Správa - A9-0341/2021Správa
A9-0341/2021
Európsky parlament

SPRÁVA o návrhu nariadenia Európskeho parlamentu a Rady o digitálnej prevádzkovej odolnosti finančného sektora a o zmene nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014 a (EÚ) č. 909/2014

7.12.2021 - (COM(2020)0595 – C9-0304/2020 – 2020/0266(COD)) - ***I

Výbor pre hospodárske a menové veci
Spravodajca: Billy Kelleher


Postup : 2020/0266(COD)
Postup v rámci schôdze
Postup dokumentu :  
A9-0341/2021
Predkladané texty :
A9-0341/2021
Rozpravy :
Hlasovanie :
Prijaté texty :

NÁVRH LEGISLATÍVNEHO UZNESENIA EURÓPSKEHO PARLAMENTU

o návrhu nariadenia Európskeho parlamentu a Rady o digitálnej prevádzkovej odolnosti finančného sektora a o zmene nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014 a (EÚ) č. 909/2014

(COM(2020)0595 – C9-0304/2020 – 2020/0266(COD))

(Riadny legislatívny postup: prvé čítanie)

Európsky parlament,

 so zreteľom na návrh Komisie pre Európsky parlament a Radu (COM(2020)0595),

 so zreteľom na článok 294 ods. 2 a článok 114 Zmluvy o fungovaní Európskej únie, v súlade s ktorými Komisia predložila návrh Európskemu parlamentu (C9–0304/2020),

 so zreteľom na článok 294 ods. 3 Zmluvy o fungovaní Európskej únie,

 so zreteľom na stanovisko Európskeho hospodárskeho a sociálneho výboru z 24. februára 2021[1],

 so zreteľom na článok 59 rokovacieho poriadku,

 so zreteľom na správu Výboru pre hospodárske a menové veci (A9-0341/2021),

1. prijíma nasledujúcu pozíciu v prvom čítaní;

2. žiada Komisiu, aby mu vec znovu predložila, ak nahradí, podstatne zmení alebo má v úmysle podstatne zmeniť svoj návrh;

2. poveruje svojho predsedu, aby postúpil túto pozíciu Rade, Komisii a národným parlamentom.

 

Pozmeňujúci návrh  1

POZMEŇUJÚCE NÁVRHY EURÓPSKEHO PARLAMENTU[*]

k návrhu Komisie

---------------------------------------------------------

2020/0266(COD)

Návrh

NARIADENIE EURÓPSKEHO PARLAMENTU A RADY

o digitálnej prevádzkovej odolnosti finančného sektora a o zmene nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014 a (EÚ) č. 909/2014

(Text s významom pre EHP)

EURÓPSKY PARLAMENT A RADA EURÓPSKEJ ÚNIE,

so zreteľom na Zmluvu o fungovaní Európskej únie, a najmä na jej článok 114,

so zreteľom na návrh Európskej komisie,

po postúpení návrhu legislatívneho aktu národným parlamentom,

so zreteľom na stanovisko Európskej centrálnej banky,[2]

so zreteľom na stanovisko Európskeho hospodárskeho a sociálneho výboru,[3]

konajúc v súlade s riadnym legislatívnym postupom,

keďže:

(1) V digitálnom veku informačné a komunikačné technológie (IKT) podporujú zložité systémy používané pri každodenných spoločenských činnostiach. Udržiavajú chod našich hospodárstiev v kľúčových odvetviach vrátane financií a zlepšujú fungovanie jednotného trhu. Zvýšená digitalizácia a vzájomná prepojenosť zároveň zvyšujú riziko, že spoločnosť ako celok – a najmä finančný systém – bude zraniteľnejšia voči kybernetickým hrozbám alebo narušeniam v oblasti IKT. Zatiaľ čo všadeprítomné využívanie IKT systémov a vysoká miera digitalizácie a pripojiteľnosti sú v súčasnosti základnými prvkami všetkých činností finančných subjektov Únie, digitálna odolnosť sa musí ešte dostatočne začleniť do ich operačných rámcov.

(2) Využívanie IKT začalo v posledných desaťročiach plniť v oblasti financovania kľúčovú úlohu, pričom v súčasnosti nadobúda zásadný význam pre fungovanie typických každodenných funkcií všetkých finančných subjektov. Digitalizáciu možno pozorovať napríklad pri platbách, ktoré čoraz viac prechádzajú od hotovostných a papierových metód k používaniu digitálnych riešení, ako aj pri zúčtovávaní a vyrovnávaní cenných papierov, elektronickom a algoritmickom obchodovaní, operáciách požičiavania a financovania, partnerskom financovaní, úverových ratingoch,▌ správe poistných nárokov a operáciách back-office. Sektor poisťovníctva sa takisto zmenil využívaním IKT, a to od vzniku sprostredkovateľov digitálneho poistenia používajúcich poistné technológie (InsurTech) až po digitálne upisovanie poistenia a distribúciu zmlúv. Nielenže sa financie stali v celom sektore vo veľkej miere digitálnymi, ale digitalizácia zároveň prehĺbila aj prepojenia a vzájomnú závislosť v rámci finančného sektora a s externou infraštruktúrou a externými poskytovateľmi služieb.

(3) Európsky výbor pre systémové riziká (ESRB) v správe z roku 2020, ktorá sa zaoberá systémovým kybernetickým rizikom[4], opätovne potvrdil, že súčasná vysoká úroveň prepojenosti medzi finančnými subjektmi, finančnými trhmi a infraštruktúrami finančného trhu, a najmä vzájomná závislosť ich IKT systémov, môže potenciálne predstavovať systémovú zraniteľnosť, keďže lokalizované kybernetické incidenty by sa mohli rýchlo rozšíriť z ktoréhokoľvek z približne 22 000 finančných subjektov Únie[5] do celého finančného systému, a to bez ohľadu na geografické hranice. Závažné narušenia IKT, ku ktorým dochádza vo finančnej sfére, nemajú vplyv len na finančné subjekty vnímané izolovane. Zároveň uľahčujú aj cestu pre šírenie lokalizovaných zraniteľných miest naprieč finančnými prenosovými kanálmi a potenciálne vedú k nepriaznivým dôsledkom pre stabilitu celého finančného systému Únie, keďže generujú toky likvidity a celkovú stratu dôvery vo finančné trhy.

(4) V posledných rokoch sa na IKT riziká sústredila pozornosť vnútroštátnych, európskych a medzinárodných tvorcov politík, regulačných orgánov a orgánov stanovujúcich normy, ktorých snahou bolo zvýšiť odolnosť, stanoviť normy a koordinovať regulačnú činnosť alebo prácu v oblasti dohľadu. Na medzinárodnej úrovni si Bazilejský výbor pre bankový dohľad, Výbor pre platobnú a trhovú infraštruktúru, Rada pre finančnú stabilitu, Inštitút pre finančnú stabilitu, ako aj skupiny krajín G7 a G20 stanovili za cieľ poskytnúť príslušným orgánom a účastníkom trhu v rôznych jurisdikciách nástroje na posilnenie odolnosti ich finančných systémov. Preto treba zvážiť IKT riziko v kontexte vysoko prepojeného globálneho finančného systému, v ktorom treba uprednostniť konzistentnosť medzinárodnej regulácie a spolupráce medzi príslušnými orgánmi na celom svete.

(5) Napriek cieleným vnútroštátnym a európskym politickým a legislatívnym iniciatívam IKT riziká naďalej predstavujú výzvu pre prevádzkovú odolnosť, výkonnosť a stabilitu finančného systému Únie. Reforma, ktorá nasledovala po finančnej kríze z roku 2008, predovšetkým posilnila finančnú odolnosť finančného sektora Únie a bola zameraná na ochranu konkurencieschopnosti a stability Únie z hospodárskeho a prudenciálneho hľadiska a z hľadiska trhového správania. Hoci sú bezpečnosť IKT a digitálna odolnosť súčasťou operačného rizika, v pokrízovom regulačnom programe neboli práve stredobodom pozornosti, pričom sa vyvinuli len v niektorých oblastiach politiky a regulácie Únie vo sfére finančných služieb, resp. len v niekoľkých členských štátoch.

(6) V akčnom pláne Komisie pre finančné technológie z roku 2018[6] sa zdôraznilo, že je mimoriadne dôležité zvýšiť odolnosť finančného sektora Únie aj z prevádzkového hľadiska s cieľom zaistiť jeho technologickú bezpečnosť a dobré fungovanie, rýchle zotavenie z narušení a incidentov v oblasti IKT, čo v konečnom dôsledku umožní účinne a bez problémov poskytovať finančné služby v celej Únii, a to aj v stresových situáciách, a zároveň sa tým pomôže zachovať dôvera spotrebiteľov a trhu.

(7) V apríli 2019 Európsky orgán pre bankovníctvo (EBA), Európsky orgán pre cenné papiere a trhy (ESMA) a Európsky orgán pre poisťovníctvo a dôchodkové poistenie zamestnancov (EIOPA) (spoločne označované ako „európske orgány dohľadu“ alebo „ESA“) spolu vydali dve technické odporúčania, v ktorých vyzvali na jednotný prístup k IKT riziku vo financovaní a odporučili primeraným spôsobom posilniť digitálnu prevádzkovú odolnosť odvetvia finančných služieb prostredníctvom iniciatívy Únie špecifickej pre toto odvetvie.

(8) Finančný sektor Únie je regulovaný harmonizovaným jednotným súborom pravidiel a riadi sa európskym systémom finančného dohľadu. Ustanovenia zamerané na digitálnu prevádzkovú odolnosť a bezpečnosť IKT však ešte nie sú úplne alebo dôsledne harmonizované, a to napriek tomu, že digitálna prevádzková odolnosť je v digitálnom veku nevyhnutná na zabezpečenie finančnej stability a integrity trhu a v žiadnom prípade nie je menej dôležitá než napríklad spoločné prudenciálne normy alebo normy správania na trhu. Jednotný súbor pravidiel a systém dohľadu by sa preto mali vypracovať tak, aby zahŕňali aj túto zložku, a to posilnením mandátov orgánov finančného dohľadu na riadenie IKT rizík vo finančnom sektore, na ochranu integrity a efektívnosti jednotného trhu a na uľahčenie jeho riadneho fungovania.

(9) Legislatívne rozdiely a nerovnaké vnútroštátne regulačné prístupy alebo prístupy dohľadu nad IKT rizikom vytvárajú prekážky na jednotnom trhu s finančnými službami, čo finančným subjektom s cezhraničnou prítomnosťou bráni v bezproblémovom uplatňovaní slobody usadiť sa a poskytovať služby. Rovnako narušená môže byť aj hospodárska súťaž medzi rovnakým typom finančných subjektov pôsobiacich v rôznych členských štátoch. Najmä v oblastiach, v ktorých bola harmonizácia na úrovni Únie veľmi obmedzená – ako napríklad testovanie digitálnej prevádzkovej odolnosti – alebo v ktorých úplne chýba – ako napríklad monitorovanie IKT rizika tretej strany – by rozdiely vyplývajúce z predpokladaného vývoja na vnútroštátnej úrovni mohli vytvoriť ďalšie prekážky, ktoré by bránili fungovaniu jednotného trhu na úkor účastníkov trhu a finančnej stability.

(10) Čiastočný spôsob, akým sa doteraz na úrovni Únie riešili ustanovenia týkajúce sa IKT rizika, vykazuje nedostatky alebo sa navzájom prekrýva v dôležitých oblastiach, ako je nahlasovanie incidentov súvisiacich s IKT a testovanie digitálnej prevádzkovej odolnosti, a vytvára nezrovnalosti v dôsledku nových rozdielnych vnútroštátnych pravidiel alebo nákladovo neúčinného uplatňovania prekrývajúcich sa pravidiel. Je to obzvlášť škodlivé pre používateľa intenzívne využívajúceho IKT, ako je napríklad oblasť financovania, keďže technologické riziká nepoznajú hranice a finančný sektor využíva svoje služby na širokom cezhraničnom základe v rámci Únie aj mimo nej.

Jednotlivé finančné subjekty pôsobiace na cezhraničnom základe alebo s viacerými povoleniami (napr. jeden finančný subjekt môže mať licenciu na prevádzkovanie bankových služieb, služieb investičnej spoločnosti a služieb platobnej inštitúcie, pričom každé povolenie mohol vydať iný príslušný orgán v jednom alebo viacerých členských štátoch) čelia pri riešení IKT rizík a zmierňovaní nepriaznivých vplyvov IKT incidentov prevádzkovým výzvam samostatne a koherentným, nákladovo efektívnym spôsobom.

(10a) Vytvorenie a udržiavanie primeranej infraštruktúry sietí a informačných systémov je takisto základným predpokladom pre účinnú agregáciu údajov o rizikách a postupy podávania správ o rizikách, ktoré sú zasa nevyhnutnou požiadavkou pre riadne a udržateľné riadenie rizík a rozhodovacie procesy úverových inštitúcií. V roku 2013 Bazilejský výbor pre bankový dohľad (BCBS) zverejnil súbor zásad účinnej agregácie údajov o rizikách a podávania správ o rizikách („BCBS 239“) založený na dvoch zastrešujúcich zásadách správy a infraštruktúry IT, ktoré sa mali implementovať do začiatku roka 2016. Podľa správy Európskej centrálnej banky (ECB) z mája 2018 o tematickom preskúmaní o účinnej agregácii údajov o rizikách a podávaní správ o rizikách a správy BSBC o pokroku z apríla 2020 bol pokrok vo vykonávaní, ktorý dosiahli globálne systémovo významné banky, neuspokojivý a je zdrojom obáv. S cieľom uľahčiť dodržiavanie medzinárodných noriem a zabezpečiť súlad s nimi by mala Komisia v úzkej spolupráci s ECB a po konzultácii s EBA a ESRB vypracovať správu s cieľom posúdiť, ako sa zásady BCBS 239 vzájomne ovplyvňujú s ustanoveniami tohto nariadenia a prípadne ako by sa tieto zásady mali začleniť do práva Únie.

(11) Keďže jednotný súbor pravidiel nesprevádza komplexný rámec pre IKT riziká alebo operačné riziká, je potrebná ďalšia harmonizácia kľúčových požiadaviek na digitálnu prevádzkovú odolnosť všetkých finančných subjektov. Spôsobilosti a celková odolnosť, ktoré by finančné subjekty rozvíjali na základe takýchto kľúčových požiadaviek s cieľom odolávať prevádzkovým výpadkom, by pomohli zachovať stabilitu a integritu finančných trhov Únie, a tým by prispeli k zabezpečeniu vysokej úrovne ochrany investorov a spotrebiteľov v Únii. Keďže cieľom tohto nariadenia je prispieť k bezproblémovému fungovaniu jednotného trhu, malo by vychádzať z ustanovení článku 114 ZFEÚ, ako sa vykladá v súlade s príslušnou judikatúrou Súdneho dvora Európskej únie.

(12) Cieľom tohto nariadenia je v prvom rade konsolidovať a modernizovať požiadavky na IKT riziko, ktoré sa doteraz riešili samostatne v rôznych nariadeniach a smerniciach. Uvedenými právnymi aktmi Únie boli síce pokryté hlavné kategórie finančného rizika (napr. kreditné riziko, trhové riziko, kreditné riziko protistrany, riziko likvidity a riziko trhového správania), no v čase ich prijatia nemohli komplexne riešiť všetky zložky prevádzkovej odolnosti. Požiadavky na operačné riziko, ak sú ďalej rozpracované v týchto právnych aktoch Únie, často uprednostňovali skôr tradičný kvantitatívny prístup k riešeniu rizika (konkrétne stanovenie kapitálovej požiadavky na pokrytie IKT rizík) než uzákonenie cielených kvalitatívnych požiadaviek na posilnenie spôsobilostí prostredníctvom požiadaviek zameraných na ochranu, odhaľovanie, obmedzovanie, obnovu a nápravu incidentov súvisiacich s IKT, alebo stanovovali kapacity v oblasti nahlasovania a digitálneho testovania. Uvedené smernice a nariadenia mali v prvom rade upravovať základné pravidlá prudenciálneho dohľadu, integrity trhu alebo trhového správania.

Prostredníctvom tohto procesu, ktorým sa konsolidujú a aktualizujú pravidlá týkajúce sa IKT rizika, by sa všetky ustanovenia týkajúce sa digitálneho rizika vo financovaní po prvýkrát jednotným spôsobom spojili do jedného legislatívneho aktu. Táto iniciatíva by tak mala vyplniť medzery alebo odstrániť nezrovnalosti v niektorých z uvedených právnych aktov, a to aj v súvislosti s terminológiou, ktorá sa v nich používa, a mala by výslovne odkazovať na IKT riziko prostredníctvom cielených pravidiel týkajúcich sa spôsobilostí v oblasti riadenia IKT rizika, podávania správ a testovania a monitorovania rizík tretích strán. Cieľom tejto iniciatívy je tiež zvýšiť informovanosť o IKT rizikách a uznáva sa v nej, že incidenty v oblasti IKT a nedostatočná prevádzková odolnosť by mohli ohroziť finančnú spoľahlivosť finančných subjektov.

(13) Finančné subjekty by sa pri riešení IKT rizika mali riadiť rovnakým prístupom a rovnakými pravidlami, ktoré by boli založené na stanovených zásadách, a to podľa ich veľkosti, povahy, zložitosti a rizikového profilu. Konzistentnosť prispieva k posilneniu dôvery vo finančný systém a k zachovaniu jeho stability, a to najmä v časoch vysokej závislosti od IKT systémov, platforiem a infraštruktúr, čo so sebou prináša zvýšené digitálne riziká.

Pomôcť pri predchádzaní vzniku vysokých nákladov pre hospodárstvo by malo aj dodržiavanie základnej kybernetickej hygieny, a to tak, že sa minimalizuje vplyv a náklady narušení v oblasti IKT.

(14) Použitím nariadenia sa pomáha znížiť regulačná zložitosť, podporuje sa konvergencia dohľadu, zvyšuje sa právna istota a zároveň sa prispieva k obmedzeniu nákladov na dodržiavanie predpisov, najmä v prípade finančných subjektov pôsobiacich cezhranične, a k zníženiu miery narušenia hospodárskej súťaže. Voľba nariadenia na vytvorenie spoločného rámca pre digitálnu prevádzkovú odolnosť finančných subjektov sa preto javí ako najvhodnejší spôsob, ako zaručiť homogénne a ucelené uplatňovanie všetkých zložiek riadenia IKT rizika finančnými sektormi Únie.

(14a) Vykonávanie tohto nariadenia by však nemalo brániť inováciám, pokiaľ ide o to, ako finančné subjekty riešia otázky digitálnej prevádzkovej odolnosti pri dodržiavaní jeho ustanovení, ani pokiaľ ide o služby, ktoré ponúkajú, alebo služby ponúkané externými poskytovateľmi IKT služieb.

(15) Okrem právnych predpisov o finančných službách je súčasným všeobecným rámcom pre kybernetickú bezpečnosť na úrovni Únie smernica Európskeho parlamentu a Rady (EÚ) 2016/1148[7]. Spomedzi siedmich kritických sektorov sa uvedená smernica vzťahuje aj na tri typy finančných subjektov, a to úverové inštitúcie, obchodné miesta a centrálne protistrany. Keďže sa však v smernici (EÚ) 2016/1148 stanovuje mechanizmus identifikácie prevádzkovateľov základných služieb na vnútroštátnej úrovni, v praxi sa do rozsahu pôsobnosti smernice zavádzajú len určité úverové inštitúcie, obchodné miesta a centrálne protistrany určené členskými štátmi, a preto sa od nich vyžaduje, aby spĺňali požiadavky na bezpečnosť IKT a oznamovanie incidentov, ktoré sú v nej stanovené.

(16) Keďže týmto nariadením sa zvyšuje úroveň harmonizácie zložiek digitálnej odolnosti zavedením požiadaviek na riadenie IKT rizika a nahlasovanie incidentov súvisiacich s IKT, ktoré sú prísnejšie v porovnaní s požiadavkami stanovenými v súčasných právnych predpisoch Únie o finančných službách, predstavuje to zvýšenú harmonizáciu aj v porovnaní s požiadavkami stanovenými v smernici (EÚ) 2016/1148. Toto nariadenie preto predstavuje pre finančné subjekty lex specialis k smernici (EÚ) 2016/1148.

Je nevyhnutné zachovať silný vzťah s finančným sektorom a horizontálnym rámcom Únie v oblasti kybernetickej bezpečnosti s cieľom zabezpečiť súlad so stratégiami kybernetickej bezpečnosti, ktoré už členské štáty prijali, a umožniť orgánom finančného dohľadu, aby boli informované o kybernetických incidentoch týkajúcich sa iných sektorov, na ktoré sa vzťahuje smernica (EÚ) 2016/1148.

(17) S cieľom umožniť vzájomné medzisektorové učenie a účinne sa poučiť zo skúseností iných sektorov pri riešení kybernetických hrozieb by finančné subjekty uvedené v smernici (EÚ) 2016/1148 mali zostať súčasťou „ekosystému“ uvedenej smernice (napr. skupina pre spoluprácu v oblasti sieťovej a informačnej bezpečnosti a jednotky CSIRT).

Európske orgány dohľadu a príslušné vnútroštátne orgány by mali mať možnosť zúčastňovať sa na diskusiách o strategickej politike a na technických činnostiach skupiny pre spoluprácu v oblasti sieťovej a informačnej bezpečnosti, vymieňať si informácie a ďalej spolupracovať s jednotnými kontaktnými miestami určenými podľa smernice (EÚ) 2016/1148. Spoločný orgán dozoru, hlavné orgány dohľadu a príslušné orgány podľa tohto nariadenia by mali zároveň konzultovať a spolupracovať s vnútroštátnymi jednotkami CSIRT určenými v súlade s článkom 9 smernice (EÚ) 2016/1148.

Týmto nariadením by sa okrem toho malo zabezpečiť, aby sieť jednotiek CSIRT zriadená smernicou (EÚ) 2016/1148 dostávala podrobné informácie o závažných incidentoch súvisiacich s IKT.

(18) Takisto je dôležité zabezpečiť súlad so smernicou o európskej kritickej infraštruktúre (ECI), ktorá sa v súčasnosti preskúmava s cieľom posilniť ochranu a odolnosť kritických infraštruktúr proti nekybernetickým hrozbám, ako aj so smernicou o odolnosti kritických subjektov[8], pričom to môže mať dôsledky pre finančný sektor.

(19) Poskytovatelia služieb cloud computingu sú jednou z kategórií poskytovateľov digitálnych služieb, na ktorých sa vzťahuje smernica (EÚ) 2016/1148. Ako takí podliehajú dohľadu ex post vykonávanému vnútroštátnymi orgánmi určenými podľa uvedenej smernice, ktorý sa obmedzuje na požiadavky na bezpečnosť IKT a oznamovanie incidentov stanovené v uvedenom akte. Keďže rámec dozoru stanovený týmto nariadením sa vzťahuje na všetkých externých poskytovateľov kritických IKT služieb vrátane poskytovateľov služieb cloud computingu, keď poskytujú IKT služby finančným subjektom, mal by sa považovať za doplnkový k dohľadu, ktorý sa vykonáva na základe smernice (EÚ) 2016/1148, a hmotnoprávne aj procesnoprávne požiadavky uplatniteľné na externých poskytovateľov kritických IKT služieb podľa tohto nariadenia by mali byť ucelené a zosúladené s požiadavkami uplatniteľnými podľa uvedenej smernice. Rámec dozoru zriadený týmto nariadením by sa navyše mal vzťahovať na poskytovateľov služieb cloud computingu, keďže neexistuje horizontálny sektorovo neutrálny rámec Únie, ktorým by sa zriaďoval orgán pre digitálny dozor.

(20) Na to, aby si finančné subjekty zachovali plnú kontrolu nad IKT rizikami, je potrebné, aby mali zavedené komplexné spôsobilosti umožňujúce silné a účinné riadenie IKT rizika, ako aj osobitné mechanizmy a politiky na nahlasovanie incidentov súvisiacich s IKT, testovanie systémov, kontrol a procesov IKT, ako aj riadenie IKT rizika tretej strany a rizika IKT v rámci skupiny. Mala by sa zvýšiť úroveň digitálnej prevádzkovej odolnosti finančného systému, pričom by sa malo umožniť primerané uplatňovanie požiadaviek, a to aj so zreteľom na ich povahu, rozsah, zložitosť a celkový rizikový profil.

(21) Prahové hodnoty nahlasovania incidentov súvisiacich s IKT a príslušné taxonómie sa v jednotlivých členských štátoch výrazne líšia. Hoci je možné dosiahnuť spoločný základ prostredníctvom relevantnej práce Agentúry Európskej únie pre kybernetickú bezpečnosť (ENISA)[9] a skupiny pre spoluprácu v oblasti sieťovej a informačnej bezpečnosti pre finančné subjekty podľa smernice (EÚ) 2016/1148, stále existujú alebo sa môžu objaviť rozdielne prístupy k prahovým hodnotám a taxonómii pre ostatné finančné subjekty. To sa týka viacerých požiadaviek, ktoré musia finančné subjekty dodržiavať, najmä ak pôsobia v niekoľkých jurisdikciách Únie a sú súčasťou finančnej skupiny. Tieto rozdiely môžu navyše brániť vytvoreniu ďalších jednotných alebo centralizovaných mechanizmov Únie, ktoré by urýchlili proces podávania správ a podporili rýchlu a plynulú výmenu informácií medzi príslušnými orgánmi, ktorá je kľúčová pre riešenie IKT rizík v prípade rozsiahlych útokov s potenciálne systémovými následkami.

(21a) S cieľom znížiť administratívne zaťaženie a vyhnúť sa zložitosti a duplicitným požiadavkám na podávanie správ pre poskytovateľov platobných služieb, ktorí patria do rozsahu pôsobnosti tohto nariadenia, by sa požiadavky na oznamovanie incidentov podľa smernice (EÚ) 2015/2366 mali prestať uplatňovať. Úverové inštitúcie, inštitúcie elektronických peňazí a platobné inštitúcie by ako také mali podľa tohto nariadenia nahlasovať všetky prevádzkové alebo bezpečnostné incidenty týkajúce sa platobných a neplatobných služieb, ktoré sa predtým nahlasovali podľa smernice (EÚ) 2015/2366, bez ohľadu na to, či tieto incidenty súvisia s IKT alebo nie.

(22) V snahe umožniť príslušným orgánom, aby si plnili úlohy dohľadu získaním úplného prehľadu o povahe, frekvencii, význame a vplyve incidentov súvisiacich s IKT, a zlepšiť výmenu informácií medzi príslušnými verejnými orgánmi vrátane orgánov presadzovania práva a orgánov pre riešenie krízových situácií je potrebné stanoviť pravidlá s cieľom dosiahnuť spoľahlivý režim nahlasovania incidentov súvisiacich s IKT s požiadavkami, ktoré riešia medzery v sektorových právnych predpisoch v oblasti finančných služieb, a odstrániť akékoľvek existujúce prekrývanie a duplicitu s cieľom zmierniť náklady. Preto je nevyhnutné harmonizovať režim nahlasovania incidentov súvisiacich s IKT tak, že sa od všetkých finančných subjektov bude vyžadovať, aby incidenty nahlasovali svojim príslušným orgánom prostredníctvom jednotného zjednodušeného rámca stanoveného v tomto nariadení. Európske orgány dohľadu by okrem toho mali byť splnomocnené bližšie spresniť prvky nahlasovania incidentov súvisiacich s IKT, ako je taxonómia, časové rámce, dátové súbory, vzory a príslušné prahové hodnoty.

(23) Požiadavky na testovanie digitálnej prevádzkovej odolnosti sa v niektorých finančných subsektoroch vyvinuli vo viacerých a niekedy nekoordinovaných vnútroštátnych rámcoch, ktoré riešia rovnaké otázky nesúrodým spôsobom. To vedie k duplicite nákladov pre cezhraničné finančné subjekty a môže obmedziť vzájomné uznávanie výsledkov. Nekoordinované testovanie preto môže jednotný trh segmentovať.

(24) Okrem toho, ak sa testovanie nevyžaduje, zraniteľné miesta zostávajú neodhalené, čo v konečnom dôsledku ohrozuje tak samotný finančný subjekt, ako aj stabilitu a integritu celého finančného sektora. Bez zásahu Únie by testovanie digitálnej prevádzkovej odolnosti bolo naďalej nesúrodé a v rôznych jurisdikciách by nedošlo k vzájomnému uznaniu výsledkov testovania. Keďže je tiež nepravdepodobné, že by iné finančné subsektory prijali takéto schémy v zmysluplnom rozsahu, ušli by im potenciálne prínosy, ako je odhalenie zraniteľných miest a rizík, testovanie obranných spôsobilostí a kontinuity činností a zvýšená dôvera zákazníkov, dodávateľov a obchodných partnerov. S cieľom napraviť takéto prekrývanie, rozdiely a nedostatky treba stanoviť pravidlá zamerané na koordinované testovanie finančnými subjektmi a príslušnými orgánmi, čím sa uľahčí vzájomné uznávanie pokročilého testovania významných finančných subjektov.

(25) Závislosť finančných subjektov od IKT služieb je čiastočne podmienená ich potrebou prispôsobiť sa vznikajúcemu konkurenčnému globálnemu digitálnemu hospodárstvu, zvýšiť ich podnikateľskú efektívnosť a uspokojiť dopyt spotrebiteľov. Povaha a rozsah takejto závislosti sa v posledných rokoch neustále vyvíjali, čo viedlo k znižovaniu nákladov za finančné sprostredkovanie, umožnilo obchodné rozširovanie a škálovateľnosť pri zavádzaní finančných činností a zároveň ponúklo širokú škálu nástrojov IKT na riadenie zložitých interných procesov.

(26) Toto rozsiahle využívanie IKT služieb je doložené zložitými zmluvnými dojednaniami, v rámci ktorých sa finančné subjekty často stretávajú s ťažkosťami pri rokovaniach o zmluvných podmienkach, ktoré sú prispôsobené prudenciálnym normám alebo iným regulatórnym požiadavkám, ktorým podliehajú, alebo inak pri presadzovaní osobitných práv, ako sú práva na prístup alebo audit, ak sú tieto práva zakotvené v dohodách. Mnohé takéto zmluvy okrem toho neposkytujú dostatočné záruky umožňujúce plnohodnotne monitorovať subdodávateľské procesy, čím finančný subjekt stráca schopnosť posúdiť tieto súvisiace riziká. Keďže okrem toho externí poskytovatelia IKT služieb často poskytujú štandardizované služby rôznym typom klientov, v takýchto zmluvách sa nemusia vždy primerane zohľadňovať individuálne alebo osobitné potreby subjektov finančného sektora.

(27) Napriek tomu, že v niektorých právnych predpisoch Únie týkajúcich sa finančných služieb existujú určité všeobecné pravidlá externého zabezpečovania funkcií, monitorovanie zmluvného rozmeru nie je plne zakotvené v právnych predpisoch Únie. Keďže neexistujú jasné a cielené normy Únie, ktoré by sa vzťahovali na zmluvné dojednania uzatvorené s externými poskytovateľmi IKT služieb, nie je komplexne vyriešený externý zdroj IKT rizika. V dôsledku toho treba stanoviť určité kľúčové zásady, na základe ktorých by sa usmerňovalo, ako majú finančné subjekty riadiť IKT riziká tretej strany, pričom toto usmernenie by sprevádzal súbor základných zmluvných práv týkajúcich sa viacerých prvkov plnenia a vypovedania zmlúv s cieľom zakotviť určité minimálne záruky podporujúce schopnosť finančných subjektov účinne monitorovať všetky IKT riziká vznikajúce na úrovni tretej strany.

(28) Vo všeobecnosti existuje nedostatočná miera homogénnosti a konvergencie, pokiaľ ide o IKT riziko tretej strany a závislosť od tretej strany v oblasti IKT. Napriek určitému úsiliu o riešenie konkrétnej oblasti externého zabezpečovania funkcií, ako sú napríklad odporúčania z roku 2017 o externom zabezpečovaní funkcií v prípade poskytovateľov cloudových služieb[10], sa problematika systémového rizika, ktoré môže byť vyvolané vystavením finančného sektora obmedzenému počtu externých poskytovateľov kritických IKT služieb, v právnych predpisoch Únie takmer nerieši. Tento nedostatok na úrovni Únie ešte zhoršuje neexistencia osobitných mandátov a nástrojov, ktoré by vnútroštátnym orgánom dohľadu umožňovali náležite pochopiť závislosť IKT od tretej strany a primerane monitorovať riziká vyplývajúce z koncentrácie takýchto závislostí IKT od tretej strany.

(29) Vzhľadom na potenciálne systémové riziká súvisiace so zvýšenou mierou externého zabezpečovania funkcií a koncentráciou externých poskytovateľov IKT a so zreteľom na nedostatočnosť vnútroštátnych mechanizmov umožňujúcich orgánom finančného dohľadu kvantifikovať, kvalifikovať a riešiť dôsledky IKT rizík, ku ktorým dochádza u externých poskytovateľov kritických IKT služieb, je potrebné vytvoriť vhodný rámec dozoru Únie, ktorý umožní nepretržité monitorovanie činností externých poskytovateľov IKT služieb, ktorí poskytujú kritické služby finančným subjektom. Keďže poskytovanie služieb IKT v rámci skupiny neprináša rovnaké riziká, poskytovatelia služieb IKT, ktorí sú súčasťou rovnakej skupiny alebo schémy inštitucionálneho zabezpečenia, by nemali byť vymedzení ako externí poskytovatelia kritických IKT služieb.

(30) Keďže hrozby IKT sú čoraz zložitejšie a sofistikovanejšie, dobré opatrenia na odhaľovanie a prevenciu do veľkej miery závisia od pravidelnej výmeny spravodajských informácií o hrozbách a zraniteľnosti medzi finančnými subjektmi. Výmena informácií prispieva k zvýšenej informovanosti o kybernetických hrozbách, čo zase zvyšuje schopnosť finančných subjektov predchádzať tomu, aby sa hrozby stali skutočnými incidentmi, a finančným subjektom umožňuje lepšie obmedziť účinky incidentov súvisiacich s IKT a účinnejšie sa z nich zotavovať. Keďže na úrovni Únie neexistujú príslušné usmernenia, zdá sa, že takejto výmene spravodajských informácií bránia viaceré faktory, najmä neistota týkajúca sa zlučiteľnosti s pravidlami ochrany údajov, protimonopolnými pravidlami a pravidlami zodpovednosti. Je preto dôležité posilniť dohody o spolupráci a podávanie správ medzi finančnými subjektmi a príslušnými orgánmi, ako aj výmenu informácií s verejnosťou s cieľom vytvoriť otvorený rámec výmeny spravodajských informácií a prístup „bezpečnosti už v štádiu návrhu“, ktoré sú nevyhnutné na zvýšenie prevádzkovej odolnosti a pripravenosti finančného sektora, pokiaľ ide o IKT riziká. V dojednaniach o výmene informácií by sa vždy mali náležite zohľadniť potenciálne riziká týkajúce sa kybernetickej bezpečnosti, ochrany údajov alebo obchodného tajomstva.

(31) Okrem toho váhanie, pokiaľ ide o druh informácií, ktoré sa môžu vymieňať s inými účastníkmi trhu alebo s orgánmi, ktoré nie sú orgánmi dohľadu (ako je agentúra ENISA na analytické vstupy alebo Europol na účely presadzovania práva), vedie k tom, že sa neposkytnú užitočné informácie. Rozsah a kvalita výmeny informácií sú stále obmedzené a rozdrobené, pričom k príslušným výmenám dochádza väčšinou na miestnej úrovni (prostredníctvom vnútroštátnych iniciatív) a bez ucelených celoúniových mechanizmov výmeny informácií, ktoré by boli prispôsobené potrebám integrovaného finančného sektora. Preto je dôležité posilniť tieto komunikačné kanály a v prípade potreby získať informácie od orgánov, ktoré nie sú orgánmi dohľadu, počas celého cyklu dohľadu.

(32) Finančné subjekty by sa tiež mali nabádať, aby kolektívne využívali svoje individuálne znalosti a praktické skúsenosti na strategickej, taktickej a operačnej úrovni s cieľom zlepšiť svoje spôsobilosti primerane posudzovať kybernetické hrozby, monitorovať ich, brániť sa proti nim a reagovať na ne. Na úrovni Únie preto treba umožniť vznik mechanizmov pre dobrovoľné dojednania o výmene informácií, ktoré by v prípade, že sa vykonávajú v dôveryhodnom prostredí, pomohli finančnej komunite predchádzať hrozbám a kolektívne na ne reagovať tak, aby sa rýchlo obmedzilo šírenie IKT rizík a aby sa zabránilo potenciálnej nákaze cez finančné kanály. Uvedené mechanizmy by sa mali vykonávať v plnom súlade s príslušnými pravidlami práva Únie v oblasti hospodárskej súťaže[11], a zároveň aj spôsobom, ktorým sa zaručí úplné dodržiavanie pravidiel Únie v oblasti ochrany údajov, hlavne nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679[12], a to najmä v súvislosti so spracúvaním osobných údajov, ktoré je potrebné na účely oprávneného záujmu, ktorý sleduje prevádzkovateľ alebo tretia strana, ako sa uvádza v článku 6 ods. 1 písm. f) uvedeného nariadenia.

(33) Bez ohľadu na široké pokrytie, s ktorým sa počíta v tomto nariadení, by sa pri uplatňovaní pravidiel digitálnej prevádzkovej odolnosti vrátane rámcových požiadaviek na riadenie rizika mali zohľadňovať významné rozdiely medzi finančnými subjektmi, pokiaľ ide o veľkosť, povahu, zložitosť a rizikový profil. Vo všeobecnosti platí, že pri smerovaní zdrojov a spôsobilostí na vykonávanie rámca riadenia IKT rizika by finančné subjekty mali dosiahnuť náležitú rovnováhu medzi svojimi potrebami súvisiacimi s IKT a svojou veľkosťou, povahou, zložitosťou, obchodným profilom a relatívnym rizikovým profilom, pričom príslušné orgány by mali naďalej posudzovať a preskúmavať prístup týkajúci sa takéhoto rozdelenia.

(34) Keďže väčšie finančné subjekty môžu mať väčšie zdroje a mohli by rýchlo vynaložiť finančné prostriedky na rozvoj riadiacich štruktúr a stanovenie rôznych podnikových stratégií, vytvorenie komplexnejších mechanizmov správy a riadenia by sa malo vyžadovať len od finančných subjektov, ktoré nie sú mikropodnikmi v zmysle tohto nariadenia. Takéto subjekty sú lepšie vybavené najmä na zriadenie špecializovaných riadiacich funkcií na dohľad nad dohodami s externými poskytovateľmi IKT služieb alebo na zvládanie krízového riadenia, na organizáciu riadenia IKT rizika na základe modelu „troch línií obrany“ alebo na prijatie dokumentu o ľudských zdrojoch, v ktorom sa komplexne vysvetľujú politiky v oblasti prístupových práv.

Z rovnakého dôvodu by sa len takéto finančné subjekty mali vyzvať, aby vykonávali hĺbkové posúdenia po rozsiahlych zmenách infraštruktúr a procesov sietí a informačných systémov, pravidelne vykonávali analýzy rizík v súvislosti s pôvodnými IKT systémami alebo aby rozšírili testovanie kontinuity činností a plánov reakcie a obnovy tak, aby sa v nich zachytili scenáre prechodu medzi primárnou infraštruktúrou IKT a redundantnými zariadeniami.

(35) Okrem toho, keďže len uvedené finančné subjekty identifikované ako významné na účely pokročilého testovania digitálnej odolnosti by mali byť povinné vykonávať penetračné testy na základe konkrétnej hrozby, administratívne postupy a finančné náklady spojené s vykonávaním takýchto testov by sa mali preniesť na malý percentuálny podiel finančných subjektov. S cieľom zmierniť regulačné zaťaženie by sa len od finančných subjektov iných ako mikropodniky malo vyžadovať, aby príslušným orgánom pravidelne nahlasovali všetky odhadované náklady a straty spôsobené závažnými narušeniami v oblasti IKT, závažnými incidentmi súvisiacimi s IKT a výsledky preskúmaní po incidente po takýchto závažných narušeniach v oblasti IKT.

(36) S cieľom zabezpečiť úplné zosúladenie a celkovú konzistentnosť medzi obchodnými stratégiami finančných subjektov na jednej strane a riadením IKT rizika na strane druhej by sa od riadiaceho orgánu malo vyžadovať, aby si zachoval kľúčovú a aktívnu úlohu pri riadení a prispôsobovaní rámca riadenia IKT rizika a celkovej stratégie digitálnej odolnosti. Prístup, ktorý má riadiaci orgán zaujať, by sa nemal zameriavať len na prostriedky na zabezpečenie odolnosti IKT systémov, ale mal by sa vzťahovať aj na osoby a procesy prostredníctvom súboru politík, ktoré na každej podnikovej úrovni a v prípade všetkých zamestnancov podporujú silný zmysel pre informovanosť o kybernetických rizikách a záväzok dodržiavať prísnu kybernetickú hygienu na všetkých úrovniach.

Hlavnou zásadou tohto komplexného prístupu by mala byť konečná zodpovednosť riadiaceho orgánu za riadenie IKT rizika finančného subjektu, ktorá by sa mala ďalej premietnuť do nepretržitého zapojenia riadiaceho orgánu do kontroly monitorovania riadenia IKT rizika.

(37) Úplná zodpovednosť riadiaceho orgánu navyše ide ruka v ruke so zabezpečením takej úrovne investícií do IKT a celkového rozpočtu pre daný finančný subjekt, aby tento subjekt mohol dosiahnuť základnú úroveň digitálnej prevádzkovej odolnosti.

(38) Toto nariadenie, inšpirované príslušnými medzinárodnými, vnútroštátnymi a odvetvovými normami, usmerneniami, odporúčaniami alebo prístupmi v oblasti riadenia kybernetického rizika[13], presadzuje súbor funkcií, ktoré uľahčujú celkové štruktúrovanie riadenia IKT rizika. Pokiaľ hlavné spôsobilosti, ktoré finančné subjekty zavedú, budú zodpovedať potrebám cieľov, ktoré boli v tomto nariadení stanovené pre jednotlivé funkcie (identifikácia, ochrana a prevencia, odhaľovanie, reakcia a obnova, učenie a vývoj a komunikácia), finančné subjekty môžu naďalej voľne používať modely riadenia IKT rizika, ktoré sú rôzne vymedzené alebo kategorizované.

(39) V snahe držať krok s vývojom v oblasti kybernetických hrozieb by finančné subjekty mali udržiavať svoje IKT systémy v aktualizovanom stave, aby boli spoľahlivé a vybavené dostatočnou kapacitou nielen na zaručenie spracúvania údajov, keďže je to potrebné na výkon ich služieb, ale aj na zabezpečenie technologickej odolnosti, ktorá finančným subjektom umožní primerane riešiť dodatočné potreby v oblasti spracovania, ktoré môžu vzniknúť v dôsledku stresových trhových podmienok alebo iných nepriaznivých situácií. Hoci toto nariadenie nezahŕňa štandardizáciu špecifických IKT systémov, nástrojov alebo technológií, spolieha sa na to, že finančné subjekty budú vhodne využívať európske a medzinárodne uznávané technické normy (napr. ISO) alebo najlepšie priemyselné postupy, pokiaľ je takéto používanie plne v súlade s osobitnými pokynmi v oblasti dohľadu týkajúcimi sa používania a začlenenia medzinárodných noriem.

(40) Na to, aby finančné subjekty mohli pohotovo a rýchlo riešiť incidenty súvisiace s IKT, najmä kybernetické útoky, obmedzením škôd a uprednostnením obnovenia činností a opatrení zameraných na obnovu sú potrebné účinné plány na zabezpečenie kontinuity činnosti a obnovy, pričom sa zároveň zohľadňuje, či ide o kritickú alebo dôležitú funkciu. Zatiaľ čo záložné systémy by mali začať fungovať bez zbytočného odkladu, takéto spustenie by v žiadnom prípade nemalo ohroziť integritu a bezpečnosť sietí a informačných systémov alebo dôvernosť údajov.

(41) Hoci toto nariadenie umožňuje finančným subjektom pružne určovať ciele v súvislosti s lehotou na obnovu, a teda stanoviť takéto ciele tak, aby sa v plnej miere zohľadnila povaha a kritickosť príslušnej funkcie a akékoľvek osobitné obchodné potreby, pri určovaní takýchto cieľov by sa malo vyžadovať aj posúdenie potenciálneho celkového vplyvu na efektívnosť trhu.

(42) Významné následky kybernetických útokov sa znásobujú, ak k nim dôjde vo finančnom sektore, čo je oblasť, ktorej hrozí oveľa väčšie riziko, že bude cieľom šírenia škodlivých kódov, ktorých zámerom sú finančné zisky priamo pri zdroji. V snahe zmierniť takéto riziká a zabrániť tomu, aby IKT systémy stratili integritu alebo sa stali nedostupnými a došlo k porušeniu dôvernosti údajov alebo poškodeniu fyzickej infraštruktúry IKT, by sa malo výrazne zlepšiť nahlasovanie závažných incidentov súvisiacich s IKT finančnými subjektmi.

Nahlasovanie incidentov súvisiacich s IKT by sa malo harmonizovať pre všetky finančné subjekty tak, že sa od nich bude vyžadovať, aby incidenty nahlasovali len svojim príslušným orgánom. Hoci toto nahlasovanie by platilo pre všetky finančné subjekty, nie všetky z nich by mali byť ovplyvnené rovnakým spôsobom, keďže príslušné prahové hodnoty významnosti a časové rámce by mali byť kalibrované tak, aby zachytávali len závažné incidenty súvisiace s IKT. Priame nahlasovanie by orgánom finančného dohľadu umožnilo prístup k informáciám o incidentoch súvisiacich s IKT. Orgány finančného dohľadu by však mali tieto informácie postúpiť nefinančným verejným orgánom (príslušným orgánom NIS, vnútroštátnym orgánom na ochranu údajov a orgánom presadzovania práva v prípade incidentov trestnej povahy). Informácie o incidentoch súvisiacich s IKT by si mali jednotliví aktéri poskytovať navzájom: orgány finančného dohľadu by mali finančnému subjektu poskytnúť všetku potrebnú spätnú väzbu alebo usmernenia, zatiaľ čo európske orgány dohľadu by mali zdieľať anonymizované údaje o hrozbách a zraniteľných miestach súvisiacich s konkrétnou udalosťou s cieľom napomôcť širšej kolektívnej obrane.

(43) Mala by sa zvážiť aj ďalšia reflexia o možnej centralizácii správ o incidentoch súvisiacich s IKT, a to prostredníctvom jedného centra EÚ pre nahlasovanie závažných incidentov súvisiacich s IKT, ktoré by buď priamo prijímalo príslušné správy a automaticky informovalo príslušné orgány, alebo len centrálne zhromažďovalo správy zasielané príslušnými vnútroštátnymi orgánmi a plnilo koordinačnú úlohu. Od európskych orgánov dohľadu by sa malo vyžadovať, aby po konzultácii s ECB a agentúrou ENISA do určitého dátumu vypracovali spoločnú správu, v ktorej preskúmajú uskutočniteľnosť zriadenia takéhoto ústredného centra EÚ.

(44) V snahe dosiahnuť silnú digitálnu prevádzkovú odolnosť a v súlade s medzinárodnými normami (napr. základnými prvkami G7 pre penetračné testovanie na základe konkrétnej hrozby) by finančné subjekty iné než mikropodniky mali pravidelne testovať svoje IKT systémy a personál, pokiaľ ide o účinnosť ich spôsobilostí v oblasti predchádzania, odhaľovania, reakcie a obnovy, v záujme odhalenia a riešenia potenciálnych zraniteľných miest v oblasti IKT. S cieľom reagovať na rozdiely medzi jednotlivými finančnými subsektormi a v rámci nich, pokiaľ ide o pripravenosť finančných subjektov v oblasti kybernetickej bezpečnosti, by testovanie malo zahŕňať širokú škálu nástrojov a opatrení, od posúdenia základných požiadaviek (napr. posúdenia a prehľady zraniteľnosti, analýzy otvorených zdrojov, posúdenia bezpečnosti sietí, analýzy nedostatkov, preskúmania fyzickej bezpečnosti, dotazníky a skenovacie softvérové riešenia, preskúmania zdrojových kódov, ak je to možné, testy založené na konkrétnych scenároch, testovanie kompatibility, testovanie výkonnosti alebo testovanie medzi koncovými bodmi) až po pokročilejšie testovanie (napr. penetračné testovanie na základe konkrétnej hrozby –TLPT – pre tie finančné subjekty, ktoré sú z hľadiska IKT dostatočne vyspelé na to, aby takéto testovanie dokázali realizovať). Testovanie digitálnej prevádzkovej odolnosti by preto malo byť náročnejšie pre významné finančné subjekty (ako sú veľké úverové inštitúcie, burzy cenných papierov, centrálne depozitáre cenných papierov, centrálne protistrany atď.). Testovanie digitálnej prevádzkovej odolnosti by zároveň malo byť relevantnejšie aj pre niektoré subsektory, ktoré zohrávajú kľúčovú systémovú úlohu (napr. platby, bankovníctvo, zúčtovanie a vyrovnanie), a menej relevantné pre iné subsektory (napr. správcovia aktív, ratingové agentúry atď.). Cezhraničné finančné subjekty, ktoré si uplatňujú slobodu usadiť sa alebo poskytovať služby v rámci Únie, by mali spĺňať jednotný súbor pokročilých požiadaviek na testovanie (napr. test TLPT) vo svojom domovskom členskom štáte a uvedený test by mal zahŕňať infraštruktúry IKT vo všetkých jurisdikciách, v ktorých cezhraničná skupina pôsobí v rámci Únie, čím by cezhraničným skupinám umožnil, aby im náklady na testovanie vznikli len v jednej jurisdikcii. Okrem toho s cieľom posilniť spoluprácu s dôveryhodnými tretími krajinami v oblasti odolnosti finančných subjektov by sa Komisia a príslušné orgány mali snažiť vytvoriť rámec pre vzájomné uznávanie výsledkov TLPT.

Členské štáty by mali určiť jeden verejný orgán, ktorý bude zodpovedný za TLPT vo finančnom sektore na vnútroštátnej úrovni. Týmto jediným verejným orgánom by mohol byť okrem iného príslušný vnútroštátny orgán alebo orgán verejnej moci určený v súlade s článkom 8 smernice (EÚ) 2016/1148 (NIS). Jediný verejný orgán by mal byť zodpovedný za vydávanie osvedčení o tom, že TLPT sa vykonal v súlade s požiadavkami. Takéto osvedčenia by mali uľahčiť vzájomné uznávanie testovania medzi príslušnými orgánmi.

Niektoré finančné subjekty sú schopné vykonávať interné pokročilé testovanie, zatiaľ čo iné budú uzatvárať zmluvy s externými testovacími subjektmi z Únie alebo z tretích krajín. Preto je dôležité, aby všetci testujúci podliehali rovnakým jasným požiadavkám. Aby sa zabezpečila nezávislosť interných testovacích subjektov, ich používanie by malo podliehať schváleniu príslušným orgánom.

Metodika TLPT by nemala byť povinná, ale použitie existujúceho rámca TIBER-EÚ by sa malo považovať za vyhovujúce požiadavkám rámca TLPT v tomto nariadení.

Až do nadobudnutia účinnosti tohto nariadenia a do vypracovania a prijatia povinných regulačných technických predpisov týkajúcich sa TLTP Európskymi orgánmi dohľadu by sa finančné subjekty mali riadiť relevantnými usmerneniami a rámcami v Únii, ktoré sa uplatňujú na penetračné testovania založené na spravodajských informáciách, keďže sa budú naďalej uplatňovať po nadobudnutí účinnosti tohto nariadenia.

(44a) Zodpovednosť za vykonávanie TLPT a za riadenie kybernetickej bezpečnosti vo všeobecnosti a predchádzanie kybernetickým útokom by mal v plnej miere niesť finančný subjekt a osvedčenia poskytované orgánmi by mali byť výlučne na účely vzájomného uznávania a nemali by brániť žiadnym následným opatreniam týkajúcim sa úrovne IKT rizika, ktorému je finančný subjekt vystavený, ani by sa nemali považovať za potvrdenie jeho spôsobilostí v oblasti riadenia a zmierňovania IKT rizika.

(45) Na zabezpečenie riadneho monitorovania IKT rizika tretej strany treba stanoviť súbor pravidiel založených na zásadách s cieľom usmerňovať finančné subjekty pri monitorovaní rizík, ktoré vznikajú v súvislosti s externe zabezpečovanými funkciami externých poskytovateľov IKT služieb, najmä pokiaľ ide o poskytovanie kritických alebo dôležitých funkcií externými poskytovateľmi IKT služieb, a všeobecnejšie v súvislosti so závislosťou IKT od tretej strany.

(46) Za dodržiavanie povinností podľa tohto nariadenia by mal neustále niesť plnú zodpovednosť finančný subjekt. Primerané monitorovanie rizík, ktoré vznikajú na úrovni externých poskytovateľov IKT služieb, by sa malo organizovať tak, že sa náležite zohľadní povaha, rozsah, zložitosť a význam závislostí súvisiacich s IKT, kritickosť alebo význam služieb, procesov alebo funkcií, na ktoré sa vzťahujú zmluvné dojednania, a v konečnom dôsledku na základe dôkladného posúdenia akéhokoľvek potenciálneho vplyvu na kontinuitu a kvalitu finančných služieb na individuálnej, resp. skupinovej úrovni, ako aj to, či IKT služby poskytuje subjekt v rámci skupiny alebo externý poskytovateľ.

(47) Vykonávanie takéhoto monitorovania by sa malo riadiť strategickým prístupom k IKT riziku tretej strany, ktoré by bolo formalizované tak, že riadiaci orgán finančného subjektu prijme špecializovanú stratégiu, ktorá bude vychádzať z nepretržitého preverovania všetkých takýchto závislostí IKT od tretej strany. S cieľom zvýšiť informovanosť orgánov dohľadu o závislostiach IKT od tretej strany a s cieľom ďalej podporovať rámec dozoru ustanovený týmto nariadením by mali orgány finančného dohľadu od príslušných registrov pravidelne dostávať základné informácie a mali by mať možnosť požadovať výpisy z nich na ad hoc báze.

(48) Formálne uzavretie zmluvných dojednaní by mala podporiť a mala by mu predchádzať dôkladná analýza pred uzavretím zmluvy, pričom opravné a nápravné opatrenia, ktoré môžu zahŕňať čiastočné alebo úplné ukončenie zmlúv, by sa mali prijať aspoň v prípade súboru okolností, ktoré vykazujú závažné nedostatky u externého poskytovateľa IKT služieb.

(49) S cieľom riešiť systémový vplyv rizika koncentrácie externých poskytovateľov IKT by sa malo podporovať vyvážené riešenie prostredníctvom flexibilného a postupného prístupu, keďže pevné horné hranice alebo prísne obmedzenia môžu brániť obchodnému správaniu a zmluvnej slobode. Finančné subjekty by mali dôkladne posúdiť zmluvné dojednania s cieľom identifikovať pravdepodobnosť vzniku takéhoto rizika, a to aj prostredníctvom hĺbkových analýz dohôd o subdodávkach▐. V tejto fáze a s cieľom dosiahnuť spravodlivú rovnováhu medzi nevyhnutnosťou zachovať zmluvnú slobodu a povinnosťou zaručiť finančnú stabilitu sa nepovažuje za vhodné stanoviť prísne horné hranice a obmedzenia expozícií voči tretím stranám v oblasti IKT. Spoločný orgán dozoru vykonávajúci dozor nad každým externým poskytovateľom kritických IKT služieb a európsky orgán dohľadu určený na vykonávanie každodenného dozoru (ďalej len „hlavný orgán dozoru“) by mal pri vykonávaní úloh dozoru venovať osobitnú pozornosť plnému využitiu celého rozsahu vzájomných závislostí a odhaľovať konkrétne prípady, keď vysoký stupeň koncentrácie externých poskytovateľov kritických IKT služieb v Únii pravdepodobne zaťaží stabilitu a integritu finančného systému Únie a namiesto toho by mal zabezpečiť dialóg s externými poskytovateľmi kritických IKT služieb, ak dôjde k identifikácii takéhoto rizika[14].

(50) Aby bolo možné pravidelne vyhodnocovať a monitorovať schopnosť externého poskytovateľa IKT služieb bezpečne poskytovať služby finančnému subjektu bez nepriaznivých účinkov na jeho odolnosť, malo by dôjsť k harmonizácii kľúčových zmluvných prvkov počas plnenia zmlúv s externými poskytovateľmi IKT služieb. Uvedené prvky zahŕňajú len minimálne zmluvné aspekty považované za kľúčové pre to, aby finančné subjekty dokázali úplne monitorovať to, či zabezpečujú svoju digitálnu odolnosť, ktorá závisí od stability a bezpečnosti IKT služby.

(51) Zmluvné dojednania by mali obsahovať najmä uvedenie úplných opisov funkcií a služieb, miest, kde sa takéto funkcie poskytujú a kde sa údaje spracúvajú, ako aj uvedenie úplných opisov úrovne služieb spolu s kvantitatívnymi a kvalitatívnymi výkonnostnými cieľmi v rámci dohodnutých úrovní služieb, aby ich finančný subjekt mohol účinne monitorovať. Rovnako by sa za základné prvky schopnosti finančného subjektu zabezpečiť monitorovanie rizík tretej strany mali považovať aj ustanovenia o prístupnosti, dostupnosti, integrite, bezpečnosti a ochrane osobných údajov, ako aj záruky týkajúce sa prístupu, obnovy a návratu v prípade platobnej neschopnosti, riešenia krízových situácií, ukončenia obchodných činností poskytovateľa IKT služieb, ktorý je treťou stranou, alebo ukončenia zmluvných dojednaní.

(52) S cieľom zabezpečiť, aby si finančné subjekty zachovali plnú kontrolu nad všetkými možnosťami vývoja, ktorý môže narušiť ich bezpečnosť IKT, by sa mali stanoviť výpovedné lehoty a ohlasovacie povinnosti externých poskytovateľov IKT služieb v prípade vývoja, ktorý môže mať potenciálne významný vplyv na schopnosť externého poskytovateľa IKT služieb účinne vykonávať kritické alebo dôležité funkcie vrátane poskytovania pomoci zo strany externého poskytovateľa IKT služieb v prípade incidentu súvisiaceho s IKT, ktorý sa týka služieb poskytovaných externým poskytovateľom IKT služieb finančnej inštitúcii na dohodnutej úrovni služieb, a to bez toho, aby sa vyskytli dodatočné náklady, alebo aby sa vyskytli len náklady, ktoré boli stanovené ex ante. Toto nariadenie sa nevzťahuje na doplnkové IKT služby, od ktorých finančné subjekty nie sú operačne závislé.

Okrem toho by vymedzenie pojmu „kritická alebo dôležitá funkcia“ stanovené v tomto nariadení malo zahŕňať vymedzenie pojmu „zásadné funkcie“ stanovené v článku 2 ods. 1 bode 35 smernice Európskeho parlamentu a Rady 2014/59/EÚ z 15. mája 2014[15]. Preto by sa funkcie, ktoré sa považujú za zásadné podľa smernice (EÚ) 2014/59, mali považovať za kritické alebo dôležité funkcie v zmysle tohto nariadenia.

 

(53) V prípade zmluvných dojednaní pre kritické a dôležité funkcie sú kľúčovými nástrojmi pri priebežnom monitorovaní výkonnosti externého poskytovateľa IKT služieb prístupové práva, kontrola a audit zo strany finančného subjektu alebo určenej tretej strany, ako aj úplná spolupráca uvedenej tretej strany počas kontrol. Rovnako by uvedené práva vykonávať na základe oznámení kontrolu a audit u externého poskytovateľa IKT služieb mali mať spoločný orgán dozoru a hlavný orgán dozoru finančného subjektu, a to pod podmienkou zachovania dôvernosti, pričom by mali dbať na to, aby nenarušili služby poskytované iným zákazníkom externého poskytovateľa IKT služieb. Finančný subjekt a externý poskytovateľ IKT služieb by mali mať možnosť dohodnúť sa na tom, že práva na prístup, kontrolu a audit sa môžu delegovať na nezávislú tretiu stranu.

(54) V zmluvných dojednaniach by sa mali stanoviť jasné práva na ukončenie zmluvy a súvisiace minimálne výpovedné lehoty, ako aj osobitné stratégie ukončenia angažovanosti umožňujúce najmä povinné prechodné obdobia, počas ktorých by externí poskytovatelia IKT služieb mali naďalej poskytovať príslušné funkcie s cieľom znížiť riziko narušení na úrovni finančného subjektu alebo umožniť tomuto subjektu účinne prejsť k iným externým poskytovateľom IKT služieb alebo alternatívne začať využívať vlastné riešenia v závislosti od zložitosti poskytovanej služby. Úverové inštitúcie by okrem toho mali zabezpečiť, aby príslušné zmluvy v oblasti IKT boli spoľahlivé a v plnej miere vymožiteľné v prípade riešenia krízových situácií úverovej inštitúcie. V súlade s očakávaniami orgánov pre riešenie krízových situácií by úverové inštitúcie mali zabezpečiť, aby príslušné zmluvy o IKT službách boli odolné voči krízovým situáciám. Pokiaľ sa budú naďalej vykonávať kritické alebo dôležité funkcie IKT, tieto finančné subjekty by mali zabezpečiť, aby zmluvy okrem iných požiadaviek obsahovali doložky o zákaze ukončenia, pozastavenia a zmeny z dôvodu reštrukturalizácie alebo riešenia krízových situácií.

(55) Dobrovoľné používanie štandardných zmluvných doložiek vypracovaných Komisiou pre služby cloud computingu môže navyše finančné subjekty a ich externých poskytovateľov IKT služieb ešte viac odbremeniť, konkrétne zvýšením úrovne právnej istoty, pokiaľ ide o využívanie služieb cloud computingu finančným sektorom, a to v plnom súlade s požiadavkami a očakávaniami, ktoré sú stanovené v nariadení o finančných službách. Táto práca vychádza z opatrení, ktoré už boli naplánované v akčnom pláne pre finančné technológie z roku 2018, v ktorom Komisia oznámila zámer podporiť a uľahčiť vypracovanie štandardných zmluvných doložiek o využívaní externe zabezpečovaných služieb cloud computingu finančnými subjektmi, a to na základe medziodvetvového úsilia zainteresovaných strán v oblasti služieb cloud computingu, ktoré Komisia uľahčila zapojením finančného sektora.

(55a) Európske orgány dohľadu by mali byť poverené vypracovaním návrhu vykonávacích technických a regulačných noriem, v ktorých stanovia očakávania politík riadenia IKT rizika tretej strany a zmluvných požiadaviek. Až do nadobudnutia účinnosti týchto noriem by sa finančné subjekty mali riadiť príslušnými usmerneniami a inými opatreniami vydanými európskymi orgánmi dohľadu a príslušnými orgánmi.

(56) S cieľom podporiť konvergenciu a efektívnosť, pokiaľ ide o prístupy dohľadu k IKT riziku tretej strany pre finančný sektor, posilniť digitálnu prevádzkovú odolnosť finančných subjektov, ktoré sa pri výkone prevádzkových funkcií spoliehajú na externých poskytovateľov kritických IKT služieb, a prispieť tak k zachovaniu stability finančného systému Únie, integrity jednotného trhu s finančnými službami, by externí poskytovatelia kritických IKT služieb mali podliehať rámcu dozoru Únie.

(57) Keďže osobitné zaobchádzanie si vyžadujú len externí poskytovatelia kritických služieb, mal by sa zaviesť mechanizmus označovania na účely uplatňovania rámca dozoru Únie s cieľom zohľadniť rozsah a povahu závislosti finančného sektora od takýchto externých poskytovateľov IKT služieb, čo sa premieta do súboru kvantitatívnych a kvalitatívnych kritérií, ktorými by sa stanovili parametre kritickosti ako základ pre začlenenie do rámca dozoru. Externí poskytovatelia kritických IKT služieb, ktorí nie sú automaticky označení na základe uplatňovania vyššie uvedených kritérií, by mali mať možnosť dobrovoľne sa zapojiť do rámca dozoru, zatiaľ čo tí externí poskytovatelia IKT služieb, na ktorých sa už vzťahujú rámce mechanizmov dozoru podporujúce plnenie úloh na úrovni Eurosystému uvedené v článku 127 ods. 2 Zmluvy o fungovaní Európskej únie, by sa následne mali z rámca vyňať. Podobne by mechanizmu nemali podliehať ani podniky označené za kritické, ktoré sú súčasťou finančnej skupiny a ktoré poskytujú IKT služby výlučne finančným subjektom v rámci tej istej finančnej skupiny.

(58) Požiadavka právneho začlenenia externých poskytovateľov IKT služieb, ktorých služby boli označené za kritické, do Únie nepredstavuje lokalizáciu údajov, keďže toto nariadenie neobsahuje žiadnu ďalšiu požiadavku na uchovávanie alebo spracúvanie údajov, ktoré by sa vykonávali v Únii. Účelom požiadavky mať podnik, ako napríklad dcérsku spoločnosť založenú v Únii podľa práva členského štátu, je zabezpečiť kontaktné miesto medzi externým poskytovateľom IKT služieb na jednej strane a hlavným orgánom dozoru a spoločným orgánom dozoru na strane druhej a zabezpečiť, aby hlavný orgán dozoru a spoločný orgán dozoru boli schopné plniť svoje povinnosti a vykonávať svoje právomoci v oblasti dozoru a presadzovania predpisov, ako sa stanovuje v tomto nariadení. Zmluvné služby externého poskytovateľa IKT služieb nemusí poskytovať jeho subjekt v Únii.

(58a) Vzhľadom na významný vplyv, ktorý by označovanie týchto služieb za kritické mohlo mať na externých poskytovateľov IKT služieb, by sa mali stanoviť práva predbežného vypočutia ako povinnosť, aby európske orgány dohľadu a spoločný orgán dozoru riadne zohľadnil akékoľvek dodatočné informácie, ktoré poskytujú externí poskytovatelia IKT služieb počas procesu označovania.

(59) Rámcom dozoru by nemala byť dotknutá právomoc členských štátov vykonávať vlastné úlohy dozoru v súvislosti s externými poskytovateľmi IKT služieb, ktoré nie sú kritické podľa tohto nariadenia, ale mohli by sa považovať za dôležité na vnútroštátnej úrovni.

(60) V snahe využiť súčasnú viacvrstvovú inštitucionálnu architektúru v oblasti finančných služieb by spoločný výbor európskych orgánov dohľadu mal naďalej zabezpečovať celkovú medziodvetvovú koordináciu vo vzťahu ku všetkým záležitostiam týkajúcim sa IKT rizika, a to v súlade so svojimi úlohami v oblasti kybernetickej bezpečnosti, prostredníctvom novozriadeného spoločného orgánu dozoru, ktorý bude vydávať jednotlivé rozhodnutia určené externým poskytovateľom kritických IKT služieb, ako aj kolektívne odporúčania, najmä pokiaľ ide o referenčné porovnávanie programov dozoru nad externými poskytovateľmi kritických IKT služieb, a určovať najlepšie postupy na riešenie rizika koncentrácie IKT.

(61) S cieľom zabezpečiť, aby externí poskytovatelia IKT služieb, ktorí plnia kritickú úlohu pri fungovaní finančného sektora, podliehali primeranému dozoru na úrovni Únie, byť sa mal zriadiť spoločný orgán dozoru, ktorý bude vykonávať priamy dozor nad externými poskytovateľmi IKT služieb. Okrem toho by jeden z európskych orgánov dohľadu mal byť určený ako hlavný orgán dozoru pre každého externého poskytovateľa kritických IKT služieb s cieľom vykonávať a koordinovať každodenný dozor a vyšetrovaciu činnosť, pôsobiť ako jednotné kontaktné miesto a zabezpečovať kontinuitu. Spoločný orgán dozoru a hlavný orgán dozoru by mali bezproblémovo pracovať na zabezpečení účinného každodenného dozoru, ako aj holistického prístupu k rozhodovaniu a odporúčaniam.

(62) Hlavné orgány dozoru by mali mať právomoci nevyhnutné na vykonávanie vyšetrovaní, kontrol na mieste u externých poskytovateľov kritických IKT služieb, mali by mať prístup do všetkých relevantných priestorov a lokalít a mali by dostávať úplné a aktualizované informácie, ktoré im umožnia získať skutočný prehľad o druhu, rozsahu a vplyve IKT rizika tretej strany, ktoré predstavujú pre samotné finančné subjekty a v konečnom dôsledku aj pre finančný systém Únie.

(62a) Poverenie spoločného orgánu dozoru priamym dozorom je nevyhnutným predpokladom na pochopenie a riešenie systémového rozmeru IKT rizika vo finančnom sektore. Vplyv Únie na externých poskytovateľov kritických IKT služieb a súvisiace potenciálne otázky rizika koncentrácie IKT si vyžadujú prijatie kolektívneho prístupu, ktorý by sa uplatňoval na úrovni Únie. Ak by audity a prístupové práva naraz realizovali viaceré príslušné orgány oddelene, pričom by navzájom koordinovali minimálne alebo nekoordinovali vôbec, nezískal by sa úplný prehľad o IKT riziku tretej strany a zároveň by sa vytvorila zbytočná redundancia, zaťaženie a zložitosť na úrovni externých poskytovateľov kritických IKT služieb, ktorí by tak museli zvládať veľké množstvo takýchto žiadostí.

(63) Spoločný orgán dozoru by mal mať možnosť vydávať odporúčania týkajúce sa problematiky IKT rizika a vhodných nápravných opatrení vrátane námietok proti určitým zmluvným dojednaniam, ktoré v konečnom dôsledku ovplyvňujú stabilitu finančného subjektu alebo finančného systému. Dodržiavanie takýchto zásadných odporúčaní stanovených spoločným orgánom dozoru by mali príslušné vnútroštátne orgány náležite zohľadniť v rámci svojej funkcie týkajúcej sa prudenciálneho dohľadu nad finančnými subjektmi. Pred finalizáciou takýchto odporúčaní by mali mať externí poskytovatelia kritických IKT služieb možnosť poskytnúť informácie, o ktorých sa domnievajú, že by sa mali primerane zohľadniť pred finalizáciou a vydaním odporúčania.

(63a) S cieľom zabrániť duplicite a rozporom s technickými a organizačnými opatreniami, ktoré sa uplatňujú na externých poskytovateľov kritických IKT služieb, by hlavné orgány dozoru a spoločný orgán dozoru mali pri vykonávaní svojich právomocí podľa rámca dozoru v tomto nariadení náležite zohľadniť rámec stanovený v smernici (EÚ) 2016/1148. Pred výkonom takýchto právomocí by mal spoločný orgán dozoru a hlavný orgán dozoru konzultovať s relevantnými príslušnými orgánmi, ktoré majú právomoc podľa smernice (EÚ) 2016/1148.

(64) Rámec dozoru žiadnym spôsobom nenahrádza, celkovo ani čiastočne, riadenie rizika súvisiaceho s využívaním externých poskytovateľov IKT služieb finančnými subjektmi vrátane povinnosti priebežného monitorovania ich zmluvných dojednaní uzavretých s externými poskytovateľmi kritických IKT služieb a nemá vplyv na plnú zodpovednosť finančných subjektov za dodržiavanie a plnenie všetkých požiadaviek podľa tohto nariadenia a príslušných právnych predpisov o finančných službách. Aby sa predišlo duplicite a prekrývaniu, príslušné orgány by sa mali zdržať individuálneho prijímania akýchkoľvek opatrení zameraných na monitorovanie rizík súvisiacich s poskytovateľmi kritických IKT služieb, ktorí sú tretími stranami. Všetky takéto opatrenia by sa mali vopred koordinovať a schváliť v kontexte rámca dozoru.

(65) V snahe podporiť na medzinárodnej úrovni zbližovanie najlepších postupov, ktoré sa majú používať pri preskúmavaní riadenia digitálnych rizík v súvislosti s externými poskytovateľmi IKT služieb, by sa európske orgány dohľadu mali nabádať k tomu, aby uzatvárali dohody o spolupráci s príslušnými orgánmi dohľadu a regulačnými orgánmi tretích krajín s cieľom uľahčiť rozvoj najlepších postupov v oblasti riešenia IKT rizika tretej strany.

(66) S cieľom využiť technické odborné znalosti expertov príslušných orgánov v oblasti riadenia operačných rizík a IKT rizika by hlavné orgány dozoru pri vykonávaní všeobecných vyšetrovaní alebo kontrol na mieste mali vychádzať zo skúseností vnútroštátneho dohľadu a vytvoriť špecializované prieskumné tímy pre každého jednotlivého externého poskytovateľa kritických IKT služieb, v rámci ktorých by sa spojili multidisciplinárne tímy na podporu prípravy aj skutočného vykonávania činností dozoru vrátane kontrol na mieste u externých poskytovateľov kritických IKT služieb, ako aj potrebných následných opatrení.

(67) Príslušné orgány by mali mať všetky potrebné právomoci v oblasti dohľadu, vyšetrovania a ukladania sankcií na zabezpečenie uplatňovania tohto nariadenia. Administratívne sankcie by sa v zásade mali uverejňovať. Keďže finančné subjekty a externí poskytovatelia IKT služieb môžu byť usadení v rôznych členských štátoch a môžu podliehať dohľadu príslušných orgánov rôznych sektorov, úzka spolupráca medzi relevantnými príslušnými orgánmi vrátane ECB, pokiaľ ide o osobitné úlohy, ktoré sa na ňu preniesli v súlade s nariadením Rady (EÚ) č. 1024/2013[16] , a konzultácia s európskymi orgánmi dohľadu, by sa mala zabezpečiť prostredníctvom vzájomnej výmeny informácií a poskytovania pomoci v kontexte činností dohľadu. Jednotná rada pre riešenie krízových situácií, aj keď nie je príslušným orgánom na účely tohto nariadenia, by však mala byť zapojená do mechanizmov vzájomnej výmeny informácií pre subjekty, ktoré patria do rozsahu pôsobnosti nariadenia Európskeho parlamentu a Rady (EÚ) č. 806/2014[17].

 

(68) S cieľom bližšie kvantifikovať a kvalifikovať kritériá označovania externých poskytovateľov kritických IKT služieb a harmonizovať poplatky za dozor by sa mala na Komisiu delegovať právomoc prijímať akty v súlade s článkom 290 Zmluvy o fungovaní Európskej únie, pokiaľ ide o: bližšie určenie systémového vplyvu, ktorý by zlyhanie externého poskytovateľa IKT služby mohlo mať na finančné subjekty, ktorým slúži, počet globálne systémovo významných inštitúcií (G-SII) alebo inak systémovo významných inštitúcií (O-SII), ktoré sa spoliehajú na príslušného externého poskytovateľa IKT služieb, počet externých poskytovateľov IKT služieb pôsobiacich na konkrétnom trhu, náklady na prechod k inému externému poskytovateľovi IKT služieb, počet členských štátov, v ktorých príslušný externý poskytovateľ IKT služieb poskytuje služby a v ktorých pôsobia finančné subjekty využívajúce príslušného externého poskytovateľa IKT služieb, ako aj výška poplatkov za dozor a spôsob ich úhrady.

Je osobitne dôležité, aby Komisia počas prípravných prác uskutočnila príslušné konzultácie, a to aj na úrovni expertov, a aby tieto konzultácie vykonávala v súlade so zásadami stanovenými v Medziinštitucionálnej dohode z 13. apríla 2016 o lepšej tvorbe práva[18]. Predovšetkým, v záujme rovnakého zastúpenia pri príprave delegovaných aktov, sa všetky dokumenty doručujú Európskemu parlamentu a Rade v rovnakom čase ako expertom z členských štátov, a experti Európskeho parlamentu a Rady majú systematický prístup na zasadnutia skupín expertov Komisie, ktoré sa zaoberajú prípravou delegovaných aktov.

(69) Keďže toto nariadenie spolu so smernicou Európskeho parlamentu a Rady (EÚ) 20xx/xx[19] zahŕňa konsolidáciu ustanovení o riadení IKT rizika, ktoré sa vzťahujú na viaceré nariadenia a smernice acquis Únie v oblasti finančných služieb vrátane nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014 a (EÚ) č. 909/2014, s cieľom zabezpečiť úplný súlad by sa uvedené nariadenia mali zmeniť tak, aby sa v nich objasňovalo, že príslušné ustanovenia týkajúce sa IKT rizika sú stanovené v tomto nariadení.

Príslušné usmernenia o uplatňovaní týchto nariadení a smerníc vydané alebo v súčasnosti pripravované európskymi orgánmi dohľadu by sa mali v rámci procesu konsolidácie preskúmať a revidovať tak, aby právny základ pre požiadavky na IKT riziko v právnych predpisoch Únie pochádzal výlučne z tohto nariadenia, jeho vykonávacích aktov a rozhodnutí a odporúčaní prijatých v súlade s ním, pokiaľ ide o subjekty v rozsahu jeho pôsobnosti.

(69a) Konzistentná harmonizácia požiadaviek stanovených v tomto nariadení by mala byť zabezpečená technickými predpismi. Európskym orgánom dohľadu by sa ako orgánom s vysoko špecializovanými odbornými poznatkami mala zveriť úloha vypracovať návrh regulačných technických predpisov, ktoré nezahŕňajú politické rozhodnutia a ktoré sa predložia Komisii. Mali by sa vypracovať regulačné technické predpisy v oblasti riadenia IKT rizika, podávania správ, testovania a kľúčových požiadaviek na riadne monitorovanie IKT rizika tretej strany. Pri vypracúvaní návrhu regulačných technických predpisov by európske orgány dohľadu mali náležite zohľadniť svoj mandát, pokiaľ ide o aspekty proporcionality, a požiadať o poradenstvo svoje príslušné poradné výbory pre proporcionalitu, najmä pokiaľ ide o uplatňovanie tohto nariadenia na MSP a spoločnosti so strednou trhovou kapitalizáciou.

(70) Je osobitne dôležité, aby Komisia počas prípravných prác uskutočnila príslušné konzultácie, a to aj na úrovni expertov. Komisia a európske orgány dohľadu by mali zabezpečiť, aby uvedené predpisy a požiadavky mohli všetky finančné subjekty uplatňovať spôsobom, ktorý je primeraný povahe, rozsahu a zložitosti uvedených subjektov a ich činností.

(71) S cieľom uľahčiť porovnateľnosť správ o závažných incidentoch súvisiacich s IKT a zabezpečiť transparentnosť zmluvných dojednaní o využívaní IKT služieb poskytovaných externými poskytovateľmi IKT služieb by európske orgány dohľadu mali byť poverené vypracovaním návrhu vykonávacích technických predpisov, ktorými sa stanovia štandardizované vzory, formuláre a postupy pre finančné subjekty na nahlasovanie závažných incidentov súvisiacich s IKT, ako aj štandardizované vzory registra informácií. Pri vypracúvaní uvedených predpisov by európske orgány dohľadu mali zohľadňovať povahu, veľkosť, zložitosť a obchodný profil finančných subjektov, ako aj povahu a úroveň rizika ich činností. Komisia by mala byť splnomocnená prijať uvedené vykonávacie technické predpisy prostredníctvom vykonávacích aktov podľa článku 291 ZFEÚ a v súlade s článkom 15 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1094/2010 a (EÚ) č. 1095/2010, podľa konkrétneho prípadu. Keďže bližšie požiadavky už boli stanovené prostredníctvom delegovaných a vykonávacích aktov založených na regulačných technických a vykonávacích technických predpisoch v nariadeniach (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014 a (EÚ) č. 909/2014, je vhodné poveriť európske orgány dohľadu, či už jednotlivo alebo kolektívne prostredníctvom spoločného výboru, aby Komisii predložili regulačné a vykonávacie technické predpisy na prijatie delegovaných a vykonávacích aktov, ktorými sa prenášajú a aktualizujú existujúce pravidlá riadenia IKT rizika.

(72) Táto činnosť si bude vyžadovať následnú zmenu existujúcich delegovaných a vykonávacích aktov prijatých v rôznych oblastiach právnych predpisov o finančných službách. Rozsah pôsobnosti článkov o operačnom riziku, na základe ktorých splnomocnenia v uvedených aktoch viedli k prijatiu delegovaných a vykonávacích aktov, by sa mal upraviť s cieľom preniesť do tohto nariadenia všetky ustanovenia týkajúce sa digitálnej prevádzkovej odolnosti, ktoré sú dnes súčasťou uvedených nariadení.

(73) Keďže ciele tohto nariadenia, a to dosiahnutie vysokej úrovne digitálnej prevádzkovej odolnosti uplatniteľnej na všetky finančné subjekty, nie je možné uspokojivo dosiahnuť na úrovni jednotlivých členských štátov, pretože si vyžadujú harmonizáciu veľkého množstva rôznych predpisov, ktoré v súčasnosti existujú v buď v určitých aktoch Únie alebo v právnych systémoch rôznych členských štátov, ale ich možno z dôvodu ich rozsahu a účinkov lepšie dosiahnuť na úrovni Únie, môže Únia prijať opatrenia v súlade so zásadou subsidiarity podľa článku 5 Zmluvy o Európskej únii. V súlade so zásadou proporcionality podľa uvedeného článku toto nariadenie neprekračuje rámec nevyhnutný na dosiahnutie tohto cieľa,

PRIJALI TOTO NARIADENIE:


 

KAPITOLA I

VŠEOBECNÉ USTANOVENIA

Článok 1

Predmet úpravy

1. Týmto nariadením sa stanovujú jednotné požiadavky týkajúce sa bezpečnosti sietí a informačných systémov, ktoré podporujú obchodné procesy finančných subjektov potrebné na dosiahnutie vysokej spoločnej úrovne digitálnej prevádzkovej odolnosti, a to takto:

a) požiadavky, ktoré sa vzťahujú na finančné subjekty v súvislosti s týmito aspektmi:

 riadenie rizika v oblasti informačných a komunikačných technológií (IKT);

 nahlasovanie závažných incidentov súvisiacich s IKT príslušným orgánom;

 nahlasovanie závažných prevádzkových alebo bezpečnostných incidentov súvisiacich s platbami   príslušným orgánom a finančným subjektom podľa článku 2 ods. 1 písm. a) až c);

 testovanie digitálnej prevádzkovej odolnosti;

 výmena informácií a spravodajských informácií v súvislosti s kybernetickými hrozbami a zraniteľnosťou;

 opatrenia na správne riadenie IKT rizika tretej strany finančnými subjektmi;

b) požiadavky súvisiace so zmluvnými dojednaniami uzavretými medzi externými poskytovateľmi IKT služieb a finančnými subjektmi;

c) rámec dozoru nad externými poskytovateľmi kritických IKT služieb, keď sa tieto služby poskytujú finančným subjektom;

d) pravidlá spolupráce medzi príslušnými orgánmi a pravidlá dohľadu a presadzovania príslušnými orgánmi vo všetkých záležitostiach, na ktoré sa vzťahuje toto nariadenie.

2. V súvislosti s finančnými subjektmi identifikovanými ako prevádzkovatelia základných služieb podľa vnútroštátnych predpisov, ktorými sa transponuje článok 5 smernice (EÚ) 2016/1148, sa toto nariadenie považuje za právny akt Únie špecifický pre určité odvetvie na účely článku 1 ods. 7 uvedenej smernice.

2a.  Týmto nariadením nie sú dotknuté právomoci členských štátov týkajúce sa udržiavania verejnej bezpečnosti, obrany a národnej bezpečnosti.

Článok 2

Osobný rozsah pôsobnosti

1. Toto nariadenie sa uplatňuje na tieto subjekty:

 a) úverové inštitúcie,

 b) platobné inštitúcie,

c) inštitúcie elektronického peňažníctva,

d) investičné spoločnosti,

e) poskytovatelia služieb kryptoaktív, emitenti a ponúkajúci kryptoaktív, emitenti a ponúkajúci tokenov krytých aktívami a emitenti významných tokenov krytých aktívami,

f) centrálne depozitáre cenných papierov a prevádzkovatelia systémov vyrovnania transakcií s cennými papiermi,

g) centrálne protistrany,

h) obchodné miesta,

i) archívy obchodných údajov,

j) správcovia alternatívnych investičných fondov (AIF),

k) správcovské spoločnosti,

l) poskytovatelia služieb vykazovania údajov,

m) poisťovne a zaisťovne,

n) sprostredkovatelia poistenia, sprostredkovatelia zaistenia a sprostredkovatelia doplnkového poistenia, ktorí nie sú mikropodnikmi, malými alebo strednými podnikmi, pokiaľ sa tieto mikropodniky, malé a stredné podniky nespoliehajú výlučne na organizované automatizované systémy predaja,

o) inštitúcie zamestnaneckého dôchodkového zabezpečenia (IZDZ), ktoré neprevádzkujú dôchodkové systémy, ktoré majú spolu menej ako 15 členov,

p) ratingové agentúry,

q) štatutárni audítori a audítorské spoločnosti, ktoré nie sú mikropodnikmi, malými alebo strednými podnikmi, pokiaľ takéto mikropodniky, malé alebo stredné podniky neposkytujú audítorské služby subjektom uvedeným v tomto článku s výnimkou mikropodnikov, malých alebo stredných podnikov, ktoré sú neziskovými audítorskými subjektmi podľa článku 2 ods. 3 nariadenia (EÚ) č. 537/2014, pokiaľ príslušný orgán nerozhodne, že výnimka nie je platná,

r) správcovia kritických referenčných hodnôt,

s) poskytovatelia služieb kolektívneho financovania,

t) archívy sekuritizačných údajov,

u) externí poskytovatelia IKT služieb.

1a. Toto nariadenie sa s výnimkou kapitoly V oddielu II vzťahuje aj na poskytovateľov IKT služieb v rámci skupiny.

2. Na účely tohto nariadenia sa subjekty uvedené v písmenách a) až t) spoločne označujú ako „finančné subjekty“.

2a. Na účely tohto nariadenia, s výnimkou kapitoly V oddielu II, sa externí poskytovatelia IKT služieb a poskytovatelia IKT služieb v rámci skupiny spoločne označujú ako „externí poskytovatelia IKT služieb“.

Článok 3

Vymedzenie pojmov

Na účely tohto nariadenia sa uplatňuje toto vymedzenie pojmov:

(1) „digitálna prevádzková odolnosť“ je schopnosť finančného subjektu budovať, zabezpečovať a skúmať svoju prevádzkovú integritu tak,▌ že zabezpečí priamo alebo nepriamo, využívaním služieb externých poskytovateľov IKT služieb, ▌ nepretržité poskytovanie finančných služieb a ich kvalitu v prípade prevádzkových porúch ovplyvňujúcich spôsobilosti finančného subjektu v oblasti IKT;

(2) „sieť a informačný systém“ je sieť a informačný systém v zmysle vymedzenia v článku 4 bode 1 smernice (EÚ) 2016/1148;

(3) „bezpečnosť sietí a informačných systémov“ je bezpečnosť sietí a informačných systémov v zmysle vymedzenia v článku 4 bode 2 smernice (EÚ) 2016/1148;

(4) „IKT riziko“ je každá primerane identifikovateľná okolnosť súvisiaca s používaním sietí a informačných systémov▌, ktorá, ak k nej dôjde, môže ohroziť alebo nepriaznivo ovplyvniť bezpečnosť sietí a informačných systémov, akéhokoľvek nástroja alebo procesu závislého od IKT, priebehu prevádzky a procesu alebo poskytovania služieb▌;

(5) „informačné aktívum“ je súbor informácií, buď hmotných alebo nehmotných, ktoré sa oplatí chrániť;

(6) „incident súvisiaci s IKT“ je nepredvídaný identifikovaný incident alebo rad súvisiacich incidentov, ktoré ohrozujú bezpečnosť sietí a informačných systémov▌ alebo ktoré majú nepriaznivé účinky na dostupnosť, dôvernosť, integritu alebo pravosť finančných služieb, ktoré poskytuje finančný subjekt;

6a) „prevádzkový alebo bezpečnostný incident súvisiaci s platbami“ je udalosť alebo rad súvisiacich udalostí, ktoré finančné subjekty uvedené v článku 2 ods. 1 písm. a) až c) nepredvídajú a ktoré majú alebo môžu mať nepriaznivý vplyv na integritu, dostupnosť, dôvernosť, pravosť alebo kontinuitu služieb súvisiacich s platbami;

(7) „závažný incident súvisiaci s IKT“ je incident súvisiaci s IKT, ktorý má alebo je pravdepodobné, že bude mať veľký nepriaznivý vplyv na sieť a informačné systémy, ktoré podporujú kritické funkcie finančného subjektu;

7a) „závažný prevádzkový alebo bezpečnostný incident súvisiaci s platbami“ je prevádzkový alebo bezpečnostný incident súvisiaci s platbami, ktorý spĺňa kritériá stanovené v článku 16;

(8) „kybernetická hrozba“ je kybernetická hrozba v zmysle vymedzenia v článku 2 bode 8 nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881[20];

8a) „významná kybernetická hrozba“ je kybernetická hrozba, ktorej vlastnosti jasne naznačujú, že pravdepodobne povedie k závažnému incidentu súvisiacemu s IKT;

(9) „kybernetický útok“ je zlomyseľný incident súvisiaci s IKT uskutočnený formou pokusu o zničenie, odhalenie, zmenu, znefunkčnenie, krádež alebo získanie neoprávneného prístupu k aktívu alebo neoprávnené použitie aktíva, ktorého sa dopustil akýkoľvek aktér hrozby;

(10) „spravodajské informácie o hrozbách“ sú informácie, ktoré boli agregované, transformované, analyzované, interpretované alebo obohatené tak, aby poskytovali potrebný kontext pre rozhodovanie a ktoré prinášajú relevantné a dostatočné chápanie na zmierňovanie vplyvu incidentu súvisiaceho s IKT alebo kybernetickej hrozby vrátane technických podrobností kybernetického útoku, subjektov zodpovedných za útok a ich spôsobu práce a motivácie;

(11) „hĺbková ochrana“ je stratégia súvisiaca s IKT, v ktorej sú integrovaní ľudia, procesy a technológie s cieľom vytvoriť rozličné prekážky naprieč viacerými vrstvami a rozmermi subjektu;

(12) „zraniteľnosť“ je slabé miesto, náchylnosť alebo chyba aktíva, systému, procesu alebo kontroly, ktoré môžu byť zneužité v rámci kybernetickej hrozby;

(13) „penetračné testovanie na základe konkrétnej hrozby“ je rámec, ktorý simuluje taktiku, techniky a postupy reálnych aktérov hrozby považovaných za subjekty predstavujúce skutočnú kybernetickú hrozbu a ktorým sa realizuje kontrolovaný, individualizovaný test kritických živých produkčných systémov daného subjektu založený na spravodajských informáciách (červený tím);

(14) „IKT riziko tretej strany“ je IKT riziko, ktoré môže finančnému subjektu vzniknúť v súvislosti s jeho využívaním IKT služieb, ktoré poskytujú externí poskytovatelia IKT služieb alebo ich ďalší subdodávatelia;

(15) „externý poskytovateľ IKT služieb“ je podnik poskytujúci IKT služby vrátane finančného subjektu poskytujúceho IKT služby, ktorý tvorí súčasť podniku, ktorý poskytuje širšiu škálu produktov alebo služieb, ale s výnimkou poskytovateľov hardvérových komponentov a podnikov, ktorým bolo udelené povolenie podľa práva Únie a ktorí poskytujú elektronické komunikačné služby v zmysle vymedzenia v článku 2 bode 4 smernice Európskeho parlamentu a Rady (EÚ) 2018/1972[21];

15a) „poskytovateľ IKT služieb v rámci skupiny“ je podnik, ktorý je súčasťou finančnej skupiny a ktorý poskytuje IKT služby výlučne finančným subjektom v rámci rovnakej skupiny alebo finančným subjektom patriacim do rovnakej schémy inštitucionálneho zabezpečenia vrátane ich materských spoločností, dcérskych spoločností a pobočiek alebo iných subjektov, ktoré sú v spoločnom vlastníctve alebo pod spoločnou kontrolou;

(16) „IKT služby“ sú digitálne a dátové služby priebežne poskytované prostredníctvom IKT systémov jednému alebo viacerým interným alebo externým používateľom s výnimkou telekomunikačných zmlúv;

(17) „kritická alebo dôležitá funkcia“ je činnosť alebo služba, ktorá je nevyhnutná pre prevádzku finančného subjektu a ktorej narušenie by vážne poškodilo spoľahlivosť alebo kontinuitu služieb alebo činností finančného subjektu alebo ktorej prerušenie, chyba alebo neplnenie by podstatne narušilo nepretržité dodržiavanie podmienok a povinností finančného subjektu vyplývajúcich z jeho povolenia alebo jeho iných povinností podľa platných právnych predpisov o finančných službách vrátane zásadných funkcií vymedzených v článku 2 ods. 1, bode 35 smernice 2014/59/EÚ;

(18) „externý poskytovateľ kritických IKT služieb“ je poskytovateľ IKT služieb, ktorý je treťou stranou, určený v súlade s článkom 28, na ktorého sa vzťahuje rámec dozoru uvedený v článkoch 29 až 37;

(19) „externý poskytovateľ IKT služieb usadený v tretej krajine“ je poskytovateľ IKT služieb, ktorý je treťou stranou a ktorý je právnickou osobou usadenou v tretej krajine▌ a má s finančným subjektom uzavreté zmluvné dojednanie o poskytovaní IKT služieb;

(20) „subdodávateľ IKT usadený v tretej krajine“ je subdodávateľ IKT, ktorý je právnickou osobou usadenou v tretej krajine▌ a má uzavreté zmluvné dojednanie buď s externým poskytovateľom IKT služieb alebo s externým poskytovateľom IKT služieb usadeným v tretej krajine;

(21) „riziko koncentrácie IKT“ je expozícia voči jednotlivému externému poskytovateľovi kritických IKT služieb alebo viacerým súvisiacim externým poskytovateľom kritických IKT služieb, v dôsledku čoho vzniká určitá závislosť od takýchto poskytovateľov, takže nedostupnosť, zlyhanie alebo iný druh nedostatku takýchto poskytovateľov môže potenciálne ohroziť finančnú stabilitu Únie ako celku alebo schopnosť finančného subjektu▌ plniť kritické alebo dôležité funkcie alebo utrpieť iný druh nepriaznivých účinkov vrátane veľkých strát;

(22) „riadiaci orgán“ je riadiaci orgán v zmysle vymedzenia v článku 4 ods. 1 bode 36 smernice 2014/65/EÚ, v článku 3 ods. 1 bode 7 smernice 2013/36/EÚ, v článku 2 ods. 1 písm. s) smernice 2009/65/ES, v článku 2 ods. 1 bode 45 nariadenia (EÚ) č. 909/2014, v článku 3 ods. 1 bode 20 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/1011[22], v článku 3 ods. 1 bode 18 nariadenia Európskeho parlamentu a Rady (EÚ) 20xx/xx[23] [MICA] alebo rovnocenné osoby, ktoré daný subjekt skutočne riadia alebo disponujú kľúčovými funkciami v súlade s príslušnými právnymi predpismi Únie alebo vnútroštátnymi právnymi predpismi;

(23) „úverová inštitúcia“ je úverová inštitúcia v zmysle vymedzenia v článku 4 ods. 1 bodu 1 nariadenia Európskeho parlamentu a Rady (EÚ) č. 575/2013[24];

23a) „úverová inštitúcia vyňatá podľa smernice 2013/36/EÚ“ je inštitúcia, na ktorú sa vzťahuje výnimka podľa článku 2 ods. 5 bodov 4 až 23 smernice 2013/36/EÚ;

(24) „investičná spoločnosť“ je investičná spoločnosť v zmysle vymedzenia v článku 4 ods. 1 bode 1 smernice 2014/65/EÚ;

24a)  „malá a neprepojená investičná spoločnosť“ je investičná spoločnosť, ktorá spĺňa podmienky stanovené v článku 12 ods. 1 nariadenia (EÚ) 2019/2033;

(25) „platobná inštitúcia“ je platobná inštitúcia v zmysle vymedzenia v článku 1 ods. 1 písm. d) smernice (EÚ) 2015/2366;

25a) „platobná inštitúcia vyňatá podľa smernice (EÚ) 2015/2366“ je platobná inštitúcia, na ktorú sa vzťahuje výnimka podľa článku 32 ods. 1 smernice (EÚ) 2015/2366;

(26) „inštitúcia elektronického peňažníctva“ je inštitúcia elektronického peňažníctva v zmysle vymedzenia v článku 2 bode 1 smernice Európskeho parlamentu a Rady 2009/110/ES[25];

26a) „inštitúcia elektronických peňazí vyňatá podľa smernice 2009/110/ES“ je inštitúcia elektronických peňazí, na ktorú sa vzťahuje výnimka podľa článku 9 smernice 2009/110/ES;

(27) „centrálna protistrana“ je centrálna protistrana v zmysle vymedzenia v článku 2 bode 1 nariadenia (EÚ) č. 648/2012;

(28) „archív obchodných údajov“ je archív obchodných údajov v zmysle vymedzenia v článku 2 bode 2 nariadenia (EÚ) č. 648/2012;

(29) „centrálny depozitár cenných papierov“ je centrálny depozitár cenných papierov v zmysle vymedzenia v článku 2 ods. 1 bode 1 nariadenia (EÚ) č. 909/2014;

(30) „obchodné miesto“ je obchodné miesto v zmysle vymedzenia v článku 4 ods. 1 bode 24 smernice 2014/65/EÚ;

(31) „správca AIF“ je správca alternatívnych investičných fondov v zmysle vymedzenia v článku 4 ods. 1 písm. b) smernice 2011/61/EÚ;

(32) „správcovská spoločnosť“ je správcovská spoločnosť v zmysle vymedzenia v článku 2 ods. 1 písm. b) smernice 2009/65/ES;

(33) „poskytovateľ služieb vykazovania údajov“ je poskytovateľ služieb vykazovania údajov v zmysle vymedzenia v článku 4 ods. 1 bode 63 smernice 2014/65/EÚ;

(34) „poisťovňa“ je poisťovňa v zmysle vymedzenia v článku 13 bode 1 smernice 2009/138/ES;

(35) „zaisťovňa“ je zaisťovňa v zmysle vymedzenia v článku 13 bode 4 smernice 2009/138/ES;

(36) „sprostredkovateľ poistenia“ je sprostredkovateľ poistenia v zmysle vymedzenia v článku 2 ods. 1 bode 3 smernice (EÚ) 2016/97;

(37) „sprostredkovateľ doplnkového poistenia“ je sprostredkovateľ doplnkového poistenia v zmysle vymedzenia v článku 2 ods. 1 bode 4 smernice (EÚ) 2016/97;

(38) „sprostredkovateľ zaistenia“ je sprostredkovateľ zaistenia v zmysle vymedzenia v článku 2 ods. 1 bode 5 smernice (EÚ) 2016/97;

(39) „inštitúcia zamestnaneckého dôchodkového zabezpečenia“ je inštitúcia zamestnaneckého dôchodkového zabezpečenia v zmysle vymedzenia v článku 6 bode 1 smernice (EÚ) 2016/2341;

(40) „ratingová agentúra“ je ratingová agentúra v zmysle vymedzenia v článku 3 ods. 1 písm. a) nariadenia (ES) č. 1060/2009;

(41) „štatutárny audítor“ je štatutárny audítor v zmysle vymedzenia v článku 2 bode 2 smernice 2006/43/ES;

(42) „audítorská spoločnosť“ je audítorská spoločnosť v zmysle vymedzenia v článku 2 bode 3 smernice 2006/43/ES;

(43) „poskytovateľ služieb kryptoaktív“ je poskytovateľ služieb v oblasti kryptoaktív v zmysle vymedzenia v článku 3 ods. 1 bode 8 nariadenia (EÚ) 202x/xx [PO: vložiť odkaz na nariadenie MICA];

(44) „emitent kryptoaktív“ je emitent kryptoaktív v zmysle vymedzenia v článku 3 ods. 1 bode 6 [Ú. v. EÚ: vložiť odkaz na nariadenie MICA];

44a) „ponúkajúci“ je ponúkajúci v zmysle vymedzenia v článku 3 ods. 1 bode [XX] [Ú. v. EÚ: vložte odkaz na nariadenie o trhoch s kryptoaktívami];

44b) „ponúkajúci, ktorý ponúka kryptoaktíva“ je ponúkajúci, ktorý ponúka kryptoaktíva v zmysle vymedzenia [v článku 3 ods. 1 bode (XX)] [Ú. v. EÚ: vložte odkaz na nariadenie o trhoch s kryptoaktívami];

(45) „emitent tokenov krytých aktívami“ je emitent platobných tokenov odkazujúcich na aktíva v zmysle vymedzenia v článku 3 ods. 1 písm. i) [Ú. v. EÚ: vložiť odkaz na nariadenie MICA];

45a) „ponúkajúci, ktorý ponúka tokeny kryté aktívami“ je ponúkajúci, ktorý ponúka tokeny kryté aktívami v zmysle vymedzenia v článku 3 ods. 1 bode[XX] [Ú. v. EÚ: vložte odkaz na nariadenie o trhoch s kryptoaktívami];

(46) „emitent významných tokenov krytých aktívami“ je emitent významných platobných tokenov odkazujúcich na aktíva v zmysle vymedzenia v článku 3 ods. 1 bode (XX) [Ú. v. EÚ: vložiť odkaz na nariadenie o trhoch s kryptoaktívami];

(47) „správca kritických referenčných hodnôt“ je správca kritických referenčných hodnôt v zmysle vymedzenia v článku 3 bode 25 nariadenia 2016/1011 [Ú. v. EÚ: vložiť odkaz na nariadenie o referenčných hodnotách];

(48) „poskytovateľ služieb kolektívneho financovania“ je poskytovateľ služieb kolektívneho financovania v zmysle vymedzenia v článku 2 ods. 1 písm. e) nariadenia (EÚ) 2020/1503 [PO: vložiť odkaz na nariadenie o kolektívnom financovaní];

(49) „archív sekuritizačných údajov“ je archív sekuritizačných údajov v zmysle vymedzenia v článku 2 bode 23 nariadenia (EÚ) 2017/2402;

(50) „mikropodnik, malý a stredný podnik“ je finančný subjekt v zmysle vymedzenia v článku 2 prílohy k odporúčaniu 2003/361/ES;

50a) „orgán pre riešenie krízových situácií“ je orgán určený členským štátom v súlade s článkom 3 smernice 2014/59/EÚ alebo Jednotnou radou pre riešenie krízových situácií zriadenou v súlade s článkom 42 nariadenia (EÚ) č. 806/2014;

 

Článok 3a

Zásada proporcionality

 

1. Finančné subjekty uplatňujú pravidlá stanovené v kapitolách II, III a IV v súlade so zásadou proporcionality, pričom zohľadňujú svoju veľkosť, povahu, rozsah a zložitosť svojich služieb, činností a operácií a celkový rizikový profil.

2. V súlade so zásadou proporcionality sa články 4 až 14 tohto nariadenia neuplatňujú na:

a) malé a neprepojené investičné spoločnosti alebo platobné inštitúcie vyňaté podľa smernice (EÚ) 2015/2366;

b)  úverové inštitúcie vyňaté podľa smernice 2013/36/EÚ;

c) inštitúcie elektronického peňažníctva vyňaté podľa smernice 2009/110/ES; alebo

d) malé inštitúcie zamestnaneckého dôchodkového zabezpečenia.

3. Na základe výročnej správy o preskúmaní rámca riadenia IKT rizika podľa článku 5 ods. 6 a článku 14a ods. 2 dotknuté príslušné orgány preskúmajú a vyhodnotia uplatňovanie proporcionality finančným subjektom a určia, či rámec riadenia IKT rizika finančného subjektu zabezpečuje správne riadenie a digitálnu prevádzkovú odolnosť a krytie IKT rizika. Príslušné orgány pritom zohľadnia veľkosť finančného subjektu, povahu, rozsah a zložitosť jeho služieb, činností a operácií a jeho celkový rizikový profil.

4. V prípade, že dotknutý príslušný orgán považuje rámec riadenia IKT rizika finančného subjektu za nedostatočný a neprimeraný, nadviaže dialóg s finančným subjektom s cieľom napraviť nedostatky a zabezpečiť úplný súlad s kapitolou II.

5. Európske orgány dohľadu vypracujú návrh regulačných technických predpisov so zreteľom na:

a) určenie rozsahu, v akom sú povinnosti riadenia IKT rizika uplatniteľné na každý z finančných subjektov uvedených v odseku 1;

b) bližšie určenie obsahu a formátu výročnej správy o preskúmaní rámca riadenia IKT rizika podľa odseku 3;

c) bližšie určenie pravidiel a postupov, ktoré majú príslušné orgány a finančné subjekty dodržiavať v rámci dialógu uvedeného v odseku 4.

6. Európske orgány dohľadu predložia návrh regulačných technických predpisov podľa odseku 5 Komisii do [Úrad pre publikácie: vložte dátum 1 rok po nadobudnutí účinnosti].

Na Komisiu sa v súlade s článkami 10 až 14 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1094/2010 a (EÚ) a č. 1095/2010 deleguje právomoc prijať regulačné technické predpisy uvedené v odseku 5 tohto článku.


 

 

KAPITOLA II

RIADENIE IKT RIZIKA

ODDIEL I

Článok 4

Správa, riadenie a organizácia

1. Finančné subjekty musia mať zavedený rámec vnútornej správy, riadenia a kontroly, ktorým sa zabezpečí účinné a obozretné riadenie všetkých IKT rizík so zreteľom na dosiahnutie vysokej úrovne digitálnej prevádzkovej odolnosti.

2. Riadiaci orgán finančného subjektu vymedzuje a schvaľuje vykonávanie všetkých opatrení súvisiacich s rámcom riadenia IKT rizika uvedeným v článku 5 ods. 1, vykonáva nad ním dozor a zodpovedá zaň.

Na účely prvého pododseku riadiaci orgán:

a) nesie hlavnú zodpovednosť za riadenie IKT rizika finančného subjektu;

aa) zavádza postupy a politiky zamerané na zabezpečenie zachovania vysokých noriem bezpečnosti, dôvernosti a integrity údajov;

b) stanovuje jasné úlohy a zodpovednosti pre všetky funkcie súvisiace s IKT;

c) určuje primeranú úroveň tolerancie voči IKT riziku finančného subjektu, ako sa uvádza v článku 5 ods. 9 písm. b);

d) schvaľuje, kontroluje a pravidelne preskúmava vykonávanie politiky kontinuity činností finančného subjektu v oblasti IKT a plánu obnovy po havárii v oblasti IKT, ktoré sa môžu prijať ako osobitná špecifická politika a ako neoddeliteľná súčasť širšej politiky kontinuity činností finančného subjektu a plánu obnovy po havárii podľa článku 10 ods. 1 a 3;

e) schvaľuje a pravidelne preskúmava plány auditov IKT, audity IKT a ich podstatné zmeny;

f) prideľuje a pravidelne preskúmava príslušný rozpočet s cieľom uspokojiť potreby finančného subjektu v oblasti digitálnej prevádzkovej odolnosti, pokiaľ ide o všetky druhy zdrojov vrátane relevantnej odbornej prípravy v oblasti IKT rizík a zručností pre všetkých▐ zamestnancov;

g) schvaľuje a pravidelne preskúmava politiku finančného subjektu týkajúcu sa opatrení súvisiacich s využívaním IKT služieb, ktoré poskytujú externí poskytovatelia IKT služieb;

h) musí byť riadne informovaný o dojednaniach uzavretých s externými poskytovateľmi IKT služieb v oblasti využívania IKT služieb, o všetkých relevantných plánovaných podstatných zmenách týkajúcich sa externých poskytovateľov IKT služieb a o možnom vplyve takýchto zmien na kritické alebo dôležité funkcie, ktoré sú predmetom uvedených dohôd, pričom zároveň musí dostať zhrnutie analýzy rizík, aby dokázal posúdiť vplyv týchto zmien;

i) musí byť pravidelne informovaný aspoňzávažných incidentoch súvisiacich s IKT a ich vplyve, ako aj o reakcii, obnove a nápravných opatreniach.

3. Finančné subjekty iné než mikropodniky zriadia úlohu, ktorej cieľom je monitorovať dojednania v rámci finančného subjektu o využívaní IKT služieb, a to najmä tie, ktoré sú uzavreté s externými poskytovateľmi IKT služieb, alebo určia člena vrcholového manažmentu, ktorý bude zodpovedať za vykonávanie dozoru nad príslušnými rizikovými expozíciami a za relevantnú dokumentáciu.

4. Členovia riadiaceho orgánu finančného subjektu aktívne aktualizujú dostatočné znalosti a zručnosti potrebné na pochopenie a posúdenie IKT rizík a ich vplyvu na operácie finančného subjektu, a to aj pravidelným absolvovaním osobitnej odbornej prípravy zodpovedajúcej riadeným IKT rizikám.

 

ODDIEL II

Článok 5

Rámec riadenia IKT rizika

1. Finančné subjekty musia mať zavedený spoľahlivý, komplexný a dobre zdokumentovaný rámec riadenia IKT rizika, ktorý im umožňuje riešiť IKT riziko rýchlo, efektívne a komplexne a zabezpečiť vysokú úroveň digitálnej prevádzkovej odolnosti▐.

2. Rámec riadenia IKT rizika uvedený v odseku 1 zahŕňa stratégie, politiky, postupy, protokoly a nástroje IKT, ktoré sú potrebné na riadnu a účinnú ochranu všetkých relevantných fyzických komponentov a infraštruktúr vrátane počítačového hardvéru, serverov, ako aj všetkých príslušných priestorov, dátových centier a citlivých určených oblastí s cieľom zabezpečiť, aby boli všetky uvedené fyzické prvky primerane chránené pred rizikami vrátane poškodenia a neoprávneného prístupu či používania.

3. Finančné subjekty minimalizujú vplyv IKT rizika tak, že zavedú vhodné stratégie, politiky, postupy, protokoly a nástroje, ktoré boli určené v rámci riadenia IKT rizika. Poskytujú úplné a aktualizované informácie o IKT rizikách a o svojom rámci riadenia IKT rizika podľa požiadaviek príslušných orgánov.

4. Ako súčasť rámca riadenia IKT rizika uvedeného v odseku 1 finančné subjekty iné než mikropodniky zavedú systém riadenia informačnej bezpečnosti, ktorý je založený na uznávaných medzinárodných normách a v súlade s usmerneniami v oblasti dohľadu, ak už sú k dispozícii a sú primerané, vrátane usmernení obsiahnutých v príslušných usmerneniach stanovených európskymi orgánmi dohľadu, a pravidelne ho preskúmavajú.

5. Finančné subjekty iné než mikropodniky priradia zodpovednosť za riadenie rizík súvisiacich s IKT kontrolnej funkcii a zabezpečia nezávislosť tejto kontrolnej funkcie, aby sa zabránilo konfliktom záujmov. Finančné subjekty zabezpečia primeranú nezávislosť riadiacich funkcií v oblasti IKT, kontrolných funkcií a funkcií vnútorného auditu, a to na základe modelu troch línií obrany alebo na základe interného modelu riadenia rizík a kontroly.

6. Rámec riadenia IKT rizika uvedený v odseku 1 sa zdokumentuje a preskúmava aspoň raz ročne, ako aj pri výskyte závažných incidentov súvisiacich s IKT, pričom sa riadi pokynmi alebo závermi dohľadu vyplývajúcimi z príslušných procesov testovania alebo auditu digitálnej prevádzkovej odolnosti. Na základe skúseností získaných pri vykonávaní a monitorovaní sa rámec neustále vylepšuje.

Správa o preskúmaní rámca riadenia IKT rizika sa každoročne predkladá príslušnému orgánu.

 

7. Pokiaľ ide o finančné subjekty iné ako mikropodniky, rámec riadenia IKT rizika uvedený v odseku 1 pravidelne kontrolujú audítori IKT, ktorí disponujú dostatočnými znalosťami, zručnosťami a odbornými poznatkami v oblasti IKT rizika. Frekvencia a zameranie auditov IKT musí zodpovedať IKT rizikám daného finančného subjektu.

8. Zavedie sa formálny proces následných krokov vrátane pravidiel pre včasné overovanie a nápravu kritických zistení auditu IKT, pričom sa zohľadnia závery z audítorského preskúmania. ▐

9. Rámec riadenia IKT rizika uvedený v odseku 1 zahŕňa stratégiu digitálnej prevádzkovej odolnosti, v ktorej sa stanoví spôsob vykonávania rámca. Na tento účel rámec zahŕňa metódy na riešenie IKT rizika a dosiahnutie konkrétnych cieľov IKT, a to prostredníctvom týchto prvkov:

a) vysvetlenie, ako rámec riadenia IKT rizika podporuje obchodnú stratégiu a ciele finančného subjektu;

b) stanovenie úrovne tolerancie rizika v prípade IKT rizika v súlade s ochotou finančného subjektu podstupovať riziká a analýza tolerancie vplyvu v prípade narušení IKT;

c) stanovenie jasných cieľov v oblasti informačnej bezpečnosti;

d) vysvetlenie ▐ architektúry IKT a akýchkoľvek zmien potrebných na dosiahnutie konkrétnych obchodných cieľov;

e) načrtnutie rôznych mechanizmov zavedených na účely odhaľovania, ochrany a prevencie vplyvu incidentov súvisiacich s IKT;

f) preukázanie počtu nahlásených závažných incidentov súvisiacich s IKT a účinnosti preventívnych opatrení;

g) identifikovanie kľúčových závislostí od externých poskytovateľov IKT služieb a podrobný opis stratégií ukončenia angažovanosti v súvislosti s takýmito kľúčovými závislosťami;

h) vykonávanie testovania digitálnej prevádzkovej odolnosti v súlade s kapitolou IV tohto nariadenia;

i) stanovenie komunikačnej stratégie v prípade incidentov súvisiacich s IKT, ktorá sa má zverejniť v súlade s článkom 13.

10. Po tom, ako to schvália príslušné orgány, môžu finančné subjekty externalizovať úlohy overovania súladu s požiadavkami na riadenie IKT rizika na▐ externé podniky.

Po oznámení príslušným orgánom môžu finančné subjekty delegovať úlohu overovania súladu s požiadavkami na riadenie IKT rizika na podniky v rámci skupiny.

Ak dôjde k delegovaniu podľa druhého pododseku, finančný subjekt zostáva plne zodpovedný za overovanie súladu s požiadavkami na riadenie IKT rizika.

 

Článok 6

Systémy, protokoly a nástroje IKT

1. Finančné subjekty používajú a udržiavajú aktualizované IKT systémy, protokoly a nástroje s cieľom riešiť a riadiť IKT riziko, ktoré spĺňajú tieto podmienky:

a) systémy a nástroje sú primerané▐ rozsahu operácií, ktoré podporujú vykonávanie ich činností;

b) sú spoľahlivé;

c) majú dostatočnú kapacitu na to, aby sa nimi presne spracúvali údaje potrebné na včasné vykonávanie činností a poskytovanie služieb a na to, aby v čase prevádzkovej špičky dokázali podľa potreby zvládať objednávky, správy alebo objemy transakcií, a to aj v prípade zavedenia novej technológie;

d) sú dostatočne technologicky odolné na to, aby primerane zvládali dodatočné potreby v oblasti spracovania informácií, ak si to vyžadujú stresové trhové podmienky alebo iné nepriaznivé situácie.

2. Ak finančné subjekty používajú medzinárodne uznávané technické normy a popredné priemyselné postupy v oblasti informačnej bezpečnosti a vnútorných kontrol IKT, uvedené normy a postupy používajú v súlade s akýmikoľvek príslušnými odporúčaniami orgánu dohľadu týkajúcimi sa ich začlenenia.

 

Článok 7

Identifikácia

1. Ako súčasť rámca riadenia IKT rizika uvedeného v článku 5 ods. 1 finančné subjekty identifikujú, klasifikujú a primerane dokumentujú všetky kritické alebo dôležité obchodné funkcie súvisiace s IKT, informačné aktíva podporujúce tieto funkcie a konfigurácie a vzájomné prepojenia IKT systémov s internými a externými IKT systémami. Finančné subjekty podľa potreby, najmenej však raz ročne preskúmavajú kritickosť alebo dôležitosť obchodných funkcií súvisiacich s IKT, ako aj primeranosť klasifikácie informačných aktív a akejkoľvek relevantnej dokumentácie.

2. Finančné subjekty nepretržite identifikujú všetky zdroje IKT rizika, najmä rizikovú expozíciu voči iným finančným subjektom a pochádzajúcu od nich, a posudzujú kybernetické hrozby a zraniteľné miesta v oblasti IKT relevantné z hľadiska ich kritických alebo dôležitých obchodných funkcií a informačných aktív súvisiacich s IKT. Finančné subjekty pravidelne a aspoň raz ročne preskúmavajú rizikové scenáre, ktoré na ne majú vplyv.

3. Finančné subjekty iné než mikropodniky vykonávajú podľa potreby posúdenie rizík pri každej rozsiahlej zmene infraštruktúry siete a informačných systémov, pokiaľ ide o procesy alebo postupy, ktoré majú vplyv na ich funkcie, podporujú ich procesy alebo informačné aktíva.

4. Finančné subjekty identifikujú všetky účty IKT systémov vrátane účtov na vzdialených miestach, sieťové zdroje a hardvérové zariadenia a zmapujú fyzické zariadenia, ktoré sa považujú za kritické. Zmapujú konfiguráciu kritických alebo dôležitých aktív IKT so zreteľom na ich účel, ako aj prepojenia a vzájomné závislosti medzi týmito jednotlivými aktívami IKT.

5. Finančné subjekty identifikujú a zdokumentujú všetky kritické alebo dôležité procesy, ktoré sú závislé od externých poskytovateľov IKT služieb, a identifikujú vzájomné prepojenia s externými poskytovateľmi IKT služieb, ktoré podporujú kritické alebo dôležité funkcie.

6. Na účely odsekov 1, 4 a 5 finančné subjekty vedú a pravidelne aktualizujú príslušné stavy zásob.

7. Finančné subjekty iné než mikropodniky pravidelne a aspoň raz ročne vykonávajú osobitné posúdenie IKT rizika vo všetkých pôvodných IKT systémoch, vrátane systémov, ktoré sa stále využívajú a ktoré vykonávajú svoje funkcie, ale ktoré sú:

a) staré alebo na konci svojej životnosti, pokiaľ ide o hardvér;

b) už nemôžu dostávať podporu alebo údržbu od svojho dodávateľa; alebo

c) ktorých aktualizácia nie je možná alebo je neekonomická. Ročné posúdenia IKT rizika sa vykonávajú na pôvodných IKT systémoch, najmä pred a po pripojení▐ technológií, aplikácií alebo systémov.

 

Článok 8

Ochrana a prevencia

1. Na účely primeranej ochrany IKT systémov a s cieľom organizovať opatrenia v oblasti reakcie finančné subjekty nepretržite monitorujú a kontrolujú fungovanie IKT systémov a nástrojov a minimalizujú vplyv takýchto rizík tak, že zavedú vhodné nástroje, politiky a postupy v oblasti bezpečnosti IKT.

2. Finančné subjekty navrhujú, obstarávajú a realizujú stratégie, politiky, postupy, protokoly a nástroje v oblasti bezpečnosti IKT, ktorých cieľom je najmä zabezpečiť odolnosť, kontinuitu a dostupnosť IKT systémov podporujúcich kritické alebo dôležité funkcie a zachovať vysoké štandardy bezpečnosti, dôvernosti a integrity údajov či už v pokoji, v prevádzke alebo v tranzite.

3. Na dosiahnutie cieľov uvedených v odseku 2 používajú finančné subjekty ▐IKT technológie a postupy, ktoré:

a) maximalizujú bezpečnosť prostriedkov prenosu informácií;

b) minimalizujú riziko poškodenia alebo straty údajov, neoprávneného prístupu a technických nedostatkov, ktoré môžu brániť podnikateľskej činnosti;

c)  zabraňujú úniku informácií;

d) zabezpečujú, aby boli údaje chránené pred internými IKT rizikami vrátane nedostatočných administratívnych postupov, rizík súvisiacich so spracovaním a ľudského faktora.

4. Ako súčasť rámca riadenia IKT rizika uvedeného v článku 5 ods. 1 finančné subjekty v súlade so svojím rizikovým profilom:

a) vypracujú a zdokumentujú politiku v oblasti informačnej bezpečnosti, v ktorej sa vymedzia pravidlá ochrany dôvernosti, integrity a dostupnosti ich IKT zdrojov, údajov a informačných prostriedkov pri zabezpečení úplnej ochrany IKT zdrojov, údajov a informačných prostriedkov ich zákazníkov ak zahŕňajú časť IKT systémov finančných subjektov;

b) na základe prístupu založeného na rizikách zavedú spoľahlivé riadenie siete a infraštruktúry pomocou vhodných techník, metód a protokolov, ktoré môžu zahŕňať zavedenia▐ mechanizmov na izolovanie dotknutých informačných aktív v prípade kybernetických útokov;

c) vykonávajú politiky, postupy a kontroly, ktoré obmedzujú fyzický a virtuálny prístup k zdrojom a údajom IKT systému len na to, čo je nevyhnutné pre legitímne a schválené funkcie a činnosti▐;

d) vykonávajú politiky a protokoly pre silné mechanizmy autentifikácie a ochranu kryptografických kľúčov založené na príslušných normách a špecializovaných kontrolných systémoch▐;

e) vykonávajú politiky, postupy a kontroly riadenia zmien IKT vrátane zmien komponentov softvéru, hardvéru, firmvéru, systémov alebo bezpečnostných zmien, ktoré sú založené na prístupe posudzovania rizík a sú neoddeliteľnou súčasťou celkového procesu riadenia zmien finančného subjektu s cieľom zabezpečiť, aby sa všetky zmeny IKT systémov zaznamenávali, testovali, posudzovali, schvaľovali, vykonávali a overovali kontrolovaným spôsobom;

f) musia mať vhodné a komplexné politiky týkajúce sa opráv a aktualizácií.

Na účely písmena b) finančné subjekty navrhnú infraštruktúru sieťového pripojenia tak, aby umožňovala jeho čo najskoršie odpojenie, a zabezpečia jej kompartmentalizáciu a segmentáciu s cieľom minimalizovať šírenie problému a predchádzať jeho vzniku, a to najmä v prípade vzájomne prepojených finančných procesov.

Proces riadenia zmien IKT na účely písmena e) schvaľujú príslušné riadiace línie, ktoré majú k dispozícii osobitné protokoly pre núdzové zmeny.

 

Článok 9

Detekcia

1. Finančné subjekty musia mať zavedené mechanizmy na rýchle odhaľovanie anomálnych činností v súlade s článkom 15 vrátane problémov s výkonnosťou IKT siete a incidentov súvisiacich s IKT, a ak je to technologicky možné, na identifikáciu a monitorovanie potenciálnych závažných jednotlivých miest zlyhania.

Všetky detekčné mechanizmy uvedené v prvom pododseku sa pravidelne testujú v súlade s článkom 22.

2. Detekčné mechanizmy uvedené v odseku 1▐ spúšťajú procesy odhaľovania incidentov súvisiacich s IKT a reakcie na ne vrátane automatických mechanizmov varovania pre príslušných zamestnancov zodpovedných za reakciu na incidenty súvisiace s IKT.

3. Finančné subjekty venujú dostatočné zdroje a spôsobilosti▐ na monitorovanie činnosti používateľov, výskytu anomálií IKT a incidentov súvisiacich s IKT, a to najmä kybernetických útokov.

3a Finančné subjekty zaznamenávajú všetky incidenty súvisiace s IKT, ktoré majú vplyv na stabilitu, kontinuitu alebo kvalitu finančných služieb vrátane prípadov, keď incident mal alebo pravdepodobne bude mať vplyv na takéto služby.

4. Finančné subjekty uvedené v článku 2 ods. 1 písm. l) musia mať navyše zavedené systémy, ktoré dokážu účinne kontrolovať úplnosť správ o obchode, identifikovať vynechania a zjavné chyby a požiadať o opätovné zaslanie všetkých takýchto chybných správ.

 

Článok 10

Reakcieschopnosť a obnova

1. Finančné subjekty ako súčasť rámca riadenia IKT rizika uvedeného v článku 5 ods. 1 a na základe požiadaviek na identifikáciu stanovených v článku 7 zavedú▐ komplexnú politiku kontinuity činností v oblasti IKT, ktorá môže byť prijatá ako osobitná, špecifická politika a ako neoddeliteľná súčasť širšej podnikovej politiky prevádzkovej kontinuity činností finančného subjektu.

Politika kontinuity činností v oblasti IKT sa zameriava na riadenie a zmierňovanie rizík, ktoré by mohli mať škodlivý vplyv na IKT systémy a IKT služby finančných subjektov, a v prípade potreby na uľahčenie ich rýchlej obnovy. Pri vypracúvaní politiky kontinuity činnosti v oblasti IKT finančné subjekty osobitne zvážia riziká, ktoré by mohli mať škodlivý vplyv na IKT služby a IKT systémy.

2. Finančné subjekty vykonávajú politiku kontinuity činností v oblasti IKT uvedenú v odseku 1 prostredníctvom špecializovaných, primeraných a zdokumentovaných opatrení, plánov, postupov a mechanizmov zameraných na:

 b) zabezpečenie kontinuity kritických funkcií finančného subjektu;

c) rýchlu, primeranú a účinnú reakciu na všetky incidenty súvisiace s IKT a ich riešenie, najmä – ale nie výlučne – kybernetické útoky, a to spôsobom, ktorý obmedzuje škody a uprednostňuje obnovenie činností a opatrenia zamerané na obnovu;

d) bezodkladnú aktiváciu špecializovaných plánov, ktoré umožňujú uplatniť opatrenia, procesy a technológie na zamedzenie šírenia vhodné pre každý typ incidentu súvisiaceho s IKT, a predchádzanie ďalším škodám, ako aj prispôsobené postupy reakcie a obnovy stanovené v súlade s článkom 11;

e) odhad predbežných vplyvov, škôd a strát;

f) stanovenie opatrení v oblasti komunikácie a krízového riadenia, ktorými sa zabezpečí, aby sa aktualizované informácie zasielali všetkým príslušným interným zamestnancom a externým zainteresovaným stranám v súlade s článkom 13 a aby sa o nich podávali správy príslušným orgánom v súlade s článkom 17.

3. Finančné subjekty ako súčasť rámca riadenia IKT rizika uvedeného v článku 5 ods. 1 vykonávajú súvisiaci plán obnovy po havárii v oblasti IKT, ktorý v prípade finančných subjektov iných než mikropodniky podlieha nezávislému audítorskému preskúmaniu.

4. Finančné subjekty zavedú, udržiavajú a pravidelne testujú príslušné plány na zabezpečenie kontinuity činností v oblasti IKT, najmä pokiaľ ide o kritické alebo dôležité funkcie externe zabezpečované alebo zmluvne dohodnuté v rámci dojednaní s externými poskytovateľmi IKT služieb.

5. Finančné subjekty v rámci svojho komplexného riadenia IKT rizika:

a) testujú politiku kontinuity činností v oblasti IKT a plán obnovy po havárii v oblasti IKT aspoň raz ročne a po podstatných zmenách kritických alebo dôležitých IKT systémov;

b) testujú plány krízovej komunikácie vypracované v súlade s článkom 13.

Na účely písmena a) finančné subjekty iné než mikropodniky zahrnú do testovacích plánov scenáre kybernetických útokov a prepnutia medzi primárnou infraštruktúrou IKT a redundantnou kapacitou, zálohami a redundantnými zariadeniami potrebnými na splnenie povinností stanovených v článku 11.

Finančné subjekty pravidelne preskúmavajú svoju politiku kontinuity činností v oblasti IKT a plán obnovy po havárii v oblasti IKT, pričom zohľadňujú výsledky testov vykonaných v súlade s prvým pododsekom a odporúčania vyplývajúce z audítorských kontrol alebo preskúmaní orgánmi dohľadu.

6. Finančné subjekty iné než mikropodniky majú funkciu krízového riadenia buď ako špecializovanú funkciu alebo funkciu, ktorá zahŕňa časť funkcií so zodpovednosťou za reakciu na incidenty a ich riadenie. Funkcia krízového riadenia v prípade aktivácie ich politiky kontinuity činností v oblasti IKT alebo plánu obnovy po havárii v oblasti IKT▐ stanoví jasné postupy riadenia vnútornej a vonkajšej krízovej komunikácie v súlade s článkom 13.

7. Finančné subjekty vedú záznamy o relevantných činnostiach pred udalosťami narušenia a počas nich, keď sa aktivuje ich politika kontinuity činností v oblasti IKT alebo plán obnovy po havárii v oblasti IKT. Takéto záznamy musia byť ľahko dostupné.

8. Finančné subjekty uvedené v článku 2 ods. 1 písm. f) poskytnú príslušným orgánom kópie výsledkov testov kontinuity činností v oblasti IKT alebo podobných cvičení vykonaných počas posudzovaného obdobia.

9. Finančné subjekty iné než mikropodniky nahlasujú príslušným orgánom všetky odhadované finančné náklady a straty spôsobené významnými narušeniami IKT a závažnými incidentmi súvisiacimi s IKT.

9a. Európske orgány dohľadu prostredníctvom spoločného výboru vypracujú spoločné usmernenia o metodike výpočtu nákladov a kvantifikácie strát uvedených v odseku 9.

 

Článok 11

Politika zálohovania a metódy obnovy

1. Na účely zabezpečenia obnovy IKT systémov s minimálnym výpadkom služieb a obmedzeným narušením v ich rámci riadenia IKT rizika finančné subjekty vypracujú:

a) politiku zálohovania, v ktorej sa špecifikuje rozsah údajov, ktoré sú predmetom zálohovania, a minimálna frekvencia zálohovania na základe kritického charakteru informácií alebo citlivosti údajov;

b) metódy obnovy.

2. V súlade s politikou zálohovania podľa písmena a) odseku 1 musia záložné systémy začať fungovať bez zbytočného odkladu s výnimkou prípadu, ak by takéto spustenie ohrozovalo bezpečnosť sietí a informačných systémov alebo integritu či dôvernosť údajov.

3. Pri obnovovaní záložných údajov pomocou vlastných systémov finančné subjekty používajú IKT systémy, ktoré sú oddelené buď fyzicky alebo logicky od svojho hlavného IKT systému a ktoré sú bezpečne chránené pred akýmkoľvek neoprávneným prístupom alebo poškodením IKT.

V prípade finančných subjektov uvedených v článku 2 ods. 1 písm. g) musia plány obnovy umožňovať obnovu všetkých transakcií v čase narušenia, aby centrálna protistrana mohla naďalej fungovať s istotou a aby vyrovnanie dokončila k plánovanému dátumu.

4. Finančné subjekty posudzujú potrebu udržiavať redundantné kapacity IKT vybavené zdrojmi, spôsobilosťami a funkciami, ktoré sú dostatočné a primerané na zabezpečenie obchodných potrieb a splnenie požiadaviek digitálnej prevádzkovej odolnosti podľa tohto nariadenia.

5. Finančné subjekty uvedené v článku 2 ods. 1 písm. f) udržiavajú alebo zabezpečujú, aby ich externí poskytovatelia IKT služieb udržiavali aspoň jedno sekundárne miesto spracovania vybavené zdrojmi, spôsobilosťami, funkciami a personálnymi opatreniami, ktoré sú dostatočné a primerané na zabezpečenie obchodných potrieb.

Sekundárne miesto spracovania musí:

a) byť umiestnené v lokalite geograficky vzdialenej od primárneho miesta spracovania s cieľom zabezpečiť, aby malo odlišný rizikový profil, a zabrániť tomu, aby bol ovplyvnený udalosťou, ktorá ovplyvnila primárne miesto;

b) byť schopné zabezpečiť kontinuitu kritických služieb rovnako ako primárne miesto alebo poskytovať úroveň služieb potrebnú na zabezpečenie toho, aby finančný subjekt vykonával svoje kritické operácie v rámci cieľov obnovy;

c) ▐byť prístupné pre zamestnancov finančného subjektu, aby sa zabezpečila kontinuita kritických alebo dôležitých funkcií v prípade, že sa primárne miesto spracovania stalo nedostupným.

6. Pri určovaní času obnovy a bodových cieľov pre každú funkciu finančné subjekty zohľadňujú, či ide o kritickú alebo dôležitú funkciu a potenciálny celkový vplyv na efektívnosť trhu. Takéto časové ciele zabezpečia, aby sa v extrémnych scenároch dosiahli dohodnuté úrovne služieb.

7. Pri obnove prevádzky po incidente súvisiacom s IKT finančné subjekty zabezpečia, aby úroveň integrity údajov bola na najvyššej úrovni, napríklad vykonávaním viacerých kontrol vrátane porovnávania údajov. Takéto kontroly sa vykonávajú aj pri rekonštrukcii údajov od externých zainteresovaných strán s cieľom zabezpečiť konzistentnosť všetkých údajov medzi jednotlivými systémami.

 

Článok 12

Učenie sa a vývoj

1. Finančné subjekty musia mať zavedené spôsobilosti a personál, aby zhromažďovali informácie o zraniteľných miestach a kybernetických hrozbách, incidentoch súvisiacich s IKT, najmä kybernetických útokoch, a analyzovali ich pravdepodobný vplyv na ich digitálnu prevádzkovú odolnosť.

2. Finančné subjekty zavedú preskúmania, ktoré sa realizujú po závažných incidentoch súvisiacich s IKT a ku ktorým dochádza po výraznom narušení hlavných činností IKT, pričom analyzujú príčiny narušenia a identifikujú požadované zlepšenia operácií IKT alebo zlepšenia v rámci politiky kontinuity činností v oblasti IKT uvedenej v článku 10.

Pri vykonávaní zmien týkajúcich sa riešenia IKT rizika identifikovaného ako výsledok preskúmania závažného incidentu súvisiaceho s IKT finančné subjekty iné než mikropodniky oznamujú všetky významné zmeny príslušným orgánom, pričom podrobne uvedú požadované zlepšenia a spôsob, akým majú narušeniam v budúcnosti zabrániť alebo ich zmierniť. Oznámenie zmien príslušným orgánom sa môže uskutočniť pred alebo po vykonaní zmien.

V preskúmaniach po incidentoch súvisiacich s IKT uvedených v prvom pododseku sa určí, či sa dodržali zavedené postupy a či boli prijaté opatrenia účinné, a to aj pokiaľ ide o:

a) promptnosť reakcie na bezpečnostné varovania a určovania vplyvu incidentov súvisiacich s IKT a ich závažnosti;

b) kvalitu a rýchlosť vykonávania forenznej analýzy;

c) účinnosť eskalácie incidentu v rámci finančného subjektu;

d) účinnosť vnútornej a vonkajšej komunikácie.

3. Poznatky získané z testovania digitálnej prevádzkovej odolnosti, ktoré sa vykonalo v súlade s článkami 23 a 24, a z reálnych incidentov súvisiacich s IKT, najmä kybernetických útokov, spolu s výzvami, ktorým čelí aktivácia plánov na zabezpečenie kontinuity činnosti alebo plánov obnovy spolu s príslušnými informáciami vymieňanými s protistranami a posudzovanými počas preskúmaní orgánmi dohľadu, sa náležite a nepretržite začleňujú do procesu posudzovania IKT rizika. Tieto zistenia sa premietnu do vhodných preskúmaní príslušných zložiek rámca riadenia IKT rizika uvedeného v článku 5 ods. 1.

4. Finančné subjekty monitorujú účinnosť vykonávania svojej stratégie digitálnej odolnosti stanovenej v článku 5 ods. 9. Mapujú vývoj v oblasti IKT rizík v priebehu času vrátane blízkosti týchto rizík ku kritickým alebo dôležitým funkciám, analyzujú frekvenciu, druhy, rozsah a vývoj incidentov súvisiacich s IKT, najmä kybernetických útokov a ich vzorcov, s cieľom pochopiť úroveň vystavenia IKT riziku a zlepšiť kybernetickú vyspelosť a pripravenosť finančného subjektu.

5. Vedúci pracovníci v oblasti IKT podávajú aspoň raz ročne riadiacemu orgánu správu o zisteniach uvedených v odseku 3 a predkladajú odporúčania.

6. Finančné subjekty vypracujú programy zvyšovania informovanosti o bezpečnosti v oblasti IKT a školenia o digitálnej prevádzkovej odolnosti ako povinné moduly vo svojich systémoch odbornej prípravy zamestnancov. Programy informovanosti o bezpečnosti IKT sa vzťahujú na všetkých zamestnancov. Kurzy odbornej prípravy v oblasti digitálnej prevádzkovej odolnosti sú povinné aspoň pre všetkých zamestnancov, ktorí majú právo priameho prístupu do systémov ICT a pre pracovníkov vrcholového manažmentu. Zložitosť modulov odbornej prípravy je úmerná úrovni priameho prístupu zamestnanca k IKT systémom a zohľadňuje najmä ich prístup ku kritickým alebo dôležitým funkciám.

Finančné subjekty iné než mikropodniky priebežne monitorujú príslušný technologický vývoj, a to aj s cieľom pochopiť možné vplyvy zavádzania takýchto nových technológií na bezpečnostné požiadavky v oblasti IKT a digitálnu prevádzkovú odolnosť. Musia držať krok s najnovšími procesmi riadenia IKT rizika a zároveň účinne bojovať proti súčasným alebo novým formám kybernetických útokov.

 

Článok 13

Komunikácia

1. Finančné subjekty majú ako súčasť rámca riadenia IKT rizika uvedeného v článku 5 ods. 1 zavedené komunikačné plány, ktoré umožňujú zodpovedné zverejňovanie aspoň závažných incidentov súvisiacich s IKT alebo závažných zraniteľných miest pre klientov a protistrany, ako aj pre verejnosť, podľa konkrétneho prípadu.

Komunikačnými plánmi uvedenými v prvom pododseku sa zabezpečí aj každoročné zverejňovanie súhrnu všetkých incidentov súvisiacich s IKT klientom a protistranám. Pri takomto zverejnení sa plne rešpektuje obchodné tajomstvo finančného subjektu a jeho klientov a protistrán a neohrozuje sa rámec riadenia IKT rizika uvedený v článku 5 ods. 1.

2. Finančné subjekty vykonávajú ako súčasť rámca riadenia IKT rizika uvedeného v článku 5 ods. 1 komunikačné politiky pre zamestnancov a externé zainteresované strany. V komunikačných politikách pre zamestnancov sa zohľadňuje potreba rozlišovať medzi zamestnancami, ktorí sú zapojení do riadenia IKT rizika, najmä pokiaľ ide o reakciu a obnovu, a pracovníkmi, ktorí musia byť informovaní.

3. Aspoň jedna osoba v subjekte musí byť poverená vykonávaním komunikačnej stratégie pre aspoň závažné incidenty súvisiace s IKT a na tento účel plní pre verejnosť a médiá úlohu hovorcu subjektu.

 

Článok 14

Ďalšia harmonizácia nástrojov, metód, postupov a politík riadenia IKT rizika

Európsky orgán pre bankovníctvo (EBA), Európsky orgán pre cenné papiere a trhy (ESMA) a Európsky orgán pre poisťovníctvo a dôchodkové poistenie zamestnancov (EIOPA) vypracujú po konzultácii s Agentúrou Európskej únie pre kybernetickú bezpečnosť (ENISA) návrh regulačných technických predpisov na tieto účely:

a) bližšie spresniť ďalšie prvky, ktoré sa majú zahrnúť do bezpečnostných politík, postupov, protokolov a nástrojov v oblasti IKT uvedených v článku 8 ods. 2, aby sa zaistila bezpečnosť sietí, umožnili primerané záruky proti neoprávneným vniknutiam a zneužitiu údajov, zachovala autentickosť a integrita údajov vrátane kryptografických techník, ako aj zaručil presný a rýchly prenos údajov bez závažných narušení a zbytočného zdržania;

d) vypracovať ďalšie zložky kontrol práv na riadenie prístupu uvedené v článku 8 ods. 4 písm. c) a súvisiacej politiky v oblasti ľudských zdrojov, ktorými sa upresnia prístupové práva, postupy udeľovania a odoberania práv, monitorovanie anomálneho správania vo vzťahu k IKT rizikám prostredníctvom vhodných ukazovateľov, a to aj pokiaľ ide o modely využívania siete, hodiny, činnosť v oblasti IT a neznáme zariadenia;

e) ďalej rozvíjať prvky uvedené v článku 9 ods. 1, ktoré umožňujú rýchle odhalenie anomálnych činností, a kritériá uvedené v článku 9 ods. 2, ktoré spúšťajú procesy zisťovania a reakcie na incidenty súvisiace s IKT;

f) bližšie spresniť zložky politiky kontinuity činností v oblasti IKT uvedenej v článku 10 ods. 1;

g) bližšie spresniť testovanie plánov kontinuity činností v oblasti IKT uvedené v článku 10 ods. 5 s cieľom zabezpečiť, aby sa v nich náležite zohľadnili scenáre, v ktorých sa kvalita poskytovania kritickej alebo dôležitej funkcie zhoršuje na neprijateľnú úroveň alebo zlyháva, ako aj náležite zvážil potenciálny vplyv platobnej neschopnosti alebo iných zlyhaní ktoréhokoľvek príslušného externého poskytovateľa IKT služieb a prípadne politické riziká v jurisdikciách príslušných poskytovateľov;

h) bližšie spresniť zložky plánu obnovy po havárii v oblasti IKT uvedeného v článku 10 ods. 3.

Orgány EBA, ESMA a EIOPA predložia Komisii návrh týchto regulačných technických predpisov do [Úrad pre publikácie: vložte dátum 1 rok po nadobudnutí účinnosti].

Na Komisiu sa deleguje právomoc prijať regulačné technické predpisy uvedené v prvom pododseku v súlade s článkami 10 až 14 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1094/2010 a (EÚ) č. 1095/2010.

 

Článok 14a

Rámec riadenia IKT rizika pre malé, neprepojené a vyňaté subjekty

1. Podľa článku 3a malé a neprepojené investičné spoločnosti, platobné inštitúcie vyňaté podľa smernice (EÚ) 2015/2366, úverové inštitúcie vyňaté podľa smernice 2013/36/EÚ, inštitúcie elektronických peňazí vyňaté podľa smernice 2009/110/ES a malé inštitúcie zamestnaneckého dôchodkového zabezpečenia zavedú a udržujú spoľahlivý a zdokumentovaný rámec riadenia IKT rizika, v ktorom:

a) sa podrobne uvedú mechanizmy a opatrenia zamerané na rýchle, efektívne a komplexné riadenie všetkých IKT rizík vrátane ochrany príslušných fyzických komponentov a infraštruktúr;

b) neustále monitorujú bezpečnosť a fungovanie všetkých IKT systémov;

c) minimalizujú vplyv IKT rizík prostredníctvom používania spoľahlivých, odolných a aktualizovaných systémov, protokolov a nástrojov IKT, ktoré sú vhodné na podporu výkonnosti ich činností a poskytovania služieb;

d) primerane ochraňujú dôvernosť, integritu a dostupnosť dátovej siete a informačných systémov;

e) umožňujú rýchlo identifikovať a odhaľovať zdroje rizika a anomálií v sieti a informačných systémoch a rýchlo riešiť incidenty v oblasti IKT.

 

2. Rámec riadenia IKT rizika uvedený v odseku 1 sa zdokumentuje a preskúmava aspoň raz ročne, ako aj pri výskyte závažných incidentov súvisiacich s IKT, pričom sa riadi pokynmi alebo závermi dohľadu vyplývajúcimi z príslušných procesov testovania alebo auditu digitálnej prevádzkovej odolnosti. Na základe skúseností získaných pri vykonávaní a monitorovaní sa rámec neustále vylepšuje.

 

Správa o preskúmaní rámca riadenia IKT rizika sa každoročne predkladá príslušnému orgánu.

  


 

 

 

KAPITOLA III

INCIDENTY SÚVISIACE S IKT

RIADENIE, KLASIFIKÁCIA a NAHLASOVANIE ÚDAJOV

Článok 15

Postup riadenia incidentov súvisiacich s IKT

1. Finančné subjekty stanovia a vykonávajú postup riadenia incidentov súvisiacich s IKT s cieľom odhaľovať, riadiť a oznamovať incidenty súvisiace s IKT a zavedú ukazovatele včasného varovania ako upozornenia.

2. Finančné subjekty stanovia vhodné postupy a procesy na zaistenie konzistentného a integrovaného monitorovania, riešenia a následných opatrení v prípade incidentov súvisiacich s IKT s cieľom zabezpečiť, aby sa identifikovali a riešili hlavné príčiny s cieľom zabrániť výskytu takýchto incidentov.

3. Procesom riadenia incidentov súvisiacich s IKT uvedeným v odseku 1 sa:

a) v súlade s kritériami uvedenými v článku 16 ods. 1 stanovujú postupy na identifikáciu, sledovanie, zaznamenávanie, kategorizáciu a klasifikáciu incidentov súvisiacich s IKT podľa ich priority a závažnosti a kritickosti zasiahnutých služieb;

b) prideľujú úlohy a zodpovednosti, ktoré treba aktivovať pre jednotlivé druhy a scenáre incidentov súvisiacich s IKT;

c) stanovujú plány komunikácie so zamestnancami, externými zainteresovanými stranami a médiami v súlade s článkom 13, oznamovania klientom, interných eskalačných postupov vrátane sťažností zákazníkov súvisiacich s IKT, ako aj prípadne poskytovania informácií finančným subjektom, ktoré konajú ako protistrany;

d) zabezpečuje, aby sa prinajmenšom závažné incidenty súvisiace s IKT nahlasovali príslušnému vrcholovému manažmentu, ako aj že je riadiaci orgán informovaný o závažných incidentoch súvisiacich s IKT, pričom je vysvetlený vplyv, reakcia a dodatočné kontroly, ktoré sa majú zaviesť v dôsledku závažných incidentov súvisiacich s IKT;

e) stanovujú postupy reakcie na incidenty súvisiace s IKT s cieľom zmierniť vplyvy a zabezpečiť včasné sfunkčnenie a bezpečnosť služieb.

 

Článok 16

Klasifikácia incidentov súvisiacich s IKT

1. Finančné subjekty klasifikujú incidenty súvisiace s IKT a určujú ich vplyv na základe týchto kritérií:

a) počet používateľov alebo finančných protistrán, ktoré sú ovplyvnené narušením spôsobeným incidentom súvisiacim s IKT▐;

b) trvanie incidentu súvisiaceho s IKT vrátane výpadku služby;

c) geografické rozloženie, pokiaľ ide o oblasti postihnuté incidentom súvisiacim s IKT, najmä ak sa týka viac ako dvoch členských štátov;

d) straty údajov spôsobené incidentom súvisiacim s IKT, ako je strata integrity, strata dôvernosti alebo strata dostupnosti;

e) závažnosť vplyvu incidentu súvisiaceho s IKT na IKT systémy finančného subjektu;

f) kritickosť zasiahnutých služieb vrátane transakcií a operácií finančného subjektu;

g) hospodársky vplyv incidentu súvisiaceho s IKT v absolútnom aj relatívnom vyjadrení.

2. Európske orgány dohľadu vypracujú prostredníctvom Spoločného výboru európskych orgánov dohľadu („spoločný výbor“) a v koordinácii s Európskou centrálnou bankou (ECB) a agentúrou ENISA spoločný návrh regulačných technických predpisov, v ktorých sa bližšie spresnia:

a) kritériá stanovené v odseku 1 vrátane prahových hodnôt významnosti na určenie závažných incidentov súvisiacich s IKT, na ktoré sa vzťahuje ohlasovacia povinnosť stanovená v článku 17 ods. 1;

b) kritériá, ktoré majú príslušné orgány uplatňovať na účely posúdenia relevantnosti závažných incidentov súvisiacich s IKT pre jurisdikcie iných členských štátov, ako aj podrobnosti týkajúce sa správ o závažnýchincidentoch súvisiacich s IKT, ktoré sa majú poskytnúť iným príslušným orgánom podľa článku 17 ods. 5 a 6.

3. Pri vypracúvaní spoločného návrhu regulačných technických predpisov uvedeného v odseku 2 európske orgány dohľadu zohľadňujú medzinárodné normy, ako aj špecifikácie vypracované a uverejnené agentúrou ENISA vrátane prípadných špecifikácií pre iné hospodárske odvetvia. Európske orgány dohľadu ďalej zohľadnia, že včasné a efektívne riadenie incidentu zo strany malých podnikov a mikropodnikov nie je obmedzené potrebou dodržiavať požiadavky na klasifikáciu stanovené v tomto článku. Európske orgány dohľadu zohľadnia aj veľkosť finančných subjektov, povahu, rozsah a zložitosť ich služieb, činností a operácií a ich celkový rizikový profil.

Európske orgány dohľadu predložia tento spoločný návrh regulačných technických predpisov Komisii do [Úrad pre publikácie: vložte dátum 2 roky po nadobudnutí účinnosti].

Na Komisiu sa deleguje právomoc doplniť toto nariadenie prijatím regulačných technických predpisov uvedených v odseku 2 v súlade s článkami 10 až 14 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1094/2010 a (EÚ) č. 1095/2010.

 

Článok 17

Nahlasovanie závažných incidentov súvisiacich s IKT

1. Finančné subjekty nahlasujú závažné incidenty súvisiace s IKT dotknutému príslušnému orgánu uvedenému v článku 41 v lehotách stanovených v odseku 3.

Na účely prvého pododseku finančné subjekty vypracujú po zhromaždení a analýze všetkých relevantných informácií správu o incidente s použitím vzoru uvedeného v článku 18 a predložia ju príslušnému orgánu.

Správa obsahuje všetky informácie, ktoré príslušný orgán potrebuje na určenie významnosti závažného incidentu súvisiaceho s IKT a posúdenie možných cezhraničných vplyvov.

1a. Finančné subjekty môžu dobrovoľne nahlásiť významné kybernetické hrozby dotknutému príslušnému orgánu, ak sa domnievajú, že hrozba je relevantná pre finančný systém, používateľov služieb alebo klientov. Dotknutý príslušný orgán môže poskytnúť takéto informácie iným relevantným orgánom v súlade s odsekom 5.

2. Ak dôjde k závažnému incidentu súvisiacemu s IKT, ktorý má podstatný vplyv na finančné záujmy používateľov služieb a klientov, finančné subjekty bez zbytočného odkladu po tom, ako sa o incidente dozvedia,  informujú svojich používateľov služieb a klientov o závažnom incidente súvisiacom s IKT a▐  informujú o náležitých opatreniach, ktoré boli prijaté na zmiernenie nepriaznivých účinkov takéhoto incidentu. Ak vďaka protiopatreniam prijatým finančným subjektom nevznikne používateľom služieb a klientom žiadna škoda, požiadavka informovať používateľov služieb a klientov sa neuplatňuje.

3. Finančné subjekty predložia príslušnému orgánu uvedenému v článku 41:

a) prvotné oznámenie▐ o závažnom incidente súvisiacom s IKT, ktoré obsahuje informácie, ktoré má oznamujúci subjekt k dispozícii pri vynaložení maximálneho úsilia, takto:

i) pokiaľ ide o incidenty, ktoré významne narúšajú dostupnosť služieb poskytovaných finančným subjektom, príslušný orgán je informovaný bez zbytočného odkladu a v každom prípade do 24 hodín od zistenia incidentu;

 ii) pokiaľ ide o incidenty, ktoré majú iný významný vplyv na finančný subjekt okrem vplyvu na dostupnosť služieb poskytovaných týmto finančným subjektom, príslušný orgán je informovaný bez zbytočného odkladu a v každom prípade do 72 hodín od zistenia incidentu;

 iii) pokiaľ ide o incidenty, ktoré majú vplyv na integritu, dôvernosť alebo bezpečnosť osobných údajov spravovaných finančným subjektom, príslušný orgán je informovaný bez zbytočného odkladu a v každom prípade do 24 hodín od zistenia incidentu;

 

b) priebežnú správu, ihneď po výraznej zmene statusu pôvodného incidentu alebo zistení nových informácií, ktoré by mohli mať závažný vplyv na riešenie incidentu súvisiaceho s IKT príslušným orgánom, po pôvodnom oznámení uvedenom v písmene a), po ktorej prípadne nasledujú aktualizované oznámenia vždy, keď je k dispozícii príslušná aktualizácia stavu, ako aj na základe osobitnej žiadosti príslušného orgánu;

c) záverečnú správu po dokončení analýzy hlavných príčin, bez ohľadu na to, či už boli alebo neboli vykonané zmierňujúce opatrenia, a keď sú k dispozícii skutočné údaje o vplyve, aby sa nahradili odhady, najneskôr však do jedného mesiaca od dátumu zaslania pôvodnej správy.

ca) v prípade, že v čase predkladania záverečnej správy uvedenej v písmene c) incident stále prebieha, predloží sa záverečná správa jeden mesiac po vyriešení incidentu.

Dotknutý príslušný orgán uvedený v článku 41 stanoví, že v riadne odôvodnených prípadoch sa finančný subjekt môže odchýliť od lehôt stanovených v písmenách a), b), c) a ca) tohto odseku, pričom riadne zohľadní schopnosť finančných subjektov poskytnúť presné a zmysluplné informácie o závažných incidentoch súvisiacich s IKT.

4. Finančné subjekty môžu delegovať ohlasovacie povinnosti podľa tohto článku na externého poskytovateľa služieb len na základe schválenia delegovania dotknutým príslušným orgánom uvedeným v článku 41. V prípade takéhoto delegovania je finančný subjekt naďalej plne zodpovedný za plnenie požiadaviek na nahlasovanie incidentov.

 

5. Po prijatí správy uvedenej v odseku 1 príslušný orgán bez zbytočného odkladu poskytne podrobné informácie o závažnom incidente súvisiacom s IKT:

a) orgánom EBA, ESMA alebo EIOPA, a to podľa konkrétneho prípadu;

b) ECB, podľa potreby, v prípade finančných subjektov uvedených v článku 2 ods. 1 písm. a), b) a c); a

c) jednotnému kontaktnému miestu určenému podľa článku 8 smernice (EÚ) 2016/1148 alebo jednotkám CSIRT zriadeným podľa článku 9 smernice (EÚ) 2016/1149;

ca) orgánu pre riešenie krízových situácií zodpovednému za príslušný finančný subjekt. Jednotnej rade pre riešenie krízových situácií (SRB), pokiaľ ide o subjekty uvedené v článku 7 ods. 2 nariadenia (EÚ) č. 806/2014, a v prípade subjektov a skupín uvedených v článku 7 ods. 4 písm. b) a ods. 5 nariadenia (EÚ) č. 806/2014, ak sú splnené podmienky na uplatňovanie uvedených odsekov;

cb) národným orgánom pre riešenie krízových situácií v súvislosti so subjektmi a skupinami uvedenými v článku 7 ods. 3 nariadenia (EÚ) č. 806/2014; Vnútroštátne orgány pre riešenie krízových situácií štvrťročne poskytujú SRB súhrn správ, ktorý dostanú podľa tohto bodu v súvislosti so subjektmi a skupinami uvedenými v článku 7 ods. 3 nariadenia (EÚ) č. 806/2014;

cc) iným príslušným verejným orgánom vrátane orgánov v iných členských štátoch.

6. Orgány EBA, ESMA alebo EIOPA, ako aj ECB v spolupráci s agentúrou ENISA posúdia relevantnosť závažného incidentu súvisiaceho s IKT pre iné príslušné verejné orgány a čo najskôr ich informujú. ECB informuje členov Európskeho systému centrálnych bánk o otázkach relevantných pre platobné systémy. Na základe uvedeného oznámenia príslušné orgány v relevantných prípadoch prijmú všetky nevyhnutné opatrenia s cieľom ochrániť bezprostrednú stabilitu finančného systému.

 

Článok 18

Harmonizácia obsahu a vzorov nahlasovania

 

1. Európske orgány dohľadu prostredníctvom spoločného výboru a po konzultáciách s agentúrou ENISA a s ECB vypracujú:

a) spoločný návrh regulačných technických predpisov s cieľom:

(1) stanoviť obsah nahlasovania závažných incidentov súvisiacich s IKT;

(2) bližšie spresniť podmienky, za ktorých finančné subjekty môžu na základe predchádzajúceho súhlasu príslušného orgánu delegovať na externého poskytovateľa služieb ohlasovacie povinnosti stanovené v tejto kapitole;

(3) bližšie spresniť kritériá na určenie vplyvu závažného incidentu súvisiaceho s IKT na finančný subjekt na účely článku 17 ods. 3 písm. a); 

b) spoločný návrh vykonávacích technických predpisov s cieľom stanoviť štandardné formuláre, vzory a postupy pre finančné subjekty na nahlasovanie závažných incidentov súvisiacich s IKT.

Európske orgány dohľadu predložia Komisii spoločný návrh regulačných technických predpisov uvedený v prvom pododseku písm. a) a spoločný návrh vykonávacích technických predpisov uvedený v prvom pododseku písm. b) do xx 202x [Úrad pre publikácie: vložte dátum 2 roky po nadobudnutí účinnosti].

Na Komisiu sa deleguje právomoc doplniť toto nariadenie prijatím spoločných regulačných technických predpisov uvedených v prvom pododseku písm. a) v súlade s článkami 10 až 14 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1095/2010 a (EÚ) č. 1094/2010.

Komisii sa udeľuje právomoc prijať spoločné vykonávacie technické predpisy uvedené v prvom pododseku písm. b) v súlade s článkom 15 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1095/2010 a (EÚ) č. 1094/2010.

2. Kým nebude známy výsledok správy uvedenej v článku 19 týkajúcej sa uskutočniteľnosti ďalšej centralizácie nahlasovania incidentov, európske orgány dohľadu prostredníctvom spoločného výboru a v spolupráci s príslušnými orgánmi, ECB, SRB a agentúrou ENISA vypracujú usmernenia pre výmenu informácií o správach o závažných incidentoch súvisiacich s IKT v súlade s článkom 17 ods. 5.

 V usmerneniach uvedených v prvom pododseku sa zohľadňujú aspoň:

a) najúčinnejšie komunikačné kanály;

b) zachovanie bezpečnosti, dôvernosti a integrity vymieňaných údajov;

c) možné zapojenie finančných subjektov na účely doplnenia výmeny informácií uvedenej v článku 40.

 

Článok 19

Centralizácia nahlasovania závažných incidentov súvisiacich s IKT

1. Európske orgány dohľadu prostredníctvom spoločného výboru a po konzultácii s ECB a agentúrou ENISA vypracujú spoločnú správu, v ktorej posúdia uskutočniteľnosť ďalšej centralizácie nahlasovania incidentov pomocou zriadenia jednotného centra EÚ pre nahlasovanie závažných incidentov súvisiacich s IKT finančnými subjektmi. V správe sa preskúmajú spôsoby, ako uľahčiť tok nahlasovania údajov o incidentoch súvisiacich s IKT, znížiť súvisiace náklady a podporiť tematické analýzy s cieľom posilniť konvergenciu dohľadu.

2. Správa uvedená v odseku 1 musí obsahovať aspoň tieto prvky:

a) predpoklady na zriadenie jednotného centra EÚ;

b) prínosy, obmedzenia a možné riziká;

ba) schopnosť vytvoriť interoperabilitu a posúdiť jej pridanú hodnotu, pokiaľ ide o iné príslušné systémy nahlasovania, vrátane smernice (EÚ) 2016/1148.

c) prvky prevádzkového riadenia;

d) podmienky členstva;

e) spôsoby prístupu finančných subjektov a príslušných vnútroštátnych orgánov k jednotnému centru EÚ;

f) predbežné posúdenie finančných nákladov spojených so zriadením prevádzkovej platformy na podporu jednotného centra EÚ vrátane požadovaných odborných znalostí.

3. Európske orgány dohľadu predložia správu uvedenú v odseku 1 Komisii, Európskemu parlamentu a Rade do xx 202x [Úrad pre publikácie: vložte dátum 3 roky po nadobudnutí účinnosti].

 

Článok 20

Spätná väzba orgánov dohľadu

1. Po prijatí správy uvedenej v článku 17 ods. 1 príslušný orgán potvrdí prijatie oznámenia a čo najskôr poskytne všetku potrebnú spätnú väzbu alebo usmernenia finančnému subjektu, najmä s cieľom prediskutovať nápravné opatrenia na úrovni subjektu alebo spôsoby minimalizovania nepriaznivého vplyvu v jednotlivých sektoroch, a takisto poskytne primerane anonymizovanú spätnú väzbu, poznatky a spravodajské informácie všetkým príslušným finančným subjektom, v prípade ktorých by to mohlo byť prospešné, na základe akýchkoľvek hlásení o závažných incidentoch súvisiacich s IKT, ktoré dostane.

2. Európske orgány dohľadu podávajú každoročne prostredníctvom spoločného výboru anonymizované a súhrnné správy o oznámeniach o závažných incidentoch súvisiacich s IKT, ktoré dostali od príslušných orgánov, pričom uvedú aspoň počet závažných incidentov súvisiacich s IKT, ich povahu, vplyv na operácie finančných subjektov alebo zákazníkov, odhadované náklady a prijaté nápravné opatrenia.

Európske orgány dohľadu vydávajú varovania a vypracúvajú štatistiky na vysokej úrovni na podporu posudzovania hrozieb a zraniteľnosti IKT.

Článok 20a

 

Prevádzkové alebo bezpečnostné incidenty súvisiace s platbami, ktoré sa týkajú určitých finančných subjektov

 

Požiadavky stanovené v tejto kapitole sa vzťahujú aj na prevádzkové alebo bezpečnostné incidenty súvisiace s platbami a na závažné prevádzkové alebo bezpečnostné incidenty súvisiace s platbami, ak sa týkajú finančných subjektov uvedených v článku 2 ods. 1 písm. a), b) a c).


KAPITOLA IV

TESTOVANIE DIGITÁLNEJ PREVÁDZKOVEJ ODOLNOSTI

Článok 21

Všeobecné požiadavky na vykonávanie testovania digitálnej prevádzkovej odolnosti

1. Na účely posúdenia pripravenosti na incidenty súvisiace s IKT, identifikácie nedostatkov a slabých miest digitálnej prevádzkovej odolnosti a urýchleného vykonania nápravných opatrení finančné subjekty iné ako mikropodniky zriadia, udržiavajú a preskúmavajú▐ spoľahlivý a komplexný program na testovanie digitálnej prevádzkovej odolnosti ako integrálnu súčasť rámca riadenia IKT rizika uvedeného v článku 5.

2. Program na testovanie digitálnej prevádzkovej odolnosti zahŕňa celý rad posúdení, testov, metodík, postupov a nástrojov, ktoré sa majú uplatňovať v súlade s ustanoveniami článkov 22 a 23.

3. Finančné subjekty sa pri vykonávaní programu na testovanie digitálnej prevádzkovej odolnosti uvedeného v odseku 1 riadia prístupom založeným na rizikách, pričom zohľadňujú vyvíjajúce sa prostredie v oblasti IKT rizík, akékoľvek špecifické riziká, ktorým finančný subjekt je alebo môže byť vystavený, kritickosť informačných aktív a poskytovaných služieb, ako aj akýkoľvek iný faktor, ktorý finančný subjekt považuje za vhodný.

4. Finančné subjekty zabezpečia, aby testy vykonávali nezávislé strany, či už interné alebo externé. Ak testy vykonáva interný testovací subjekt, finančné subjekty vyčlenia dostatočné zdroje a zabezpečia, aby sa vo fáze návrhu a vykonávania testu zabránilo konfliktom záujmov.

5. Finančné subjekty stanovia postupy a politiky na stanovenie priorít, klasifikáciu a riešenie všetkých problémov potvrdených počas vykonávania testov a zavedú interné metodiky validácie s cieľom zabezpečiť úplné riešenie všetkých zistených nedostatkov a slabých miest.

6. Finančné subjekty zabezpečia, aby sa aspoň raz ročne vykonávali vhodné testy všetkých kritických IKT systémov a aplikácií.

 

Článok 22

Testovanie IKT nástrojov a systémov

1. V rámci programu na testovanie digitálnej prevádzkovej odolnosti uvedeného v článku 21 sa zabezpečí vykonanie celej škály vhodných testov.

Uvedené testy môžu zahŕňať posúdenia a prehľady zraniteľnosti, analýzy otvorených zdrojov, posúdenia bezpečnosti sietí, analýzy nedostatkov, preskúmania fyzickej bezpečnosti, dotazníky a skenovacie softvérové riešenia, preskúmania zdrojových kódov, ak je to možné, testy založené na konkrétnych scenároch, testovanie kompatibility, testovanie výkonnosti, testovanie medzi koncovými bodmi alebo penetračné testovanie.

2. Finančné subjekty uvedené v článku 2 ods. 1 písm. f) a g) vykonávajú posúdenia zraniteľnosti pred každým nasadením alebo presunom nových alebo existujúcich služieb podporujúcich kritické funkcie, aplikácie a zložky infraštruktúry finančného subjektu.

Článok 23

Pokročilé testovanie IKT nástrojov, systémov a procesov vychádzajúce z penetračného testovania na základe konkrétnej hrozby

 

1. Finančné subjekty identifikované v súlade s druhým pododsekom odseku 3 vykonávajú najmenej každé tri roky pokročilé testovanie prostredníctvom penetračného testovania na základe konkrétnej hrozby.

2. Penetračné testovanie na základe konkrétnej hrozby zahŕňa prinajmenej kritické alebo dôležité funkcie a služby finančného subjektu a vykonáva sa na živých produkčných systémoch podporujúcich takéto funkcie, ak je to možné, alebo na predprodukčných systémoch s rovnakou konfiguráciou zabezpečenia. Presný rozsah penetračného testovania na základe konkrétnej hrozby, ktoré vychádza z posúdenia kritických alebo dôležitých funkcií a služieb, určujú finančné subjekty a overujú ho príslušné orgány. Nevyžaduje sa, aby jeden penetračný test na základe konkrétnej hrozby pokrýval všetky kritické alebo dôležité funkcie.

Na účely prvého pododseku finančné subjekty identifikujú všetky relevantné súvisiace IKT procesy, systémy a technológie podporujúce kritické alebo dôležité funkcie a služby vrátane kritických alebo dôležitých funkcií a služieb, ktoré sú externe zabezpečované alebo zmluvne dohodnuté s externým poskytovateľom IKT služieb.

Ak sú externí poskytovatelia kritických IKT služieb a v prípade potreby externí poskytovatelia nekritických IKT služieb zahrnutí do pôsobnosti penetračného testovania na základe konkrétnej hrozby, finančný subjekt prijme potrebné opatrenia na zabezpečenie účasti týchto poskytovateľov. Od týchto externých poskytovateľov IKT služieb sa nevyžaduje, aby oznamovali informácie alebo poskytovali akékoľvek podrobnosti v súvislosti s položkami, ktoré nie sú relevantné pre kontroly riadenia rizík príslušných kritických alebo dôležitých funkcií príslušných finančných subjektov. Takéto testovanie nesmie mať nepriaznivý vplyv na iných zákazníkov externých poskytovateľov IKT služieb.

V prípadoch, keď by zapojenie externého poskytovateľa IKT služieb do penetračného testovania na základe konkrétnej hrozby mohlo mať potenciálny vplyv na kvalitu, dôvernosť alebo bezpečnosť služieb externého poskytovateľa IKT služieb pre iných zákazníkov, ktorí nepatria do rozsahu pôsobnosti tohto nariadenia, alebo na celkovú integritu operácií externého poskytovateľa IKT služieb, finančný subjekt a externý poskytovateľ IKT služieb sa môžu zmluvne dohodnúť, že externý poskytovateľ IKT služieb môže uzatvárať zmluvné dojednania priamo s externým testovacím subjektom. Externí poskytovatelia IKT služieb môžu uzatvárať takéto dojednania v mene všetkých finančných subjektov, ktorí sú užívateľmi ich služieb, s cieľom vykonať spoločné testovanie.

Finančné subjekty uplatňujú účinné kontroly riadenia rizík s cieľom zmierniť riziká akéhokoľvek potenciálneho vplyvu na údaje, poškodenie aktív a narušenie kritických alebo dôležitých funkcií alebo operácií v samotnom finančnom subjekte, jeho protistranách alebo vo finančnom sektore.

Na konci testovania, po schválení správ a plánov nápravy, finančný subjekt a externé testovacie subjekty poskytnú jedinému verejnému orgánu určenému v súlade s odsekom 3a, alebo v prípade, že externí poskytovatelia IKT služieb uzatvárajú zmluvné dojednania priamo s externými testovacími subjektmi, agentúre ENISA, dôverné zhrnutie výsledkov testu a dokumentáciu potvrdzujúcu, že penetračné testovanie na základe konkrétnej hrozby bolo vykonané v súlade s požiadavkami. Jediný verejný orgán alebo v príslušných prípadoch agentúra ENISA vydajú osvedčenie, ktorým potvrdia, že test bol vykonaný v súlade s požiadavkami uvedenými v dokumentácii, aby mohli príslušné orgány tieto penetračné testy na základe konkrétnej hrozby navzájom uznávať. Osvedčenie sa poskytuje príslušnému orgánu finančného subjektu a v relevantných prípadoch hlavnému orgánu dozoru externého poskytovateľa kritických IKT služieb.

3. Finančné subjekty, alebo externí poskytovatelia IKT služieb, ktorí majú povolenie uzatvárať zmluvné dojednania priamo s externým testovacím subjektom v súlade s odsekom 2 tohto článku, uzatvárajú zmluvy s testovacími subjektmi v súlade s článkom 24 na účely vykonania penetračného testovania na základe konkrétnej hrozby.

Bez toho, aby bola dotknutá ich schopnosť delegovať úlohy a právomoci podľa tohto článku na iné príslušné orgány zodpovedné za penetračné testovanie na základe konkrétnej hrozby, príslušné orgány určia finančné subjekty, ktoré majú vykonávať penetračné testovanie na základe konkrétnej hrozby, primeraným spôsobom▐ na základe posúdenia:

a) faktorov súvisiacich s vplyvom, najmä kritickosti poskytovaných služieb a činností vykonávaných finančným subjektom;

b) prípadných obáv o finančnú stabilitu vrátane systémového charakteru finančného subjektu na vnútroštátnej úrovni alebo prípadne na úrovni Únie;

c) špecifického profilu IKT rizika, úrovne vyspelosti IKT finančného subjektu alebo súvisiacich technologických prvkov.

3a. Členské štáty určia jediný verejný orgán, ktorý bude zodpovedný za penetračné testovanie na základe konkrétnej hrozby vo finančnom sektore na vnútroštátnej úrovni, s výnimkou identifikácie finančných subjektov v súlade s odsekom 3, vrátane penetračného testovania na základe konkrétnej hrozby vykonávaného finančnými subjektmi a externými poskytovateľmi IKT služieb, ktorí uzatvárajú zmluvné dojednania priamo s externými testujúcimi subjektmi. Určenému jedinému verejnému orgánu sú na tento účel zverené všetky právomoci a úlohy.

 

4. Európske orgány dohľadu v koordinácii s agentúrou ENISA, po konzultácii s ECB a po zohľadnení príslušných rámcov v Únii, ktoré sa uplatňujú na penetračné testovania na základe konkrétnej hrozby založené na spravodajských informáciách, vrátane rámca TIBER-EÚ, vypracujú jeden súbor návrhov regulačných technických predpisov s cieľom bližšie spresniť:

a) kritériá používané na účely uplatňovania druhého pododseku odseku 3 tohto článku;

b) požiadavky v súvislosti s:

i) rozsahom penetračného testovania na základe konkrétnej hrozby uvedeného v odseku 2 tohto článku;

ii) metodikou testovania a prístupom, ktoré sa majú dodržiavať pre každú konkrétnu fázu testovania;

iii) výsledkami, záverečnými a nápravnými štádiami testovania;

c) druh spolupráce medzi orgánmi dohľadu potrebný na vykonávanie a uľahčenie vzájomného uznávania penetračného testovania na základe konkrétnej hrozby v kontexte finančných subjektov, ktoré pôsobia vo viac ako jednom členskom štáte, a testovania vykonávaného externými testovacími subjektmi, ktoré uzatvorili zmluvné dojednania priamo s externými poskytovateľmi IKT služieb v súlade s odsekom 2 tohto článku, aby sa umožnila primeraná úroveň zapojenia orgánov dohľadu a pružné vykonávanie s cieľom zohľadniť osobitosti finančných podsektorov alebo miestnych finančných trhov.

Európske orgány dohľadu predložia tento návrh regulačných technických predpisov Komisii do [Úrad pre publikácie: vložte dátum 6 mesiacov pred dátumom nadobudnutia účinnosti].

Na Komisiu sa deleguje právomoc doplniť toto nariadenie prijatím regulačných technických predpisov uvedených v druhom pododseku v súlade s článkami 10 až 14 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1095/2010 a (EÚ) č. 1094/2010.

 

Článok 24

Požiadavky na testovacie subjekty

1. Finančné subjekty a externí poskytovatelia IKT služieb, ktorí majú povolenie uzatvárať zmluvné dojednania priamo s externým testovacím subjektom v súlade s článkom 23 ods. 2, využívajú na realizáciu penetračného testovania na základe konkrétnej hrozby iba testovacie subjekty, ktoré:

a) sú najvhodnejšie a najuznávanejšie;

b) disponujú technickými a organizačnými schopnosťami a preukazujú osobitné odborné znalosti v oblasti spravodajských informácií o hrozbách, penetračného testovania alebo testovania prostredníctvom červeného tímu;

c) sú certifikované akreditačným orgánom v členskom štáte alebo dodržiavajú formálne kódexy správania alebo etické rámce, a to bez ohľadu na to, či sú testovacie subjekty z Únie alebo z tretej krajiny;

d) ▐ poskytujú nezávislé uistenie alebo audítorskú správu v súvislosti so správnym riadením rizík spojených s vykonávaním penetračného testovania na základe konkrétnej hrozby vrátane riadnej ochrany dôverných informácií finančného subjektu a nápravy obchodných rizík finančného subjektu;

e) ▐ sú riadne a v plnom rozsahu kryté príslušnými poisteniami zodpovednosti za škodu spôsobenú pri výkone povolania, a to aj pre prípad pochybenia a nedbanlivosti.

ea) v prípade interných testovacích subjektov bolo ich využitie schválené dotknutým príslušným orgánom a jediným verejným orgánom určeným v súlade s článkom 23 ods. 3a a tieto orgány overili, že finančný subjekt vyčlenil dostatočné zdroje a zabezpečil, aby sa počas fázy návrhu a vykonávania testu predchádzalo konfliktom záujmov.

2. Finančné subjekty a externí poskytovatelia IKT služieb, ktorí majú povolenie uzatvárať zmluvné dojednania priamo s externým testovacím subjektom v súlade s článkom 23 ods. 2, zabezpečia, aby sa v dojednaniach uzavretých s externými testovacími subjektmi vyžadovalo správne riadenie výsledkov penetračného testovania na základe konkrétnej hrozby a aby akékoľvek ich spracovanie vrátane akéhokoľvek generovania, navrhovania, uchovávania, agregácie, podávania správ, komunikácie alebo likvidácie nevytváralo pre finančný subjekt riziká.


 

KAPITOLA V

RIADENIE IKT RIZIKA TRETEJ STRANY

ODDIEL I

KĽÚČOVÉ ZÁSADY SPRÁVNEHO RIADENIA IKT RIZIKA TRETEJ STRANY

 

Článok 25

Všeobecné zásady

Finančné subjekty riadia IKT riziko tretej strany ako integrálnu súčasť IKT rizika v medziach svojho rámca riadenia IKT rizika a v súlade s týmito zásadami:

1. Finančné subjekty, ktoré majú uzavreté zmluvné dojednania o využívaní IKT služieb na vykonávanie svojich obchodných činností, sú vždy plne zodpovedné za dodržiavanie a plnenie všetkých povinností vyplývajúcich z tohto nariadenia a uplatniteľných právnych predpisov o finančných službách.

2. Riadenie IKT rizika tretej strany finančnými subjektmi sa vykonáva so zreteľom na zásadu proporcionality, pričom sa zohľadňujú tieto aspekty:

a) povaha, rozsah, zložitosť a význam závislostí súvisiacich s IKT;

b) riziká vyplývajúce zo zmluvných dojednaní o využívaní IKT služieb uzavretých s externými poskytovateľmi IKT služieb, pričom sa zohľadňuje kritickosť alebo význam príslušnej služby, procesu alebo funkcie, ako aj potenciálny vplyv na kontinuitu a kvalitu finančných služieb a činností na individuálnej úrovni a na úrovni skupiny;

ba) skutočnosť, či je poskytovateľ IKT služieb poskytovateľom IKT služieb v rámci skupiny.

3. Finančné subjekty iné ako mikropodniky ako súčasť svojho rámca riadenia IKT rizika prijímajú a pravidelne preskúmavajú stratégiu týkajúcu sa IKT rizika tretej strany▐ . Uvedená stratégia zahŕňa politiku využívania IKT služieb poskytovaných externými poskytovateľmi IKT služieb a uplatňuje sa na individuálnom, ako aj podľa potreby na subkonsolidovanom a konsolidovanom základe. Riadiaci orgán pravidelne preskúmava riziká zistené v súvislosti s externým zabezpečovaním kritických alebo dôležitých funkcií.

4. Finančné subjekty ako súčasť svojho rámca riadenia IKT rizika vedú a aktualizujú na úrovni subjektu, ako aj na subkonsolidovanej a konsolidovanej úrovni register informácií v súvislosti so všetkými zmluvnými dojednaniami o využívaní IKT služieb podporujúcich kritické alebo dôležité funkcie poskytovaných externými poskytovateľmi IKT služieb.

Zmluvné dojednania uvedené v prvom pododseku musia byť náležite zdokumentované▐ .

Finančné subjekty sa riadia usmerneniami a ďalšími opatreniami vydanými európskymi orgánmi dohľadu a príslušnými orgánmi, ak sú k dispozícii, a to až do nadobudnutia účinnosti vykonávacích technických predpisov uvedených v odseku 10.

Finančné subjekty aspoň raz ročne nahlasujú príslušným orgánom informácie o počte nových dojednaní o využívaní IKT služieb podporujúcich kritické alebo dôležité funkcie, kategóriách externých poskytovateľov IKT služieb, druhu zmluvných dojednaní a poskytovaných službách a funkciách.

Finančné subjekty sprístupnia príslušnému orgánu na jeho žiadosť úplný register informácií alebo na požiadanie jeho konkrétne oddiely spolu so všetkými informáciami, ktoré sa považujú za potrebné na umožnenie účinného dohľadu nad finančným subjektom.

Finančné subjekty včas informujú príslušný orgán o plánovanom uzatvorení zmlúv týkajúcich sa kritických alebo dôležitých funkcií a o tom, kedy sa funkcia stala kritickou alebo dôležitou.

5. Pred uzavretím zmluvného dojednania o využívaní IKT služieb finančné subjekty:

a) posúdia, či sa zmluvné dojednanie vzťahuje na kritickú alebo dôležitú funkciu;

b) posúdia, či sú splnené podmienky dohľadu pre uzatváranie zmlúv;

c) určia a posúdia všetky relevantné riziká v súvislosti so zmluvným dojednaním vrátane možnosti, že takéto zmluvné dojednania môžu prispieť k posilneniu rizika koncentrácie IKT;

d) vykonajú všetku náležitú starostlivosť v súvislosti s potenciálnymi externými poskytovateľmi IKT služieb a zabezpečia vhodnosť externého poskytovateľa IKT služieb počas celého procesu výberu a posudzovania;

e) určia a posúdia konflikty záujmov, ktoré môže zmluvné dojednanie spôsobiť.

6. Finančné subjekty môžu uzatvárať zmluvné dojednania len s externými poskytovateľmi IKT služieb, ktorí spĺňajú prísne, primerané a aktuálne normy v oblasti bezpečnosti. Pri určovaní, či sú zavedené bezpečnostné normy vhodné, sa taktiež zohľadňujú najnovšie normy.

7. Pri vykonávaní práv na prístup, kontrolu a audit, pokiaľ ide o externého poskytovateľa IKT služieb v súvislosti s kritickými alebo dôležitými funkciami, finančné subjekty na základe prístupu založeného na rizikách vopred určia frekvenciu auditov a kontrol, ako aj oblasti, v ktorých sa má audit vykonať dodržiavaním všeobecne uznávaných audítorských štandardov v súlade s pokynmi orgánov dohľadu o používaní a začlenení týchto audítorských štandardov.

V prípade zmluvných dojednaní, ktoré so sebou prinášajú podrobnú technologickú zložitosť, finančný subjekt overí, či audítori, a to interní, skupiny audítorov alebo externí audítori, majú primerané zručnosti a znalosti na účinné vykonávanie príslušných auditov a posúdení.

8. Finančné subjekty zabezpečia, aby zmluvné dojednania o využívaní IKT služieb umožňovali finančným subjektom prijať primerané opravné alebo nápravné opatrenia, ktoré by mohli zahŕňať úplné ukončenie dojednaní, ak nie je možná žiadna oprava, alebo čiastočné ukončenie dojednaní, ak je oprava možná, a to podľa uplatniteľného práva aspoň za týchto okolností:

a) závažné porušenie uplatniteľných zákonov, iných právnych predpisov alebo zmluvných podmienok zo strany externého poskytovateľa IKT služieb;

aa) spoločný orgán dozoru vydal externému poskytovateľovi kritických IKT služieb odporúčanie podľa článku 37;

b) okolnosti zistené počas monitorovania IKT rizika tretej strany, ktoré sa považujú za schopné zmeniť výkon funkcií poskytovaných prostredníctvom zmluvného dojednania vrátane závažných zmien, ktoré majú vplyv na dojednanie alebo situáciu externého poskytovateľa IKT služieb;

c) preukázané nedostatky externého poskytovateľa IKT služieb týkajúce sa celkového riadenia IKT rizika v rámci zmluvy s finančným subjektom, a najmä spôsob, akým zaisťuje bezpečnosť a integritu dôverných, osobných alebo inak citlivých údajov alebo iných ako osobných informácií;

d) okolnosti, za ktorých príslušný orgán už preukázateľne nemôže účinne vykonávať dohľad nad finančným subjektom v dôsledku príslušného zmluvného dojednania.

8a. S cieľom znížiť riziko narušenia na úrovni finančného subjektu sa finančný subjekt môže za riadne odôvodnených okolností a po dohode so svojimi príslušnými orgánmi rozhodnúť, že neukončí zmluvné dojednania s externým poskytovateľom IKT služieb, pokiaľ nie je schopný prejsť k inému externému poskytovateľovi IKT služieb alebo využívať interné riešenia, ktoré zodpovedajú zložitosti poskytovanej služby, v súlade so stratégiou ukončenia angažovanosti uvedenou v odseku 9.

8b. V prípadoch, keď sa zmluvné dojednania s externými poskytovateľmi IKT služieb ukončia za ktorejkoľvek z okolností uvedených v odseku 8 písm. a) až d), finančné subjekty nenesú náklady na prenos údajov od externého poskytovateľa IKT služieb, ak takýto prenos prevyšuje náklady na prenos údajov stanovené v pôvodnej zmluve.

9. V prípade IKT služieb súvisiacich s kritickými alebo dôležitými funkciami finančné subjekty zavedú stratégie ukončenia angažovanosti, ktoré sa budú pravidelne preskúmavať. Stratégie ukončenia angažovanosti zohľadňujú riziká, ktoré môžu vzniknúť na úrovni externých poskytovateľov IKT služieb, najmä ich možné zlyhanie, zhoršenie kvality poskytovaných funkcií, akékoľvek narušenie obchodnej činnosti v dôsledku neprimeraného alebo neúspešného poskytovania služieb alebo závažného rizika vyplývajúceho z primeraného a nepretržitého zavádzania funkcie, alebo v prípade ukončenia zmluvných dojednaní s externými poskytovateľmi IKT služieb za akýchkoľvek okolností uvedených v odseku 8 písm. a) až d).

Finančné subjekty zabezpečia, aby mohli ukončiť zmluvné dojednania bez:

a) narušenia svojej obchodnej činnosti;

b) obmedzenia dodržiavania regulačných požiadaviek;

c) ohrozenia kontinuity a kvality poskytovania služieb klientom.

Plány ukončenia angažovanosti musia byť komplexné, zdokumentované a v prípade potreby dostatočne otestované.

Finančné subjekty určia alternatívne riešenia a vypracujú prechodné plány, ktoré im umožnia odstrániť zmluvne dohodnuté funkcie a príslušné údaje od externého poskytovateľa IKT služieb a bezpečne a úplne ich preniesť na alternatívnych poskytovateľov alebo ich opätovne začleniť medzi interne zabezpečované funkcie.

Finančné subjekty prijmú primerané krízové opatrenia na zachovanie kontinuity činnosti za všetkých okolností uvedených v prvom pododseku.

10. Európske orgány dohľadu vypracujú prostredníctvom spoločného výboru návrh vykonávacích technických predpisov na stanovenie štandardných vzorov na účely registra informácií uvedeného v odseku 4.

Európske orgány dohľadu predložia tento návrh vykonávacích technických predpisov Komisii do [Úrad pre publikácie: vložte dátum 1 rok po nadobudnutí účinnosti tohto nariadenia].

Komisii sa udeľuje právomoc, aby prijala vykonávacie technické predpisy uvedené v prvom pododseku v súlade s článkom 15 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1095/2010 a (EÚ) č. 1094/2010.

11. Európske orgány dohľadu vypracujú prostredníctvom spoločného výboru návrh regulačných predpisov s cieľom:

a) bližšie spresniť podrobný obsah politiky uvedenej v odseku 3 v súvislosti so zmluvnými dojednaniami o využívaní IKT služieb poskytovaných externými poskytovateľmi IKT služieb s odkazom na hlavné fázy životného cyklu príslušných dojednaní o využívaní IKT služieb;

b) bližšie spresniť druhy informácií, ktoré majú byť zahrnuté do registra informácií uvedeného v odseku 4.

Európske orgány dohľadu predložia tento návrh regulačných technických predpisov Komisii do [Úrad pre publikácie: vložte dátum 18 mesiacov po nadobudnutí účinnosti].

Na Komisiu sa deleguje právomoc doplniť toto nariadenie prijatím regulačných technických predpisov uvedených v druhom pododseku v súlade s článkami 10 až 14 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1095/2010 a (EÚ) č. 1094/2010.

 

Článok 26

Predbežné posúdenie rizika koncentrácie IKT a ďalších dojednaní týkajúcich sa subdodávateľských zákaziek

1. Pri určovaní a posudzovaní rizika koncentrácie IKT uvedeného v článku 25 ods. 5 písm. c) finančné subjekty zohľadňujú, či by uzavretie zmluvného dojednania v súvislosti s IKT službami podporujúcimi kritické alebo dôležité funkcie viedlo k niektorej z týchto skutočností:

a) uzatvorenie zmluvy s externým poskytovateľom IKT služieb, ktorý nie je ľahko nahraditeľný, alebo

b) uzatvorenie viacerých zmluvných dojednaní v súvislosti s poskytovaním IKT služieb podporujúcich kritické alebo dôležité funkcie s tým istým externým poskytovateľom IKT služieb alebo s úzko prepojenými externými poskytovateľmi IKT služieb.

Finančné subjekty zvážia prínosy a náklady alternatívnych riešení, ako je využívanie rôznych externých poskytovateľov IKT služieb, a súčasne zohľadnia, či a ako plánované riešenia zodpovedajú obchodným potrebám a cieľom stanoveným v ich stratégii digitálnej odolnosti.

2. Ak zmluvné dojednanie o využívaní IKT služieb podporujúcich kritické alebo dôležité funkcie zahŕňa možnosť, že externý poskytovateľ IKT služieb ďalej zadá subdodávateľskú zákazku týkajúcu sa kritickej alebo dôležitej funkcie iným externým poskytovateľom IKT služieb, finančné subjekty zvážia prínosy a riziká, ktoré môžu vzniknúť v súvislosti s takouto možnou subdodávateľskou zákazkou▐.

Ak sa zmluvné dojednania o využívaní IKT služieb podporujúcich kritické alebo dôležité funkcie uzatvárajú s externým poskytovateľom IKT služieb▐, finančné subjekty považujú za relevantné aspoň tieto faktory:

a) 

b)  

c) ustanovenia zákona o platobnej neschopnosti, ktoré by sa uplatňovali v prípade konkurzu externého poskytovateľa IKT služieb; a

d) akékoľvek obmedzenia, ktoré môžu vzniknúť v súvislosti s naliehavým obnovovaním údajov finančného subjektu.

Ak sa zmluvné dojednania o využívaní IKT služieb podporujúcich kritické alebo dôležité funkcie uzatvárajú s externým poskytovateľom IKT služieb usadeným v tretej krajine, finančné subjekty okrem faktorov uvedených v prvom a druhom pododseku zvážia aj:

i)  dodržiavanie pravidiel Únie v oblasti ochrany údajov; a

ii) účinné presadzovanie pravidiel stanovených v tomto nariadení.

Ak takéto zmluvné dojednania zahŕňajú zadávanie kritických alebo dôležitých funkcií subdodávateľovi, finančné subjekty posúdia, či a ako môžu potenciálne dlhé alebo zložité subdodávateľské reťazce ovplyvniť ich schopnosť plne posúdiť faktory uvedené v druhom a treťom pododseku na účely monitorovania zmluvne dohodnutých funkcií a schopnosti príslušného orgánu vykonávať účinný dohľad nad finančným subjektom v tejto súvislosti.

Článok 27

Kľúčové zmluvné ustanovenia

1. Práva a povinnosti finančného subjektu a externého poskytovateľa IKT služieb sa jasne pridelia a stanovia písomne. Úplná zmluva, ktorá zahŕňa dohody o úrovni poskytovaných služieb, sa zdokumentuje písomne a je k dispozícii zmluvným stranám v papierovej forme alebo v stiahnuteľnom a prístupnom formáte.

2. Finančné subjekty a externí poskytovatelia IKT služieb zabezpečia, aby zmluvné dojednania o využívaní IKT služieb zahŕňali aspoň:

a) jasný a úplný opis všetkých funkcií a služieb, ktoré má externý poskytovateľ IKT služieb poskytovať, pričom sa uvedie, či je povolené zadávanie kritickej alebo dôležitej funkcie alebo jej závažných častí subdodávateľovi, a ak áno, podmienky vzťahujúce sa na takéto využívanie subdodávateľa;

b) miesta, konkrétne regióny alebo krajiny, kde sa majú poskytovať zmluvne dohodnuté alebo subdodávateľské ICTfunkcie a služby a kde sa majú údaje spracúvať vrátane miesta uloženia, ako aj požiadavka, aby externý poskytovateľ IKT služieb vopred informoval finančný subjekt, ak plánuje zmeniť takéto miesta;

c) ustanovenia o prístupnosti, dostupnosti, integrite, bezpečnosti, dôvernosti a ochrane údajov vrátane osobných údajov;

ca) ustanovenia o zabezpečení prístupu, obnovy a návratu k osobným údajom a iným ako osobným údajom spracúvaným finančným subjektom v ľahko prístupnom formáte v prípade platobnej neschopnosti, riešenia krízových situácií alebo ukončenia obchodných operácií externého poskytovateľa IKT služieb, alebo v prípade ukončenia zmluvných dojednaní;

d) úplné opisy úrovne služieb vrátane ich aktualizácií a revízií, ako aj presné kvantitatívne a kvalitatívne výkonnostné ciele v rámci dohodnutých úrovní služieb, aby ich finančný subjekt mohol účinne monitorovať a mal možnosť bez zbytočného odkladu vykonať primerané nápravné opatrenia v prípade nesplnenia dohodnutých úrovní služieb;

e) 

f) povinnosť externého poskytovateľa IKT služieb poskytnúť pomoc v prípade incidentu v oblasti IKT súvisiaceho s poskytovanou službou bez dodatočných nákladov alebo v medziach vopred stanovených nákladov;

g) požiadavky na externého poskytovateľa IKT služieb na vykonávanie a testovanie obchodných krízových plánov a na zavedenie bezpečnostných opatrení, nástrojov a politík v oblasti IKT, ktoré poskytujú primeranú úroveň bezpečného poskytovania služieb finančným subjektom v súlade s jeho regulačným rámcom;

h) 

i) povinnosť externého poskytovateľa IKT služieb plne spolupracovať s príslušnými orgánmi a orgánmi pre riešenie krízových situácií finančného subjektu vrátane osôb nimi vymenovaných;

j) práva na ukončenie zmluvy a súvisiacu minimálnu výpovednú lehotu na ukončenie zmluvy v súlade s očakávaniami príslušných orgánov a orgánov pre riešenie krízových situácií, a ak má toto zmluvné dojednanie vplyv na poskytovateľa IKT služieb v rámci skupiny v rámci tej istej skupiny, analýzu na základe prístupu založeného na riziku;

k) stratégie ukončenia angažovanosti, najmä zavedenie primeraného povinného prechodného obdobia:

i) počas ktorého bude externý poskytovateľ IKT služieb naďalej poskytovať príslušné funkcie alebo služby s cieľom znížiť riziko narušení na úrovni finančného subjektu alebo zabezpečiť jeho efektívne riešenie a reštrukturalizáciu;

ii) ktoré umožňuje finančnému subjektu prejsť na iného externého poskytovateľa IKT služieb alebo začať využívať lokálne riešenia v prevádzkových priestoroch v závislosti od zložitosti poskytovanej služby;

iia) ak má toto zmluvné dojednanie vplyv na poskytovateľa IKT služieb v rámci skupiny v rámci tej istej skupiny, analyzuje sa na základe prístupu založeného na riziku;

ka) ustanovenie o spracúvaní osobných údajov externým poskytovateľom IKT služieb, ktoré má byť v súlade s nariadením (EÚ) 2016/679;

2a. Zmluvné dojednania o poskytovaní kritických alebo dôležitých funkcií zahŕňajú okrem odseku 2 aspoň:

a) výpovedné lehoty a ohlasovacie povinnosti externého poskytovateľa IKT služieb voči finančnému subjektu vrátane oznamovania akéhokoľvek vývoja, ktorý môže mať významný vplyv na schopnosť externého poskytovateľa IKT služieb účinne vykonávať kritické alebo dôležité funkcie v súlade s dohodnutými úrovňami služieb;

b) právo priebežne monitorovať výkonnosť externého poskytovateľa IKT služieb, ktoré zahŕňa:

i)  práva na prístup, kontrolu a audit vykonávané finančným subjektom alebo vymenovanou treťou stranou, ako aj právo kontrolovať kópie príslušnej dokumentácie na mieste, ak sú kritické pre operácie externého poskytovateľa IKT služieb, ktorých účinnému vykonávaniu nebránia ani ich neobmedzujú iné zmluvné dojednania alebo vykonávacie politiky;

ii)  právo dohodnúť sa na alternatívnych úrovniach uistenia, ak sú dotknuté práva iných klientov;

iii)  záväzok externého poskytovateľa IKT služieb plne spolupracovať počas kontrol na mieste a auditov vykonávaných príslušnými orgánmi, hlavným orgánom dozoru, finančným subjektom alebo vymenovanou treťou stranou a podrobnosti o rozsahu, spôsoboch a frekvencii takýchto kontrol a auditov;

Odchylne od písmena b) sa externý poskytovateľ IKT služieb a finančný subjekt môžu dohodnúť, že práva na prístup, kontrolu a audit možno delegovať na nezávislú tretiu stranu, ktorú určí externý poskytovateľ IKT služieb, a že finančný subjekt môže kedykoľvek od tretej strany požadovať informácie a uistenie o výkonnosti externého poskytovateľa IKT služieb.

2b. Zmluvné dojednania o poskytovaní IKT služieb externým poskytovateľom IKT služieb usadeným v tretej krajine a určeným ako kritický podľa článku 28 ods. 9, okrem odsekov 2 a 2a tohto článku:

a) stanovujú, že zmluva sa riadi právom členského štátu; a

b)  zaručujú, že spoločný orgán dozoru a hlavný orgán dozoru môžu plniť svoje povinnosti uvedené v článku 30 na základe ich právomocí stanovených v článku 31.

V prípade služieb, na ktoré sa uzatvárajú zmluvné dojednania, sa nevyžaduje, aby ich vykonával podnik zriadený v Únii podľa práva členského štátu.

3. Pri rokovaniach o zmluvných dojednaniach finančné subjekty a externí poskytovatelia IKT služieb zvážia použitie štandardných zmluvných doložiek vypracovaných pre konkrétne služby.

3a. Príslušné orgány musia mať možnosť prístupu k zmluvným dojednaniam uvedeným v tomto článku. Strany týchto zmluvných dojednaní sa môžu dohodnúť na úprave obchodne citlivých alebo dôverných informácií pred udelením takéhoto prístupu príslušným orgánom pod podmienkou, že príslušné orgány budú plne informované o rozsahu a povahe úprav.

4. Európske orgány dohľadu vypracujú prostredníctvom spoločného výboru návrh regulačných technických predpisov na bližšie spresnenie prvkov, ktoré finančný subjekt musí určiť a posúdiť, keď zadáva kritické alebo dôležité funkcie subdodávateľovi, s cieľom náležite uplatniť ustanovenia odseku 2 písm. a). Európske orgány dohľadu pri vypracúvaní uvedeného návrhu regulačných technických predpisov zohľadňujú veľkosť finančných subjektov, povahu, rozsah a zložitosť ich služieb, činností a operácií a ich celkový rizikový profil.

Európske orgány dohľadu predložia tento návrh regulačných technických predpisov Komisii do [Úrad pre publikácie: vložte dátum 18 mesiacov po nadobudnutí účinnosti].

Na Komisiu sa deleguje právomoc doplniť toto nariadenie prijatím regulačných technických predpisov uvedených v prvom pododseku v súlade s článkami 10 až 14 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1095/2010 a (EÚ) č. 1094/2010.

 

 


ODDIEL II

RÁMEC DOZORU NAD EXTERNÝMI POSKYTOVATEĽMI KRITICKÝCH IKT SLUŽIEB

Článok 28

Určenie externých poskytovateľov kritických IKT služieb

1. Európske orgány dohľadu prostredníctvom spoločného výboru a na základe odporúčania orgánu dozoru zriadeného podľa článku 29 ods. 1 a po konzultácii s agentúrou ENISA:

a) určia externých poskytovateľov IKT služieb, ktorí sú pre finančné subjekty kritické, pričom zohľadnia kritériá uvedené v odseku 2;

b) určia buď orgán EBA, ESMA alebo EIOPA za hlavný orgán dozoru pre každého externého poskytovateľa kritických IKT služieb, a to v závislosti od toho, či celková hodnota aktív finančných subjektov využívajúcich služby tohto externého poskytovateľa kritických IKT služieb, na ktorých sa vzťahuje jedno z nariadení (EÚ) č. 1093/2010 (EÚ), č. 1094/2010 alebo (EÚ) č. 1095/2010, predstavuje viac ako polovicu hodnoty celkových aktív všetkých finančných subjektov využívajúcich služby externého poskytovateľa kritických IKT služieb, ako je vykázané v konsolidovaných súvahách alebo v individuálnych súvahách, ak súvahy nie sú konsolidované, uvedených finančných subjektov.

 Hlavný orgán dozoru vymenovaný v súlade s prvým pododsekom písm. b) je zodpovedný za každodenný dozor nad externým poskytovateľom kritických IKT služieb.

2. Určenie uvedené v odseku 1 písm. a) musí vychádzať zo všetkých týchto kritérií:

a) systémový vplyv na stabilitu, kontinuitu alebo kvalitu poskytovania finančných služieb, ak by príslušný externý poskytovateľ IKT služieb čelil rozsiahlemu prevádzkovému zlyhaniu poskytovania svojich služieb, so zohľadnením počtu finančných subjektov, ktorým príslušný externý poskytovateľ IKT služieb poskytuje služby;

b)  systémový charakter alebo význam finančných subjektov, ktoré závisia od príslušného externého poskytovateľa IKT služieb, posudzovaný v súlade s týmito parametrami:

 i) počet globálne systémovo významných inštitúcií (G-SII) alebo inak systémovo významných inštitúcií (O-SII), ktoré závisia od príslušného externého poskytovateľa IKT služieb;

 ii) vzájomná závislosť medzi G-SII alebo O-SII uvedených v bode i) a inými finančnými subjektmi vrátane situácií, keď G-SII alebo O-SII poskytujú služby finančnej infraštruktúry iným finančným subjektom;

c) závislosť finančných subjektov od služieb, ktoré poskytuje príslušný externý poskytovateľ IKT služieb v súvislosti s kritickými alebo dôležitými funkciami finančných subjektov, ktoré v konečnom dôsledku zahŕňajú toho istého externého poskytovateľa IKT služieb, a to bez ohľadu na to, či finančné subjekty závisia od uvedených služieb priamo alebo nepriamo alebo prostredníctvom subdodávateľských dohôd;

d) stupeň nahraditeľnosti externého poskytovateľa IKT služieb pri zohľadnení týchto parametrov:

i) neexistencia skutočných, aj čiastočných, alternatív z dôvodu obmedzeného počtu externých poskytovateľov IKT služieb na konkrétnom trhu, alebo trhový podiel príslušného externého poskytovateľa IKT služieb, alebo súvisiaca technická zložitosť či prepracovanosť, a to aj vo vzťahu k akejkoľvek proprietárnej technológii, alebo osobitosti organizácie alebo činnosti daného externého poskytovateľa IKT služieb;

ii) ťažkosti s čiastočným alebo úplným presunom príslušných údajov a pracovným zaťažením príslušného externého poskytovateľa IKT služieb na iného externého poskytovateľa IKT služieb, a to buď z dôvodu značných finančných nákladov, času alebo iného druhu zdrojov, ktoré môže takýto presun predstavovať, alebo z dôvodu zvýšených IKT rizík alebo iných prevádzkových rizík, ktorým môže byť finančný subjekt vystavený pri takomto presune;

e) počet členských štátov, v ktorých príslušný externý poskytovateľ IKT služieb poskytuje služby;

f) počet členských štátov, v ktorých finančné subjekty využívajúce služby príslušného externého poskytovateľa IKT služieb pôsobia;

fa) významnosť a dôležitosť služieb, ktoré poskytuje príslušný externý poskytovateľ IKT služieb.

2a. Spoločný orgán dozoru pred začatím svojho posúdenia na účely určovania podľa odseku 1 písm. a) o tom informuje externého poskytovateľa IKT služieb.

 Spoločný orgán dozoru oznámi externému poskytovateľovi IKT služieb výsledok posúdenia uvedeného v prvom pododseku tým, že predloží návrh odporúčania na označenie kritickosti. Externý poskytovateľ IKT služieb môže do šiestich týždňov odo dňa prijatia uvedeného návrhu odporúčania predložiť spoločnému orgánu dozoru odôvodnené vyhlásenie o posúdení. Uvedené odôvodnené vyhlásenie obsahuje všetky relevantné dodatočné informácie, ktoré externý poskytovateľ IKT služieb považuje za vhodné s cieľom podporiť úplnosť a presnosť postupu označovania alebo napadnúť návrh odporúčania na označenie kritickosti. Spoločný výbor európskych orgánov dohľadu toto odôvodnené vyhlásenie náležite zohľadní a pred prijatím rozhodnutia o určení môže od externého poskytovateľa IKT služieb požadovať ďalšie informácie alebo dôkazy.

 Spoločný výbor európskych orgánov dohľadu oznámi externému poskytovateľovi IKT služieb, že bol označený za kritického. Externý poskytovateľ IKT služieb má od dátumu doručenia oznámenia lehotu aspoň tri mesiace na to, aby urobil všetky potrebné úpravy, aby spoločný orgán dozoru mohol plniť svoje povinnosti podľa článku 30, ako aj na to, aby informoval finančné subjekty, ktorým externý poskytovateľ IKT služieb poskytuje služby. Spoločný orgán dozoru môže povoliť predĺženie lehoty na úpravy o maximálne obdobie troch mesiacov, ak o to požiada označený externý poskytovateľ IKT služieb, ktorý svoju žiadosť riadne zdôvodní.

3. Komisia je splnomocnená prijať delegovaný akt v súlade s článkom 50 s cieľom bližšie určiť kritériá uvedené v odseku 2.

4. Mechanizmus určovania uvedený v odseku 1 písm. a) sa nepoužije dovtedy, kým Komisia neprijme delegovaný akt v súlade s odsekom 3.

5. Mechanizmus určovania uvedený v odseku 1 písm. a) sa neuplatňuje v súvislosti s externými poskytovateľmi IKT služieb, ktorí podliehajú rámcom dozoru zriadeným na účely podpory úloh uvedených v článku 127 ods. 2 Zmluvy o fungovaní Európskej únie.

6. Spoločný orgán dozoru po konzultácii s agentúrou ENISA vypracuje, uverejní a pravidelne aktualizuje zoznam externých poskytovateľov kritických IKT služieb na úrovni Únie.

7. Na účely odseku 1 písm. a) príslušné orgány každoročne a súhrnne zasielajú správy uvedené v článku 25 ods. 4 spoločnému orgánu dozoru zriadenému podľa článku 29. Spoločný orgán dozoru posudzuje závislosť IKT finančných subjektov od tretej strany na základe informácií získaných od príslušných orgánov.

8. Externí poskytovatelia IKT služieb, ktorí nie sú zahrnutí v zozname uvedenom v odseku 6, môžu požiadať o zaradenie do tohto zoznamu.

 Na účely prvého pododseku externý poskytovateľ IKT služieb predloží odôvodnenú žiadosť orgánom EBA, ESMA alebo EIOPA, ktoré prostredníctvom spoločného výboru rozhodnú o tom, či zaradiť tohto externého poskytovateľa IKT služieb do uvedeného zoznamu v súlade s odsekom 1 písm. a).

 Rozhodnutie uvedené v druhom pododseku sa prijme a oznámi externému poskytovateľovi IKT služieb do šiestich mesiacov od prijatia žiadosti.

8a. Spoločný výbor európskych orgánov dohľadu na základe odporúčania spoločného orgánu dozoru určí externých poskytovateľov IKT služieb usadených v tretej krajine, ktorí sú kritickí pre finančné subjekty v súlade s odsekom 1 písm. a).

 Pri určovaní podľa prvého pododseku tohto odseku sa európske orgány dohľadu a spoločný orgán dozoru riadia procedurálnymi krokmi stanovenými v odseku 2a.

9. Finančné subjekty nesmú využívať externého poskytovateľa kritických IKT služieb usadeného v tretej krajine, pokiaľ tento externý poskytovateľ IKT služieb nemá podnik zriadený v Únii podľa práva členského štátu a neuzavrel zmluvné dojednania v súlade s článkom 27 ods. 2b.

Článok 29

Štruktúra rámca dozoru

1. Spoločný orgán dozoru sa zriaďuje na účely vykonávania dozoru nad IKT rizikom tretej strany vo všetkých finančných sektoroch a na účely vykonávania priameho dozoru nad externými poskytovateľmi IKT služieb, ktorí sú podľa článku 28 určení ako kritickí.

 Úloha spoločného orgánu dozoru sa obmedzuje na právomoci dozoru v súvislosti s IKT rizikami týkajúcimi sa IKT služieb, ktoré externí poskytovatelia kritických IKT služieb poskytujú finančným subjektom.

 Spoločný orgán dozoru pravidelne rokuje o relevantnom vývoji v oblasti IKT rizík a zraniteľností a podporuje konzistentný prístup pri monitorovaní IKT rizika tretej strany na úrovni Únie.

2. Spoločný orgán dozoru vykonáva každoročne kolektívne posudzovanie výsledkov a zistení činností dozoru vykonávaných v prípade všetkých externých poskytovateľov kritických IKT služieb a podporuje koordinačné opatrenia s cieľom zvýšiť digitálnu prevádzkovú odolnosť finančných subjektov, podporovať najlepšie postupy týkajúce sa riešenia rizika koncentrácie IKT a skúmať zmierňujúce faktory v prípade medzisektorových presunov rizika.

 Spoločný orgán dozoru predkladá komplexné referenčné hodnoty externých poskytovateľov kritických IKT služieb, ktoré má spoločný výbor prijať ako spoločné pozície európskych orgánov dohľadu v súlade s článkom 56 ods. 1 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1094/2010 a (EÚ) č. 1095/2010.

3. Spoločný orgán dozoru tvoria výkonní riaditelia európskych orgánov dohľadu, jeden zástupca na vysokej úrovni zo súčasných zamestnancov európskych orgánov dohľadu a jeden zástupca na vysokej úrovni z aspoň ôsmich príslušných vnútroštátnych orgánov.  ▌Jeden zástupca z Európskej komisie, výboru ESRB, ECB a agentúry ENISA a aspoň jeden nezávislý expert vymenovaný v súlade s odsekom 3a tohto článku sa zúčastňujú ako pozorovatelia.

Po každoročnom určení externých poskytovateľov kritických IKT služieb podľa článku 28 ods. 1 písm. a) spoločný výbor európskych orgánov dohľadu rozhodne, ktoré príslušné vnútroštátne orgány budú členmi spoločného orgánu dozoru, pričom zohľadní tieto faktory:

a)  počet externých poskytovateľov kritických IKT služieb usadených alebo poskytujúcich služby v danom členskom štáte;

b)  v akej miere finančné subjekty v členskom štáte využívajú externých poskytovateľov kritických IKT služieb;

c)  zodpovedajúce odborné znalosti príslušného vnútroštátneho orgánu;

d)  dostupné zdroje a kapacity príslušného vnútroštátneho orgánu;

e)  potrebu racionalizácie, flexibilnosti a efektívnosti fungovania a rozhodovania spoločného orgánu dozoru.

Spoločný orgán dozoru zdieľa svoju dokumentáciu a rozhodnutia so všetkými príslušnými vnútroštátnymi orgánmi, ktoré nie sú členmi spoločného orgánu dozoru.

Spoločný orgán dozoru podporujú pri jeho činnosti a pomáhajú mu špecializovaní zamestnanci európskych orgánov dohľadu.

3a. Spoločný orgán dozoru vymenuje nezávislého experta uvedeného v odseku 3 tohto článku za pozorovateľa na základe verejného a transparentného výberového procesu.

Nezávislý expert je vymenovaný na základe svojich odborných znalostí v oblasti finančnej stability, digitálnej prevádzkovej odolnosti a otázok bezpečnosti IKT na dvojročné obdobie.

Vymenovaní nezávislý expert nesmie zastávať žiadnu funkciu na vnútroštátnej úrovni, úrovni Únie ani na medzinárodnej úrovni. Nezávislý expert koná nezávisle a objektívne a výhradne v záujme Únie ako celku a nepožaduje ani neprijíma pokyny od inštitúcií alebo orgánov Únie, od žiadnej vlády členského štátu ani od akýchkoľvek iných verejných alebo súkromných subjektov.

Spoločný orgán dozoru môže rozhodnúť, že vymenuje viac ako jedného nezávislého experta ako pozorovateľa.

4. V súlade s článkom 16 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1094/2010 a (EÚ) č. 1095/2010 európske orgány dohľadu vydajú do [Úrad pre publikácie: vložte dátum 18 mesiacov po dátume nadobudnutia účinnosti tohto nariadenia] usmernenia o spolupráci medzi spoločným orgánom dozoru, hlavným orgánom dozoru a príslušnými orgánmi na účely tohto oddielu týkajúce sa podrobných postupov a podmienok v súvislosti s vykonávaním úloh medzi príslušnými orgánmi a spoločným orgánom dozoru, ako aj podrobností o výmene informácií potrebných na to, aby príslušné orgány zabezpečili kroky nadväzujúce na odporúčania adresované spoločným orgánom dozoru podľa článku 31 ods. 1 písm. d) externým poskytovateľom kritických IKT služieb.

5. Požiadavkami stanovenými v tomto oddiele nie je dotknuté uplatňovanie smernice (EÚ) 2016/1148 ani iných pravidiel Únie o dozore, ktoré sa vzťahujú na poskytovateľov v oblasti služieb cloud computingu.

6. Spoločný orgán dozoru ▌každoročne predkladá Európskemu parlamentu, Rade a Komisii správu o uplatňovaní tohto oddielu.

Článok 30

Úlohy hlavného orgánu dozoru

1. Hlavný orgán dozoru menovaný podľa článku 28 ods. 1 písm. b) vedie a koordinuje každodenný dozor nad externými poskytovateľmi kritických IKT služieb a je pre týchto externých poskytovateľov kritických IKT služieb hlavným kontaktným miestom.

1a. Hlavný orgán dozoru posudzuje, či každý externý poskytovateľ kritických IKT služieb zaviedol komplexné, riadne a účinné pravidlá, postupy, mechanizmy a opatrenia na riadenie IKT rizík, ktoré externý poskytovateľ kritických IKT služieb môže predstavovať pre finančné subjekty. Uvedené posúdenie sa v prvom rade zameriava na IKT služby podporujúce kritické alebo dôležité funkcie, ktoré externí poskytovatelia kritických IKT služieb poskytujú finančným subjektom, ale jeho rozsah môže byť širší, ak je to pre posúdenie rizík pre tieto funkcie relevantné.

2. Posúdenie uvedené v odseku 1a zahŕňa:

a) požiadavky na IKT s cieľom zaistiť najmä bezpečnosť, dostupnosť, kontinuitu, škálovateľnosť a kvalitu služieb, ktoré externý poskytovateľ kritických IKT služieb poskytuje finančným subjektom, ako aj schopnosť neustále zachovávať vysokú úroveň bezpečnosti, dôvernosti a integrity údajov;

b) fyzickú bezpečnosť prispievajúcu k zaisteniu bezpečnosti IKT vrátane bezpečnosti priestorov, zariadení a dátových centier;

c) procesy riadenia rizika vrátane politík riadenia IKT rizika, kontinuity činností v oblasti IKT a plánov obnovy po havárii v oblasti IKT;

d) mechanizmy správy a riadenia vrátane organizačnej štruktúry s jasnými, transparentnými a konzistentnými líniami zodpovednosti a pravidlami zodpovednosti umožňujúcimi účinné riadenie IKT rizika;

e) identifikáciu, monitorovanie a okamžité nahlasovanie závažných incidentov súvisiacich s IKT finančným subjektom, riadenie a riešenie týchto incidentov, najmä kybernetických útokov;

f) mechanizmy prenosnosti údajov, prenosnosti a interoperability aplikácií, ktoré zabezpečujú účinný výkon práv na ukončenie zmluvy finančnými subjektmi;

g) testovanie IKT systémov, infraštruktúry a kontrol;

h) audity IKT;

i) používanie príslušných vnútroštátnych a medzinárodných noriem uplatniteľných na poskytovanie IKT služieb externého poskytovateľa kritických IKT služieb finančným subjektom.

3. Vychádzajúc z posúdenia uvedeného v odseku 1a, ktoré vykonal hlavný orgán dozoru, spoločný orgán dozoru v koordinácii s hlavným orgánom dozoru a pod jeho vedením vypracuje a navrhne jasný, podrobný a odôvodnený individuálny plán dozoru v prípade každého externého poskytovateľa kritických IKT služieb.

Spoločný orgán dozoru pri príprave návrhu plánu dozoru konzultuje so všetkými relevantnými príslušnými orgánmi a jednotnými kontaktnými miestami uvedenými v článku 8 smernice (EÚ) 2016/1148 s cieľom zabezpečiť, aby nedošlo k nezrovnalostiam alebo duplicite s povinnosťami externého poskytovateľa kritických IKT služieb podľa uvedenej smernice.

Plán dozoru prijíma každoročne správna rada hlavného orgánu dozoru.

Pred prijatím sa návrh plánu dozoru oznamuje externému poskytovateľovi kritických IKT služieb.

Po doručení návrhu plánu dozoru má externý poskytovateľ kritických IKT služieb lehotu šesť týždňov na preskúmanie návrhu plánu dozoru a na predloženie odôvodneného vyhlásenia k tomuto návrhu. Toto odôvodnené vyhlásenie sa môže predložiť len vtedy, ak je externý poskytovateľ kritických IKT služieb schopný predložiť dôkazy o tom, že vykonanie plánu dozoru by malo neprimeraný vplyv na zákazníkov, na ktorých sa nevzťahuje toto nariadenie, alebo spôsobilo narušenie vo vzťahu k zákazníkom, alebo že existuje účinnejšie alebo efektívnejšie riešenie na riadenie identifikovaných IKT rizík. Ak sa takéto vyhlásenie predloží, externý poskytovateľ kritických IKT služieb navrhne spoločnému orgánu dozoru účinnejšie alebo efektívnejšie riešenie na dosiahnutie cieľov uvedených v návrhu plánu dozoru.

Pred prijatím plánu dozoru správna rada hlavného orgánu dozoru náležite zohľadní odôvodnené vyhlásenie a môže od externého poskytovateľa IKT služieb požadovať ďalšie informácie alebo dôkazy.

4. Keď sa ročné plány dozoru uvedené v odseku 3 prijmú a oznámia externým poskytovateľom kritických IKT služieb, príslušné orgány môžu prijať opatrenia týkajúce sa externých poskytovateľov kritických IKT služieb len po dohode so spoločným orgánom dozoru.

Článok 31

 Právomoci dozoru

1. Hlavný orgán dozoru má na účely plnenia povinností stanovených v tomto oddiele tieto právomoci, pokiaľ ide o služby poskytované externými poskytovateľmi kritických IKT služieb finančným subjektom:

a) požadovať všetky relevantné informácie a dokumentáciu v súlade s článkom 32;

b) vykonávať všeobecné vyšetrovania a kontroly na mieste v súlade s článkami 33 a 34;

c) žiadať o správy po ukončení činností dozoru, v ktorých sa bližšie spresnia prijaté opatrenia alebo nápravné opatrenia vykonané externými poskytovateľmi kritických IKT služieb v súvislosti s odporúčaniami uvedenými v odseku 1a;

1a. Na účely plnenia povinností stanovených v tomto oddiele a na základe informácií, ktoré získal hlavný orgán dozoru, a výsledkov vyšetrovaní vykonaných hlavným orgánom dozoru má spoločný orgán dozoru právomoc adresovať odporúčania týkajúce sa oblastí uvedených v článku 30 ods. 2, najmä pokiaľ ide o:

i) používanie osobitných požiadaviek alebo postupov v oblasti bezpečnosti a kvality IKT, najmä v súvislosti so zavádzaním opráv, aktualizácií, šifrovania a iných bezpečnostných opatrení, ktoré spoločný orgán dozoru považuje za dôležité na zaistenie bezpečnosti IKT služieb poskytovaných finančným subjektom;

ii) uplatňovanie podmienok vrátane ich technického vykonávania, na základe ktorých externí poskytovatelia kritických IKT služieb poskytujú služby finančným subjektom, ktoré spoločný orgán dozoru považuje za dôležité na zabránenie vytvoreniu jednotlivých miest zlyhania alebo ich rozšírenie, alebo na minimalizovanie možného systémového vplyvu v celom finančnom sektore Únie v prípade rizika koncentrácie IKT;

iii) po preskúmaní subdodávateľských dohôd vykonanom v súlade s článkami 32 a 33 vrátane dohôd o sub-outsorcingu, ktoré externí poskytovatelia kritických IKT služieb plánujú vykonať spolu s inými externými poskytovateľmi IKT služieb alebo so subdodávateľmi IKT usadenými v tretej krajine, akékoľvek plánované zadávanie zákaziek subdodávateľom vrátane sub-outsorcingu, ak sa spoločný orgán dozoru domnieva, že ďalšie zadávanie zákaziek subdodávateľom môže vyvolať riziká pre poskytovanie služieb finančným subjektom alebo riziká pre finančnú stabilitu;

iv) odstúpenie od uzatvorenia ďalších subdodávateľských dohôd, ak sú splnené tieto kumulatívne podmienky:

 plánovaný subdodávateľ je externým poskytovateľom IKT služieb alebo subdodávateľom IKT usadeným v tretej krajine a nemá podnik zriadený v Únii podľa práva členského štátu;

 zadávanie zákaziek subdodávateľom sa týka kritickej alebo dôležitej funkcie finančného subjektu;

 využívanie subdodávateľa bude mať za následok vážne a jasné riziká pre finančný subjekt alebo finančnú stabilitu finančného systému Únie.

1b. Právomoci uvedené v odsekoch 1 a 1a sa vo vzťahu k IKT službám, ktoré podporujú iné ako kritické alebo dôležité funkcie, ktoré poskytuje externý poskytovateľ kritických IKT služieb, vykonávajú v prípade potreby.

1c. Hlavný orgán dozoru a spoločný orgán dozoru pri výkone právomocí uvedených v odsekoch 1 a 1a tohto článku náležite zohľadňujú rámec stanovený smernicou (EÚ) 2016/1148 a v prípade potreby vedú konzultácie s relevantnými príslušnými orgánmi zriadenými uvedenou smernicou s cieľom zabrániť zbytočnej duplicite technických a organizačných opatrení, ktoré by sa mohli uplatňovať na externých poskytovateľov kritických IKT služieb podľa uvedenej smernice.

2. Pred finalizáciou a vydaním odporúčaní v súlade s odsekom 1a spoločný orgán dozoru informuje o svojich zámeroch externého poskytovateľa kritických IKT služieb a poskytne externému poskytovateľovi IKT služieb príležitosť poskytnúť informácie, o ktorých sa odôvodnene domnieva, že by sa mali zohľadniť pred finalizáciou odporúčania, alebo s cieľom napadnúť zamýšľané odporúčania. Medzi dôvody napadnutia odporúčania môže patriť skutočnosť, že na zákazníkov, na ktorých sa toto nariadenie nevzťahuje, by to malo neprimeraný vplyv alebo že by to spôsobilo narušenie vo vzťahu k týmto zákazníkom, alebo že existuje účinnejšie alebo efektívnejšie riešenie na riadenie identifikovaného rizika.

3. Externí poskytovatelia kritických IKT služieb spolupracujú v dobrej viere s hlavným orgánom dozoru a so spoločným orgánom dozoru a pomáhajú im pri plnení ich úloh.

4. Hlavný orgán dozoru môže v prípade úplného alebo čiastočného nedodržiavania opatrení, ktorých prijatie sa vyžaduje v súlade s odsekom 1 písm. a), b) alebo c), a po uplynutí lehoty najmenej 60 kalendárnych dní odo dňa, keď bolo externému poskytovateľovi kritických IKT služieb doručené oznámenie o opatrení, rozhodnúť o uložení pravidelnej platby penále s cieľom prinútiť externého poskytovateľa kritických IKT služieb, aby dodržiaval opatrenia.

4a. Hlavný orgán dozoru uloží pravidelnú platbu penále uvedenú v odseku 4 len ako poslednú možnosť a v prípadoch, keď externý poskytovateľ kritických IKT služieb nedodržal opatrenia, ktorých prijatie sa vyžaduje v súlade s odsekom 1 písm. a), b) alebo c).

5. Pravidelná platba penále uvedená v odseku 4 sa ukladá za každý deň až do dosiahnutia súladu a nie dlhšie ako šesť mesiacov po oznámení externému poskytovateľovi kritických IKT služieb.

6. Výška pravidelnej platby penále vypočítaná od dátumu stanoveného v rozhodnutí, ktorým sa ukladá pravidelná platba penále, predstavuje sumu až do 1 % priemerného denného celosvetového obratu externého poskytovateľa kritických IKT služieb v predchádzajúcom finančnom roku súvisiaceho so službami poskytovanými finančným subjektom, na ktoré sa vzťahuje toto nariadenie.

7. Platba penále je administratívnej povahy a je vymáhateľná. Vymáhanie sa riadi platnými predpismi občianskeho práva procesného toho členského štátu, na území ktorého sa kontroly a prístup uskutočňujú. Súdy dotknutého členského štátu majú právomoc rozhodovať o sťažnostiach týkajúcich sa protiprávneho výkonu vymáhania. Platby penále sa odvádzajú do všeobecného rozpočtu Európskej únie.

8. Európske orgány dohľadu zverejňujú všetky pravidelné platby penále, ktoré boli uložené, pokiaľ by ich zverejnenie vážne neohrozilo finančné trhy alebo nespôsobilo neprimeranú škodu zúčastneným stranám.

9. Pred uložením pravidelnej platby penále podľa odseku 4 hlavný orgán dozoru poskytne zástupcom externého poskytovateľa kritických IKT služieb, voči ktorému sa vedie konanie, možnosť vyjadriť sa k zisteniam a pri svojich rozhodnutiach vychádza len zo zistení, ku ktorým mal externý poskytovateľ kritických IKT služieb, voči ktorému sa vedie konanie, možnosť vyjadriť sa. Právo na obhajobu osôb, voči ktorým sa vedie konanie, sa počas konania plne rešpektuje. Majú právo na prístup k spisu s výhradou oprávnených záujmov iných osôb na ochranu ich obchodného tajomstva. Právo na prístup k spisu sa nevzťahuje na dôverné informácie alebo interné prípravné dokumenty hlavného orgánu dozoru.

Článok 32

Žiadosť o informácie

1. Hlavný orgán dozoru môže jednoduchou žiadosťou alebo rozhodnutím požadovať od externých poskytovateľov kritických IKT služieb, aby poskytli všetky informácie, ktoré hlavný orgán dozoru potrebuje na vykonávanie svojich povinností podľa tohto nariadenia, vrátane všetkých príslušných obchodných alebo prevádzkových dokumentov, zmlúv, dokumentácie o politikách, audítorských správ o bezpečnosti IKT, správ o incidentoch súvisiacich s IKT, ako aj akýchkoľvek informácií týkajúcich sa strán, prostredníctvom ktorých externý poskytovateľ kritických IKT služieb externe zabezpečuje prevádzkové funkcie alebo činnosti.

Od externých poskytovateľov kritických IKT služieb sa vyžaduje, aby poskytovali informácie uvedené v prvom pododseku len v súvislosti so službami poskytovanými finančným subjektom, na ktoré sa vzťahuje toto nariadenie a ktoré využívajú služby externých poskytovateľov kritických IKT služieb pre kritické alebo dôležité funkcie. Externí poskytovatelia kritických IKT služieb oznámia príslušnému finančnému subjektu žiadosti špecifické pre daný finančný subjekt.

2. Pri zasielaní jednoduchej žiadosti o informácie podľa odseku 1 hlavný orgán dozoru:

a) uvedie odkaz na tento článok ako právny základ žiadosti;

b) uvedie dôvod žiadosti;

c) uvedie, ktoré informácie žiada;

d) stanoví lehotu na poskytnutie informácií;

e) informuje zástupcu externého poskytovateľa kritických IKT služieb, od ktorého požaduje informácie, že nie je povinný tieto informácie poskytnúť, ale ak na žiadosť dobrovoľne odpovie, poskytnuté informácie nesmú byť nesprávne alebo zavádzajúce.

3. Pri žiadosti o poskytnutie informácií podľa odseku 1 na základe rozhodnutia hlavný orgán dozoru:

a) uvedie odkaz na tento článok ako právny základ žiadosti;

b) uvedie dôvod žiadosti;

c) uvedie, ktoré informácie žiada;

d) stanoví primeranú lehotu na poskytnutie informácií;

e) upozorní na pravidelné platby penále stanovené v článku 31 ods. 4 za poskytnutie neúplných požadovaných informácií alebo keď tieto informácie nebudú poskytnuté v lehote uvedenej v písmene d);

f) upozorní na právo odvolať sa voči rozhodnutiu na odvolaciu radu európskeho orgánu dohľadu a na právo žiadať o preskúmanie rozhodnutia Súdnym dvorom Európskej únie (ďalej len „Súdny dvor“) v súlade s článkami 60 a 61 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1094/2010 a (EÚ) č. 1095/2010.

4. Zástupcovia externého poskytovateľa kritických IKT služieb poskytujú požadované informácie. Riadne splnomocnení právnici môžu poskytovať informácie v mene svojich klientov. Za poskytnutie neúplných, nesprávnych alebo zavádzajúcich informácií ostávajú plne zodpovední externí poskytovatelia kritických IKT služieb.

5. Hlavný orgán dozoru bezodkladne zašle kópiu rozhodnutia o poskytnutí informácií príslušným orgánom finančných subjektov, ktoré využívajú služby externých poskytovateľov kritických IKT služieb.

Článok 33

Všeobecné vyšetrovania

1. Hlavný orgán dozoru, ktorému pomáha prieskumný tím uvedený v článku 35 ods. 1, môže na účely plnenia svojich povinností podľa tohto nariadenia vykonávať potrebné vyšetrovania externých poskytovateľov IKT služieb v súlade so zásadou proporcionality. Pri vedení vyšetrovaní hlavný orgán dozoru postupuje obozretne a zabezpečí ochranu práv zákazníkov externých poskytovateľov kritických IKT služieb, na ktorých sa toto nariadenie nevzťahuje, a to aj v súvislosti s vplyvom na úrovne služieb, dostupnosť údajov a dôvernosť.

2. Hlavný orgán dozoru je oprávnený:

a) preskúmavať záznamy, údaje, postupy a akékoľvek iné materiály vzťahujúce sa na plnenie jeho úloh bez ohľadu na médium, na ktorom sú uložené;

b) zabezpečeným spôsobom preskúmať overené kópie alebo výpisy z týchto záznamov, údajov, postupov a iných materiálov;

c) predvolávať zástupcov externého poskytovateľa IKT služieb, aby podali ústne alebo písomné vysvetlenie k skutočnostiam alebo dokumentom týkajúcim sa predmetu a dôvodu vyšetrovania, a zaznamenávať odpovede;

d) vypočuť akúkoľvek inú fyzickú alebo právnickú osobu, ktorá s týmto vypočutím súhlasí, s cieľom zhromaždiť informácie týkajúce sa predmetu vyšetrovania;

e) žiadať záznamy telefonickej a dátovej prevádzky.

3. Úradníci a iné osoby poverené hlavným orgánom dozoru na účely vyšetrovania uvedeného v odseku 1 vykonávajú svoje právomoci na základe písomného poverenia, v ktorom je uvedený predmet a dôvod vyšetrovania.

V uvedenom poverení sa takisto upozorní na pravidelné platby penále stanovené v článku 31 ods. 4, ak zástupcovia externého poskytovateľa IKT služieb neposkytli alebo poskytli len neúplné požadované záznamy, údaje, postupy alebo akékoľvek iné materiály či odpovede na položené otázky.

4. Zástupcovia externých poskytovateľov IKT služieb sú povinní podrobiť sa vyšetrovaniu na základe rozhodnutia hlavného orgánu dozoru. V rozhodnutí sa uvádza predmet a dôvod vyšetrovania, pravidelné platby penále stanovené v článku 31 ods. 4, opravné prostriedky dostupné na základe nariadení (EÚ) č. 1093/2010, (EÚ) č. 1094/2010 a (EÚ) č. 1095/2010, ako aj právo požiadať o preskúmanie rozhodnutia Súdnym dvorom.

5. Hlavný orgán dozoru informuje príslušné orgány finančných subjektov, ktoré využívajú služby externého poskytovateľa IKT služieb, o vyšetrovaní a o totožnosti poverených osôb, a to v primeranom čase pred vyšetrovaním.

Článok 34

Kontroly na mieste

1. Na účely vykonávania svojich povinnosti podľa tohto nariadenia môže hlavný orgán dozoru za pomoci prieskumných tímov uvedených v článku 35 ods. 1 vykonávať všetky potrebné kontroly na mieste a vstupovať do akýchkoľvek obchodných priestorov, na pozemky alebo majetok externých poskytovateľov IKT služieb, ako sú napríklad ústredia, prevádzkové strediská, vedľajšie priestory, ako aj vykonávať kontroly na diaľku.

Právomoc vykonávať kontroly na mieste uvedená v prvom pododseku sa neobmedzuje na miesta v Únii za predpokladu, že kontrola na mieste v tretej krajine spĺňa všetky tieto požiadavky:

 je potrebná na to, aby hlavný orgán dozoru plnil svoje povinnosti podľa tohto nariadenia;

 má priamu súvislosť s poskytovaním IKT služieb finančným subjektom Únie;

 je relevantná pre prebiehajúce vyšetrovanie.

1a.  Pri vykonávaní kontrol na mieste hlavný orgán dozoru a prieskumný tím postupujú obozretne a zabezpečia ochranu práv zákazníkov externých poskytovateľov kritických IKT služieb, na ktorých sa toto nariadenie nevzťahuje, a to aj v súvislosti s vplyvom na úrovne služieb, dostupnosť údajov a dôvernosť.

2. Úradníci a iné osoby poverené hlavným orgánom dozoru vykonávať kontroly na mieste môžu vstúpiť do všetkých takýchto obchodných priestorov, na pozemky alebo majetok a majú všetky právomoci zapečatiť všetky obchodné priestory a účtovné knihy alebo záznamy počas obdobia kontroly a v potrebnom rozsahu.

Svoje právomoci vykonávajú na základe písomného poverenia, v ktorom sa uvádza predmet a dôvod kontroly a pravidelné platby penále stanovené v článku 31 ods. 4, ak sa zástupcovia dotknutých externých poskytovateľov IKT služieb nepodrobia kontrole.

3. Hlavný orgán dozoru informuje príslušné orgány finančných subjektov, ktoré využívajú služby externého poskytovateľa IKT služieb, v primeranom čase pred kontrolou.

4. Kontroly sa vzťahujú na celú škálu príslušných IKT systémov, sietí, zariadení, informácií a údajov, ktoré hlavný dozorný orgán považuje za vhodné a technologicky relevantné, či už sa používajú na poskytovanie služieb finančným subjektom, alebo k nemu prispievajú.

5. Pred každou plánovanou kontrolou na mieste hlavný orgán dozoru primerane informuje externých poskytovateľov kritických IKT služieb s výnimkou prípadu, keď takéto oznámenie nie je možné z dôvodu núdzovej alebo krízovej situácie, alebo ak by to viedlo k situácii, keď by kontrola alebo audit už neboli účinné.

6. Externý poskytovateľ kritických IKT služieb sa podrobí kontrolám na mieste nariadeným na základe rozhodnutia hlavného orgánu dozoru. V rozhodnutí sa uvádza predmet a dôvod kontroly, stanoví sa v ňom dátum jej začatia a upozorní sa na pravidelné platby penále stanovené v článku 31 ods. 4, opravné prostriedky dostupné na základe nariadení (EÚ) č. 1093/2010, (EÚ) č. 1094/2010 a (EÚ) č. 1095/2010, ako aj na právo požiadať o preskúmanie rozhodnutia Súdnym dvorom.

7. Ak úradníci a iné osoby poverené hlavným orgánom dozoru zistia, že externý poskytovateľ kritických IKT služieb sa bráni kontrole nariadenej podľa tohto článku, hlavný orgán dozoru informuje externého poskytovateľa kritických IKT služieb o dôsledkoch takéhoto správania vrátane možnosti, aby príslušné orgány príslušných finančných subjektov ukončili zmluvné dojednania uzavreté s týmto externým poskytovateľom kritických IKT služieb.

Článok 35

Priebežný dozor

1. Pri vykonávaní všeobecných vyšetrovaní alebo kontrol na mieste hlavným orgánom dozoru pomáha prieskumný tím zriadený pre každého externého poskytovateľa kritických IKT služieb.

2. Spoločný prieskumný tím uvedený v odseku 1 tvoria zamestnanci hlavného orgánu dozoru, ostatných európskych orgánov dohľadu a dotknutých príslušných orgánov vykonávajúcich dohľad nad finančnými subjektmi, ktorým externý poskytovateľ kritických IKT služieb poskytuje služby, pričom do prípravy a vykonávania činností dozoru je zapojených a vykonáva ich maximálne 10 členov spoločného prieskumného tímu. Všetci členovia spoločného prieskumného tímu musia mať odborné znalosti v oblasti IKT rizika a prevádzkového rizika. Prácu spoločného prieskumného tímu koordinuje určený zamestnanec európskeho orgánu dohľadu (ďalej len „koordinátor hlavného orgánu dozoru“).

3. Európske orgány dohľadu prostredníctvom spoločného výboru vypracujú spoločný návrh regulačných technických predpisov s cieľom bližšie spresniť vymenúvanie členov spoločného prieskumného tímu pochádzajúcich z relevantných príslušných orgánov, ako aj úlohy a pracovné podmienky prieskumného tímu. Európske orgány dohľadu predložia tento návrh regulačných technických predpisov Komisii do [Úrad pre publikácie: vložte dátum 1 rok po nadobudnutí účinnosti].

Na Komisiu sa deleguje právomoc prijať regulačné technické predpisy uvedené v prvom pododseku v súlade s článkami 10 až 14 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1094/2010 a (EÚ) č. 1095/2010.

4. Spoločný orgán dozoru prijme do troch mesiacov od ukončenia vyšetrovania alebo kontroly na mieste odporúčania, ktoré sa majú adresovať externému poskytovateľovi kritických IKT služieb v súlade s právomocami uvedenými v článku 31.

5. Odporúčania uvedené v odseku 4 sa okamžite oznámia externému poskytovateľovi kritických IKT služieb a príslušným orgánom finančných subjektov, ktorým tento externý poskytovateľ kritických IKT služieb poskytuje služby.

Hlavný orgán dozoru a spoločný orgán dozoru môžu na účely plnenia činností dozoru zohľadniť akékoľvek príslušné certifikácie tretej strany a správy o internom alebo externom audite IKT tretej strany, ktoré sprístupnil externý poskytovateľ kritických IKT služieb.

Článok 36

Harmonizácia podmienok umožňujúcich vykonávanie dozoru

 

1. Európske orgány dohľadu vypracujú prostredníctvom spoločného výboru návrh regulačných technických predpisov s cieľom bližšie spresniť:

a) informácie, ktoré má poskytnúť externý poskytovateľ kritických IKT služieb v žiadosti o dobrovoľné zaradenie, ako sa stanovuje v článku 28 ods. 8;

b) obsah a formát správ, ktoré sa môžu požadovať na účely článku 31 ods. 1 písm. c);

c) predkladanie informácií vrátane štruktúry, formátov a metód, ktoré sa vyžadujú, aby ich externý poskytovateľ kritických IKT služieb predložil, zverejnil alebo nahlasoval podľa článku 31 ods. 1;

d) podrobnosti o tom, ako príslušné orgány posudzujú opatrenia prijaté externými poskytovateľmi kritických IKT služieb na základe odporúčaní spoločného orgánu dozoru podľa článku 37 ods. 2.

2. Európske orgány dohľadu predložia tento návrh regulačných technických predpisov Komisii do 1. januára 20xx [Úrad pre publikácie: vložte dátum 1 rok po nadobudnutí účinnosti].

Na Komisiu sa deleguje právomoc doplniť toto nariadenie prijatím regulačných technických predpisov uvedených v prvom pododseku v súlade postupmi stanovenými v článkoch 10 až 14 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1094/2010 a (EÚ) č. 1095/2010.

Článok 37

Následné opatrenia príslušných orgánov

1. Do 30 kalendárnych dní od prijatia odporúčaní vydaných spoločným orgánom dozoru podľa článku 31 ods. 1a externí poskytovatelia kritických IKT služieb oznámia spoločnému orgánu dozoru, či majú v úmysle postupovať podľa týchto odporúčaní. Spoločný orgán dozoru okamžite postúpi tieto informácie príslušným orgánom dotknutých finančných subjektov.

2. Príslušné orgány informujú finančné subjekty, ktoré uzavreli zmluvné dojednania s externými poskytovateľmi kritických IKT služieb, o rizikách identifikovaných v odporúčaniach, ktoré spoločný orgán dozoru adresoval týmto externým poskytovateľom kritických IKT služieb v súlade s článkom 31 ods. 1a, a monitorujú, či finančné subjekty zohľadňujú identifikované riziká. Spoločný orgán dozoru monitoruje, či externí poskytovatelia kritických IKT služieb riešia riziká identifikované v uvedených odporúčaniach.

3. Ak regulačné ciele nie je možné zaistiť inými opatreniami a príslušné vnútroštátne orgány dotknutým finančným subjektom vydali varovania na základe informácií poskytnutých spoločným orgánom dozoru, správna rada hlavného orgánu dozoru môže na základe odporúčania spoločného orgánu dozoru a po konzultácii s príslušnými orgánmi dotknutých finančných subjektov rozhodnúť o tom, aby čiastočne alebo úplne dočasne pozastavili používanie alebo zavádzanie služby poskytovanej finančným subjektom vystaveným rizikám identifikovaným v odporúčaniach adresovaných externým poskytovateľom kritických IKT služieb, a to dovtedy, pokiaľ sa uvedené riziká nevyriešia. V prípade potreby a ako krajné opatrenie môžu od externých poskytovateľov kritických IKT služieb požadovať, aby čiastočne alebo úplne ukončili príslušné zmluvné dojednania uzavreté s finančnými subjektmi vystavenými identifikovaným rizikám.

4. Pri prijímaní rozhodnutí uvedených v odseku 3 správna rada hlavného orgánu dozoru zohľadňuje druh a rozsah rizika, ktoré externý poskytovateľ kritických IKT služieb nerieši, ako aj závažnosť nedodržiavania odporúčaní, a to so zreteľom na tieto kritériá:

a) závažnosť a trvanie nedodržiavania odporúčaní;

b) či sa nedodržiavaním odporúčaní odhalili závažné nedostatky v postupoch, systémoch riadenia, riadení rizík a vnútorných kontrolách externého poskytovateľa kritických IKT služieb;

c) či sa uľahčilo alebo umožnilo spáchanie finančného trestného činu alebo či tento trestný čin možno inak pripísať nedodržiavaniu odporúčaní;

d) či k nedodržiavaniu odporúčaní došlo úmyselne alebo z nedbanlivosti;

da) či pozastavenie alebo ukončenie predstavuje riziko prerušenia obchodných činností používateľa služieb externého poskytovateľa kritických IKT služieb.

4a. Rozhodnutia podľa odseku 3 sa vykonajú až po tom, ako o nich boli všetky dotknuté finančné subjekty riadne informované. Dotknutým finančným subjektom sa poskytne lehota, ktorá nesmie presiahnuť rámec toho, čo je nevyhnutne potrebné, aby upravili svoje dohody o externom zabezpečovaní a zmluvné dojednania s externými poskytovateľmi kritických IKT služieb tak, aby neohrozovali digitálnu prevádzkovú odolnosť a vykonali svoje stratégie ukončenia angažovanosti a prechodné plány podľa článku 25.

Externí poskytovatelia kritických IKT služieb, na ktorých sa vzťahujú rozhodnutia podľa odseku 3, plne spolupracujú s dotknutými finančnými subjektmi.

5. Príslušné orgány pravidelne informujú spoločný orgán dozoru o prístupoch a opatreniach prijatých v rámci ich úloh dohľadu vo vzťahu k finančným subjektom.

Článok 38

Poplatky za dozor

1. Európske orgány dohľadu účtujú externým poskytovateľom kritických IKT služieb poplatky, ktoré v plnej miere pokrývajú potrebné výdavky európskych orgánov dohľadu v súvislosti s vykonávaním úloh dozoru podľa tohto nariadenia, vrátane úhrady všetkých nákladov, ktoré môžu vzniknúť v dôsledku práce vykonanej príslušnými orgánmi zapojenými do činností dozoru v súlade s článkom 35.

Výška poplatku účtovaného externému poskytovateľovi kritických IKT služieb pokrýva všetky náklady vyplývajúce z vykonávania povinností stanovených v tomto oddiele a je úmerná jeho obratu.

1a.  Ak sa uzatvorí administratívne dojednanie s regulačným orgánom a orgánom dohľadu tretej krajiny v súlade s odsekom 1 tohto článku, tento orgán môže byť súčasťou prieskumného tímu uvedeného v článku 35 ods. 1.

2. Komisia je splnomocnená prijať delegovaný akt v súlade s článkom 50 s cieľom doplniť toto nariadenie určením výšky poplatkov a spôsobu ich úhrady.

Článok 39

Medzinárodná spolupráca

1. Orgány EBA, ESMA a EIOPA môžu v súlade s článkom 33 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1094/2010 a (EÚ) č. 1095/2010 uzatvárať administratívne dojednania s regulačnými orgánmi a orgánmi dohľadu tretích krajín s cieľom posilniť medzinárodnú spoluprácu v oblasti IKT rizika tretej strany v rôznych finančných sektoroch, a to najmä vypracovaním najlepších postupov na preskúmanie postupov a kontrol riadenia IKT rizika, zmierňujúcich opatrení a reakcií na incidenty.

2. Európske orgány dohľadu predkladajú prostredníctvom spoločného výboru každých päť rokov Európskemu parlamentu, Rade a Komisii spoločnú dôvernú správu, v ktorej zhrnú zistenia príslušných diskusií s orgánmi tretích krajín uvedenými v odseku 1, pričom sa zamerajú na vývoj IKT rizika tretej strany a dôsledky pre finančnú stabilitu, integritu trhu, ochranu investorov alebo fungovanie jednotného trhu.


 

KAPITOLA VI

DOJEDNANIA O VÝMENE INFORMÁCIÍ

Článok 40

Dojednania o výmene informácií týkajúce sa informácií a spravodajských informácií o kybernetických hrozbách

1. Finančné subjekty sa usilujú medzi sebou a s externými poskytovateľmi IKT služieb si vymieňať informácie a spravodajské informácie o kybernetických hrozbách vrátane ukazovateľov ohrozenia, taktík, techník a postupov, kybernetických bezpečnostných varovaní a konfiguračných nástrojov v takom rozsahu, aby sa takáto výmena informácií a spravodajských informácií:

a) zameriavala na posilňovanie digitálnej prevádzkovej odolnosti finančných subjektov a externých poskytovateľov IKT služieb, najmä zvyšovaním informovanosti o kybernetických hrozbách, obmedzovaním alebo zabránením schopnosti šírenia kybernetických hrozieb, podporou obranných spôsobilostí, techník odhaľovania hrozieb, stratégií zmierňovania alebo fáz reakcie a obnovy;

b) uskutočňovala v rámci dôveryhodných komunít finančných subjektov a externých poskytovateľov IKT služieb;

c) vykonávala prostredníctvom dojednaní o výmene informácií, ktoré chránia potenciálne citlivú povahu vymieňaných informácií a ktoré sa riadia pravidlami správania pri plnom rešpektovaní obchodného tajomstva, ochrany osobných údajov[26] a usmernení pre politiku hospodárskej súťaže[27].

2. Na účely odseku 1 písm. c) sa v dojednaniach o výmene informácií vymedzia podmienky účasti a podľa vhodnosti sa v nich stanovia podrobnosti o zapojení verejných orgánov a rozsah, v ktorom sa tieto orgány môžu pridružiť k dojednaniam o výmene informácií, ako aj o prevádzkových prvkoch vrátane využívania špecializovaných platforiem IT.

3. Finančné subjekty oznámia príslušným orgánom svoju účasť na dojednaniach o výmene informácií uvedených v odseku 1 po potvrdení ich členstva alebo prípadne ukončení ich členstva, keď nadobudne účinnosť.


 

KAPITOLA VII

PRÍSLUŠNÉ ORGÁNY

Článok 41

Príslušné orgány

Bez toho, aby boli dotknuté ustanovenia týkajúce sa rámca dozoru pre externých poskytovateľov kritických IKT služieb uvedené v oddiele II kapitoly V tohto nariadenia, súlad s povinnosťami stanovenými v tomto nariadení zabezpečujú tieto príslušné orgány v súlade s právomocami udelenými príslušnými právnymi aktmi:

a) v prípade úverových inštitúcií: príslušný orgán určený v súlade s článkom 4 smernice 2013/36/EÚ bez toho, aby boli dotknuté osobitné úlohy, ktoré boli ECB udelené nariadením (EÚ) č. 1024/2013;

b) v prípade poskytovateľov platobných služieb: príslušný orgán určený v súlade s článkom 22 smernice (EÚ) 2015/2366;

c) v prípade inštitúcií pre elektronické platby: príslušný orgán určený v súlade s článkom 37 smernice 2009/110/ES;

d) v prípade investičných spoločností: príslušný orgán určený v súlade s článkom 4 smernice (EÚ) 2019/2034;

e) v prípade poskytovateľov služieb kryptoaktív, emitentov kryptoaktív a ponúkajúcich, ktorí ponúkajú kryptoaktíva, emitentov tokenov krytých aktívami a ponúkajúcich, ktorí ponúkajú tokeny kryté aktívami, a emitentov významných tokenov krytých aktívami: príslušný orgán určený v súlade s článkom 3 ods. 1 písm. ee) prvou zarážkou [nariadenia (EÚ) 20xx MICA];

f) v prípade centrálnych depozitárov cenných papierov a prevádzkovateľov systémov vyrovnania transakcií s cennými papiermi: príslušný orgán určený v súlade s článkom 11 nariadenia (EÚ) č. 909/2014;

g) v prípade centrálnych protistrán: príslušný orgán určený v súlade s článkom 22 nariadenia (EÚ) č. 648/2012;

h) v prípade obchodných miest a poskytovateľov služieb vykazovania údajov: príslušný orgán určený v súlade s článkom 67 smernice 2014/65/EÚ;

i) v prípade archívov obchodných údajov: príslušný orgán určený v súlade s článkom 55 nariadenia (EÚ) č. 648/2012;

j) v prípade správcov alternatívnych investičných fondov: príslušný orgán určený v súlade s článkom 44 smernice 2011/61/EÚ;

k) v prípade správcovských spoločností: príslušný orgán určený v súlade s článkom 97 smernice 2009/65/ES;

l) v prípade poisťovní a zaisťovní: príslušný orgán určený v súlade s článkom 30 smernice 2009/138/ES;

m) v prípade sprostredkovateľov poistenia, sprostredkovateľov zaistenia a sprostredkovateľov doplnkového poistenia: príslušný orgán určený v súlade s článkom 12 smernice (EÚ) 2016/97;

n) v prípade inštitúcií zamestnaneckého dôchodkového zabezpečenia: príslušný orgán určený v súlade s článkom 47 smernice (EÚ) 2016/2341;

o) v prípade ratingových agentúr: príslušný orgán určený v súlade s článkom 21 nariadenia (ES) č. 1060/2009;

p) v prípade štatutárnych audítorov a audítorských spoločností: príslušný orgán určený v súlade s článkom 3 ods. 2 a článkom 32 smernice 2006/43/ES;

q) v prípade správcov kritických referenčných hodnôt: príslušný orgán určený v súlade s článkami 40 a 41 nariadenia (EÚ) 2016/1011;

r) v prípade poskytovateľov služieb hromadného financovania: príslušný orgán určený v súlade s článkom 29 nariadenia (EÚ) 2020/1503;

s) v prípade archívov sekuritizačných údajov: príslušný orgán určený v súlade s článkom 10 a článkom 14 ods. 1 nariadenia (EÚ) 2017/2402.

 

Článok 42

Spolupráca so štruktúrami a orgánmi zriadenými smernicou (EÚ) 2016/1148

1. S cieľom podporiť spoluprácu a umožniť výmenu informácií v oblasti dohľadu medzi príslušnými orgánmi určenými podľa tohto nariadenia a skupinou pre spoluprácu zriadenou článkom 11 smernice (EÚ) 2016/1148 sa európske orgány dohľadu a príslušné orgány vyzývajú, aby sa zúčastnili na činnosti skupiny pre spoluprácu, pokiaľ sa táto činnosť týka činností dohľadu, resp. dozoru vo vzťahu k subjektom uvedeným v bode 7 prílohy II k smernici (EÚ) 2016/1148, ktoré boli podľa článku 28 tohto nariadenia tiež označené za externých poskytovateľov kritických IKT služieb.

2. Príslušné orgány môžu podľa vhodnosti vykonávať konzultácie s jednotným kontaktným miestom uvedeným v článku 8 smernice (EÚ) 2016/1148 a vnútroštátnymi jednotkami pre riešenie počítačových bezpečnostných incidentov uvedenými v článku 9 smernice (EÚ) 2016/1148.

2a. Pred vykonaním všeobecných vyšetrovaní a kontrol na mieste v súlade s článkami 33 a 34 tohto nariadenia hlavný orgán dozoru informuje príslušné orgány určené podľa smernice (EÚ) 2016/1148 a spolupracuje s nimi.

 

Článok 43

Finančné medzisektorové cvičenia, komunikácia a spolupráca

1. Európske orgány dohľadu môžu prostredníctvom spoločného výboru a v spolupráci s príslušnými orgánmi, ECB, Jednotnou radou pre riešenie krízových situácií, pokiaľ ide o informácie týkajúce sa subjektov, ktoré patria do rozsahu pôsobnosti nariadenia (EÚ) č. 806/2014, a výborom ESRB vytvoriť mechanizmy, ktoré umožnia výmenu účinných postupov vo finančných sektoroch s cieľom zlepšiť situačnú informovanosť a identifikovať spoločné kybernetické zraniteľnosti a riziká naprieč sektormi.

Môžu vypracovať cvičenia týkajúce sa krízového riadenia, ako aj krízových udalostí zahŕňajúce scenáre kybernetického útoku, aby sa vyvinuli komunikačné kanály a postupne umožnila účinná koordinovaná reakcia na úrovni EÚ v prípade závažného cezhraničného incidentu súvisiaceho s IKT alebo závažnej kybernetickej hrozby majúcej systémový vplyv na finančný sektor Únie ako celok.

Týmito cvičeniami sa môžu v prípade potreby takisto testovať závislosti finančného sektora od ostatných hospodárskych odvetví.

2. Príslušné orgány, orgány EBA, ESMA alebo EIOPA, ako aj ECB, vnútroštátne orgány pre riešenie krízových situácií a Jednotná rada pre riešenie krízových situácií, pokiaľ ide o informácie týkajúce sa subjektov, ktoré patria do rozsahu pôsobnosti nariadenia (EÚ) č. 806/2014, navzájom úzko spolupracujú a vymieňajú si informácie na plnenie svojich povinností podľa článkov 42 až 48. Úzko koordinujú dohľad, ktorý vykonávajú, s cieľom identifikovať a odstrániť porušenia tohto nariadenia, rozvíjať a podporovať najlepšie postupy, uľahčovať spoluprácu, posilňovať jednotnosť výkladu a v prípade akýchkoľvek sporov vykonávať posúdenia na základe viacerých jurisdikcií.

 

 

Článok 44

Administratívne sankcie a nápravné opatrenia

1. Príslušné orgány musia mať všetky potrebné právomoci v oblasti dohľadu, vyšetrovania a ukladania sankcií na plnenie svojich povinností podľa tohto nariadenia.

2. Právomoci uvedené v odseku 1 zahŕňajú prinajmenšom právomoci:

a) mať prístup ku každému dokumentu alebo údaju v akejkoľvek forme, ktorý príslušný orgán považuje za dôležitý pre výkon svojich úloh, a dostať alebo si urobiť jeho kópiu;

b) vykonávať kontroly na mieste alebo vyšetrovania;

c) požadovať opravné a nápravné opatrenia v prípade porušení požiadaviek tohto nariadenia.

3. Bez toho, aby bolo dotknuté právo členských štátov ukladať trestnoprávne sankcie podľa článku 46, členské štáty stanovia pravidlá, ktorými sa zavádzajú primerané administratívne sankcie a nápravné opatrenia za porušenia tohto nariadenia, a zabezpečia ich účinné vykonávanie.

Tieto sankcie a opatrenia musia byť účinné, primerané a odrádzajúce.

4. Členské štáty udelia príslušným orgánom právomoc uplatňovať aspoň tieto administratívne sankcie alebo nápravné opatrenia za porušenia tohto nariadenia:

a) vydať príkaz, ktorým sa od fyzickej alebo právnickej osoby požaduje, aby upustila od konania a zdržala sa opakovania tohto konania;

b) požadovať dočasné alebo trvalé ukončenie uplatňovania akéhokoľvek postupu alebo správania, ktoré sa považuje za v rozpore s ustanoveniami tohto nariadenia, a zabrániť opakovanému uplatneniu takéhoto postupu alebo správania;

c) prijať akýkoľvek druh opatrenia vrátane opatrenia peňažnej povahy s cieľom zabezpečiť, aby finančné subjekty naďalej dodržiavali právne požiadavky;

d) požadovať, ak to povoľuje vnútroštátne právo, existujúce záznamy o prenose údajov, ktoré má telekomunikačný operátor, ak existuje dôvodné podozrenie porušenia tohto nariadenia a ak takéto záznamy môžu byť relevantné pri vyšetrovaní porušení tohto nariadenia; a

e) vydávať verejné oznámenia vrátane verejných vyhlásení, v ktorých sa uvádza totožnosť fyzickej alebo právnickej osoby a povaha porušenia.

5. Ak sa ustanovenia uvedené v odseku 2 písm. c) a v odseku 4 vzťahujú na právnické osoby, členské štáty udelia príslušným orgánom právomoc uplatňovať administratívne sankcie a nápravné opatrenia, s výhradou podmienok stanovených vo vnútroštátnom práve, voči členom riadiaceho orgánu a voči ďalším osobám, ktoré sú podľa vnútroštátneho práva zodpovedné za porušenie.

6. Členské štáty zabezpečia, aby každé rozhodnutie o uložení administratívnych sankcií alebo nápravných opatrení stanovených v odseku 2 písm. c) bolo riadne odôvodnené a podliehalo právu odvolať sa.

 

Článok 45

Výkon právomoci ukladať administratívne sankcie a nápravné opatrenia

1. Príslušné orgány vykonávajú právomoc ukladať administratívne sankcie a nápravné opatrenia uvedené v článku 44 v súlade so svojimi vnútroštátnymi právnymi rámcami, ak je to vhodné:

a) priamo;

b) v spolupráci s inými orgánmi;

c) v rámci svojej zodpovednosti delegovaním na iné orgány;

d) podaním žiadosti na príslušné súdne orgány.

2. Pri určovaní druhu a úrovne administratívnej sankcie alebo nápravného opatrenia, ktoré sa majú uložiť podľa článku 44, príslušné orgány zohľadňujú rozsah, v ktorom je porušenie úmyselné alebo vyplýva z nedbanlivosti, a všetky iné relevantné okolnosti, a to aj, ak je to relevantné:

a) významnosť, závažnosť a trvanie porušenia;

b) mieru zodpovednosti fyzickej alebo právnickej osoby, ktorá je zodpovedná za porušenie;

c) finančnú silu zodpovednej fyzickej alebo právnickej osoby;

d) rozsah ziskov, ktoré zodpovedná fyzická alebo právnická osoba dosiahla, alebo strát, ktorým zabránila, pokiaľ ich možno určiť;

e) straty tretích strán spôsobené porušením, pokiaľ ich možno určiť;

f) úroveň spolupráce zodpovednej fyzickej alebo právnickej osoby s príslušným orgánom bez toho, aby tým bola dotknutá potreba zabezpečiť vrátenie ziskov, ktoré táto osoba dosiahla, alebo strát, ktorým zabránila;

g) predchádzajúce porušenia, ktorých sa dopustila zodpovedná fyzická alebo právnická osoba.

 

Článok 46

Trestnoprávne sankcie

1. Členské štáty sa môžu rozhodnúť, že nestanovia pravidlá týkajúce sa administratívnych sankcií alebo nápravných opatrení za porušenia, na ktoré sa podľa ich vnútroštátneho práva vzťahujú trestnoprávne sankcie.

2. Ak sa členské štáty rozhodli, že stanovia trestnoprávne sankcie za porušenia tohto nariadenia, zabezpečia zavedenie primeraných opatrení, aby príslušné orgány mali všetky právomoci potrebné na spoluprácu so súdnymi orgánmi, orgánmi prokuratúry alebo trestnoprávnymi orgánmi v rámci ich jurisdikcie na získanie konkrétnych informácií týkajúcich sa vyšetrovaní trestných činov alebo konaní začatých v prípade porušení tohto nariadenia a na poskytovanie rovnakých informácií ostatným príslušným orgánom, ako aj orgánom EBA, ESMA alebo EIOPA, aby si splnili povinnosť spolupracovať na účely tohto nariadenia.

 

Článok 47

Oznamovacie povinnosti

Členské štáty oznámia Komisii a orgánom ESMA, EBA a EIOPA zákony, iné právne predpisy a správne opatrenia na vykonávanie tejto kapitoly vrátane všetkých relevantných ustanovení trestného práva do [Úrad pre publikácie: vložte dátum 12 mesiacov po nadobudnutí účinnosti]. Členské štáty oznámia Komisii a orgánom ESMA, EBA a EIOPA bez zbytočného odkladu akékoľvek ďalšie súvisiace zmeny.

 

Článok 48

Uverejnenie administratívnych sankcií

1. Príslušné orgány uverejnia na svojich úradných webových sídlach bez zbytočného odkladu každé rozhodnutie o uložení administratívnej sankcie, proti ktorému nie je možné podať odvolanie po tom, ako bol adresát sankcie informovaný o tomto rozhodnutí.

2. Uverejnenie uvedené v odseku 1 musí obsahovať informácie o druhu a povahe porušenia, uložených sankciách a výnimočne o totožnosti zodpovedných osôb.

3. Ak sa príslušný orgán po individuálnom posúdení domnieva, že uverejnenie totožnosti v prípade právnických osôb alebo totožnosti a osobných údajov v prípade fyzických osôb by bolo neprimerané, ohrozilo by stabilitu finančných trhov alebo prebiehajúce vyšetrovanie trestného činu, alebo by spôsobilo dotknutej osobe neprimeranú škodu, pokiaľ túto možno určiť, prijme v súvislosti s rozhodnutím o uložení administratívnej sankcie jedno z týchto riešení:

a) odložiť jeho uverejnenie dovtedy, kým prestanú existovať všetky dôvody na neuverejnenie;

b) uverejniť ho anonymne v súlade s vnútroštátnym právom; alebo

c) upustiť od jeho uverejnenia, ak sa možnosti uvedené v písmenách a) a b) považujú buď za nedostatočné na to, aby zaručili, že neexistuje nebezpečenstvo pre stabilitu finančných trhov, alebo ak by takéto uverejnenie nebolo primerané z hľadiska princípu zhovievavosti uloženej sankcie.

4. V prípade rozhodnutia uverejniť administratívnu sankciu anonymne podľa odseku 3 písm. b) uverejnenie príslušných informácií možno odložiť.

5. Ak príslušný orgán uverejní rozhodnutie o uložení administratívnej sankcie, voči ktorému sa podalo odvolanie na príslušné súdne orgány, príslušné orgány takisto okamžite uvedú na svojom úradnom webovom sídle túto informáciu a neskôr akékoľvek následné informácie o výsledku takéhoto odvolania. Takisto sa uverejní každé súdne rozhodnutie o zrušení rozhodnutia o uložení administratívnej sankcie.

6. Príslušné orgány zabezpečia, aby akékoľvek informácie uverejnené v súlade s odsekmi 1 až 4 zostali na ich úradných webových sídlach aspoň počas piatich rokov po ich uverejnení. Osobné údaje obsiahnuté v uverejnení sa uchovajú na úradnom webovom sídle príslušného orgánu len na obdobie, ktoré je potrebné v súlade s príslušnými predpismi o ochrane údajov.

 

 

Článok 49

Služobné tajomstvo

 

1. Na všetky dôverné informácie prijaté, vymieňané alebo prenášané podľa tohto nariadenia sa vzťahujú podmienky služobného tajomstva stanovené v odseku 2.

2. Povinnosť služobného tajomstva sa vzťahuje na všetky osoby, ktoré pracujú alebo pracovali pre príslušné orgány podľa tohto nariadenia, alebo pre akýkoľvek orgán, trhový podnik, fyzickú alebo právnickú osobu, na ktoré príslušné orgány delegovali právomoci, vrátane zmluvných audítorov a expertov príslušných orgánov.

3. Informácie, na ktoré sa vzťahuje služobné tajomstvo, sa nesmú poskytnúť žiadnej inej osobe ani orgánu s výnimkou poskytnutia na základe ustanovení práva Únie alebo vnútroštátneho práva.

4. Všetky informácie vymieňané medzi príslušnými orgánmi podľa tohto nariadenia, ktoré sa týkajú obchodných alebo prevádzkových podmienok a iných ekonomických či personálnych záležitostí, sa považujú za dôverné a vzťahujú sa na ne požiadavky na služobné tajomstvo s výnimkou prípadov, keď príslušný orgán v čase oznámenia uvedie, že takéto informácie môžu byť zverejnené, alebo ak je takéto zverejnenie potrebné pre súdne konanie.


 

KAPITOLA VIII

DELEGOVANÉ AKTY

Článok 50

Vykonávanie delegovania právomoci

1. Komisii sa udeľuje právomoc prijímať delegované akty za podmienok stanovených v tomto článku.

2. Právomoc prijímať delegované akty uvedené v článku 28 ods. 3 a článku 38 ods. 2 sa Komisii udeľuje na obdobie piatich rokov od [Úrad pre publikácie: vložte dátum 5 rokov po nadobudnutí účinnosti tohto nariadenia]. Komisia vypracuje správu týkajúcu sa delegovania právomoci najneskôr deväť mesiacov pred uplynutím tohto päťročného obdobia. Delegovanie právomoci sa automaticky predlžuje o rovnako dlhé obdobia, pokiaľ Európsky parlament alebo Rada nevznesú voči takémuto predĺženiu námietku najneskôr tri mesiace pred koncom každého obdobia.

3. Delegovanie právomoci uvedené v článku 28 ods. 3 a článku 38 ods. 2 môže Európsky parlament alebo Rada kedykoľvek odvolať. Rozhodnutím o odvolaní sa ukončuje delegovanie právomoci, ktoré sa v ňom uvádza. Rozhodnutie nadobúda účinnosť dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie alebo k neskoršiemu dátumu, ktorý je v ňom určený. Nie je ním dotknutá platnosť delegovaných aktov, ktoré už nadobudli účinnosť.

4. Komisia pred prijatím delegovaného aktu konzultuje s expertmi určenými jednotlivými členskými štátmi v súlade so zásadami stanovenými v Medziinštitucionálnej dohode z 13. apríla 2016 o lepšej tvorbe práva.

5. Komisia oznamuje delegovaný akt hneď po jeho prijatí súčasne Európskemu parlamentu a Rade.

6. Delegovaný akt prijatý podľa článku 28 ods. 3 a článku 38 ods. 2 nadobudne účinnosť, len ak Európsky parlament alebo Rada voči nemu nevzniesli námietku v lehote troch mesiacov odo dňa oznámenia uvedeného aktu Európskemu parlamentu a Rade, alebo ak pred uplynutím uvedenej lehoty Európsky parlament a Rada informovali Komisiu o svojom rozhodnutí nevzniesť námietku. Na podnet Európskeho parlamentu alebo Rady sa táto lehota predĺži o tri mesiace.


 

KAPITOLA IX

PRECHODNÉ A ZÁVEREČNÉ USTANOVENIA

ODDIEL I

Článok 51

Doložka o preskúmaní

Do [Úrad pre publikácie: vložte dátum 5 rokov po nadobudnutí účinnosti tohto nariadenia] Komisia po konzultáciách s orgánmi EBA, ESMA, EIOPA a prípadne s výborom ESRB vykoná preskúmanie a predloží Európskemu parlamentu a Rade správu, ku ktorej v prípade potreby pripojí legislatívny návrh. Táto správa preskúma aspoň:

a) možnosť rozšírenia rozsahu uplatňovania tohto nariadenia na prevádzkovateľov platobných systémov;

b)  dobrovoľnú povahu nahlasovania významných kybernetických hrozieb;

c)  kritéria na určenie externých poskytovateľov kritických IKT služieb podľa článku 28 ods. 2; a

d)  efektívnosť rozhodovania spoločného orgánu dozoru a výmeny informácií medzi spoločným orgánom dozoru a nečlenskými príslušnými vnútroštátnymi orgánmi.

 


ODDIEL II

ZMENY

Článok 52

Zmeny nariadenia (ES) č. 1060/2009

V prílohe I k nariadeniu (ES) č. 1060/2009 sa v oddiele A bod 4 prvý pododsek nahrádza takto:

 „Ratingová agentúra má správne administratívne a účtovné postupy, mechanizmy vnútornej kontroly, účinné postupy hodnotenia rizika a účinné kontrolné a ochranné mechanizmy riadenia systémov IKT v súlade s nariadením Európskeho parlamentu a Rady (EÚ) 2021/xx* [DORA].

* Nariadenie Európskeho parlamentu a Rady (EÚ) 2021/xx [...] (Ú. v. EÚ XX, DD.MM.RRRR, s. X).“.

Článok 53

Zmeny nariadenia (EÚ) č. 648/2012

Nariadenie (EÚ) č. 648/2012 sa mení takto:

1. Článok 26 sa mení takto:

a) odsek 3 sa nahrádza takto:

  3. Centrálna protistrana udržiava a riadi organizačnú štruktúru, ktorá zaisťuje kontinuitu a riadne fungovanie pri výkone jej služieb a činností. Používa vhodné a primerané systémy, zdroje a postupy vrátane systémov IKT riadených v súlade s nariadením Európskeho parlamentu a Rady (EÚ) 2021/xx* [DORA].

* Nariadenie Európskeho parlamentu a Rady (EÚ) 2021/xx [...] (Ú. v. EÚ XX, DD.MM.RRRR, s. X).“;

b)   odsek 6 sa vypúšťa;

2. Článok 34 sa mení takto:

a)  odsek 1 sa nahrádza takto:

„1. Centrálna protistrana zavedie, vykonáva a udržiava primeranú politiku zabezpečovania kontinuity podnikateľskej činnosti a plán obnovy po havárii, ktorý zahŕňa plán zabezpečovania kontinuity činnosti v oblasti IKT a plán obnovy po havárii v oblasti IKT, ktoré sú vypracované v súlade s nariadením (EÚ) 2021/xx [DORA], s cieľom zaistiť zachovanie svojich funkcií, včasnú obnovu činnosti a plnenie povinností centrálnej protistrany.“;

b) v odseku 3 sa prvý pododsek nahrádza takto:

„S cieľom zabezpečiť konzistentné uplatňovanie tohto článku ESMA po konzultácii s členmi ESCB vypracuje návrh regulačných technických noriem, v ktorých sa s výnimkou plánu zabezpečovania kontinuity činnosti v oblasti IKT a plánu obnovy po havárii v oblasti IKT stanoví minimálny obsah politiky kontinuity podnikateľskej činnosti a plánu obnovy po havárii a požiadavky na ne.“;

3. V článku 56 ods. 3 sa prvý pododsek nahrádza takto:

„3. S cieľom zabezpečiť konzistentné uplatňovanie tohto článku ESMA vypracuje návrh regulačných technických noriem, v ktorých sa stanovia podrobnosti, okrem požiadaviek týkajúcich sa riadenia IKT rizika, žiadosti o registráciu uvedenej v odseku 1.“;

4. V článku 79 sa odseky 1 a 2 nahrádzajú takto:

„1. Archív obchodných údajov určí zdroje prevádzkového rizika a minimalizuje ich aj prostredníctvom vývoja vhodných systémov, kontrolných mechanizmov a postupov vrátane systémov IKT riadených v súlade s nariadením (EÚ) 2021/xx [DORA].

2. Archív obchodných údajov zavedie, vykonáva a udržiava zodpovedajúcu politiku kontinuity podnikateľskej činnosti a plán obnovy po havárii vrátane plánu zabezpečovania kontinuity činnosti v oblasti IKT a plánu obnovy po havárii v oblasti IKT zavedených v súlade s nariadením (EÚ) 2021/xx [DORA] a zameraných na zabezpečenie zachovania jeho funkcií, včasnú obnovu činnosti a plnenie povinností archívu obchodných údajov.“;

5. V článku 80 sa vypúšťa odsek 1.

Článok 54

Zmeny nariadenia (EÚ) č. 909/2014

Článok 45 nariadenia (EÚ) č. 909/2014 sa mení takto:

1. Odsek 1 sa nahrádza takto:

„1.  Centrálny depozitár určí zdroje prevádzkového rizika, vnútorné aj vonkajšie, a minimalizuje ich vplyv aj prostredníctvom zavedenia vhodných nástrojov, postupov a politík IKT stanovených a riadených v súlade s nariadením Európskeho parlamentu a Rady (EÚ) 2021/xx* [DORA], ako aj prostredníctvom akýchkoľvek iných príslušných vhodných nástrojov, kontrol a postupov pre iné druhy prevádzkového rizika, a to aj pre všetky systémy vyrovnania transakcií s cennými papiermi, ktoré prevádzkuje.

* Nariadenie Európskeho parlamentu a Rady (EÚ) 2021/xx [...] (Ú. v. EÚ XX, DD.MM.RRRR, s. X).“;

2. Odsek 2 sa vypúšťa;

3. Odseky 3 a 4 sa nahrádzajú takto:

„3. Centrálny depozitár pre služby, ktoré poskytuje, ako aj pre každý systém vyrovnania transakcií s cennými papiermi, ktorý prevádzkuje, zavedie, uplatňuje a zachováva primeranú politiku kontinuity činnosti a plán obnovy po katastrofe vrátane plánu zabezpečovania kontinuity činnosti v oblasti IKT a plánu obnovy po havárii v oblasti IKT v súlade s nariadením (EÚ) 2021/xx [DORA], a to s cieľom zabezpečiť poskytovanie svojich služieb, včasnú obnovu prevádzky a plnenie záväzkov centrálnym depozitárom v prípade udalostí, ktoré predstavujú významné riziko prerušenia prevádzky.

4. Plán uvedený v odseku 3 umožňuje obnovu všetkých transakcií a pozícií účastníkov v okamihu prerušenia s cieľom umožniť účastníkom centrálneho depozitára pokračovať v činnosti s istotou a dokončiť vyrovnanie k určenému dátumu, a to aj prostredníctvom zabezpečenia toho, aby kritické IT systémy mohli obnoviť prevádzku od okamihu prerušenia, ako sa stanovuje v článku 11 ods. 5 a 7 nariadenia (EÚ) 2021/xx [DORA].“;

 

Článok 55

Zmeny nariadenia (EÚ) č. 600/2014

Nariadenie (EÚ) č. 600/2014 sa mení takto:

1. Článok 27g sa mení takto:

a) odsek 4 sa vypúšťa;

b) v odseku 8 sa písmeno c) nahrádza takto:

c) „c) konkrétne organizačné požiadavky uvedené v odsekoch 3 a 5.“;

2. Článok 27h sa mení takto:

a) odsek 5 sa vypúšťa;

b) v odseku 8 sa písmeno e) nahrádza takto:

„e) konkrétne organizačné požiadavky uvedené v odseku 4.“;

3. Článok 27i sa mení takto:

a) odsek 3 sa vypúšťa;

b) v odseku 5 sa písmeno b) nahrádza takto:

„b) konkrétne organizačné požiadavky uvedené v odsekoch 2 a 4.“.

Článok 56

Nadobudnutie účinnosti a uplatňovanie

Toto nariadenie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.

Uplatňuje sa od [Úrad pre publikácie: vložte dátum 24 mesiacov po nadobudnutí účinnosti].

Články 23 a 24 sa uplatňujú od [Úrad pre publikácie: vložte dátum 36 mesiacov po nadobudnutí účinnosti tohto nariadenia].

Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.

Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.

V Bruseli

Za Európsky parlament Za Radu

predseda predseda


POSTUP – GESTORSKÝ VÝBOR

Názov

Digitálna prevádzková odolnosť finančného sektora a zmena nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014 a (EÚ) č. 909/2014

Referenčné čísla

COM(2020)0595 – C9-0304/2020 – 2020/0266(COD)

Dátum predloženia v EP

24.9.2020

 

 

 

Gestorský výbor

 Dátum oznámenia na schôdzi

ECON

17.12.2020

 

 

 

Výbory požiadané o stanovisko

 Dátum oznámenia na schôdzi

ITRE

17.12.2020

IMCO

17.12.2020

 

 

Bez predloženia stanoviska

 dátum rozhodnutia

ITRE

15.10.2020

IMCO

27.10.2020

 

 

Spravodajcovia

 dátum vymenovania

Billy Kelleher

15.10.2020

 

 

 

Prerokovanie vo výbore

14.4.2021

14.6.2021

 

 

Dátum prijatia

1.12.2021

 

 

 

Výsledok záverečného hlasovania

+:

–:

0:

44

5

5

Poslanci prítomní na záverečnom hlasovaní

Gerolf Annemans, Gunnar Beck, Marek Belka, Isabel Benjumea Benjumea, Stefan Berger, Gilles Boyer, Engin Eroglu, Markus Ferber, Jonás Fernández, Raffaele Fitto, Frances Fitzgerald, Luis Garicano, Sven Giegold, Valentino Grant, Claude Gruffat, José Gusmão, Enikő Győri, Eero Heinäluoma, Danuta Maria Hübner, Stasys Jakeliūnas, France Jamet, Billy Kelleher, Ondřej Kovařík, Georgios Kyrtsos, Aurore Lalucq, Philippe Lamberts, Aušra Maldeikienė, Pedro Marques, Costas Mavrides, Jörg Meuthen, Csaba Molnár, Siegfried Mureşan, Caroline Nagtegaal, Luděk Niedermayer, Lefteris Nikolaou-Alavanos, Lídia Pereira, Kira Marie Peter-Hansen, Sirpa Pietikäinen, Evelyn Regner, Antonio Maria Rinaldi, Alfred Sant, Martin Schirdewan, Joachim Schuster, Ralf Seekatz, Pedro Silva Pereira, Paul Tang, Irene Tinagli, Ernest Urtasun, Inese Vaidere, Johan Van Overtveldt, Stéphanie Yon-Courtin, Marco Zanni, Roberts Zīle

Náhradníci prítomní na záverečnom hlasovaní

Lefteris Christoforou

Dátum predloženia

7.12.2021

 


 

 

 

ZÁVEREČNÉ HLASOVANIE PODĽA MIEN V GESTORSKOM VÝBORE

44

+

ECR

Raffaele Fitto, Johan Van Overtveldt, Roberts Zīle

NI

Enikő Győri

PPE

Isabel Benjumea Benjumea, Stefan Berger, Lefteris Christoforou, Markus Ferber, Frances Fitzgerald, Danuta Maria Hübner, Georgios Kyrtsos, Aušra Maldeikienė, Siegfried Mureşan, Luděk Niedermayer, Lídia Pereira, Sirpa Pietikäinen, Ralf Seekatz, Inese Vaidere

Renew

Gilles Boyer, Engin Eroglu, Luis Garicano, Billy Kelleher, Ondřej Kovařík, Caroline Nagtegaal, Stéphanie Yon-Courtin

S&D

Marek Belka, Jonás Fernández, Eero Heinäluoma, Aurore Lalucq, Pedro Marques, Costas Mavrides, Csaba Molnár, Evelyn Regner, Alfred Sant, Joachim Schuster, Pedro Silva Pereira, Paul Tang, Irene Tinagli

Verts/ALE

Sven Giegold, Claude Gruffat, Stasys Jakeliūnas, Philippe Lamberts, Kira Marie Peter-Hansen, Ernest Urtasun

 

5

-

ID

Gerolf Annemans, Gunnar Beck, France Jamet, Jörg Meuthen

NI

Lefteris Nikolaou-Alavanos

 

5

0

ID

Valentino Grant, Antonio Maria Rinaldi, Marco Zanni

The Left

José Gusmão, Martin Schirdewan

 

Vysvetlenie použitých znakov:

+ : za

- : proti

0 : zdržali sa hlasovania

 

 

 

 

Posledná úprava: 13. decembra 2021
Právne upozornenie - Politika ochrany súkromia