, ma rzecz których kluczowy zewnętrzny dostawca usług ICT świadczy usługi, którzy to pracownicy dołączą do przygotowywania i wykonywania działań nadzorczych, przy czym do zespołu może należeć maksymalnie 10 członków. Wszyscy członkowie wspólnego zespołu badawczego muszą posiadać wiedzę fachową z zakresu ICT i ryzyka operacyjnego. Prace wspólnego zespołu ds. kontroli podlegają koordynacji wyznaczonego pracownika Europejskiego Urzędu Nadzoru („koordynator ze strony wiodącego organu nadzorczego”).
3. Za pośrednictwem Wspólnego Komitetu Europejskie Urzędy Nadzoru opracowują wspólne projekty regulacyjnych standardów technicznych, aby doprecyzować wyznaczenie członków wspólnego zespołu ds. kontroli z odpowiednich właściwych organów, jak również zadania i ustalenia robocze zespołu ds. kontroli. Europejskie Urzędy Nadzoru przedkładają Komisji te projekty regulacyjnych standardów technicznych do dnia [Urząd Publikacji: należy wstawić datę przypadającą 1 rok od dnia wejścia w życie niniejszego rozporządzenia] r.
Komisja jest uprawniona do przyjmowania regulacyjnych standardów technicznych, o których mowa w akapicie pierwszym, zgodnie z art. 10–14 odpowiednio rozporządzenia (UE) nr 1093/2010, rozporządzenia (UE) nr 1094/2010 i rozporządzenia (UE) nr 1095/2010.
4. W terminie trzech miesięcy od zakończenia dochodzenia lub kontroli na miejscu Wspólny Organ Nadzoru przyjmuje zalecenia, które mają być skierowane ▌ do kluczowego zewnętrznego dostawcy usług ICT na podstawie uprawnień, o których mowa w art. 31.
5. Zalecenia, o których mowa w ust. 4, bezzwłocznie przekazuje się kluczowemu zewnętrznemu dostawcy usług ICT oraz organom właściwym dla podmiotów finansowych, na rzecz których dostawca ten świadczy swoje usługi.
Do celów wykonania działań nadzorczych wiodący organ nadzorczy i Wspólny Organ Nadzoru mogą uwzględnić wszelkie stosowne certyfikacje wydane przez stronę trzecią oraz sprawozdania z wewnętrznych lub zewnętrznych audytów dotyczących usług ICT świadczonych przez stronę trzecią udostępnione przez kluczowego zewnętrznego dostawcę usług ICT.
Artykuł 36
Harmonizacja warunków umożliwiających prowadzenie nadzoru
1. Za pośrednictwem Wspólnego Komitetu Europejskie Urzędy Nadzoru opracowują projekty regulacyjnych standardów technicznych określających:
a) informacje, które kluczowy zewnętrzny dostawca usług ICT musi zawrzeć we wniosku o dobrowolne przystąpienie określonym w art. 28 ust. 8;
b) treść i format sprawozdań, o które można się zwrócić do celów art. 31 ust. 1 lit. c);
c) przedstawienie informacji, w tym strukturę, formaty i metody, których przedłożenia, ujawnienia lub zgłoszenia wymaga się od kluczowego zewnętrznego dostawcy usług ICT na podstawie art. 31 ust. 1;
d) szczegóły przeprowadzonej przez właściwe organy oceny środków wprowadzonych przez kluczowego zewnętrznego dostawcę usług ICT w następstwie zaleceń wydanych przez Wspólny Organ Nadzoru na podstawie art. 37 ust. 2.
2. Europejskie Urzędy Nadzoru przedkładają Komisji te projekty regulacyjnych standardów technicznych do dnia 1 stycznia 20xx r. [Urząd Publikacji.: należy wstawić datę przypadającą 1 rok od dnia wejścia w życie niniejszego rozporządzenia]
Komisji przekazuje się uprawnienia do uzupełnienia niniejszego rozporządzenia w drodze przyjmowania regulacyjnych standardów technicznych, o których mowa w akapicie pierwszym, zgodnie z procedurą określoną w art. 10–14 odpowiednio rozporządzenia (UE) nr 1093/2010, rozporządzenia (UE) nr 1094/2010 i rozporządzenia (UE) nr 1095/2010.
Artykuł 37
Działania następcze podejmowane przez właściwe organy
1. W terminie 30 dni kalendarzowych od otrzymania zaleceń wydanych przez Wspólny Organ Nadzoru na podstawie art. 31 ust. 1a kluczowi zewnętrzni dostawcy usług ICT powiadamiają Wspólny Organ Nadzoru o tym, czy zamierzają zastosować się do tych zaleceń. Wspólny Organ Nadzoru niezwłocznie przekazuje tę informację właściwym organom odpowiednich podmiotów finansowych.
2. Właściwe organy informują podmioty finansowe, które zawarły ustalenia umowne z kluczowymi zewnętrznymi dostawcami usług ICT, o ryzyku zidentyfikowanym w zaleceniach skierowanych do tych kluczowych zewnętrznych dostawców usług ICT przez Wspólny Organ Nadzoru zgodnie z art. 31 ust. 1a, oraz monitorują, czy podmioty finansowe uwzględniają to zidentyfikowane ryzyko. Wspólny Organ Nadzoru monitoruje, czy kluczowi zewnętrzni dostawcy usług ICT zajęli się ryzykiem zidentyfikowanym w tych zaleceniach.
3. W przypadku gdy celów regulacyjnych nie można zapewnić za pomocą innych środków, a właściwe organy krajowe wydały ostrzeżenia dla zainteresowanych podmiotów finansowych na podstawie informacji przekazanych przez Wspólny Organ Nadzoru, zarząd wiodącego organu nadzorczego może podjąć decyzję, na podstawie zalecenia Wspólnego Organu Nadzoru i po konsultacji z właściwymi organami zainteresowanych podmiotów finansowych, o tymczasowym zawieszeniu, w części lub w całości, korzystania z usługi lub wdrażania usługi świadczonej na rzecz podmiotów finansowych narażonych na ryzyko zidentyfikowane w zaleceniach skierowanych do kluczowych zewnętrznych dostawców usług ICT do czasu wyeliminowania tego ryzyka. Gdy zachodzi taka konieczność i jedynie w ostateczności, może on nakazać kluczowym zewnętrznym dostawcom usług ICT wypowiedzenie, w części lub w całości, stosownych ustaleń umownych zawartych z podmiotami finansowymi narażonymi na zidentyfikowane ryzyko.
4. Podejmując decyzje, o których mowa w ust. 3, zarząd wiodącego organu nadzorczego bierze pod uwagę rodzaj i skalę ryzyka, które nie zostało wyeliminowane przez kluczowego zewnętrznego dostawcę usług ICT, a także istotność braku zgodności, uwzględniając następujące kryteria:
a) wagę braku zgodności i czas jego trwania;
b) kwestię, czy brak zgodności ujawnił poważne słabości w procedurach, systemach zarządzania, zarządzaniu ryzykiem i kontrolach wewnętrznych kluczowego zewnętrznego dostawcy usług ICT;
c) kwestię, czy brak zgodności doprowadził do przestępstwa finansowego lub ułatwił przestępstwo finansowe lub jest w inny sposób związany z takim przestępstwem;
d) kwestię, czy brak zgodności jest wynikiem działania umyślnego lub zaniedbania.
da) kwestię, czy zawieszenie lub wypowiedzenie stwarza ryzyko dla ciągłości działania użytkownika usług kluczowego zewnętrznego dostawcy usług ICT.
4a. Decyzje, o których mowa w ust. 3, są wykonywane dopiero po należytym poinformowaniu wszystkich zainteresowanych podmiotów finansowych. Zainteresowanym podmiotom finansowym przyznaje się okres czasu nie dłuższy niż jest to absolutnie niezbędne na dostosowanie swoich ustaleń dotyczących outsourcingu i ustaleń umownych z kluczowymi zewnętrznymi dostawcami usług ICT w sposób, który nie zagraża operacyjnej odporności cyfrowej, oraz na wdrożenie swoich strategii wyjścia i planów transformacji zgodnie z art. 25.
Kluczowi zewnętrzni dostawcy usług ICT podlegający decyzjom przewidzianym w ust. 3 w pełni współpracują z zainteresowanymi podmiotami finansowymi.
5. Właściwe organy regularnie informują Wspólny Organ Nadzoru o podejściach i środkach, które zastosowały w ramach swoich zadań nadzorczych w odniesieniu do podmiotów finansowych.
Artykuł 38
Opłaty nadzorcze
1. Europejskie Urzędy Nadzoru pobierają od kluczowych zewnętrznych dostawców usług ICT opłaty, które w pełni pokrywają niezbędne wydatki Europejskich Urzędów Nadzoru związane z wykonywaniem zadań nadzorczych na podstawie niniejszego rozporządzenia, w tym zwrot wszelkich kosztów, które mogą zostać poniesione w wyniku prac prowadzonych przez właściwe organy przystępujące do działań nadzorczych zgodnie z art. 35.
Wysokość opłaty pobieranej od kluczowego zewnętrznego dostawcy usług ICT pozwala na pokrycie wszystkich kosztów związanych z wypełnianiem obowiązków przewidzianych w niniejszej sekcji oraz jest proporcjonalna do jego obrotów.
1a. Jeżeli z organem regulacyjnym i nadzorczym państwa trzeciego zawarto porozumienie administracyjne zgodnie z ust. 1 niniejszego artykułu, organ ten może wchodzić w skład zespołu ds. kontroli, o którym mowa w art. 35 ust. 1.
2. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 50 w celu uzupełnienia niniejszego rozporządzenia poprzez określenie wysokości opłat oraz sposobu ich uiszczania.
Artykuł 39
Współpraca międzynarodowa
1. EUNB, ESMA i EIOPA mogą zgodnie z art. 33 odpowiednio rozporządzenia (UE) nr 1093/2010, rozporządzenia (UE) nr 1094/2010 i rozporządzenia (UE) nr 1095/2010 zawrzeć porozumienia administracyjne z organami regulacyjnymi i organami nadzoru państw trzecich, aby wspierać współpracę międzynarodową w obszarze ryzyka ze strony zewnętrznych dostawców usług ICT w różnych sektorach finansowych, w szczególności przez opracowanie najlepszych praktyk dotyczących przeglądu praktyk zarządzania ryzykiem związanym z ICT i przeglądu kontroli takiego ryzyka, środków ograniczających takie ryzyko i reakcji na incydenty związane z takim ryzykiem.
2. Za pośrednictwem Wspólnego Komitetu Europejskie Urzędy Nadzoru co pięć lat przedkładają Parlamentowi Europejskiemu, Radzie i Komisji wspólne poufne sprawozdanie, w którym podsumowują ustalenia ze stosownych rozmów przeprowadzonych z organami państw trzecich, o których mowa w ust. 1, koncentrując się na rozwoju ryzyka ze strony zewnętrznych dostawców usług ICT i następstwach dla stabilności finansowej, integralności rynku, ochrony inwestorów lub funkcjonowania jednolitego rynku.
ROZDZIAŁ VI
USTALENIA DOTYCZĄCE WYMIANY INFORMACJI
Artykuł 40
Ustalenia dotyczące wymiany informacji odnoszące się do informacji o cyberzagrożeniu i wyników analiz takiego cyberzagrożenia
1. Podmioty finansowe starają się wymieniać między sobą i zewnętrznymi dostawcami usług ICT informacje o cyberzagrożeniu i wyniki analiz takiego cyberzagrożenia, w tym oznaki naruszenia integralności systemu, taktykę, techniki i procedury, ostrzeżenia dotyczące cyberbezpieczeństwa oraz narzędzia konfiguracji w zakresie, w jakim wymiana takich informacji i wyników analiz:
a) ma na celu zwiększenie operacyjnej odporności cyfrowej podmiotów finansowych i zewnętrznymi dostawcami usług ICT, w szczególności poprzez zwiększanie świadomości w odniesieniu do cyberzagrożeń, ograniczanie lub utrudnianie rozprzestrzeniania się zdolności do stwarzania cyberzagrożeń, wspieranie zakresu możliwości obronnych ▌, techniki wykrywania zagrożenia, strategie jego minimalizowania lub etapy reagowania i przywracania gotowości do pracy;
b) odbywa się w zaufanych społecznościach podmiotów finansowych i zewnętrznych dostawców usług ICT;
c) jest realizowana za pośrednictwem ustaleń dotyczących wymiany informacji, które chronią potencjalnie poufny charakter wymienianych informacji i które są regulowane przez zasady prowadzenia działalności z pełnym poszanowaniem tajemnicy przedsiębiorstwa, ochrony danych osobowych[26] i wytycznych dotyczących polityki konkurencji[27].
2. Na potrzeby ust. 1 lit. c) ustalenia dotyczące wymiany informacji określają warunki przystąpienia i w stosownych przypadkach przewidują szczegóły uczestnictwa organów publicznych i możliwości włączenia ich do ustaleń dotyczących wymiany informacji, a także szczegóły elementów operacyjnych, w tym korzystania ze specjalnych platform informatycznych.
3. Podmioty finansowe powiadamiają właściwe organy o swoim przystąpieniu do ustaleń dotyczących wymiany informacji, o których mowa w ust. 1, po zatwierdzeniu ich członkostwa lub, w stosownych przypadkach, o ustaniu ich członkostwa, gdy stanie się ono skuteczne.
ROZDZIAŁ VII
WŁAŚCIWE ORGANY
Artykuł 41
Właściwe organy
Nie naruszając przepisów dotyczących ram nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT, o których mowa w rozdziale V sekcja II niniejszego rozporządzenia, zgodność z obowiązkami określonymi w niniejszym rozporządzeniu zapewniają następujące właściwe organy zgodnie z uprawnieniami przyznanymi im na mocy odnośnych aktów prawnych:
a) w odniesieniu do instytucji kredytowych – właściwy organ wyznaczony zgodnie z art. 4 dyrektywy 2013/36/UE, bez uszczerbku dla szczególnych zadań powierzonych EBC na mocy rozporządzenia (UE) nr 1024/2013;
b) w odniesieniu do dostawców usług płatniczych – właściwy organ wyznaczony zgodnie z art. 22 dyrektywy (UE) 2015/2366;
c) w odniesieniu do instytucji pieniądza elektronicznego – właściwy organ wyznaczony zgodnie z art. 37 dyrektywy 2009/110/WE;
d) w odniesieniu do firm inwestycyjnych – właściwy organ wyznaczony zgodnie z art. 4 dyrektywy (UE) 2019/2034;
e) w odniesieniu do dostawców usług w zakresie kryptoaktywów, emitentów i oferentów kryptoaktywów, emitentów i oferentów tokenów powiązanych z aktywami oraz emitentów znaczących tokenów powiązanych z aktywami – właściwy organ wyznaczony zgodnie z art. 3 ust. 1 lit. ee) tiret pierwsze [rozporządzenia (UE) 20xx w sprawie rynków kryptoaktywów (MiCA)];
f) w odniesieniu do centralnych depozytów papierów wartościowych i operatorów systemów rozrachunku papierów wartościowych – właściwy organ wyznaczony zgodnie z art. 11 rozporządzenia (UE) nr 909/2014;
g) w odniesieniu do kontrahentów centralnych – właściwy organ wyznaczony zgodnie z art. 22 rozporządzenia (UE) nr 648/2012;
h) w odniesieniu do systemów obrotu i dostawców usług w zakresie udostępniania informacji – właściwy organ wyznaczony zgodnie z art. 67 dyrektywy 2014/65/UE;
i) w odniesieniu do repozytoriów transakcji – właściwy organ wyznaczony zgodnie z art. 55 rozporządzenia (UE) nr 648/2012;
j) w odniesieniu do zarządzających alternatywnymi funduszami inwestycyjnymi – właściwy organ wyznaczony zgodnie z art. 44 dyrektywy 2011/61/UE;
k) w odniesieniu do spółek zarządzających – właściwy organ wyznaczony zgodnie z art. 97 dyrektywy 2009/65/WE;
l) w odniesieniu do zakładów ubezpieczeń i zakładów reasekuracji – właściwy organ wyznaczony zgodnie z art. 30 dyrektywy 2009/138/WE;
m) w odniesieniu do pośredników ubezpieczeniowych, pośredników reasekuracyjnych i pośredników oferujących ubezpieczenia uzupełniające – właściwy organ wyznaczony zgodnie z art. 12 dyrektywy (UE) 2016/97;
n) w odniesieniu do instytucji pracowniczych programów emerytalnych – właściwy organ wyznaczony zgodnie z art. 47 dyrektywy 2016/2341;
o) w odniesieniu do agencji ratingowych – właściwy organ wyznaczony zgodnie z art. 21 rozporządzenia (WE) nr 1060/2009;
p) w odniesieniu do biegłych rewidentów i firm audytorskich – właściwy organ wyznaczony zgodnie z art. 3 ust. 2 i art. 32 dyrektywy 2006/43/WE;
q) w odniesieniu do administratorów kluczowych wskaźników referencyjnych – właściwy organ wyznaczony zgodnie z art. 40 i 41 rozporządzenia (UE) 2016/1011;
r) w odniesieniu do dostawców usług finansowania społecznościowego – właściwy organ wyznaczony zgodnie z art. 29 rozporządzenia (UE) 2020/1503;
s) w odniesieniu do repozytoriów sekurytyzacji – właściwy organ wyznaczony zgodnie z art. 10 i art. 14 ust. 1 rozporządzenia (UE) 2017/2402.
Artykuł 42
Współpraca ze strukturami i organami ustanowionymi na mocy dyrektywy (UE) 2016/1148
1. Aby usprawnić współpracę i umożliwić wymianę informacji na temat nadzoru między właściwymi organami wyznaczonymi zgodnie z niniejszym rozporządzeniem i grupą współpracy ustanowioną na mocy art. 11 dyrektywy (UE) 2016/1148, Europejskie Urzędy Nadzoru i właściwe organy zaprasza się do udziału w pracach grupy współpracy, o ile prace te dotyczą, odpowiednio, działań nadzorczych i nadzoru w odniesieniu do podmiotów wymienionych w pkt 7 załącznika II do dyrektywy (UE) 2016/1148, które zostały również wyznaczone jako kluczowi zewnętrzni dostawcy usług ICT zgodnie z art. 28 niniejszego rozporządzenia.
2. W stosownych przypadkach właściwe organy mogą konsultować się z pojedynczym punktem kontaktowym i krajowymi zespołami reagowania na incydenty bezpieczeństwa komputerowego, o których mowa odpowiednio w art. 8 i 9 dyrektywy (UE) 2016/1148.
2a. Wiodący organ nadzorczy informuje właściwe organy wyznaczone na podstawie dyrektywy (UE) 2016/1148 i współpracuje z nimi przed przeprowadzeniem ogólnych dochodzeń i kontroli na miejscu zgodnie z art. 33 i 34 niniejszego rozporządzenia.
Artykuł 43
Ćwiczenia wykonywane między sektorami finansowymi oraz komunikacja i współpraca między tymi sektorami
1. Europejskie Urzędy Nadzoru, za pośrednictwem Wspólnego Komitetu i we współpracy z właściwymi organami, EBC, Jednolitą Radą ds. Restrukturyzacji i Uporządkowanej Likwidacji na potrzeby uzyskiwania informacji dotyczących podmiotów podlegających rozporządzeniu (UE) nr 806/2014 i ERRS, mogą ustanowić mechanizmy umożliwiające wymianę skutecznych praktyk między sektorami finansowymi, aby zwiększyć orientację sytuacyjną i zidentyfikować wspólne dla sektorów finansowych luki i rodzaje ryzyka w cyberprzestrzeni.
Mogą one opracować ćwiczenia z zakresu zarządzania kryzysowego i sytuacji awaryjnych obejmujące scenariusze cyberataków w celu wypracowania kanałów komunikacyjnych i stopniowego umożliwiania skutecznej skoordynowanej reakcji na poziomie UE w przypadku poważnego transgranicznego incydentu związanego z ICT lub znacznego cyberzagrożenia mającego systemowy wpływ na cały sektor finansowy Unii.
Ćwiczenia te mogą w stosownych przypadkach służyć również zbadaniu zależności sektora finansowego od innych sektorów gospodarki.
2. Właściwe organy, EUNB, ESMA lub EIOPA, EBC, krajowe organy ds. restrukturyzacji i uporządkowanej likwidacji i Jednolita Rada ds. Restrukturyzacji i Uporządkowanej Likwidacji na potrzeby uzyskiwania informacji dotyczących podmiotów podlegających rozporządzeniu (UE) nr 806/2014 ściśle współpracują ze sobą i wymieniają się informacjami na potrzeby wykonywania swoich obowiązków na podstawie art. 42–48. Ściśle koordynują one prowadzony przez siebie nadzór w celu identyfikowania naruszeń niniejszego rozporządzenia oraz stosowania wobec nich środków naprawczych, a także w celu opracowywania i promowania najlepszych praktyk, ułatwiania współpracy, promowania spójnej interpretacji oraz zapewniania ocen przekrojowych dotyczących odnośnych jurysdykcji w przypadku jakichkolwiek sporów.
Artykuł 44
Kary administracyjne i środki naprawcze
1. Właściwe organy posiadają wszelkie uprawnienia do sprawowania nadzoru, prowadzenia dochodzeń i nakładania sankcji niezbędne do wykonywania swoich obowiązków wynikających z niniejszego rozporządzenia.
2. Uprawnienia, o których mowa w ust. 1, obejmują co najmniej uprawnienia do:
a) uzyskania dostępu do wszelkich dokumentów lub danych przechowywanych w jakiejkolwiek formie, które właściwy organ uważa za istotne z punktu widzenia wykonywania swoich obowiązków oraz do otrzymywania lub sporządzania ich duplikatów;
b) przeprowadzania kontroli na miejscu lub dochodzeń;
c) wymagania zastosowania środków naprawczych w odniesieniu do naruszeń wymogów określonych w niniejszym rozporządzeniu.
3. Bez uszczerbku dla prawa państw członkowskich do nakładania sankcji karnych zgodnie z art. 46, państwa członkowskie określają przepisy ustanawiające właściwe kary administracyjne i środki naprawcze w odniesieniu do naruszeń przepisów niniejszego rozporządzenia i zapewniają ich skuteczne stosowanie.
Te sankcje i środki muszą być skuteczne, proporcjonalne i odstraszające.
4. Państwa członkowskie powierzają właściwym organom uprawnienie do stosowania kar administracyjnych lub środków naprawczych w przypadku naruszeń przepisów niniejszego rozporządzenia, obejmujących co najmniej:
a) wydanie nakazu zobowiązującego osobę fizyczną lub prawną do zaprzestania danego postępowania oraz do powstrzymania się od ponownego podejmowania tego postępowania;
b) wymaganie tymczasowego lub stałego zaprzestania wszelkiej praktyki lub postępowania uznanych za sprzeczne z przepisami niniejszego rozporządzenia, oraz niedopuszczenie do ponownego podejmowania takiej praktyki lub postępowania;
c) przyjęcie wszelkiego rodzaju środków, w tym o charakterze pieniężnym, mających zapewnić dalsze przestrzeganie wymogów prawnych przez podmioty finansowe;
d) wymaganie, w zakresie, w jakim zezwala na to prawo krajowe, udostępnienia istniejących rejestrów przesyłu danych będących w posiadaniu operatora telekomunikacyjnego, w przypadku gdy istnieje uzasadnione podejrzenie naruszenia przepisów niniejszego rozporządzenia oraz w przypadku gdy takie rejestry mogą mieć znaczenie dla dochodzenia w sprawie naruszeń przepisów niniejszego rozporządzenia; oraz
e) wydanie publicznych ogłoszeń, w tym podanie do wiadomości publicznej informacji wskazującej tożsamość osoby fizycznej lub prawnej oraz charakter naruszenia.
5. W przypadku gdy przepisy, o których mowa w ust. 2 lit. c) i ust. 4, mają zastosowanie do osób prawnych, państwa członkowskie powierzają właściwym organom uprawnienie do stosowania kar administracyjnych i środków naprawczych, z zastrzeżeniem warunków przewidzianych w prawie krajowym, wobec członków organu zarządzającego oraz innych osób fizycznych, które w świetle prawa krajowego ponoszą odpowiedzialność za naruszenie.
6. Państwa członkowskie zapewniają, aby każda decyzja nakładająca kary administracyjne lub środki naprawcze określone w ust. 2 lit. c) była właściwie uzasadniona i podlegała prawu do odwołania.
Artykuł 45
Wykonywanie uprawnień do nakładania kar administracyjnych i środków naprawczych
1. Właściwe organy wykonują uprawnienia do nakładania kar administracyjnych i środków naprawczych, o których mowa w art. 44, zgodnie ze swoimi krajowymi ramami prawnymi, stosownie do sytuacji:
a) bezpośrednio;
b) we współpracy z innymi organami;
c) w drodze przekazania uprawnień innym organom, zachowując odpowiedzialność za wykonanie tych uprawnień;
d) poprzez wnoszenie spraw do właściwych organów sądowych.
2. Ustalając rodzaj i poziom kary administracyjnej lub środka naprawczego, które mają zostać nałożone na mocy art. 44, właściwe organy biorą pod uwagę zakres, w jakim dane naruszenie ma charakter umyślny lub jest wynikiem zaniedbania, a także wszystkie inne stosowne okoliczności, w tym również, w stosownych przypadkach:
a) istotność i wagę naruszenia oraz czas jego trwania;
b) stopień odpowiedzialności osoby fizycznej lub prawnej odpowiedzialnej za dane naruszenie;
c) sytuację finansową odpowiedzialnej osoby fizycznej lub prawnej;
d) skalę korzyści uzyskanych lub strat unikniętych przez odpowiedzialną osobę fizyczną lub prawną, o ile można je ustalić;
e) straty poniesione przez osoby trzecie w wyniku naruszenia, o ile można je ustalić;
f) poziom współpracy odpowiedzialnej osoby fizycznej lub prawnej z właściwym organem, bez uszczerbku dla konieczności zapewnienia wydania uzyskanych korzyści lub wyrównania strat unikniętych przez tę osobę;
g) uprzednie naruszenia popełnione przez odpowiedzialną osobę fizyczną lub prawną.
Artykuł 46
Sankcje karne
1. Państwa członkowskie mogą zadecydować o nieustanowieniu przepisów dotyczących kar administracyjnych lub środków naprawczych w odniesieniu do naruszeń, które podlegają sankcjom karnym na podstawie ich prawa krajowego.
2. W przypadku gdy państwa członkowskie postanowiły ustanowić sankcje karne za naruszenia przepisów niniejszego rozporządzenia, zapewniają one wprowadzenie odpowiednich środków, tak aby właściwe organy miały wszystkie niezbędne uprawnienia do współdziałania z organami sądowymi, organami ścigania lub organami wymiaru sprawiedliwości w sprawach karnych w ramach ich jurysdykcji na potrzeby otrzymywania szczegółowych informacji dotyczących dochodzeń lub postępowań karnych wszczętych w związku z naruszeniami przepisów niniejszego rozporządzenia oraz przekazywania takich informacji innym właściwym organom, a także EUNB, ESMA lub EIOPA w celu wypełnienia swojego obowiązku współpracy do celów niniejszego rozporządzenia.
Artykuł 47
Obowiązki w zakresie powiadamiania
Państwa członkowskie powiadamiają Komisję, ESMA, EUNB i EIOPA o przepisach ustawowych, wykonawczych i administracyjnych wdrażających przepisy niniejszego rozdziału, w tym o odpowiednich przepisach prawa karnego, do dnia [Urząd Publikacji: należy wstawić datę przypadającą 12 miesięcy od dnia wejścia w życie niniejszego rozporządzenia] r. Państwa członkowskie bez zbędnej zwłoki powiadamiają Komisję, ESMA, EUNB i EIOPA o wszelkich późniejszych zmianach tych przepisów.
Artykuł 48
Publikowanie informacji o nałożonych karach administracyjnych
1. Właściwe organy bez zbędnej zwłoki publikują na swojej oficjalnej stronie internetowej każdą decyzję nakładającą kary administracyjne, wobec której, po tym jak adresat sankcji został powiadomiony o tej decyzji, nie zostało wniesione odwołanie.
2. Publikacja, o której mowa w ust. 1, zawiera informacje na temat rodzaju i charakteru naruszenia, nałożonych kar oraz, w wyjątkowych przypadkach, na temat tożsamości osób odpowiedzialnych ▌.
3. Jeżeli po przeprowadzeniu indywidualnej oceny właściwy organ uzna, że publikacja tożsamości, w przypadku osób prawnych, lub tożsamości i danych osobowych, w przypadku osób fizycznych, byłaby nieproporcjonalna, zagrażałaby stabilności rynków finansowych lub prowadzeniu toczącego się postępowania przygotowawczego w sprawie karnej lub wyrządziłaby nieproporcjonalną szkodę, o ile można ją ustalić, stronom, których dotyczy, przyjmuje on jedno z poniższych rozwiązań w stosunku do decyzji nakładającej karę administracyjną:
a) odracza jej publikację do momentu, kiedy wszystkie powody uzasadniające nieopublikowanie przestaną być aktualne;
b) publikuje ją w formie zanonimizowanej zgodnie z prawem krajowym; lub
c) odstępuje od jej opublikowania, jeżeli możliwości określone w lit. a) i b) zostaną uznane za niewystarczające, aby zagwarantować brak wszelkiego zagrożenia dla stabilności rynków finansowych, albo w przypadku gdy publikacja nie byłaby proporcjonalna do łagodnego wymiaru nałożonej kary.
4. W przypadku decyzji o publikacji informacji o karze administracyjnej w formie zanonimizowanej zgodnie z ust. 3 lit. b), opublikowanie odpowiednich danych może zostać odłożone w czasie.
5. W przypadku gdy właściwy organ publikuje decyzję o nałożeniu kary administracyjnej, od której złożono odwołanie do odpowiedniego organu sądowego, właściwe organy niezwłocznie publikują na swojej oficjalnej stronie internetowej odpowiednią informację, a na dalszych etapach wszelkie późniejsze powiązane informacje o wyniku takiego odwołania. Publikuje się również wszelkie orzeczenia sądowe unieważniające decyzję o nałożeniu kary administracyjnej.
6. Właściwe organy zapewniają, by publikacja, o której mowa w ust. 1–4, była dostępna na ich oficjalnej stronie internetowej przez co najmniej pięć lat po jej dokonaniu. Opublikowane dane osobowe pozostawia się na oficjalnej stronie internetowej właściwego organu jedynie przez okres, który jest niezbędny zgodnie z mającymi zastosowanie przepisami o ochronie danych.
Artykuł 49
Tajemnica zawodowa
1. Wszelkie poufne informacje otrzymywane, wymieniane lub przekazywane na mocy niniejszego rozporządzenia podlegają warunkom zachowania tajemnicy zawodowej ustanowionym w ust. 2.
2. Obowiązek zachowania tajemnicy zawodowej ma zastosowanie do wszystkich osób, które pracują lub pracowały dla właściwych organów zgodnie z niniejszym rozporządzeniem lub dla dowolnego organu lub przedsiębiorstwa rynkowego bądź osoby fizycznej lub prawnej, którym te właściwe organy przekazały swoje uprawnienia, włącznie z zatrudnionymi przez nie audytorami i ekspertami.
3. Informacje objęte tajemnicą zawodową nie mogą zostać ujawnione jakiejkolwiek innej osobie ani jakiemukolwiek innemu organowi, z wyjątkiem przypadków określonych w prawie Unii lub prawie krajowym.
4. Wszystkie informacje wymieniane między właściwymi organami na podstawie niniejszego rozporządzenia, które dotyczą warunków biznesowych lub operacyjnych oraz innych kwestii gospodarczych lub osobistych, uznaje się za informacje poufne oraz obejmuje obowiązkiem zachowania tajemnicy zawodowej, z wyjątkiem przypadków gdy w momencie ich przekazania właściwy organ stwierdzi, że informacje te mogą być ujawnione lub ich ujawnienie jest niezbędne do celów postępowania sądowego.
ROZDZIAŁ VIII
AKTY DELEGOWANE
Artykuł 50
Wykonywanie przekazanych uprawnień
1. Powierzenie Komisji uprawnień do przyjmowania aktów delegowanych podlega warunkom określonym w niniejszym artykule.
2. Uprawnienia do przyjęcia aktów delegowanych, o których mowa w art. 28 ust. 3 i art. 38 ust. 2, powierza się Komisji na okres pięciu lat od dnia [Urząd Publikacji: należy wstawić datę przypadającą 5 lat od dnia wejścia w życie niniejszego rozporządzenia] r. Komisja sporządza sprawozdanie dotyczące przekazania uprawnień nie później niż dziewięć miesięcy przed końcem okresu 5 lat. Przekazanie uprawnień zostaje automatycznie przedłużone na takie same okresy, chyba że Parlament Europejski lub Rada sprzeciwią się takiemu przedłużeniu nie później niż trzy miesiące przed końcem każdego okresu.
3. Parlament Europejski lub Rada mogą w dowolnym czasie odwołać przekazanie uprawnień, o którym mowa w art. 28 ust. 3 i art. 38 ust. 2. Decyzja o odwołaniu kończy przekazanie określonych w niej uprawnień. Decyzja o odwołaniu staje się skuteczna następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej lub w późniejszym terminie określonym w tej decyzji. Nie wpływa ona na ważność już obowiązujących aktów delegowanych.
4. Przed przyjęciem aktu delegowanego Komisja konsultuje się z ekspertami wyznaczonymi przez każde państwo członkowskie zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa.
5. Niezwłocznie po przyjęciu aktu delegowanego Komisja przekazuje go równocześnie Parlamentowi Europejskiemu i Radzie.
6. Akt delegowany przyjęty na podstawie art. 28 ust. 3 lub art. 38 ust. 2 wchodzi w życie tylko wówczas, gdy ani Parlament Europejski, ani Rada nie wyraziły sprzeciwu w terminie trzech miesięcy od przekazania tego aktu Parlamentowi Europejskiemu i Radzie, lub gdy, przed upływem tego terminu, zarówno Parlament Europejski, jak i Rada poinformowały Komisję, że nie wniosą sprzeciwu. Termin ten przedłuża się o trzy miesiące z inicjatywy Parlamentu Europejskiego lub Rady.
ROZDZIAŁ IX
PRZEPISY PRZEJŚCIOWE I KOŃCOWE
SEKCJA I
Artykuł 51
Klauzula przeglądowa
Do dnia [Urząd Publikacji: należy wstawić datę przypadającą 5 lat od dnia wejścia w życie niniejszego rozporządzenia] r., po konsultacji z EUNB, ESMA, EIOPA i ERRS, stosownie do przypadku, Komisja przeprowadza przegląd i przedkłada Parlamentowi Europejskiemu i Radzie sprawozdanie, w stosownych przypadkach wraz z wnioskiem ustawodawczym▌. W sprawozdaniu tym analizuje się co najmniej następujące elementy:
a) możliwość rozszerzenia zakresu stosowania niniejszego rozporządzenia na operatorów systemów płatniczych;
b) dobrowolny charakter zgłaszania znaczących cyberzagrożeń;
c) kryteria wyznaczania kluczowych zewnętrznych dostawców usług ICT określonych w art. 28 ust. 2; oraz
d) skuteczność procesu decyzyjnego Wspólnego Organu Nadzoru oraz wymiany informacji między Wspólnym Organem Nadzoru a właściwymi organami krajowymi, które nie są jego członkami.
SEKCJA II
ZMIANY
Artykuł 52
Zmiany w rozporządzeniu (WE) nr 1060/2009
W załączniku I do rozporządzenia (WE) nr 1060/2009 sekcja A pkt 4 akapit pierwszy otrzymuje brzmienie:
„Agencja ratingowa posiada prawidłowe procedury administracyjne i księgowe, mechanizmy kontroli wewnętrznej, skuteczne procedury oceny ryzyka i skuteczne rozwiązania w zakresie kontroli i bezpieczeństwa zarządzania systemami ICT zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2021/xx* [DORA].
* Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2021/xx [...] (Dz.U. L XX z DD.MM.RRRR, s. X).”.
Artykuł 53
Zmiany w rozporządzeniu (UE) nr 648/2012
W rozporządzeniu (UE) nr 648/2012 wprowadza się następujące zmiany:
1) w art. 26 wprowadza się następujące zmiany:
a) ust. 3 otrzymuje brzmienie:
„ 3. CCP utrzymuje i stosuje strukturę organizacyjną zapewniającą ciągłość działania oraz prawidłowe funkcjonowanie w zakresie świadczenia usług i prowadzenia działalności. CCP stosuje odpowiednie i proporcjonalne systemy, zasoby i procedury, w tym systemy ICT zarządzane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2021/xx* [DORA].
* Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2021/xx [...] (Dz.U. L XX z DD.MM.RRRR, s. X).”;
b) uchyla się ust. 6;
2) w art. 34 wprowadza się następujące zmiany:
a) ust. 1 otrzymuje brzmienie:
„1. CCP ustanawia, wprowadza i utrzymuje odpowiednią strategię na rzecz ciągłości działania oraz plan przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej, które obejmują ciągłość działania w zakresie ICT oraz plany przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej związanej z ICT opracowane zgodnie z rozporządzeniem (UE) 2021/xx [DORA], które służą zachowaniu pełnionych funkcji, szybkiemu przywróceniu działalności i wywiązywaniu się z obowiązków.”;
b) ust. 3 akapit pierwszy otrzymuje brzmienie:
„W celu zapewnienia spójnego stosowania niniejszego artykułu ESMA, po konsultacji z członkami ESBC, opracowuje projekt regulacyjnych standardów technicznych określających minimalny zakres i minimalne wymogi dotyczące strategii na rzecz ciągłości działania oraz planu przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej, z wyjątkiem ciągłości działania w zakresie ICT i planów przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej związanej z ICT.”;
3) art. 56 ust. 3 akapit pierwszy otrzymuje brzmienie:
„3. W celu zapewnienia spójnego stosowania niniejszego artykułu ESMA opracowuje projekty regulacyjnych standardów technicznych określających szczegółowe informacje, inne niż informacje w przypadku wymogów w zakresie zarządzania ryzykiem związanym z ICT, dotyczące wniosku o rejestrację, o którym mowa w ust. 1.”;
4) art. 79 ust. 1 i 2 otrzymują brzmienie:
„1. Repozytorium transakcji określa źródła ryzyka operacyjnego i ogranicza je również dzięki opracowaniu odpowiednich systemów, kontroli i procedur, w tym systemów ICT zarządzanych zgodnie z rozporządzeniem (UE) 2021/xx [DORA].
2. Repozytorium transakcji ustanawia, wprowadza i stosuje odpowiednią strategię na rzecz ciągłości działania oraz plan przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej, które obejmują ciągłość działania w zakresie ICT i plany przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej związanej z ICT ustanowione zgodnie z rozporządzeniem (UE) 2021/xx[DORA], służące zachowaniu pełnionych funkcji, szybkiemu przywróceniu działalności i wywiązywaniu się z obowiązków repozytorium transakcji.”;
5) w art. 80 uchyla się ust. 1.
Artykuł 54
Zmiany w rozporządzeniu (UE) nr 909/2014
W art. 45 rozporządzenia (UE) nr 909/2014 wprowadza się następujące zmiany:
1) ust. 1 otrzymuje brzmienie:
„1. CDPW identyfikuje źródła ryzyka operacyjnego, zarówno wewnętrzne, jak i zewnętrzne, oraz ogranicza do minimum ich wpływ również poprzez stosowanie odpowiednich narzędzi i procesów ICT oraz strategii w zakresie ICT ustanowionych i zarządzanych zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2021/xx*[DORA], a także stosując wszelkie inne stosowne narzędzia, środki kontroli i procedury w odniesieniu do innych rodzajów ryzyka operacyjnego, w tym dla wszystkich systemów rozrachunku papierów wartościowych, które prowadzi.
* Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2021/xx [...] (Dz.U. L XX z DD.MM.RRRR, s. X).”;
2) uchyla się ust. 2;
3) ust. 3 i 4 otrzymują brzmienie:
„3. W odniesieniu do świadczonych przez siebie usług oraz dla każdego prowadzonego przez siebie systemu rozrachunku papierów wartościowych CDPW ustanawia, wprowadza i utrzymuje odpowiednią strategię ciągłości działania oraz plan przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej, które obejmują ciągłość działania w zakresie ICT i plany przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej związanej z ICT ustanowione zgodnie z rozporządzeniem (UE) 2021/xx [DORA], aby zapewnić zachowanie swoich usług, szybkie przywrócenie działalności i wywiązywanie się z obowiązków CDPW w przypadku zdarzeń stwarzających poważne ryzyko zakłócenia działalności.
4. Plan, o którym mowa w ust. 3, pozwala na przywrócenie wszystkich transakcji i pozycji uczestników istniejących w momencie wystąpienia zakłócenia, tak aby umożliwić uczestnikom CDPW dalsze działanie z zachowaniem pewności oraz ukończenie rozrachunku w wyznaczonym terminie, w tym poprzez zapewnienie, by najważniejsze systemy informatyczne mogły wznowić operacje od momentu wystąpienia zakłócenia, jak przewidziano w art. 11 ust. 5 i 7 rozporządzenia (UE) 2021/xx [DORA].”;
▌
Artykuł 55
Zmiany w rozporządzeniu (UE) nr 600/2014
W rozporządzeniu (UE) nr 600/2014 wprowadza się następujące zmiany:
1) w art. 27g wprowadza się następujące zmiany:
a) uchyla się ust. 4;
b) ust. 8 lit. c) otrzymuje brzmienie:
c) „c) konkretne wymogi organizacyjne określone w ust. 3 i 5.”;
2) w art. 27h wprowadza się następujące zmiany:
a) uchyla się ust. 5;
b) ust. 8 lit. e) otrzymuje brzmienie:
„e) konkretne wymogi organizacyjne określone w ust. 4.”;
3) w art. 27i wprowadza się następujące zmiany:
a) uchyla się ust. 3;
b) ust. 5 lit. b) otrzymuje brzmienie:
„b) konkretne wymogi organizacyjne określone w ust. 2 i 4.”.
Artykuł 56
Wejście w życie i rozpoczęcie stosowania
Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Niniejsze rozporządzenie stosuje się od dnia [Urząd Publikacji: należy wstawić datę przypadającą 24 miesiące od dnia wejścia w życie niniejszego rozporządzenia] r.
Art. 23 i 24 stosuje się jednak od dnia [Urząd Publikacji: należy wstawić datę przypadającą 36 miesięcy od dnia wejścia w życie niniejszego rozporządzenia] r.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
Sporządzono w Brukseli dnia […] r.
W imieniu Parlamentu Europejskiego W imieniu Rady
Przewodniczący Przewodniczący
PROCEDURA W KOMISJI PRZEDMIOTOWO WŁAŚCIWEJ
Tytuł |
Operacyjna odporność cyfrowa sektora finansowego i zmiana rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014 |
|||
Odsyłacze |
COM(2020)0595 – C9-0304/2020 – 2020/0266(COD) |
|||
Data przedstawienia Parlamentowi |
24.9.2020 |
|
|
|
Komisja przedmiotowo właściwa Data ogłoszenia na posiedzeniu |
ECON 17.12.2020 |
|
|
|
Komisje opiniodawcze Data ogłoszenia na posiedzeniu |
ITRE 17.12.2020 |
IMCO 17.12.2020 |
|
|
Rezygnacja z wydania opinii Data decyzji |
ITRE 15.10.2020 |
IMCO 27.10.2020 |
|
|
Sprawozdawcy Data powołania |
Billy Kelleher 15.10.2020 |
|
|
|
Rozpatrzenie w komisji |
14.4.2021 |
14.6.2021 |
|
|
Data przyjęcia |
1.12.2021 |
|
|
|
Wynik głosowania końcowego |
+: –: 0: |
44 5 5 |
||
Posłowie obecni podczas głosowania końcowego |
Gerolf Annemans, Gunnar Beck, Marek Belka, Isabel Benjumea Benjumea, Stefan Berger, Gilles Boyer, Engin Eroglu, Markus Ferber, Jonás Fernández, Raffaele Fitto, Frances Fitzgerald, Luis Garicano, Sven Giegold, Valentino Grant, Claude Gruffat, José Gusmão, Enikő Győri, Eero Heinäluoma, Danuta Maria Hübner, Stasys Jakeliūnas, France Jamet, Billy Kelleher, Ondřej Kovařík, Georgios Kyrtsos, Aurore Lalucq, Philippe Lamberts, Aušra Maldeikienė, Pedro Marques, Costas Mavrides, Jörg Meuthen, Csaba Molnár, Siegfried Mureşan, Caroline Nagtegaal, Luděk Niedermayer, Lefteris Nikolaou-Alavanos, Lídia Pereira, Kira Marie Peter-Hansen, Sirpa Pietikäinen, Evelyn Regner, Antonio Maria Rinaldi, Alfred Sant, Martin Schirdewan, Joachim Schuster, Ralf Seekatz, Pedro Silva Pereira, Paul Tang, Irene Tinagli, Ernest Urtasun, Inese Vaidere, Johan Van Overtveldt, Stéphanie Yon-Courtin, Marco Zanni, Roberts Zīle |
|||
Zastępcy obecni podczas głosowania końcowego |
Lefteris Christoforou |
|||
Data złożenia |
7.12.2021 |
GŁOSOWANIE KOŃCOWE W FORMIE GŁOSOWANIA IMIENNEGO W KOMISJI PRZEDMIOTOWO WŁAŚCIWEJ
44 |
+ |
ECR |
Raffaele Fitto, Johan Van Overtveldt, Roberts Zīle |
NI |
Enikő Győri |
PPE |
Isabel Benjumea Benjumea, Stefan Berger, Lefteris Christoforou, Markus Ferber, Frances Fitzgerald, Danuta Maria Hübner, Georgios Kyrtsos, Aušra Maldeikienė, Siegfried Mureşan, Luděk Niedermayer, Lídia Pereira, Sirpa Pietikäinen, Ralf Seekatz, Inese Vaidere |
Renew |
Gilles Boyer, Engin Eroglu, Luis Garicano, Billy Kelleher, Ondřej Kovařík, Caroline Nagtegaal, Stéphanie Yon-Courtin |
S&D |
Marek Belka, Jonás Fernández, Eero Heinäluoma, Aurore Lalucq, Pedro Marques, Costas Mavrides, Csaba Molnár, Evelyn Regner, Alfred Sant, Joachim Schuster, Pedro Silva Pereira, Paul Tang, Irene Tinagli |
Verts/ALE |
Sven Giegold, Claude Gruffat, Stasys Jakeliūnas, Philippe Lamberts, Kira Marie Peter-Hansen, Ernest Urtasun |
5 |
- |
ID |
Gerolf Annemans, Gunnar Beck, France Jamet, Jörg Meuthen |
NI |
Lefteris Nikolaou-Alavanos |
5 |
0 |
ID |
Valentino Grant, Antonio Maria Rinaldi, Marco Zanni |
The Left |
José Gusmão, Martin Schirdewan |
Objaśnienie używanych znaków:
+ : za
- : przeciw
0 : wstrzymało się
- [1] Dz.U. C 155 z 30.4.2021, s. 38.
- [*] Poprawki: tekst nowy lub zmieniony został zaznaczony wytłuszczonym drukiem i kursywą; symbol ▌sygnalizuje skreślenia.
- [2] [dodać odniesienie] Dz.U. C […] z […], s. […].
- [3] Dz.U. C 155 z 30.4.2021, s. 38.
- [4] Sprawozdanie ERRS pt. „Systemowe ryzyko w cyberprzestrzeni” z lutego 2020 r. https://www.esrb.europa.eu/pub/pdf/reports/esrb.report200219_systemiccyberrisk~101a09685e.en.pdf.
- [5] Zgodnie z oceną skutków towarzyszącą przeglądowi Europejskich Urzędów Nadzoru – SWD(2017) 308 – istnieje około 5 665 instytucji kredytowych, 5 934 firmy inwestycyjne, 2 666 zakładów ubezpieczeń, 1 573 instytucje pracowniczych programów emerytalnych, 2 500 przedsiębiorstw zarządzających inwestycjami, 350 infrastruktur rynkowych (takich jak kontrahenci centralni, giełdy, podmioty systematycznie internalizujące transakcje, repozytoria transakcji i wielostronne platformy obrotu (MTF)), 45 agencji ratingowych oraz 2 500 autoryzowanych instytucji płatniczych i instytucji pieniądza elektronicznego. Łącznie daje to około 21 233 podmioty, bez uwzględnienia podmiotów finansowania społecznościowego, biegłych rewidentów i firm audytorskich, dostawców usług w zakresie kryptoaktywów oraz administratorów wskaźników referencyjnych.
- [6] Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Banku Centralnego, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów, Plan działania w zakresie technologii finansowej: w kierunku bardziej konkurencyjnego i innowacyjnego europejskiego sektora finansowego, COM(2018) 109 final, https://ec.europa.eu/info/publications/180308-action-plan-fintech_en.
- [7] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz.U. L 194 z 19.7.2016, s. 1).
- [8] Dyrektywa Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (Dz.U. L 345 z 23.12.2008, s. 75).
- [9] ENISA Reference Incident Classification Taxonomy, https://www.enisa.europa.eu/publications/reference-incident-classification-taxonomy.
- [10] „Zalecenia dotyczące zlecania zadań dostawcom usług w chmurze” (EBA/REC/2017/03), obecnie uchylone przez wytyczne EUNB w sprawie outsourcingu (EBA/GL/2019/02).
- [11] Komunikat Komisji – Wytyczne w sprawie stosowania art. 101 Traktatu o funkcjonowaniu Unii Europejskiej do horyzontalnych porozumień kooperacyjnych, 2011/C 11/01.
- [12] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
- [13] CPMI-IOSCO, Guidance on cyber resilience for financial market infrastructures (Wytyczne w sprawie cyberodporności infrastruktur rynku finansowego), https://www.bis.org/cpmi/publ/d146.pdf G7, Fundamental Elements of Cybersecurity for the Financial Sector (Podstawowe elementy cyberbezpieczeństwa dla sektora finansowego), https://www.ecb.europa.eu/paym/pol/shared/pdf/G7_Fundamental_Elements_Oct_2016.pdf; Ramy cyberbezpieczeństwa NIST, https://www.nist.gov/cyberframework; Rada Stabilności Finansowej, CIRR toolkit (zestaw narzędzi w zakresie reagowania na cyberincydenty i odzyskiwania danych), https://www.fsb.org/2020/04/effective-practices-for-cyber-incident-response-and-recovery-consultative-document
- [14] Ponadto w przypadku wystąpienia ryzyka nadużyć ze strony zewnętrznego dostawcy usług ICT, którego uznano za dominującego, podmioty finansowe powinny mieć również możliwość wniesienia formalnej lub nieformalnej skargi do Komisji Europejskiej lub do krajowych organów ds. prawa konkurencji.
- [15] Dyrektywa Parlamentu Europejskiego i Rady 2014/59/UE z dnia 15 maja 2014 r. ustanawiająca ramy na potrzeby prowadzenia działań naprawczych oraz restrukturyzacji i uporządkowanej likwidacji w odniesieniu do instytucji kredytowych i firm inwestycyjnych oraz zmieniająca dyrektywę Rady 82/891/EWG i dyrektywy Parlamentu Europejskiego i Rady 2001/24/WE, 2002/47/WE, 2004/25/WE, 2005/56/WE, 2007/36/WE, 2011/35/UE, 2012/30/UE i 2013/36/UE oraz rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1093/2010 i (UE) nr 648/2012 (Dz.U. L 173 z 12.6.2014, s. 190).
- [16] Rozporządzenie Rady (UE) nr 1024/2013 z dnia 15 października 2013 r. powierzające Europejskiemu Bankowi Centralnemu szczególne zadania w odniesieniu do polityki związanej z nadzorem ostrożnościowym nad instytucjami kredytowymi (Dz.U. L 287 z 29.10.2013, s. 63).
- [17] Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 806/2014 z dnia 15 lipca 2014 r. ustanawiające jednolite zasady i jednolitą procedurę restrukturyzacji i uporządkowanej likwidacji instytucji kredytowych i niektórych firm inwestycyjnych w ramach jednolitego mechanizmu restrukturyzacji i uporządkowanej likwidacji oraz jednolitego funduszu restrukturyzacji i uporządkowanej likwidacji oraz zmieniające rozporządzenie (UE) nr 1093/2010 (Dz.U. L 225 z 30.7.2014, s. 1).
- [18] Dz.U. L 123 z 12.5.2016, s. 1.
- [19] [Proszę wstawić pełne odniesienie].
- [20] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) (Dz.U. L 151 z 7.6.2019, s. 15).
- [21] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiająca Europejski kodeks łączności elektronicznej (wersja przekształcona) (Dz.U. L 321 z 17.12.2018, s. 36).
- [22] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/1011 z dnia 8 czerwca 2016 r. w sprawie indeksów stosowanych jako wskaźniki referencyjne w instrumentach finansowych i umowach finansowych lub do pomiaru wyników funduszy inwestycyjnych i zmieniające dyrektywy 2008/48/WE i 2014/17/UE oraz rozporządzenie (UE) nr 596/2014 (Dz.U. L 171 z 29.6.2016, s. 1).
- [23] [Proszę wstawić pełny tytuł i szczegółowe informacje dotyczące publikacji w Dz.U.]
- [24] Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz.U. L 176 z 27.6.2013, s. 1).
- [25] Dyrektywa Parlamentu Europejskiego i Rady 2009/110/WE z dnia 16 września 2009 r. w sprawie podejmowania i prowadzenia działalności przez instytucje pieniądza elektronicznego oraz nadzoru ostrożnościowego nad ich działalnością, zmieniająca dyrektywy 2005/60/WE i 2006/48/WE oraz uchylająca dyrektywę 2000/46/WE (Dz.U. L 267 z 10.10.2009, s. 7).
- [26] Zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
- [27] Komunikat Komisji – Wytyczne w sprawie stosowania art. 101 Traktatu o funkcjonowaniu Unii Europejskiej do horyzontalnych porozumień kooperacyjnych, 2011/C 11/01.