DORA-forordningen om digital modstandsdygtighed i finanssektoren

Artikel 1

Genstand

1. For at opnå et højt fælles niveau af digital operationel modstandsdygtighed fastsætter denne forordning ensartede krav til sikkerheden i de net- og informationssystemer, der understøtter finansielle enheders forretningsprocesser på følgende måde:

a) krav til finansielle enheder vedrørende:

i) risikostyring inden for informations- og kommunikationsteknologi (IKT)

ii) indberetning af større IKT-relaterede hændelser og underretning, på frivillig basis, om væsentlige cybertrusler til de kompetente myndigheder

iii) indberetning af større operationelle eller sikkerhedsmæssige betalingsrelaterede hændelser til de kompetente myndigheder fra de finansielle enheder, der er omhandlet i artikel 2, stk. 1, litra a)-d)

iv) test af digital operationel modstandsdygtighed

v) udveksling af oplysninger og efterretninger om cybertrusler og sårbarheder

vi) foranstaltninger til forsvarlig styring af IKT-tredjepartsrisiko

b) krav vedrørende de kontraktlige ordninger, der indgås mellem tredjepartsudbydere af IKT-tjenester og finansielle enheder

c) regler for fastlæggelse og udførelse af tilsynsrammen for kritiske tredjepartsudbydere af IKT-tjenester, når de leverer tjenester til finansielle enheder

d) regler om samarbejde mellem kompetente myndigheder og regler om de kompetente myndigheders tilsyn og håndhævelse i forbindelse med alle spørgsmål, der er omfattet af denne forordning.

2. For så vidt angår finansielle enheder, der er identificeret som væsentlige eller vigtige enheder i henhold til nationale bestemmelser om gennemførelse af , betragtes denne forordning som en sektorspecifik EU-retsakt med henblik på artikel 4 i nævnte direktiv.

3. Denne forordning berører ikke medlemsstaternes ansvar for så vidt angår væsentlige statslige funktioner vedrørende offentlig sikkerhed, forsvar og national sikkerhed i overensstemmelse med EU-retten.

Artikel 2

Anvendelsesområde

1. Med forbehold af stk. 3 og 4 finder denne forordning anvendelse på følgende enheder:

a) kreditinstitutter

b) betalingsinstitutter, herunder betalingsinstitutter, der er undtaget i henhold til direktiv (EU) 2015/2366

c) kontooplysningstjenesteudbydere

d) e-pengeinstitutter, herunder e-pengeinstitutter, der er undtaget i henhold til direktiv 2009/110/EF

e) investeringsselskaber

f) udbydere af kryptoaktivtjenester, som er meddelt tilladelse i henhold til Europa-Parlamentets og Rådets forordning om markeder for kryptoaktiver og om ændring af forordning (EU) nr. 1093/2010 og (EU) nr. 1095/2010 og direktiv 2013/36/EU og (EU) 2019/1937 (»forordningen om markeder for kryptoaktiver«), og udstedere af aktivbaserede tokens

g) værdipapircentraler

h) centrale modparter

Artikel 3

Definitioner

I denne forordning forstås ved:

1) »digital operationel modstandsdygtighed«: en finansiel enheds evne til at opbygge, sikre og gennemgå sin operationelle integritet og pålidelighed ved enten direkte eller indirekte gennem anvendelse af tjenester, der leveres af en tredjepartsudbyder af IKT-tjenester, at sikre det fulde spektrum af nødvendige IKT-relaterede kapaciteter med henblik på at varetage sikkerheden i de net- og informationssystemer, som en finansiel enhed anvender, og som understøtter det løbende udbud af finansielle tjenesteydelser og kvaliteten heraf, herunder i forbindelse med forstyrrelser

2) »net- og informationssystem«: et net- og informationssystem som defineret i ,

3) »legacy-IKT-system«: et IKT-system, som har nået enden på sin livscyklus (end-of-life), som af teknologiske eller kommercielle årsager ikke er egnet til opgraderinger eller udbedringer, eller som ikke længere understøttes af leverandøren eller af en tredjepartsudbyder af IKT-tjenester, men som stadig er i brug og understøtter den finansielle enheds funktioner

4) »sikkerhed i net- og informationssystemer«: sikkerhed i net- og informationssystemer som defineret i ,

5) »IKT-risiko«: enhver rimeligt identificerbar omstændighed i forbindelse med brugen af net- og informationssystemer, som, hvis den forekommer, kan kompromittere sikkerheden i net- og informationssystemerne, i eventuelle teknologiafhængige værktøjer eller processer, i operationer og processer, eller i forbindelse med leveringen af tjenester, ved at skabe negative virkninger i det digitale eller fysiske miljø

6) »informationsaktiv«: en samling af oplysninger, både materielle og immaterielle, som det er værd at beskytte

7) »IKT-aktiv«: et software- eller hardwareaktiv i de net- og informationssystemer, der anvendes af den finansielle enhed

8) »IKT-relateret hændelse«: en enkeltstående hændelse eller en række af forbundne hændelser, som ikke har været planlagt af den finansielle enhed, og som kompromitterer sikkerheden i net- og informationssystemerne og har en negativ indvirkning på tilgængeligheden, autenticiteten, integriteten eller fortroligheden af data eller på de tjenester, som den finansielle enhed leverer

Artikel 4

Proportionalitetsprincippet

1. Finansielle enheder gennemfører de regler, der er fastsat i kapitel II i overensstemmelse med proportionalitetsprincippet, under hensyntagen til deres størrelse og samlede risikoprofil samt karakteren, omfanget og kompleksiteten af deres tjenester, aktiviteter og operationer.

2. Desuden skal finansielle enheders anvendelse af kapitel III, IV og kapitel V, afdeling I, stå i et rimeligt forhold til deres størrelse og samlede risikoprofil og til karakteren, omfanget og kompleksiteten af deres tjenester, aktiviteter og operationer, som specifikt fastsat i de relevante regler i de nævnte kapitler.

3. De kompetente myndigheder tager hensyn til finansielle enheders anvendelse af proportionalitetsprincippet, når de gennemgår sammenhængen i rammen for IKT-risikostyring på grundlag af de indberetninger, som indgives efter anmodning fra de kompetente myndigheder i henhold til artikel 6, stk. 5, og artikel 16, stk. 2.

Artikel 5

Forvaltning og organisation

1. Finansielle enheder skal have indført en intern forvaltnings- og kontrolramme, der sikrer en effektiv og forsigtig styring af IKT-risiko, i overensstemmelse med artikel 6, stk. 4, for at opnå et højt niveau af digital operationel modstandsdygtighed.

2. Ledelsesorganet i den finansielle enhed fastlægger, godkender, fører tilsyn med og har ansvar for gennemførelsen af alle ordninger vedrørende de rammer for IKT-risikostyring, der er omhandlet i artikel 6, stk. 1.

Med henblik på første afsnit er det ledelsesorganet, som

a) har det endelige ansvar for styringen af den finansielle enheds IKT-risiko

b) indfører politikker, der har til formål at sikre opretholdelse af høje standarder for tilgængeligheden, autenticiteten, integriteten og fortroligheden af data

c) fastlægger klare roller og ansvarsområder for alle IKT-relaterede funktioner og etablerer passende forvaltningsordninger for at sikre effektiv og rettidig kommunikation, samarbejde og koordinering mellem disse funktioner

d) har det samlede ansvar for fastlæggelse og godkendelse af strategien for digital operationel modstandsdygtighed, jf. artikel 6, stk. 8, herunder fastsættelse af et passende risikotoleranceniveau for IKT-risiko i den finansielle enhed, jf. artikel 6, stk. 8, litra b)

e) godkender, fører tilsyn med og regelmæssigt gennemgår gennemførelsen af den finansielle enheds politik for IKT-driftsstabilitet og planer for IKT-indsats og -genopretning, jf. henholdsvis artikel 11, stk. 1 og 3, der kan vedtages som en særlig specifik politik, der udgør en integrerende del af den finansielle enheds samlede politik for driftsstabilitet og indsats- og genopretningsplan

f) godkender og regelmæssigt gennemgår den finansielle enheds interne IKT-revisionsplaner, IKT-revisioner og væsentlige ændringer heraf

g) tildeler og regelmæssigt gennemgår et passende budget for at opfylde den finansielle enheds behov i forbindelse med digital operationel modstandsdygtighed med hensyn til alle ressourcetyper, herunder relevante IKT-programmer til bevidstgørelse om IKT-sikkerhed og kurser i digital operationel modstandsdygtighed, jf. artikel 13, stk. 6, og IKT-færdigheder for alt personale

Artikel 6

Ramme for IKT-risikostyring

1. Finansielle enheder indfører en robust, omfattende og veldokumenteret ramme for IKT-risikostyring som en del af deres samlede risikostyringssystem, der sætter dem i stand til at håndtere IKT-risikoen hurtigt, effektivt og fyldestgørende, og som sikrer et højt niveau af digital operationel modstandsdygtighed.

2. Rammen for IKT-risikostyring skal som minimum omfatte strategier, politikker, procedurer, IKT-protokoller og -værktøjer, som er nødvendige for på behørig vis og i tilstrækkelig grad at beskytte alle informationsaktiver og IKT-aktiver, herunder computersoftware, -hardware og servere, samt for at beskytte alle relevante fysiske komponenter og infrastrukturer, såsom lokaler, datacentre og sensitive udpegede områder, for at sikre tilstrækkelig beskyttelse af alle informationsaktiver og IKT-aktiver mod risici, herunder skade og uautoriseret adgang eller brug.

3. I overensstemmelse med deres ramme for IKT-risikostyring minimerer de finansielle enheder virkningerne af IKT-risiko ved at indføre passende strategier, politikker, procedurer, IKT-protokoller og -værktøjer. De forelægger fuldstændige og ajourførte oplysninger om IKT-risiko og om deres ramme for IKT-styring for de kompetente myndigheder på disses anmodning.

4. Finansielle enheder, som ikke er mikrovirksomheder, overdrager ansvaret for styring af og tilsyn med IKT-risikoen til en kontrolfunktion og sikrer, at denne kontrolfunktion har et passende uafhængighedsniveau, således at interessekonflikter undgås. Finansielle enheder sikrer en passende adskillelse og uafhængighed af IKT-risikostyringsfunktioner, kontrolfunktioner og interne revisionsfunktioner efter modellen med tre forsvarslinjer eller en intern model for risikostyring og kontrol.

5. Rammen for IKT-risikostyring skal dokumenteres og gennemgås mindst én gang om året, eller regelmæssigt for så vidt angår mikrovirksomheder, samt når der forekommer større IKT-relaterede hændelser, og i henhold til tilsynsmæssige instrukser eller konklusioner, som er udledt af relevant test af digital operationel modstandsdygtighed eller revisionsprocesser. Den skal forbedres løbende på grundlag af indhøstede gennemførelses- og overvågningserfaringer. Der skal forelægges en rapport om gennemgangen af rammen for IKT-risikostyring for den kompetente myndighed på dens anmodning.

6. Revisorer foretager regelmæssigt intern revision af rammen for IKT-risikostyring for andre finansielle enheder end mikrovirksomheder i overensstemmelse med de finansielle enheders revisionsplan. Disse revisorer skal besidde tilstrækkelig viden, faglig kompetence og ekspertise med hensyn til IKT-risici og være tilstrækkeligt uafhængige. Hyppigheden af IKT-revisioner og deres fokus skal stå i rimeligt forhold til den finansielle enheds IKT-risiko.

Artikel 7

IKT-systemer, -protokoller og-værktøjer

For at håndtere og styre IKT-risikoen anvender og vedligeholder finansielle enheder opdaterede IKT-systemer, -protokoller og -værktøjer, som er:

a) passende i forhold til omfanget af de operationer, der ligger til grund for gennemførelsen af deres aktiviteter, i overensstemmelse med proportionalitetsprincippet som omhandlet i artikel 4

b) pålidelige

c) udstyret med tilstrækkelig kapacitet til med nøjagtighed at behandle de data, der er nødvendige for udførelsen af aktiviteterne og rettidig levering af tjenesterne, og til at håndtere spidsbelastninger, ordre- og meddelelsesmængder eller transaktionsmængder efter behov, herunder når der indføres ny teknologi

d) teknologisk modstandsdygtige nok til i tilstrækkeligt omfang at håndtere yderligere behov for informationsbehandling som krævet under stressede markedsforhold eller i andre vanskelige situationer.

Artikel 8

Identifikation

1. Som led i den ramme for IKT-risikostyring, der er omhandlet i artikel 6, stk. 1, foretager de finansielle enheder identifikation, klassificering og tilstrækkelig dokumentering af alle IKT-understøttede forretningsfunktioner, roller og ansvarsområder, informationsaktiver og IKT-aktiver, der understøtter disse funktioner, samt deres roller og afhængigheder med hensyn til IKT-risici. De finansielle enheder vurderer efter behov og mindst én gang om året, hvorvidt denne klassificering og eventuel relevant dokumentation er tilstrækkelig.

2. De finansielle enheder identificerer løbende alle kilder til IKT-risiko, navnlig risikoeksponeringen for og fra andre finansielle enheder, og vurderer cybertrusler og IKT-sårbarheder, der er relevante for deres IKT-understøttede forretningsfunktioner, informationsaktiver og IKT-aktiver. De finansielle enheder gennemgår regelmæssigt og mindst én gang om året de risikoscenarier, der har virkninger for dem.

3. Finansielle enheder, som ikke er mikrovirksomheder, foretager en risikovurdering efter hver større ændring af infrastrukturen i net- og informationssystemerne, i de processer eller procedurer, der påvirker deres IKT-understøttede forretningsfunktioner, informationsaktiver eller IKT-aktiver.

4. De finansielle enheder identificerer alle informationsaktiver og IKT-aktiver, herunder på eksterne steder, netværksressourcer og hardwareudstyr, og kortlægger dem, der anses for kritiske. De kortlægger informationsaktivernes og IKT-aktivernes konfiguration samt forbindelserne og den indbyrdes forbundethed mellem de forskellige informationsaktiver og IKT-aktiver.

5. De finansielle enheder identificerer og dokumenterer alle processer, der er afhængige af tredjepartsudbydere af IKT-tjenester, og identificerer sammenkoblinger med tredjepartsudbydere af IKT-tjenester, der udbyder tjenester, som understøtter kritiske eller vigtige funktioner.

6. Med henblik på stk. 1, 4 og 5 opretholder finansielle enheder relevante fortegnelser og ajourfører dem regelmæssigt, og hver gang der sker større ændringer som omhandlet i stk. 3.

7. Finansielle enheder, som ikke er mikrovirksomheder, foretager regelmæssigt og mindst én gang om året en specifik IKT-risikovurdering af alle legacy-IKT-systemer og i alle tilfælde før og efter sammenkobling af teknologier, applikationer eller systemer.

Artikel 9

Beskyttelse og forebyggelse

1. Med henblik på at sikre passende beskyttelse af IKT-systemer og tilrettelægge indsatsforanstaltninger sikrer de finansielle enheder løbende overvågning af og kontrol med IKT-systemernes og -værktøjernes sikkerhed og af, hvordan de fungerer, og minimerer virkningerne af IKT-risikoen for IKT-systemer ved at indføre passende IKT-sikkerhedsværktøjer, -politikker og -procedurer.

2. De finansielle enheder udformer, indkøber og gennemfører IKT-sikkerhedspolitikker, -procedurer, -protokoller og -værktøjer, der har til formål at sikre IKT-systemernes modstandsdygtighed, stabilitet og tilgængelighed, især for dem, der understøtter kritiske eller vigtige funktioner, og at opretholde høje standarder for, tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, hvad enten dataene er inaktive, i brug eller under overførsel.

3. For at nå de i stk. 2 omhandlede mål anvender de finansielle enheder IKT-løsninger og -processer, som er hensigtsmæssige i overensstemmelse med artikel 4. Disse IKT-løsninger og -processer:

a) sikrer sikkerheden for metoderne til overførsel af data

b) minimerer risikoen for korruption eller tab af data, uautoriseret adgang og tekniske fejl, der kan hæmme erhvervsaktiviteten

c) forhindrer manglen på tilgængelighed, forringelsen af autenticiteten og integriteten, bruddene på fortroligheden og tabet af data

d) sikrer, at data beskyttes mod risici, der opstår i forbindelse med dataforvaltning, herunder dårlig administration, procesrelaterede risici og menneskelige fejl.

4. Som led i den ramme for IKT-risikostyring, der er omhandlet i artikel 6, stk. 1, skal de finansielle enheder

a) udvikle og dokumentere en informationssikkerhedspolitik, der fastlægger regler for beskyttelse af tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, informationsaktiver og IKT-aktiver, herunder deres kunders, hvis det er relevant

b) ved at følge en risikobaseret tilgang indføre en forsvarlig forvaltningsstruktur for netværk og infrastrukturer ved anvendelse af passende teknikker, metoder og protokoller, der kan omfatte gennemførelse af automatiske mekanismer til isolering af de berørte informationsaktiver i tilfælde af cyberangreb

Artikel 10

Detektion

1. De finansielle enheder indfører mekanismer til omgående detektion af anormale aktiviteter i overensstemmelse med artikel 17, herunder problemer med IKT-netværkets ydeevne og IKT-relaterede hændelser, og til identifikation af potentielt væsentlige single points of failure.

De i første afsnit omhandlede mekanismer testes regelmæssigt i overensstemmelse med artikel 25.

2. Ved de i stk. 1 omhandlede detektionsmekanismer skal det gøres muligt at anvende flere kontrollag, fastlægge varslingstærskler og -kriterier, som skal udløse og igangsætte indsatsforanstaltninger mod IKT-relaterede hændelser, herunder automatiske varslingsmekanismer for det relevante personale, som har ansvar for indsatsen mod IKT-relaterede hændelser.

3. Finansielle enheder afsætter tilstrækkelige ressourcer og kapaciteter til overvågning af brugeraktiviteter, forekomsten af IKT-anomalier og IKT-relaterede hændelser, navnlig cyberangreb.

4. Udbydere af dataindberetningstjenester indfører desuden systemer, som effektivt kan kontrollere, om handelsindberetningerne er fuldstændige, identificere udeladelser og åbenbare fejl og anmode om fornyet fremsendelse af disse indberetninger.

Artikel 11

Indsats og genopretning

1. Som led i den ramme for IKT-risikostyring, der er omhandlet i artikel 6, stk. 1, og baseret på de krav til identifikation, der er fastsat i artikel 8, indfører de finansielle enheder en omfattende politik for IKT-driftsstabilitet, som kan vedtages som en særlig specifik politik, der skal udgøre en integreret del af den finansielle enheds samlede politik for driftsstabilitet.

2. De finansielle enheder gennemfører politikken for IKT-driftsstabilitet ved hjælp af særlige, passende og veldokumenterede ordninger, planer, procedurer og mekanismer, der tager sigte mod:

a) at sikre, at den finansielle enheds kritiske eller vigtige funktioner er stabile

b) hurtigt, passende og effektivt at sætte ind over for og løse alle IKT-relaterede hændelser på en måde, der begrænser skaden og prioriterer genoptagelsen af aktiviteter og genopretningstiltag

c) omgående at aktivere særlige planer, der gør det muligt at anvende inddæmningsforanstaltninger, -processer og -teknologier, der er egnede til de enkelte typer IKT-relaterede hændelser, og som forhindrer yderligere skade, samt skræddersyede indsats- og genopretningsprocedurer, der er fastlagt i henhold til artikel 12

d) at anslå foreløbige virkninger, skader og tab

e) at indføre kommunikations- og krisestyringstiltag, der sikrer, at ajourførte oplysninger videresendes til al relevant internt personale og eksterne interessenter i overensstemmelse med artikel 14, og at de indberettes til de kompetente myndigheder i overensstemmelse med artikel 19.

3. Som led i den ramme for IKT-risikostyring, der er omhandlet i artikel 6, stk. 1, gennemfører de finansielle enheder dertil knyttede planer for IKT-indsats og -genopretning, som for finansielle enheder, der ikke er mikrovirksomheder, underkastes uafhængige interne revisionsgennemgange.

4. De finansielle enheder indfører, vedligeholder og foretager regelmæssig testning af passende planer for IKT-driftsstabilitet, navnlig med hensyn til kritiske eller vigtige funktioner, som outsources eller udliciteres gennem ordninger, der er indgået med tredjepartsudbydere af IKT-tjenester.

5. Som led i den samlede politik for driftsstabilitet foretager de finansielle enheder en forretningskonsekvensanalyse (BIA) af deres eksponering for alvorlige driftsforstyrrelser. De finansielle enheder vurderer i forbindelse med BIA'en de potentielle virkninger af alvorlige driftsforstyrrelser ved hjælp af kvantitative og kvalitative kriterier ved anvendelse af interne og eksterne data og scenarieanalyser, alt efter hvad der er relevant. BIA'en skal tage hensyn til den kritiske betydning af identificerede og kortlagte forretningsfunktioner, støtteprocesser, tredjepartsafhængighed og informationsaktiver samt deres indbyrdes afhængighed. De finansielle enheder sikrer, at IKT-aktiver og -tjenester udformes og anvendes i fuld overensstemmelse med BIA'en, navnlig med hensyn til tilstrækkeligt at sikre alle kritiske komponenters redundans.

Artikel 12

Politikker og procedurer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning

1. Med henblik på at sikre gendannelse af IKT-systemer og data med minimal nedetid, begrænsede forstyrrelser og tab udvikler og dokumenterer de finansielle enheder som led i deres ramme for IKT-risikostyring følgende:

a) politikker og procedurer for sikkerhedskopiering, der præciserer omfanget af de data, der er genstand for sikkerhedskopiering, og minimumshyppigheden af sikkerhedskopiering baseret på oplysningernes kritiske betydning eller fortrolighedsniveauet for dataene

b) procedurer og metoder for gendannelse og genopretning.

2. De finansielle enheder etablerer systemer for sikkerhedskopiering, der kan aktiveres i overensstemmelse med politikker og procedurer for sikkerhedskopiering, og procedurer og metoder for gendannelse og genopretning. Aktiveringen af systemerne for sikkerhedskopiering må ikke sætte sikkerheden i net- og informationssystemer eller tilgængeligheden, autenticiteten, integriteten eller fortroligheden af data over styr. Der foretages regelmæssig test af procedurer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning.

3. Når de finansielle enheder gendanner sikkerhedskopierede data ved anvendelse af egne systemer, anvender de IKT-systemer, der er fysisk og logisk adskilt fra IKT-kildesystemet. IKT-systemerne skal være sikkert beskyttet mod uautoriseret adgang eller IKT-korruption og give mulighed for rettidig gendannelse af tjenester ved hjælp af data- og systemsikkerhedskopier efter behov.

For centrale modparter skal genopretningsplaner gøre det muligt at genoptage alle transaktioner fra det tidspunkt, hvor de blev afbrudt, således at den berørte centrale modpart kan opretholde driftssikkerheden og gennemføre afviklingen på den planlagte dato.

Udbydere af dataindberetningstjenester skal desuden sørge for at råde over passende ressourcer og sikkerhedskopierings- og gendannelsesfaciliteter for til enhver tid at kunne udbyde og opretholde deres tjenester.

4. Finansielle enheder, der ikke er mikrovirksomheder, opretholder redundante IKT-kapaciteter, der er udstyret med passende ressourcer og funktioner med henblik på at sikre forretningsmæssige behov. Mikrovirksomheder vurderer behovet for at opretholde sådanne redundante IKT-kapaciteter på grundlag af deres risikoprofil.

5. Værdipapircentraler bibeholder mindst ét sekundært afviklingssted, der er udstyret med passende ressourcer, kapaciteter, funktioner og personalemæssige ordninger med henblik på at sikre forretningsmæssige behov.

Artikel 13

Læring og udvikling

1. De finansielle enheder sørger for at råde over kapaciteter og personale, som kan indsamle oplysninger om sårbarheder og cybertrusler, IKT-relaterede hændelser, navnlig cyberangreb, og analysere de virkninger, de forventes at have på deres digitale operationelle modstandsdygtighed.

2. De finansielle enheder foretager gennemgange af IKT-relaterede hændelser, efter at en større IKT-relateret hændelse forstyrrer deres kerneaktiviteter, analyserer årsagerne til forstyrrelserne og identificerer nødvendige forbedringer af IKT-operationerne eller inden for rammerne af den i artikel 11 omhandlede politik for IKT-driftsstabilitet.

Finansielle enheder, som ikke er mikrovirksomheder, underretter på anmodning de kompetente myndigheder om ændringer, der er blevet gennemført efter gennemgange af IKT–relaterede hændelser som omhandlet i første afsnit.

I forbindelse med de i første afsnit omhandlede gennemgange af IKT-relaterede hændelser skal det fastslås, om de fastlagte procedurer er blevet fulgt, og om de iværksatte foranstaltninger har været effektive, herunder i forhold til følgende:

a) den hastighed, med hvilken der er blevet sat ind over for sikkerhedsvarsler, og med hvilken virkningerne af IKT-relaterede hændelser og deres omfang er blevet fastslået

b) kvaliteten og hastigheden af udførelsen af en kriminalteknisk analyse, hvor det skønnes hensigtsmæssigt

c) effektiviteten af den finansielle enheds fejlafhjælpning i forbindelse med hændelser

d) effektiviteten af den interne og eksterne kommunikation.

3. Erfaringer fra test af digital operationel modstandsdygtighed, som foretages i overensstemmelse med artikel 26 og 27, og fra faktiske IKT-relaterede hændelser, navnlig cyberangreb, samt udfordringer i forbindelse med aktiveringen af planer for IKT-driftsstabilitet og planer for IKT-indsats og -genopretning skal sammen med relevante oplysninger, der udveksles med modparter, og som vurderes i forbindelse med tilsynsmæssige gennemgange, løbende indarbejdes i IKT-risikovurderingsprocessen. Disse resultater danner grundlag for passende gennemgange af relevante komponenter i den ramme for IKT-risikostyring, der er omhandlet i artikel 6, stk. 1.

4. De finansielle enheder overvåger effektiviteten af gennemførelsen af deres strategi for digital operationel modstandsdygtighed, jf. artikel 6, stk. 8. De kortlægger IKT-risikoens udvikling over tid, analyserer hyppigheden, typerne, omfanget af og udviklingen i IKT-relaterede hændelser, navnlig cyberangreb og mønstre forbundet hermed, med henblik på at forstå graden af IKT-risikoeksponering, navnlig i forbindelse med kritiske eller vigtige funktioner, og forbedre den finansielle enheds cybermodenhed og cyberberedskab.

Artikel 14

Kommunikation

1. Som led i den ramme for IKT-risikostyring, der er omhandlet i artikel 6, stk. 1, sørger de finansielle enheder for at have krisekommunikationsplaner, der giver mulighed for ansvarlig offentliggørelse af som minimum større IKT-relaterede hændelser eller sårbarheder for kunder og modparter samt for offentligheden, alt efter hvad der er relevant.

2. Som led i rammen for IKT-risikostyring gennemfører de finansielle enheder kommunikationsplaner for internt personale og for eksterne interessenter. Kommunikationspolitikkerne for personalet skal tage hensyn til behovet for at skelne mellem personale, der er involveret i IKT-risikostyring, navnlig det personale, der er ansvarligt for indsats og genopretning, og personale, der skal underrettes.

3. Mindst én person i den finansielle enhed skal have til opgave at gennemføre kommunikationsstrategien for IKT-relaterede hændelser og til dette formål varetage funktionen vedrørende offentligheden og medierne.

Artikel 15

Yderligere harmonisering af IKT-risikostyringsværktøjer, -metoder, -processer og -politikker

ESA'erne udarbejder via Det Fælles Udvalg og i samråd med Den Europæiske Unions Agentur for Cybersikkerhed (ENISA) fælles udkast til reguleringsmæssige tekniske standarder med henblik på:

a) at præcisere, hvilke yderligere elementer der skal indgå i de IKT-sikkerhedspolitikker, -procedurer, -protokoller og -værktøjer, der er omhandlet i artikel 9, stk. 2, med henblik på at garantere netsikkerheden, sikre tilstrækkelige garantier mod indtrængen og datamisbrug, bevare tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, herunder kryptografiske teknikker, og garantere en nøjagtig og hurtig dataoverførsel uden større forstyrrelser og unødige forsinkelser

b) at videreudvikle komponenter i kontrollen med de rettigheder vedrørende adgangsforvaltning, der er omhandlet i artikel 9, stk. 4, litra c), og den dertil knyttede HR-politik med angivelse af adgangsrettigheder, procedurer for tildeling og tilbagekaldelse af rettigheder, overvågning af anormal adfærd i forbindelse med IKT-risikoen ved hjælp af passende indikatorer, herunder for mønstre vedrørende netværksbrug, tidspunkter, IT-aktivitet og ukendt udstyr

c) at videreudvikle de mekanismer, der er anført i artikel 10, stk. 1, for at muliggøre en hurtig detektion af anormale aktiviteter, og de kriterier, der er fastsat i artikel 10, stk. 2, for at udløse detektion af IKT-relaterede hændelser og indsatsforanstaltninger

d) yderligere at præcisere de komponenter, der er indeholdt i den politik for IKT-driftsstabilitet, der er omhandlet i artikel 11, stk. 1

e) yderligere at præcisere test af de planer for IKT-driftsstabilitet, der er omhandlet i artikel 11, stk. 6, for at sikre, at sådanne test tager behørigt hensyn til de scenarier, hvor kvaliteten af leveringen af en kritisk eller vigtig funktion forringes til et uacceptabelt niveau eller mislykkes, og at der tages behørigt hensyn til de potentielle virkninger af insolvens hos eller andre svigt forårsaget af eventuelle relevante tredjepartsudbydere af IKT-tjenester og, hvor det er relevant, de politiske risici i de respektive udbyderes jurisdiktioner

Artikel 16

Forenklet ramme for IKT-risikostyring

1. Nærværende forordnings artikel 5-15 finder ikke anvendelse på små og ikke indbyrdes forbundne investeringsselskaber, betalingsinstitutter, der er undtaget i henhold til direktiv (EU) 2015/2366, institutter, der er fritaget i henhold til direktiv 2013/36/EU, og for hvilke medlemsstaterne har besluttet ikke at anvende den mulighed, der er omhandlet i nærværende forordnings artikel 2, stk. 4, e-pengeinstitutter, der er undtaget i henhold til direktiv 2009/110/EF, og små arbejdsmarkedsrelaterede pensionskasser.

Uden at det berører første afsnit skal de i første afsnit omhandlede enheder:

a) indføre og vedligeholde en robust og dokumenteret ramme for IKT-risikostyring, der beskriver de mekanismer og foranstaltninger, der skal muliggøre en hurtig, effektiv og omfattende styring af IKT-risiko, herunder vedrørende beskyttelse af relevante fysiske komponenter og infrastrukturer

b) løbende overvåge alle IKT-systemers sikkerhed og drift

c) minimere virkningen af IKT-risiko gennem anvendelse af robuste, modstandsdygtige og ajourførte IKT-systemer, -protokoller og -værktøjer, som er egnede til at understøtte udførelsen af deres aktiviteter og leveringen af tjenester og i tilstrækkelig grad beskytte tilgængeligheden, autenticiteten, integriteten og fortroligheden af data i net- og informationssystemerne

d) gøre det muligt hurtigt at konstatere og detektere IKT-risikokilder og -anomalier i net- og informationssystemerne og hurtigt at håndtere IKT-relaterede hændelser

e) konstatere stor afhængighed af tredjepartsudbydere af IKT-tjenester

f) sikre kontinuiteten af kritiske eller vigtige funktioner gennem planer for driftsstabiliteten og indsats- og genopretningsforanstaltninger, der som minimum omfatter sikkerhedskopierings- og gendannelsesforanstaltninger

Artikel 17

Proces for styring af IKT-relaterede hændelser

1. De finansielle enheder definerer, fastlægger og gennemfører en proces for styring af IKT-relaterede hændelser for at detektere, styre og indberette IKT-relaterede hændelser.

2. De finansielle enheder registrerer alle IKT-relaterede hændelser og væsentlige cybertrusler. De finansielle enheder fastlægger passende procedurer og processer, der skal sikre en konsekvent og integreret overvågning, håndtering og opfølgning af IKT-relaterede hændelser, således at de grundlæggende årsager identificeres, dokumenteres og håndteres for at forhindre, at sådanne hændelser forekommer.

3. Som led i den proces for styring af IKT-relaterede hændelser, der er omhandlet i stk. 1:

a) indføres der tidlige advarselsindikatorer

b) fastlægges der procedurer til at identificere, spore, logge, kategorisere og klassificere IKT-relaterede hændelser alt efter deres prioritet og vigtighed og alt efter den kritiske betydning i overensstemmelse med de kriterier, der er fastlagt i artikel 18, stk. 1

c) tildeles der roller og ansvarsområder, som skal aktiveres for forskellige IKT-relaterede hændelsestyper og -scenarier

d) udarbejdes der planer for kommunikation til personale, eksterne interessenter og medier i overensstemmelse med artikel 14 og for underretning af kunder, interne fejlafhjælpningsprocedurer, herunder IKT-relaterede kundeklager, samt for indgivelse af oplysninger til finansielle enheder, der fungerer som modparter, alt efter hvad der er relevant

e) sikres det, at større IKT-relaterede hændelser som minimum indberettes til den relevante øverste ledelse, at ledelsesorganet som minimum underrettes om større IKT-relaterede hændelser, idet der redegøres for virkningerne, indsatsen og yderligere kontroller, som skal indføres som følge af sådanne IKT-relaterede hændelser

f) træffes der indsatsforanstaltninger mod IKT-relaterede hændelser, som skal afbøde virkningerne og sikre, at tjenesterne bliver operationelle og sikre på en rettidig måde.

Artikel 18

Klassificering af IKT-relaterede hændelser og cybertrusler

1. De finansielle enheder klassificerer IKT-relaterede hændelser og fastslår deres virkninger på grundlag af følgende kriterier:

a) antallet og/eller relevansen af kunder eller finansielle modparter, som er berørt, og, hvis det er relevant, beløbet på eller antallet af de transaktioner, som er berørt af den IKT-relaterede hændelse, og hvorvidt den IKT-relaterede hændelse har haft indvirkning på omdømmet

b) varigheden af den IKT-relaterede hændelse, herunder tjenestens nedetid

c) den geografiske udbredelse med hensyn til de områder, der er berørt af den IKT-relaterede hændelse, navnlig hvis den berører mere end to medlemsstater

d) de datatab, som den IKT-relaterede hændelse medfører med hensyn til tilgængelighed, autenticitet, integritet eller fortrolighed af data

e) den kritiske betydning af de berørte tjenester, herunder den finansielle enheds transaktioner og operationer

f) de økonomiske virkninger, navnlig direkte og indirekte omkostninger og tab, af den IKT-relaterede hændelse i både absolutte og relative tal.

2. De finansielle enheder klassificerer cybertrusler som væsentlige på grundlag af de udsatte tjenesters kritiske betydning, herunder den finansielle enheds transaktioner og operationer, antallet og/eller relevansen af de kunder eller finansielle modparter, som rammes, og risikoområdernes geografiske udbredelse.

3. ESA'erne udarbejder via Det Fælles Udvalg og i samråd med ECB og ENISA fælles udkast til reguleringsmæssige tekniske standarder, som yderligere præciserer følgende:

a) kriterierne i stk. 1, herunder væsentlighedstærskler til bestemmelse af større IKT-relaterede hændelser eller, alt efter hvad der er relevant, større operationelle eller sikkerhedsmæssige betalingsrelaterede hændelser, som er omfattet af indberetningspligten i artikel 19, stk. 1

b) de kriterier, som de kompetente myndigheder skal anvende med henblik på at vurdere relevansen af større IKT-relaterede hændelser eller, alt efter hvad der er relevant, af større operationelle eller sikkerhedsmæssige betalingsrelaterede hændelser, for de relevante myndigheder i andre medlemsstater, og de nærmere oplysninger i rapporterne om større IKT-relaterede hændelser eller, alt efter hvad der er relevant, større operationelle eller sikkerhedsmæssige betalingsrelaterede hændelser, som skal udveksles med andre kompetente myndigheder i henhold til artikel 19, stk. 6 og 7

Artikel 19

Indberetning af større IKT-relaterede hændelserog frivillig underretning om væsentlige cybertrusler

1. De finansielle enheder indberetter større IKT-relaterede hændelser til den relevante kompetente myndighed som omhandlet i artikel 46 i overensstemmelse med nærværende artikels stk. 4.

Hvis en finansiel enhed er underlagt tilsyn af mere end en national kompetent myndighed som omhandlet i artikel 46, udpeger medlemsstaterne en fælles kompetent myndighed som den relevante kompetente myndighed, der er ansvarlig for at udføre de i denne artikel omhandlede funktioner og opgaver.

Kreditinstitutter, der er klassificeret som signifikante i overensstemmelse med , indberetter større IKT-relaterede hændelser til den relevante nationale kompetente myndighed, der er udpeget i overensstemmelse med , og som øjeblikkeligt videresender den pågældende rapport til ECB.

Med henblik på første afsnit udarbejder de finansielle enheder efter indsamling og analyse af alle relevante oplysninger den indledende underretning og de rapporter, der er omhandlet i denne artikels stk. 4, ved brug af de modeller, der er omhandlet i artikel 20, og indgiver dem til den kompetente myndighed. Hvis det er teknisk umuligt at indgive den indledende underretning ved brug af modellen, meddeler de finansielle enheder den kompetente myndighed den på anden vis.

Den indledende underretning og de rapporter, der er omhandlet i stk. 4, skal indeholde alle de oplysninger, der er nødvendige for, at den kompetente myndighed kan fastslå, hvorvidt den større IKT-relaterede hændelse er væsentlig, og vurdere mulige grænseoverskridende virkninger.

Med forbehold af den finansielle enheds indberetning i henhold til første afsnit til den relevante kompetente myndighed kan medlemsstaterne derudover bestemme, at visse eller alle finansielle enheder også skal indgive den indledende underretning og hver enkelt rapport som omhandlet i denne artikels stk. 4 ved brug af de modeller, der er omhandlet i artikel 20, til de kompetente myndigheder eller til de enheder, der håndterer IT-sikkerhedshændelser (CSIRT'er), som er udpeget eller oprettet i overensstemmelse med direktiv (EU) 2022/2555.

2. De finansielle enheder kan på frivillig basis underrette den relevante kompetente myndighed om væsentlige cybertrusler, når de anser truslen for at være relevant for det finansielle system, tjenestebrugere eller kunder. Den relevante kompetente myndighed kan give sådanne oplysninger til andre relevante myndigheder som omhandlet i stk. 6.

Kreditinstitutter, der er klassificeret som signifikante i overensstemmelse med , kan på frivillig basis underrette den relevante nationale kompetente myndighed, der er udpeget i overensstemmelse med , og som øjeblikkeligt videresender underretningen til ECB, om væsentlige cybertrusler.

Artikel 20

Harmonisering af indholdet af og modeller for indberetninger

ESA'erne udarbejder via Det Fælles Udvalg og i samråd med ENISA og ECB følgende:

a) fælles udkast til reguleringsmæssige tekniske standarder med henblik på:

i) at fastlægge indholdet af indberetningerne om større IKT-relaterede hændelser for at afspejle de kriterier, der er fastsat i artikel 18, stk. 1, og indarbejde yderligere elementer såsom nærmere oplysninger til fastlæggelse af relevansen af indberetningerne for andre medlemsstater og om, hvorvidt hændelsen udgør en større operationel eller sikkerhedsmæssig betalingsrelateret hændelse

ii) at fastsætte fristerne for den indledende underretning og for hver enkelt rapport som omhandlet i artikel 19, stk. 4

iii) at fastlægge indholdet af underretningen om væsentlige cybertrusler.

Når ESA'erne udarbejder disse udkast til reguleringsmæssige tekniske standarder, tager de hensyn til den finansielle enheds størrelse og samlede risikoprofil og karakteren, omfanget og kompleksiteten af dens tjenester, aktiviteter og operationer, navnlig med henblik på at sikre, at forskellige frister, jf. dette stykkes litra a), nr. ii), alt efter hvad der er relevant, kan afspejle særlige forhold i de finansielle sektorer, uden at det berører opretholdelsen af en konsekvent tilgang til indberetning af IKT-relaterede hændelser i henhold til denne forordning og til direktiv (EU) 2022/2555 ESA'erne skal, alt efter hvad der er relevant, begrunde, hvis de afviger fra de tilgange, der er anlagt i forbindelse med nævnte direktiv

b) fælles udkast til gennemførelsesmæssige tekniske standarder for at fastlægge standardformularer, -modeller og -procedurer, som de finansielle enheder skal bruge til indberetning af en større IKT-relateret hændelse og til underretning om en væsentlig cybertrussel.

ESA'erne forelægger det fælles udkast til reguleringsmæssige tekniske standarder, der er omhandlet i stk. 1, litra a), og det fælles udkast til gennemførelsesmæssige tekniske standarder, der er omhandlet stk. 1, litra b), for Kommissionen senest den 17. juli 2024.

Artikel 21

Centralisering af indberetninger af større IKT-relaterede hændelser

1. ESA'erne udarbejder via Det Fælles Udvalg og i samråd med ECB og ENISA en fælles rapport med en vurdering af den praktiske mulighed for yderligere centralisering af indberetningen af hændelser gennem oprettelse af et fælles EU-knudepunkt for finansielle enheders indberetning af større IKT-relaterede hændelser. I den fælles rapport skal det undersøges, hvordan man kan fremme strømmen af indberetninger af IKT-relaterede hændelser, reducere de dermed forbundne omkostninger og understøtte tematiske analyser med henblik på at øge den tilsynsmæssige konvergens.

2. Den i stk. 1 omhandlede fælles rapport skal mindst omfatte følgende elementer:

a) forudsætninger for oprettelsen af et fælles EU-knudepunkt

b) fordele, begrænsninger og risici, herunder risici forbundet med den høje koncentration af følsomme oplysninger

c) den nødvendige kapacitet til at sikre interoperabilitet med andre relevante indberetningsordninger

d) elementer af den operationelle styring

e) betingelser for medlemskab

f) tekniske vilkår for finansielle enheders og nationale kompetente myndigheders adgang til det fælles EU-knudepunkt

g) en foreløbig vurdering af de finansielle omkostninger, der er forbundet med oprettelse af en operationel platform, der understøtter det fælles EU-knudepunkt, herunder den nødvendige ekspertise.

3. ESA'erne forelægger den i stk. 1 omhandlede rapport for Europa-Parlamentet, Rådet og Kommissionen senest den 17. januar 2025.

Artikel 22

Tilsynsmæssig feedback

1. Med forbehold af teknisk input, rådgivning eller afhjælpende foranstaltninger og efterfølgende opfølgning herpå, som CSIRT'erne, hvis det er relevant, i overensstemmelse med national ret kan tilvejebringe i henhold til direktiv (EU) 2022/2555, kvitterer den kompetente myndighed, når den modtager den indledende underretning og hver enkelt rapport, jf. artikel 19, stk. 4, for modtagelse heraf og kan, hvis det er praktisk muligt, rettidigt give den finansielle enhed relevant og forholdsmæssig feedback eller vejledning på højt niveau, navnlig ved at stille alle relevante anonymiserede oplysninger og efterretninger om lignende trusler til rådighed, og kan drøfte, hvilke afhjælpende foranstaltninger der har fundet anvendelse over for den finansielle enhed, og måder, hvorpå negative virkninger kan minimeres og afbødes på tværs af den finansielle sektor. Med forbehold af den modtagne tilsynsmæssige feedback er de finansielle enheder fortsat fuldt ud ansvarlige for håndteringen og konsekvenserne af de IKT-relaterede hændelser, der er indberettet i henhold til artikel 19, stk. 1.

2. ESA'erne aflægger via Det Fælles Udvalg baseret på et anonymiseret og samlet grundlag årligt rapport om større IKT-relaterede hændelser, hvis nærmere indhold stilles til rådighed af de kompetente myndigheder i overensstemmelse med artikel 19, stk. 6, og der som minimum angiver antallet af større IKT-relaterede hændelser, deres karakter og indvirkning på finansielle enheders eller kunders operationer samt de afhjælpende foranstaltninger, der er truffet, og de omkostninger, der er afholdt.

ESA'erne udsteder advarsler og udarbejder statistikker på højt niveau for at understøtte IKT-trussels- og sårbarhedsvurderinger.

Artikel 23

Operationelle eller sikkerhedsmæssige betalingsrelaterede hændelser vedrørende kreditinstitutter, betalingsinstitutter, kontooplysningstjenesteudbydere og e-pengeinstitutter

De krav, der er fastlagt i dette kapitel, finder også anvendelse på operationelle eller sikkerhedsmæssige betalingsrelaterede hændelser og større operationelle eller sikkerhedsmæssige betalingsrelaterede hændelser, hvis de vedrører kreditinstitutter, betalingsinstitutter, kontooplysningstjenesteudbydere og e-pengeinstitutter.

Artikel 24

Generelle krav til gennemførelsen af test af digital operationel modstandsdygtighed

1. Med henblik på at vurdere beredskabet i forhold til håndtering af IKT-relaterede hændelser, identificere svagheder, mangler og huller i den digitale operationelle modstandsdygtighed og straks træffe korrigerende foranstaltninger udarbejder, opretholder og gennemgår de finansielle enheder, der ikke er mikrovirksomheder, under hensyntagen til kriterierne i artikel 4, stk. 2, et forsvarligt og omfattende program for test af digital operationel modstandsdygtighed som en integrerende del af den i artikel 6 omhandlede ramme for IKT-risikostyring.

2. Programmet for test af digital operationel modstandsdygtighed skal omfatte en række vurderinger, test, metodologier, fremgangsmåder og værktøjer, der skal anvendes i overensstemmelse med artikel 25 og 26.

3. Når de finansielle enheder, der ikke er mikrovirksomheder, gennemfører det i denne artikels stk. 1 omhandlede program for test af digital operationel modstandsdygtighed, følger de en risikobaseret tilgang, idet de tager hensyn til kriterierne i artikel 4, stk. 2, under behørig hensyntagen til et IKT-risikomiljø i udvikling, eventuelle specifikke risici, som den berørte finansielle enhed udsættes for eller kan blive udsat for, informationsaktivernes og de leverede tjenesters kritiske betydning samt alle andre faktorer, som den finansielle enhed finder relevante.

4. De finansielle enheder, der ikke er mikrovirksomheder, sikrer, at test gennemføres af uafhængige parter, hvad enten de er interne eller eksterne. Hvis en intern tester gennemfører test, skal de finansielle enheder afsætte tilstrækkelige ressourcer og sikre, at interessekonflikter undgås under testens udformnings- og gennemførelsesfaser.

5. De finansielle enheder, der ikke er mikrovirksomheder, fastlægger procedurer og politikker med henblik på at prioritere, klassificere og afhjælpe alle problemer, der identificeres i forbindelse med gennemførelsen af test, og fastlægger interne valideringsmetoder for at sikre, at alle konstaterede svagheder, mangler eller huller afhjælpes fuldt ud.

6. De finansielle enheder, der ikke er mikrovirksomheder, sikrer, at der gennemføres passende test af alle IKT-systemer og -applikationer, der understøtter kritiske eller vigtige funktioner, mindst én gang om året.

Artikel 25

Test af IKT-værktøjer og -systemer

1. Det i artikel 24 omhandlede program for test af den digitale operationelle modstandsdygtighed skal i overensstemmelse med kriterierne i artikel 4, stk. 2, indeholde bestemmelser om gennemførelse af relevante test såsom sårbarhedsvurderinger og -scanninger, open source-analyser, vurderinger af netsikkerheden, mangelanalyser, fysiske sikkerhedsgennemgange, spørgeskemaer og scanningssoftwareløsninger, gennemgange af kildekoder, når det er praktisk muligt, scenariebaserede test, kompatibilitetstest, præstationstest, end-to-end-test og penetrationstest.

2. Værdipapircentraler og centrale modparter foretager sårbarhedsvurderinger inden indførelse eller genindførelse af nye eller eksisterende applikationer og infrastrukturkomponenter og IKT-tjenester, der understøtter den finansielle enheds kritiske eller vigtige funktioner.

3. Mikrovirksomheder gennemfører de i stk. 1 omhandlede test ved at kombinere en risikobaseret tilgang med strategisk planlægning af IKT-test under behørig hensyntagen til behovet for at opretholde en afbalanceret tilgang mellem omfanget af ressourcer og den tid, der skal afsættes til IKT-test som omhandlet i denne artikel, på den ene side og den hastende karakter, risikotype og informationsaktivernes og de leverede tjenesters kritiske betydning samt alle andre relevante faktorer, herunder den finansielle enheds evne til at tage kalkulerede risici, på den anden side.

Artikel 26

Avancerede test af IKT-værktøjer, -systemer og -processer baseret på TLPT

1. Finansielle enheder, der hverken er enheder som omhandlet i artikel 16, stk. 1, første afsnit, eller mikrovirksomheder, og som er identificeret i overensstemmelse med nærværende artikels stk. 8, tredje afsnit, foretager mindst hvert tredje år avancerede test ved hjælp af TLPT. På grundlag af den finansielle enheds risikoprofil og under hensyntagen til de operationelle omstændigheder kan den kompetente myndighed om nødvendigt anmode den finansielle enhed om at reducere eller øge denne hyppighed.

2. Hver trusselsbaseret penetrationstest skal omfatte flere eller samtlige kritiske eller vigtige funktioner hos en finansiel enhed og foretages på live-produktionssystemer, der understøtter sådanne funktioner.

De finansielle enheder identificerer alle relevante underliggende IKT-systemer, -processer og -teknologier, der understøtter kritiske eller vigtige funktioner og alle relevante IKT-tjenester, herunder dem, der understøtter kritiske eller vigtige funktioner og tjenester, der er blevet outsourcet eller udliciteret til tredjepartsudbydere af IKT-tjenester.

De finansielle enheder vurderer, hvilke kritiske eller vigtige funktioner, der skal være omfattet af TLPT. Resultatet af denne vurdering bestemmer det nøjagtige omfang af TLPT og valideres af de kompetente myndigheder.

3. Hvis tredjepartsudbydere af IKT-tjenester medtages i TLPT's anvendelsesområde, træffer den finansielle enhed de nødvendige foranstaltninger og sikkerhedsforanstaltninger for at sikre deltagelse af sådanne tredjepartsudbydere af IKT-tjenester i TLPT, og den har til enhver tid det fulde ansvar for at sikre overholdelse af denne forordning.

4. Uden at det berører stk. 2, første og andet afsnit, kan den finansielle enhed og tredjepartsudbyderen af IKT-tjenester, hvis deltagelse af en tredjepartsudbyder af IKT-tjenester i TLPT som omhandlet i stk. 3 med rimelighed kan forventes at have en negativ indvirkning på kvaliteten eller sikkerheden af de tjenester, som tredjepartsudbyderen af IKT-tjenester leverer til kunder, der er enheder, som ikke henhører under denne forordnings anvendelsesområde, eller på fortroligheden af data forbundet med sådanne tjenester, skriftligt aftale, at tredjepartsudbyderen af IKT-tjenester direkte indgår kontraktlige ordninger med en ekstern tester med henblik på under ledelse af en udpeget finansiel enhed at foretage en samlet TLPT, der omfatter flere finansielle enheder (samlet test), som tredjepartsudbyderen af IKT-tjenester leverer IKT-tjenester til.

Denne samlede test skal omfatte en relevant vifte af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, som de finansielle enheder har udliciteret til den pågældende tredjepartsudbyder af IKT-tjenester. Den samlede test betragtes som en TLPT, som gennemføres af de finansielle enheder, der deltager i den samlede test.

Artikel 27

Krav til testere vedrørende gennemførelsen af TLPT

1. De finansielle enheder må kun anvende testere til gennemførelsen af TLPT, som:

a) er de mest egnede, og som har det bedste omdømme

b) er i besiddelse af tekniske og organisatoriske kapaciteter og har specifik ekspertise med hensyn til trusselsefterretning, penetrationstest og red team-test

c) er certificerede af et akkrediteringsorgan i en medlemsstat eller har overholdt formelle adfærdskodekser eller etiske rammer

d) afgiver en uafhængig garanti for eller en revisionsrapport vedrørende forsvarlig risikostyring i forbindelse med gennemførelsen af TLPT, herunder behørig beskyttelse af den finansielle enheds fortrolige oplysninger og afhjælpning af den finansielle enheds forretningsrisici

e) er behørigt og fuldt ud dækket af relevante erhvervsansvarsforsikringer, herunder mod risici for forseelser og forsømmelighed.

2. Når de anvender interne testere, skal de finansielle enheder i tillæg til kravene i stk. 1 sikre, at følgende betingelser er opfyldt:

a) en sådan anvendelse er blevet godkendt af den relevante kompetente myndighed eller den fælles offentlige myndighed, som er udpeget i overensstemmelse med artikel 26, stk. 9 og 10

b) den relevante kompetente myndighed har efterprøvet, at den finansielle enhed har afsat tilstrækkelige særlige ressourcer, og sikret, at interessekonflikter undgås under testens udformnings- og gennemførelsesfaser, og

c) formidleren af trusselsefterretninger er ekstern i forhold til den finansielle enhed.

3. De finansielle enheder sikrer, at der i de kontrakter, der indgås med eksterne testere, kræves en forsvarlig forvaltning af resultaterne af TLPT, og at enhver databehandling heraf, herunder enhver form for generering, lagring, aggregering, udkast, rapportering, kommunikation eller destruktion, ikke medfører risici for den finansielle enhed.

Artikel 28

Generelle principper

1. De finansielle enheder styrer IKT-tredjepartsrisiko som en integreret del af IKT-risiko inden for deres ramme for IKT-risikostyring som omhandlet i artikel 6, stk. 1, og i overensstemmelse med følgende principper:

a) Finansielle enheder, der har indgået kontraktlige ordninger for brugen af IKT-tjenester til drift af deres forretningsaktiviteter, har til enhver tid det fulde ansvar for at overholde og opfylde alle forpligtelser i henhold til denne forordning og gældende finansiel tjenesteydelsesret

b) De finansielle enheders styring af IKT-tredjepartsrisiko skal gennemføres under hensyntagen til proportionalitetsprincippet, idet følgende tages i betragtning:

i) karakteren, omfanget, kompleksiteten og betydningen af den IKT-relaterede afhængighed

ii) de risici, der opstår som følge af kontraktlige ordninger for brugen af IKT-tjenester, der er indgået med tredjepartsudbydere af IKT-tjenester, under hensyntagen til den kritiske betydning eller vigtighed af den pågældende tjeneste, proces eller funktion og til de potentielle virkninger for driftsstabiliteten og tilgængeligheden af finansielle tjenesteydelser og aktiviteter på individuelt plan og koncernniveau.

2. Finansielle enheder, der hverken er enheder som omhandlet i artikel 16, stk. 1, første afsnit, eller er mikrovirksomheder, vedtager og gennemgår regelmæssigt en strategi for IKT-tredjepartsrisiko som led i deres ramme for IKT-risikostyring, idet de tager hensyn til den strategi med flere udbydere, der er omhandlet i artikel 6, stk. 9, hvor det er relevant. Strategien for IKT-tredjepartsrisiko skal omfatte en politik for brugen af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, og som leveres af tredjepartsudbydere af IKT-tjenester, og skal gælde på individuelt grundlag og, hvor det er relevant, på delkonsolideret og konsolideret grundlag. Ledelsesorganet gennemgår på grundlag af en vurdering af den finansielle enheds samlede risikoprofil og omfanget og kompleksiteten af forretningstjenesterne regelmæssigt de risici, der er konstateret i forbindelse med kontraktlige ordninger for brugen af IKT-tjenester, der understøtter kritiske eller vigtige funktioner.

3. Som led i deres ramme for IKT-risikostyring opretholder og ajourfører de finansielle enheder på enhedsniveau, og på delkonsolideret og konsolideret niveau, et register over oplysninger om alle kontraktlige ordninger for brugen af IKT-tjenester, der leveres af tredjepartsudbydere af IKT-tjenester.

Artikel 29

Foreløbig vurdering af IKT-koncentrationsrisiko på enhedsniveau

1. Når finansielle enheder foretager identifikation og vurdering af de risici, der er omhandlet i artikel 28, stk. 4, litra c), tager de også hensyn til, hvorvidt den påtænkte indgåelse af en kontraktlig ordning i forbindelse med IKT-tjenester, der understøtter kritiske eller vigtige funktioner, vil føre til et af følgende forhold:

a) udlicitering til en tredjepartsudbyder af IKT-tjenester, som ikke er let at erstatte, eller

b) indgåelse af flere kontraktlige ordninger om levering af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, med den samme tredjepartsudbyder af IKT-tjenester eller med tredjepartsudbydere af IKT-tjenester, som har tætte forbindelser til denne.

De finansielle enheder afvejer fordele og omkostninger ved alternative løsninger såsom brug af forskellige tredjepartsudbydere af IKT-tjenester under hensyntagen til, hvorvidt og hvordan de påtænkte løsninger svarer til de forretningsmæssige behov og mål, der er fastsat i deres strategi for digital modstandsdygtighed.

2. Hvis de kontraktlige ordninger for brugen af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, omfatter muligheden for, at en tredjepartsudbyder af IKT-tjenester giver IKT-tjenester, der understøtter en kritisk eller vigtig funktion, videre i underentreprise til andre tredjepartsudbydere af IKT-tjenester, afvejer de finansielle enheder de fordele og risici, der kan opstå i forbindelse med en sådan underentreprise, navnlig hvis der er tale om en IKT-underleverandør med hjemsted i et tredjeland.

Hvis de kontraktlige ordninger vedrører IKT-tjenester, der understøtter kritiske eller vigtige funktioner, tager de finansielle enheder behørigt hensyn til de bestemmelser i insolvensretten, som finder anvendelse, hvis tredjepartsudbyderen af IKT-tjenester går konkurs, samt eventuelle begrænsninger, der kan opstå i forbindelse med en hastende genopretning af den finansielle enheds data.

Hvis der er indgået kontraktlige ordninger for brug af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, med en tredjepartsudbyder af IKT-tjenester med hjemsted i et tredjeland, tager de finansielle enheder ud over til de i andet afsnit omhandlede forhold også hensyn til overholdelsen af Unionens databeskyttelsesregler og en effektiv håndhævelse af retten i det pågældende tredjeland.

Hvis de kontraktlige ordninger for brugen af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, indeholder bestemmelser om underentreprise, vurderer de finansielle enheder, hvorvidt og hvordan potentielt lange eller komplekse underentreprisekæder kan påvirke deres evne til fuldt ud at overvåge de udliciterede funktioner og den kompetente myndigheds evne til i denne henseende at føre effektivt tilsyn med den finansielle enhed.

Artikel 30

Centrale kontraktbestemmelser

1. Rettigheder og forpligtelser for den finansielle enhed og for tredjepartsudbyderen af IKT-tjenester skal fordeles klart og fastlægges skriftligt. Den samlede kontrakt skal omfatte serviceniveauaftaler og dokumenteres i ét skriftligt dokument, som parterne skal have adgang til på papir, eller i et dokument i et andet varigt og tilgængeligt format, som kan downloades.

2. De kontraktlige ordninger for brugen af IKT-tjenester skal mindst omfatte følgende elementer:

a) en klar og fuldstændig beskrivelse af alle funktioner og IKT-tjenester, som tredjepartsudbyderen af IKT-tjenester skal levere, med angivelse af, om underentreprise af en IKT-tjeneste, der understøtter en kritisk eller vigtig funktion eller væsentlige dele heraf er tilladt, og, hvis det er tilfældet, de betingelser, der gælder for en sådan underentreprise

b) de steder, navnlig de regioner eller lande, hvor de udliciterede funktioner og IKT-tjenester eller funktionerne og IKT-tjenesterne i underentreprise skal leveres, og hvor data skal behandles, herunder lagringsstedet, og kravet om, at tredjepartsudbyderen af IKT-tjenester på forhånd skal underrette den finansielle enhed, hvis den har planer om at ændre disse steder

c) bestemmelser om tilgængelighed, autenticitet, integritet og fortrolighed med hensyn til databeskyttelse, herunder personoplysninger

d) bestemmelser om sikring af adgang, genopretning og tilbagesendelse i et lettilgængeligt format af personoplysninger og andre data end personoplysninger, der behandles af den finansielle enhed, i tilfælde af insolvens, afvikling eller afbrydelse af de forretningsaktiviteter, som tredjepartsudbyderen af IKT-tjenester varetager, eller i tilfælde af opsigelse af de kontraktlige ordninger

e) beskrivelser af serviceniveauet, herunder ajourføringer og revisioner heraf

f) forpligtelsen for tredjepartsudbyderen af IKT-tjenester til at yde bistand til den finansielle enhed uden yderligere omkostninger eller til en omkostning, der fastsættes på forhånd, hvis der opstår en IKT-hændelse, der vedrører den IKT-tjeneste, som leveres til den finansielle enhed

Artikel 31

Udpegelse af kritiske tredjepartsudbydere af IKT-tjenester

1. ESA'erne skal via Det Fælles Udvalg og efter henstilling fra det tilsynsforum, der er oprettet i henhold til artikel 32, stk. 1,

a) udpege de tredjepartsudbydere af IKT-tjenester, der er kritiske for finansielle enheder efter en vurdering, der tager hensyn til kriterierne i stk. 2

b) som ledende tilsynsførende for hver kritisk tredjepartsudbyder af IKT-tjenester udpege den ESA, der i overensstemmelse med forordning (EU) nr. 1093/2010, (EU) nr. 1094/2010 eller (EU) nr. 1095/2010 er ansvarlig for de finansielle enheder, der tilsammen besidder den største andel samlede aktiver ud af værdien af de samlede aktiver for alle de finansielle enheder, der benytter sig af tjenester fra den pågældende kritiske tredjepartsudbyder af IKT-tjenester, således som det fremgår af summen af de individuelle balancer for disse finansielle enheder.

2. Den udpegelse, der er omhandlet i stk. 1, litra a), skal i forbindelse med IKT-tjenester, der leveres af tredjepartsudbyderen af IKT-tjenester, baseres på samtlige følgende kriterier:

a) den systemiske indvirkning på stabiliteten, kontinuiteten eller kvaliteten af leveringen af finansielle tjenesteydelser i tilfælde af, at den pågældende tredjepartsudbyder af IKT-tjenester udsættes for et stort operationelt svigt, således at denne ikke kan levere sine tjenester, idet der tages hensyn til antallet af finansielle enheder og den samlede værdi af aktiverne hos de finansielle enheder, som den pågældende tredjepartsudbyder af IKT-tjenester leverer tjenester til

b) den systemiske karakter eller betydning af de finansielle enheder, der er afhængige af den pågældende tredjepartsudbyder af IKT-tjenester, vurderet i overensstemmelse med følgende parametre:

antallet af globale systemisk vigtige institutter (G-SII'er) eller andre systemisk vigtige institutter (O-SII'er), som er afhængige af den pågældende tredjepartsudbyder af IKT-tjenester

Artikel 32

Tilsynsrammens struktur

1. Det Fælles Udvalg opretter i overensstemmelse med artikel 57, stk. 1, i forordning (EU) nr. 1093/2010, (EU) nr. 1094/2010 og (EU) nr. 1095/2010 tilsynsforummet som et underudvalg med henblik på at støtte det arbejde, der udføres i Det Fælles Udvalg og af den ledende tilsynsførende, der er omhandlet i artikel 31, stk. 1, litra b), med hensyn til IKT-tredjepartsrisiko på tværs af finansielle sektorer. Tilsynsforummet udarbejder udkast til fælles holdninger og udkast til fælles retsakter vedtaget af Det Fælles Udvalg inden for dette område.

Tilsynsforummet drøfter regelmæssigt relevante udviklingstendenser vedrørende IKT-risiko og -sårbarheder og fremmer en konsekvent tilgang til overvågning af IKT-tredjepartsrisiko på EU-plan.

2. Tilsynsforummet foretager på årsbasis en kollektiv vurdering af resultaterne og konklusionerne fra de tilsynsaktiviteter, der udføres for alle kritiske tredjepartsudbydere af IKT-tjenester, og fremmer koordineringsforanstaltninger for at øge finansielle enheders digitale operationelle modstandsdygtighed, fremme bedste praksis for håndtering af IKT-koncentrationsrisiko og undersøge foranstaltninger til modvirkning af risikoafsmitning på tværs af sektorer.

3. Tilsynsforummet forelægger omfattende benchmarks for kritiske tredjepartsudbydere af IKT-tjenester, som skal vedtages af Det Fælles Udvalg som ESA'ernes fælles holdninger i overensstemmelse med artikel 56, stk. 1, i forordning (EU) nr. 1093/2010, (EU) nr. 1094/2010 og (EU) nr. 1095/2010.

4. Tilsynsforummet er sammensat af:

a) formændene for ESA'erne

Artikel 33

Den ledende tilsynsførendes opgaver

1. Den ledende tilsynsførende, der er udpeget i overensstemmelse med artikel 31, stk. 1, litra b), fører tilsyn med de tildelte kritiske tredjepartsudbydere af IKT-tjenester og er med henblik på alle spørgsmål vedrørende tilsynet det primære kontaktpunkt for disse kritiske tredjepartsudbydere af IKT-tjenester.

2. Den ledende tilsynsførende vurderer med henblik på stk. 1, om hver enkelt kritisk tredjepartsudbyder af IKT-tjenester har indført omfattende, robuste og effektive regler, procedurer, mekanismer og ordninger til styring af den IKT-risiko, som den kan udsætte finansielle enheder for.

Den vurdering, der er omhandlet i første afsnit, skal primært fokusere på de IKT-tjenester, som leveres af den kritiske tredjepartsudbyder af IKT-tjenester, og som understøtter finansielle enheders kritiske eller vigtige funktioner. Hvis det er nødvendigt for at imødegå alle relevante risici, skal denne vurdering omfatte IKT-tjenester, der understøtter andre funktioner end dem, der er kritiske eller vigtige.

3. Den i stk. 2 omhandlede vurdering dækker følgende:

a) IKT-krav, som navnlig skal garantere sikkerhed, tilgængelighed, kontinuitet, skalerbarhed og kvalitet for de tjenester, som den kritiske tredjepartsudbyder af IKT-tjenester leverer til finansielle enheder, samt at der til enhver tid kan opretholdes høje standarder for tilgængelighed, autenticitet, integritet eller fortrolighed

b) fysisk sikkerhed, som bidrager til at garantere IKT-sikkerheden, herunder sikkerheden i lokaler, faciliteter og datacentre

c) risikostyringsprocesser, herunder politikker for IKT-risikostyring, politik for IKT-driftsstabilitet og planer for IKT-indsats og -genopretning

d) forvaltningsordninger, herunder en organisatorisk struktur med en klar, gennemsigtig og konsekvent ansvarsfordeling og regler om ansvarliggørelse, som muliggør effektiv IKT-risikostyring

e) identifikation, overvågning og hurtig indberetning af væsentlige IKT-relaterede hændelser til de finansielle enheder samt håndtering og afvikling af disse hændelser, navnlig cyberangreb

f) mekanismer for dataportabilitet, applikationsportabilitet og interoperabilitet, som sikrer en effektiv udøvelse af opsigelsesrettighederne for de finansielle enheder

Artikel 34

Operationel koordinering mellem ledende tilsynsførende

1. For at sikre en konsekvent tilgang til tilsynsaktiviteter og med henblik på at muliggøre koordinerede generelle tilsynsstrategier og sammenhængende operationelle tilgange og arbejdsmetoder opretter de tre ledende tilsynsførende, der er udpeget i overensstemmelse med artikel 31, stk. 1, litra b), et fælles tilsynsnetværk, der skal koordinere indbyrdes i forbindelse med de forberedende faser og koordinere udførelsen af tilsynsaktiviteter med hensyn til deres respektive kritiske tredjepartsudbydere af IKT-tjenester, der føres tilsyn med, og i forbindelse med eventuelle tiltag, der måtte være nødvendige i henhold til artikel 42.

2. Med henblik på stk. 1 udarbejder de ledende tilsynsførende en fælles tilsynsprotokol, der præciserer de nærmere procedurer, der skal følges for at gennemføre den daglige koordinering og sikre hurtige udvekslinger og reaktioner. Protokollen revideres regelmæssigt for at afspejle de operationelle behov, navnlig de praktiske tilsynsordningers udvikling.

3. De ledende tilsynsførende kan på ad hoc-basis anmode ECB og ENISA om at yde teknisk rådgivning, udveksle praktiske erfaringer eller deltage i specifikke koordineringsmøder i det fælles tilsynsnetværk.

Artikel 35

Den ledende tilsynsførendes beføjelser

1. Med henblik på varetagelsen af de i denne afdeling omhandlede opgaver tillægges den ledende tilsynsførende følgende beføjelser med hensyn til de kritiske tredjepartstjenesteudbydere af IKT-tjenester:

a) at anmode om alle relevante oplysninger og dokumentation i overensstemmelse med artikel 37

b) at foretage generelle undersøgelser og inspektioner i overensstemmelse med henholdsvis artikel 38 og 39

c) efter afslutningen af tilsynsaktiviteterne at anmode om rapporter med angivelse af de tiltag, der er iværksat, eller de afhjælpende foranstaltninger, som de kritiske tredjepartsudbydere af IKT-tjenester har truffet i forbindelse med de i litra d) omhandlede henstillinger

d) at udstede henstillinger vedrørende de områder, der er omhandlet i artikel 33, stk. 3, og navnlig følgende:

i) anvendelse af specifikke IKT-relaterede sikkerheds- og kvalitetskrav eller -processer, navnlig i forbindelse med udrulningen af programrettelser, opdateringer, kryptering og andre sikkerhedsforanstaltninger, som den ledende tilsynsførende betragter som relevante for at garantere IKT-sikkerheden for tjenester, der leveres til finansielle enheder

ii) anvendelse af betingelser og vilkår, herunder den tekniske gennemførelse heraf, i henhold til hvilke de kritiske tredjepartsudbydere af IKT-tjenester leverer tjenester til finansielle enheder, og som den ledende tilsynsførende skønner relevante for at forhindre, at der genereres single points of failure, eller at disse forstærkes, eller for at minimere de eventuelle systemiske virkninger på tværs af Unionens finansielle sektor i tilfælde af IKT-koncentrationsrisici

iii) eventuelle planlagte underentrepriser, hvor den ledende tilsynsførende på baggrund af undersøgelsen af de oplysninger, der er indhentet i overensstemmelse med artikel 37 og 38, skønner, at videregivelse i underentreprise, herunder ordninger for underentrepriser, som de kritiske tredjepartsudbydere af IKT-tjenester planlægger at indgå med tredjepartsudbydere af IKT-tjenester eller med IKT-underleverandører med hjemsted i et tredjeland, kan udløse risici for den finansielle enheds levering af tjenester eller risici for den finansielle stabilitet

Artikel 36

Den ledende tilsynsførendes udøvelse af beføjelser uden for Unionen

1. Når tilsynsmålene ikke kan nås ved at interagere med den dattervirksomhed, der er oprettet med henblik på artikel 31, stk. 12, eller ved at udøve tilsynsaktiviteter i lokaler i Unionen, kan den ledende tilsynsførende udøve de i de følgende bestemmelser omhandlede beføjelser i ethvert lokale i et tredjeland, som med henblik på levering af tjenester til finansielle enheder i Unionen ejes eller på nogen måde anvendes af en kritisk tredjepartsudbyder af IKT-tjenester i forbindelse med dennes forretningsaktiviteter, funktioner eller tjenester, herunder alle administrative, forretningsmæssige eller operationelle kontorer, lokaler, arealer, bygninger eller andre ejendomme:

a) i artikel 35, stk. 1, litra a), og

b) i artikel 35, stk. 1, litra b), i overensstemmelse med artikel 38, stk. 2, litra a), b) og d), og artikel 39, stk. 1, og artikel 39, stk. 2, litra a).

De i første afsnit omhandlede beføjelser kan udøves med forbehold af overholdelse af alle følgende betingelser:

i) den ledende tilsynsførende anser det for nødvendigt, at der foretages inspektion i et tredjeland, for at denne fuldt ud og effektivt kan udføre sine opgaver i henhold til denne forordning

ii) inspektionen i et tredjeland er direkte knyttet til leveringen af IKT-tjenester til finansielle enheder i Unionen

iii) den pågældende kritiske tredjepartsudbyder af IKT-tjenester giver sit samtykke til, at der foretages en inspektion i et tredjeland, og

iv) den relevante myndighed i det pågældende tredjeland er blevet officielt underrettet af den ledende tilsynsførende og har ikke gjort indsigelse herimod.

2. Uden at det berører EU-institutionernes og medlemsstaternes respektive beføjelser, indgår EBA, ESMA eller EIOPA med henblik på stk. 1 administrative samarbejdsordninger med den relevante myndighed i tredjelandet med henblik på at gøre det muligt for den ledende tilsynsførende og det team, den har udpeget til opgaven i det pågældende tredjeland, at foretage gnidningsløse inspektioner i det pågældende tredjeland. Disse samarbejdsordninger må ikke skabe retlige forpligtelser for Unionen og dens medlemsstater og heller ikke forhindre medlemsstaterne og deres kompetente myndigheder i at indgå bilaterale eller multilaterale aftaler med disse tredjelande og deres relevante myndigheder.

Artikel 37

Anmodning om oplysninger

1. Den ledende tilsynsførende kan efter simpel anmodning eller ved en afgørelse kræve, at kritiske tredjepartsudbydere af IKT-tjenester fremlægger alle de oplysninger, der er nødvendige for, at den ledende tilsynsførende kan varetage sine opgaver i henhold til denne forordning, herunder alle relevante forretningsdokumenter eller operationelle dokumenter, kontrakter, politikker, dokumentation, rapporter om IKT-sikkerhedsrevision, indberetninger af IKT-relaterede hændelser samt oplysninger om parter, som den kritiske tredjepartsudbyder af IKT-tjenester har outsourcet operationelle funktioner eller aktiviteter til.

2. Når den ledende tilsynsførende sender en simpel anmodning om oplysninger i henhold til stk. 1, skal denne

a) henvise til denne artikel som retsgrundlag for anmodningen

b) angive formålet med anmodningen

c) præcisere, hvilke oplysninger der kræves

d) fastsætte en frist for fremlæggelsen af oplysningerne

e) meddele repræsentanten for den kritiske tredjepartsudbyder af IKT-tjenester, som anmodes om oplysningerne, at vedkommende ikke er forpligtet til at fremlægge oplysningerne, men at oplysningerne, såfremt vedkommende frivilligt fremlægger dem, ikke må være ukorrekte eller vildledende.

3. Når den ledende tilsynsførende ved afgørelse kræver udlevering af oplysninger i henhold til stk. 1, skal denne

a) henvise til denne artikel som retsgrundlag for anmodningen

b) angive formålet med anmodningen

c) præcisere, hvilke oplysninger der kræves

d) fastsætte en frist for fremlæggelsen af oplysningerne

e) angive de tvangsbøder, der er omhandlet i artikel 35, stk. 6, og som finder anvendelse, hvis de ønskede oplysninger er ufuldstændige, eller hvis de ikke fremlægges inden for den tidsfrist, som er omhandlet i dette stykkes litra d)

Artikel 38

Generelle undersøgelser

1. For at varetage sine opgaver i henhold til denne forordning kan den ledende tilsynsførende, som bistås af det fælles undersøgelsesteam, der er omhandlet i artikel 40, stk. 1, om nødvendigt foretage undersøgelser af kritiske tredjepartsudbydere af IKT-tjenester.

2. Den ledende tilsynsførende har beføjelse til:

a) at undersøge optegnelser, data, procedurer og andet materiale, som har betydning for varetagelsen af dennes opgaver, uanset det medium, hvorpå de er lagret

b) at tage eller erhverve bekræftede genparter eller udskrifter af sådanne optegnelser, data, dokumenterede procedurer og ethvert andet materiale

c) at indkalde repræsentanter for den kritiske tredjepartsudbyder af IKT-tjenester med henblik på mundtlige eller skriftlige redegørelser for forhold eller dokumenter, der vedrører undersøgelsens genstand og formål, og at optage svarene

d) at udspørge enhver anden fysisk eller juridisk person, der indvilliger heri, med det formål at indsamle oplysninger om undersøgelsens genstand

e) at anmode om optegnelser over telefonsamtaler og datatrafik.

3. De embedsmænd og andre personer, som den ledende tilsynsførende har bemyndiget til at foretage de i stk. 1 omhandlede undersøgelser, udøver deres beføjelser efter fremlæggelse af en skriftlig tilladelse, som angiver genstanden for undersøgelsen og formålet hermed.

Denne tilladelse skal også indeholde oplysninger om de tvangsbøder, der er omhandlet i artikel 35, stk. 6, hvis de krævede optegnelser, data, dokumenterede procedurer eller ethvert andet materiale eller svarene på de spørgsmål, der stilles til repræsentanter for tredjepartsudbyderne af IKT-tjenester, ikke fremlægges eller er ufuldstændige.

4. Repræsentanterne for de kritiske tredjepartsudbydere af IKT-tjenester skal lade sig underkaste undersøgelserne på grundlag af en afgørelse truffet af den ledende tilsynsførende. Afgørelsen skal angive undersøgelsens genstand og formål, de tvangsbøder, der er omhandlet i artikel 35, stk. 6, de retsmidler, der er tilgængelige i henhold til forordning (EU) nr. 1093/2010, og , og retten til at indbringe en klage over afgørelsen for Domstolen.

Artikel 39

Inspektioner

1. For at varetage sine opgaver i henhold til denne forordning kan den ledende tilsynsførende, som bistås af de fælles undersøgelsesteams, der er omhandlet i artikel 40, stk. 1, betræde og foretage alle nødvendige inspektioner på stedet i alle forretningslokaler, arealer eller ejendomme, som tilhører tredjepartsudbyderne af IKT-tjenester, f.eks. hovedkontorer, operationscentraler og sekundære lokaler, samt foretage eksterne inspektioner.

Med henblik på udøvelsen af de beføjelser, der er omhandlet i første afsnit, hører den ledende tilsynsførende det fælles tilsynsnetværk.

2. De embedsmænd og andre personer, som den ledende tilsynsførende har bemyndiget til at foretage inspektion på stedet, har beføjelse til at

a) betræde alle sådanne forretningslokaler, arealer eller ejendomme, og

b) forsegle alle sådanne forretningslokaler, regnskaber eller registre i det for inspektionen nødvendige tidsrum og omfang.

De embedsmænd og andre personer, som den ledende tilsynsførende har bemyndiget, udøver deres beføjelser efter fremlæggelse af en skriftlig tilladelse, der angiver genstanden for og formålet med inspektionen og de tvangsbøder, der er omhandlet i artikel 35, stk. 6, hvis repræsentanterne for de berørte kritiske tredjepartsudbydere af IKT-tjenester ikke lader sig underkaste inspektionen.

3. Den ledende tilsynsførende underretter i god tid før indledningen af inspektionen de kompetente myndigheder for de finansielle enheder, som anvender den pågældende tredjepartsudbyder af IKT-tjenester.

4. Inspektioner skal omfatte hele viften af relevante IKT-systemer, netværk, udstyr, oplysninger og data, der enten anvendes til eller bidrager til leveringen af IKT-tjenester til finansielle enheder.

5. Den ledende tilsynsførende underretter kritiske tredjepartsudbydere af IKT-tjenester i rimelig tid før enhver planlagt inspektion på stedet, medmindre en sådan underretning ikke er mulig på grund af en nød- eller krisesituation, eller hvis det vil føre til en situation, hvor inspektionen eller revisionen ikke længere vil være effektiv.

6. Den kritiske tredjepartsudbyder af IKT-tjenester skal lade sig underkaste inspektioner på stedet, som er påbudt i henhold til en afgørelse truffet af den ledende tilsynsførende. Afgørelsen skal angive inspektionens genstand og formål, fastsætte tidspunktet for inspektionens påbegyndelse og oplyse om de tvangsbøder, der er omhandlet i artikel 35, stk. 6, de retsmidler, der er tilgængelige i henhold til forordning (EU) nr. 1093/2010, og , og om retten til at indbringe en klage over afgørelsen for Domstolen.

Artikel 40

Løbende tilsyn

1. Når den ledende tilsynsførende udfører tilsynsaktiviteter, navnlig generelle undersøgelser eller inspektioner, bistås denne af et fælles undersøgelsesteam, som er oprettet for hver af de kritiske tredjepartsudbydere af IKT-tjenester.

2. Det fælles undersøgelsesteam, der er omhandlet i stk. 1, skal bestå af medarbejdere fra:

a) ESA'erne

b) de relevante kompetente myndigheder, der fører tilsyn med de finansielle enheder, som den kritiske tredjepartsudbyder af IKT-tjenester leverer IKT-tjenester til

c) den nationale kompetente myndighed, der er omhandlet i artikel 32, stk. 4, litra e), på frivillig basis

d) én national kompetent myndighed fra den medlemsstat, hvor den kritiske tredjepartsudbyder af IKT-tjenester har hjemsted, på frivillig basis.

Medlemmerne af det fælles undersøgelsesteam skal have ekspertise med hensyn til IKT-anliggender og operationel risiko. Arbejdet i det fælles undersøgelsesteam koordineres af en udpeget medarbejder under den ledende tilsynsførende (»koordinatoren for den ledende tilsynsførende«).

3. Inden for 3 måneder fra fuldførelsen af en undersøgelse eller en inspektion og efter at have hørt tilsynsforummet vedtager den ledende tilsynsførende henstillinger, som skal fremsættes over for den berørte kritiske tredjepartsudbyder af IKT-tjenester, i henhold til de i artikel 35 omhandlede beføjelser.

4. De i stk. 3 omhandlede henstillinger meddeles omgående den kritiske tredjepartsudbyder af IKT-tjenester og de kompetente myndigheder for de finansielle enheder, som den leverer IKT-tjenester til.

Med henblik på at varetage tilsynsaktiviteterne kan den ledende tilsynsførende tage hensyn til eventuelle relevante tredjepartscertificeringer og IKT-tredjeparters interne eller eksterne revisionsrapporter, som den kritiske tredjepartsudbyder af IKT-tjenester har stillet til rådighed.

Artikel 41

Harmonisering af de betingelser, der muliggør udførelsen af tilsynsaktiviteter

1. ESA'erne udarbejder via Det Fælles Udvalg udkast til reguleringsmæssige tekniske standarder for at præcisere følgende:

a) de oplysninger, som en tredjepartsudbyder af IKT-tjenester skal fremlægge i sin ansøgning om frivillig anmodning om at blive udpeget som kritisk, jf. artikel 31, stk. 11

b) indholdet, strukturen og formatet af de oplysninger, som tredjepartsudbydere af IKT-tjenester skal indgive, offentliggøre eller aflægge rapport om i henhold til artikel 35, stk. 1, herunder modellen for afgivelse af oplysninger om underentrepriseordninger

c) kriterierne for fastlæggelse af sammensætningen af det fælles undersøgelsesteam, der sikrer en afbalanceret deltagelse af medarbejdere fra ESA'erne og fra de relevante kompetente myndigheder, deres udpegelse, opgaver og arbejdsordninger

d) de nærmere oplysninger om de kompetente myndigheders vurdering af de foranstaltninger, som kritiske tredjepartsudbydere af IKT-tjenester har truffet på grundlag af henstillinger fra den ledende tilsynsførende, jf. artikel 42, stk. 3.

2. ESA'erne forelægger disse udkast til reguleringsmæssige tekniske standarder for Kommissionen senest den 17. juli 2024.

Kommissionen tillægges beføjelse til supplere denne forordning ved at vedtage de i stk. 1 omhandlede reguleringsmæssige tekniske standarder i overensstemmelse med den procedure, der er fastsat i artikel 10-14 i forordning (EU) nr. 1093/2010, (EU) nr. 1094/2010 og (EU) nr. 1095/2010.

Artikel 42

De kompetente myndigheders opfølgning

1. Senest 60 kalenderdage efter modtagelsen af de henstillinger, der er fremsat af den ledende tilsynsførende i henhold til artikel 35, stk. 1, litra d), underretter de kritiske tredjepartsudbydere af IKT-tjenester enten den ledende tilsynsførende om, at de agter at følge henstillingerne, eller de giver en begrundet redegørelse for, hvorfor de agter ikke at følge henstillingerne. Den ledende tilsynsførende videregiver straks disse oplysninger til de kompetente myndigheder for de pågældende finansielle enheder.

2. Den ledende tilsynsførende offentliggør det, hvis en kritisk tredjepartsudbyder af IKT-tjenester undlader at underrette den ledende tilsynsførende i overensstemmelse med stk. 1, eller hvis den redegørelse, som den kritiske tredjepartsudbyder af IKT-tjenester har givet, ikke anses for at være tilstrækkelig. De offentliggjorte oplysninger skal oplyse om identiteten af den kritiske tredjepartsudbyder af IKT-tjenester og om typen og arten af den manglende overholdelse. Sådanne oplysninger begrænses til, hvad der er relevant og forholdsmæssigt med henblik på at sikre offentlighedens bevidsthed, medmindre en sådan offentliggørelse vil kunne forvolde de involverede parter uforholdsmæssig stor skade eller i alvorlig grad bringe de finansielle markeders velordnede funktion og integritet eller stabiliteten af hele eller dele af Unionens finansielle system i fare.

Den ledende tilsynsførende underretter tredjepartsudbyderen af IKT-tjenester om den pågældende offentliggørelse.

3. De kompetente myndigheder informerer de relevante finansielle enheder om de risici, der er identificeret i de henstillinger, som er fremsat over for kritiske tredjepartsudbydere af IKT-tjenester i overensstemmelse med artikel 35, stk. 1, litra d).

Når de finansielle enheder styrer IKT-tredjepartsrisici tager de hensyn til de risici, der er omhandlet i første afsnit.

4. Hvis en kompetent myndighed vurderer, at en finansiel enhed ikke tager hensyn til eller ikke i tilstrækkelig grad i sin styring af IKT-tredjepartsrisiko imødegå de specifikke risici, der er identificeret i henstillingerne, underretter den den finansielle enhed om muligheden for, at der inden for 60 kalenderdage efter modtagelsen af en sådan underretning træffes en afgørelse i henhold til stk. 6, i fravær af passende kontraktlige ordninger, der tager sigte på at imødegå sådanne risici.

5. De kompetente myndigheder kan efter at have modtaget rapporterne omhandlet i artikel 35, stk. 1, litra c), og inden de træffer en afgørelse som omhandlet i nærværende artikels stk. 6, på frivillig basis høre de kompetente myndigheder, der er udpeget eller oprettet overensstemmelse med direktiv (EU) 2022/2555, som har ansvar for tilsynet med en væsentlig eller vigtig enhed opført, der er omfattet af nævnte direktiv og er blevet udpeget som en kritisk tredjepartsudbyder af IKT-tjenester.

Artikel 43

Tilsynsgebyrer

1. Den ledende tilsynsførende opkræver i overensstemmelse med den delegerede retsakt, der er omhandlet i denne artikels stk. 2, gebyrer hos kritiske tredjepartsudbydere af IKT-tjenester, som fuldt ud dækker den ledende tilsynsførendes nødvendige udgifter i forbindelse med varetagelsen af tilsynsopgaver i henhold til denne forordning, herunder godtgørelse af eventuelle omkostninger, der kan opstå som følge af det arbejde, der udføres af det fælles undersøgelsesteam, som er omhandlet i artikel 40, samt omkostningerne til rådgivning ydet af de uafhængige eksperter som omhandlet i artikel 32, stk. 4, andet afsnit, i forbindelse med forhold, der hører under området for de direkte tilsynsaktiviteter.

Det gebyrbeløb, der opkræves hos en kritisk tredjepartsudbyder af IKT-tjenester, skal dække alle omkostninger, der opstår som følge af udførelsen af de i denne afdeling fastsatte opgaver, og skal stå i et rimeligt forhold til dennes omsætning.

2. Kommissionen tillægges beføjelser til at vedtage en delegeret retsakt i overensstemmelse med artikel 57 for at supplere denne forordning ved at fastsætte gebyrbeløbene og den måde, hvorpå de skal betales, senest den 17. juli 2024.

Artikel 44

Internationalt samarbejde

1. Med forbehold af artikel 36 kan EBA, ESMA og EIOPA i overensstemmelse med artikel 33 i henholdsvis forordning (EU) nr. 1093/2010, (EU) nr. 1095/2010 og (EU) nr. 1094/2010 indgå administrative ordninger med tredjelandes regulerings- og tilsynsmyndigheder for at fremme det internationale samarbejde om IKT-tredjepartsrisiko på tværs af forskellige finansielle sektorer, navnlig ved at udvikle bedste praksis for gennemgang af praksis og kontroller forbundet med IKT-risikostyring, afhjælpende foranstaltninger og indsatsen i forbindelse med hændelser.

2. ESA'erne forelægger hvert femte år via Det Fælles Udvalg en fælles fortrolig rapport for Europa-Parlamentet, Rådet og Kommissionen med en sammenfatning af resultaterne af de relevante drøftelser, der er ført med de i stk. 1 omhandlede tredjelandsmyndigheder, med fokus på udviklingen inden for IKT-tredjepartsrisiko og konsekvenserne for den finansielle stabilitet, markedets integritet, investorbeskyttelsen og det indre markeds funktionsmåde.

Artikel 45

Ordninger for informationsudveksling af oplysninger og efterretninger om cybertrusler

1. De finansielle enheder kan indbyrdes udveksle oplysninger og efterretninger om cybertrusler, herunder kompromitteringsindikatorer, taktikker, teknikker og procedurer, cybersikkerhedsvarsler og konfigurationsværktøjer, i det omfang en sådan udveksling af oplysninger og efterretninger:

a) har til formål at forbedre finansielle enheders digitale operationelle modstandsdygtighed, navnlig ved at øge bevidstheden om cybertrusler, begrænse eller hindre cybertruslernes spredningsevne, understøtte forsvarskapaciteter, teknikker til detektion af trusler, strategier for afbødning eller indsats- og genopretningsfaser

b) finder sted inden for betroede fællesskaber af finansielle enheder

c) gennemføres gennem ordninger for informationsudveksling, der beskytter de udvekslede oplysningers potentielt sensitive karakter, og som er omfattet af adfærdsregler med fuld respekt for forretningshemmeligheder, beskyttelse af personoplysninger i overensstemmelse med forordning (EU) 2016/679 og retningslinjer for konkurrencepolitikken.

2. Med henblik på stk. 1, litra c), fastlægger ordningerne for informationsudveksling betingelserne for deltagelse og fastsætter, hvor det er relevant, de nærmere bestemmelser om inddragelse af offentlige myndigheder og om den egenskab, i hvilken de kan indgå i ordninger for informationsudveksling, om inddragelse af tredjepartsudbydere af IKT-tjenester og om operationelle elementer, herunder anvendelsen af særlige IT-platforme.

3. De finansielle enheder underretter de kompetente myndigheder om deres deltagelse i de i stk. 1 omhandlede ordninger for informationsudveksling efter validering af deres medlemskab eller, alt efter hvad der er relevant, ophør af deres medlemskab, når det træder i kraft.

Artikel 46

Kompetente myndigheder

Uden at dette berører bestemmelserne i denne forordnings kapitel V, afdeling II, om tilsynsrammen for kritiske tredjepartsudbydere af IKT-tjenester, sikrer følgende kompetente myndigheder overholdelse af denne forordning, i overensstemmelse med de beføjelser, som tillægges dem ved de respektive retsakter:

a) for kreditinstitutter og for institutter, der er fritaget i henhold til direktiv 2013/36/EU: den kompetente myndighed, der er udpeget i henhold til nævnte direktivs artikel 4, og for kreditinstitutter, der er klassificeret som signifikante i henhold til : ECB i overensstemmelse med de ved nævnte forordning tillagte beføjelser og opgaver

b) for betalingsinstitutter, herunder betalingsinstitutter, der er undtaget i henhold til direktiv (EU) 2015/2366, e-pengeinstitutter, herunder dem, der er undtaget i henhold til direktiv 2009/110/EF, og kontooplysningstjenesteudbydere som omhandlet i : den kompetente myndighed, der er udpeget i henhold til

c) for investeringsselskaber: den kompetente myndighed, der er udpeget i henhold til

d) for udbydere af kryptoaktivtjenester, der er meddelt tilladelse i henhold til forordningen om markeder for kryptoaktiver, og udstedere af aktivbaserede tokens: den kompetente myndighed, der er udpeget i overensstemmelse med den relevante bestemmelse i nævnte forordning

e) for værdipapircentraler: den kompetente myndighed, der er udpeget i henhold til

f) for centrale modparter: den kompetente myndighed, der er udpeget i henhold til

g) for markedspladser og udbydere af dataindberetningstjenester: den kompetente myndighed, der er udpeget i henhold til , og den kompetente myndighed som defineret i ,

Artikel 47

Samarbejde med strukturer og myndigheder, der er oprettet ved direktiv (EU) 2022/2555

1. For at fremme samarbejde og muliggøre tilsynsmæssig udveksling mellem de kompetente myndigheder, der er udpeget i henhold til denne forordning, og den samarbejdsgruppe, der er nedsat ved , kan ESA'erne og de kompetente myndigheder deltage i samarbejdsgruppens aktiviteter for så vidt angår spørgsmål, der vedrører deres tilsynsaktiviteter i forbindelse med finansielle enheder. ESA'erne og de kompetente myndigheder kan anmode om at blive indbudt til at deltage i samarbejdsgruppens aktiviteter for så vidt angår spørgsmål i forbindelse med væsentlige eller vigtige enheder, der er omfattet af direktiv (EU) 2022/2555 og desuden er blevet udpeget som kritiske tredjepartsudbydere af IKT-tjenester i henhold til denne forordnings artikel 31.

2. Hvis det er relevant, kan de kompetente myndigheder rådføre sig og dele oplysninger med henholdsvis de centrale kontaktpunkter og de CSIRT'er, der er udpeget eller oprettet i overensstemmelse med direktiv (EU) 2022/2555.

3. Hvis det er relevant, kan de kompetente myndigheder anmode om relevant teknisk rådgivning og bistand fra de kompetente myndigheder, der er udpeget eller oprettet i overensstemmelse med direktiv (EU) 2022/2555, og etablere samarbejdsordninger, således at der kan oprettes effektive og hurtige koordineringsmekanismer.

4. De ordninger, der er omhandlet i denne artikels stk. 3, kan bl.a. præcisere procedurerne for koordinering af tilsynsaktiviteter i forbindelse med væsentlige eller vigtige enheder, der er omfattet af direktiv (EU) 2022/2555 og er udpeget som kritiske tredjepartsudbydere af IKT-tjenester i henhold til denne forordnings artikel 31, herunder med henblik på i overensstemmelse med national ret at gennemføre undersøgelser og inspektioner på stedet samt med henblik på mekanismer til udveksling af oplysninger mellem de kompetente myndigheder i henhold til denne forordning og de kompetente myndigheder, der er udpeget eller oprettet i overensstemmelse med nævnte direktiv, hvilket omfatter adgang til oplysninger, som sidstnævnte myndigheder har anmodet om.

Artikel 48

Samarbejde mellem myndigheder

1. De kompetente myndigheder arbejder tæt sammen indbyrdes og, hvis det er relevant, med den ledende tilsynsførende.

2. De kompetente myndigheder og den ledende tilsynsførende udveksler rettidigt alle de relevante oplysninger om kritiske tredjepartsudbydere af IKT-tjenester, som er nødvendige for, at de kan udføre deres respektive opgaver i henhold til denne forordning, navnlig i forbindelse med identificerede risici, tilgange og foranstaltninger, der træffes som led i den ledende tilsynsførendes tilsynsopgaver.

Artikel 49

Simuleringsøvelser på tværs af sektorer, kommunikation og samarbejde inden for finans

1. ESA'erne kan via Det Fælles Udvalg og i samarbejde med de kompetente myndigheder, afviklingsmyndigheder som omhandlet i , Den Fælles Afviklingsinstans for så vidt angår oplysninger vedrørende enheder, der er omfattet af anvendelsesområdet for forordning (EU) nr. 806/2014, ESRB og ENISA, alt efter hvad der er relevant, indføre mekanismer, der gør det muligt at udveksle effektive fremgangsmåder på tværs af finansielle sektorer for at forbedre situationskendskabet og identificere fælles cybersårbarheder og risici på tværs af sektorer.

De kan udvikle simuleringsøvelser for krisestyring og beredskab, der omfatter cyberangrebsscenarier, med henblik på at udvikle kommunikationskanaler og gradvist muliggøre en effektiv koordineret indsats på EU-plan i tilfælde af en større grænseoverskridende IKT-relateret hændelse eller dermed forbundet trussel, som har systemiske virkninger for Unionens finansielle sektor som helhed.

Simuleringsøvelserne kan, alt efter hvad der er relevant, også tjene til at teste den finansielle sektors afhængighed af andre økonomiske sektorer.

2. De kompetente myndigheder, ESA'erne og ECB samarbejder tæt med hinanden og udveksler oplysninger med henblik på at varetage deres opgaver i henhold til artikel 47-54. De koordinerer deres tilsyn tæt for at identificere og afhjælpe overtrædelser af denne forordning, udvikle og fremme bedste praksis, lette samarbejdet, fremme en konsekvent fortolkning og tilvejebringe vurderinger på tværs af jurisdiktioner i tilfælde af eventuelle tvister.

Artikel 50

Administrative sanktioner og afhjælpende foranstaltninger

1. De kompetente myndigheder tillægges alle de nødvendige tilsynsmæssige beføjelser, undersøgelses- og sanktionsbeføjelser, således at de kan opfylde deres forpligtelser i henhold til denne forordning.

2. De i stk. 1 omhandlede beføjelser skal mindst omfatte følgende beføjelser til at:

a) have adgang til ethvert dokument eller data i enhver form, som den kompetente myndighed anser for relevante for varetagelsen af sine opgaver, og modtage eller tage en kopi deraf

b) gennemføre inspektioner eller undersøgelser på stedet, som omfatter, men ikke er begrænset til:

i) at indkalde repræsentanter for de finansielle enheder med henblik på mundtlige eller skriftlige redegørelser for forhold eller dokumenter, der vedrører undersøgelsens genstand og formål, og at optage svarene

ii) at udspørge enhver anden fysisk eller juridisk person, der indvilliger heri, med det formål at indsamle oplysninger om undersøgelsens genstand

c) kræve korrigerende og afhjælpende foranstaltninger for overtrædelser af kravene i denne forordning.

3. Uden at dette berører medlemsstaternes ret til at pålægge strafferetlige sanktioner i overensstemmelse med artikel 52, fastsætter medlemsstaterne bestemmelser om passende administrative sanktioner og afhjælpende foranstaltninger for overtrædelser af denne forordning og sikrer en effektiv gennemførelse heraf.

Disse sanktioner eller foranstaltninger skal være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

4. Medlemsstaterne tillægger de kompetente myndigheder beføjelse til at anvende mindst følgende administrative sanktioner eller afhjælpende foranstaltninger for overtrædelser af denne forordning:

a) at udstede et påbud om, at den fysiske eller juridiske person bringer den adfærd, der udgør en overtrædelse af denne forordning, til ophør og afholder sig fra at gentage en sådan adfærd

b) at kræve midlertidigt eller permanent ophør med en praksis eller adfærd, som den kompetente myndighed anser for at stride mod bestemmelserne i denne forordning, og forhindre, at en sådan praksis eller adfærd gentager sig

Artikel 51

Udøvelse af beføjelsen til at pålægge administrative sanktioner og afhjælpende foranstaltninger

1. De kompetente myndigheder udøver, hvis det er relevant, beføjelsen til at pålægge de administrative sanktioner og afhjælpende foranstaltninger, der er omhandlet i artikel 50, i overensstemmelse med deres nationale lovrammer på følgende måde:

a) direkte

b) i samarbejde med andre myndigheder

c) under eget ansvar ved delegation til andre myndigheder eller

d) ved anmodning til de kompetente judicielle myndigheder.

2. De kompetente myndigheder tager ved valget af arten af og niveauet for en administrativ sanktion eller afhjælpende foranstaltning, der pålægges i henhold til artikel 50, hensyn til, i hvilken grad overtrædelsen er forsætlig eller skyldes uagtsomhed, og alle andre relevante omstændigheder, herunder følgende, hvis det er relevant:

a) overtrædelsens væsentlighed, grovhed og varighed

b) graden af ansvar hos den fysiske eller juridiske person, der er ansvarlig for overtrædelsen

c) den ansvarlige fysiske eller juridiske persons finansielle styrke

d) omfanget af den ansvarlige fysiske eller juridiske persons opnåede fortjeneste eller undgåede tab, såfremt disse beløb kan beregnes

e) de tab for tredjeparter, som skyldes overtrædelsen, såfremt disse beløb kan beregnes

f) i hvilken grad den fysiske eller juridiske person samarbejder med den kompetente myndighed, uden at det dog berører kravet om tilbagebetaling af den pågældende fysiske eller juridiske persons opnåede fortjeneste eller undgåede tab

g) overtrædelser, som den ansvarlige fysiske eller juridiske person tidligere har begået.

Artikel 52

Strafferetlige sanktioner

1. Medlemsstaterne kan beslutte ikke at fastsætte bestemmelser om administrative sanktioner eller afhjælpende foranstaltninger for overtrædelser, der er omfattet af strafferetlige sanktioner i henhold til national ret.

2. Hvis medlemsstaterne har valgt at fastsætte strafferetlige sanktioner for overtrædelser af denne forordning, sikrer de, at der er truffet passende foranstaltninger, således at de kompetente myndigheder har alle de nødvendige beføjelser til at holde kontakt til de judicielle, retsforfølgende eller strafferetlige myndigheder inden for deres jurisdiktion for at indhente specifikke oplysninger om strafferetlige efterforskninger eller straffesager, der er indledt for overtrædelser af denne forordning, og til at give andre kompetente myndigheder samt EBA, ESMA eller EIOPA de samme oplysninger, således at disse kan opfylde deres forpligtelser til at samarbejde med henblik på anvendelsen af denne forordning.

Artikel 53

Meddelelsespligt

Medlemsstaterne giver senest den 17. januar 2025 Kommissionen, ESMA, EBA, og EIOPA meddelelse om de love og administrative bestemmelser, herunder relevante strafferetlige bestemmelser, som gennemfører dette kapitel. Medlemsstaterne meddeler uden unødigt ophold Kommissionen, ESMA, EBA, og EIOPA eventuelle senere ændringer heraf.

Artikel 54

Offentliggørelse af administrative sanktioner

1. De kompetente myndigheder offentliggør uden unødigt ophold på deres officielle websteder enhver afgørelse om pålæggelse af en administrativ sanktion, som ikke kan påklages, efter at modtageren af sanktionen er blevet underrettet om afgørelsen.

2. Den i stk. 1 omhandlede offentliggørelse omfatter oplysninger om overtrædelsens type og art, de ansvarlige personers identitet samt de pålagte sanktioner.

3. Hvis den kompetente myndighed efter en vurdering i det enkelte tilfælde finder, at offentliggørelse af identiteten, hvis der er tale om juridiske personer, eller af identiteten og personoplysninger, hvis der er tale om fysiske personer, vil være uforholdsmæssig, herunder omfatte risici i forbindelse med beskyttelsen af personoplysninger, vil bringe de finansielle markeders stabilitet eller gennemførelsen af en igangværende strafferetlig efterforskning i fare eller, i det omfang skaden kan fastslås, vil forvolde uforholdsmæssig stor skade på den involverede person, tager den en af følgende løsninger i anvendelse med hensyn til afgørelsen om at pålægge en administrativ sanktion:

a) udsætte offentliggørelsen heraf, indtil enhver begrundelse for at undlade offentliggørelse er bortfaldet

b) offentliggøre den anonymt i overensstemmelse med national ret eller

c) undlade at offentliggøre den, hvis mulighederne i litra a) og b) enten anses for at være utilstrækkelige til at sikre, at de finansielle markeders stabilitet ikke på nogen måde bringes i fare, eller hvis en sådan offentliggørelse ikke står i et rimeligt forhold til den pålagte sanktions mildhed.

4. I tilfælde af en afgørelse om at offentliggøre en administrativ sanktion anonymt i overensstemmelse med stk. 3, litra b), kan offentliggørelsen af de relevante oplysninger udskydes.

5. Hvis en kompetent myndighed offentliggør en afgørelse om at pålægge en administrativ sanktion, der kan indbringes for de relevante judicielle myndigheder, lægger de kompetente myndigheder straks denne oplysning på deres officielle websted sammen med eventuelle efterfølgende oplysninger om resultatet af denne indbringelse på et senere tidspunkt. En judiciel afgørelse, som annullerer en afgørelse om at pålægge en administrativ sanktion, skal også offentliggøres.

6. Kompetente myndigheder sikrer, at enhver offentliggørelse som omhandlet i stk. 1-4 kun er tilgængelig på deres officielle websted i den periode, der er nødvendig af hensyn til denne artikel. Denne periode må ikke overstige fem år efter offentliggørelsen.

Artikel 55

Tavshedspligt

1. Enhver fortrolig oplysning, der modtages, udveksles eller videregives i henhold til denne forordning, er underlagt de i stk. 2 omhandlede betingelser vedrørende tavshedspligt.

2. Tavshedspligten gælder for alle personer, der arbejder eller har arbejdet for de kompetente myndigheder i henhold til denne forordning eller for en myndighed, en markedsdeltager eller en fysisk eller juridisk person, som disse kompetente myndigheder har overdraget sine beføjelser til, herunder revisorer og sagkyndige, der har indgået en kontrakt med disse.

3. Oplysninger, der er omfattet af tavshedspligt, herunder udveksling af oplysninger mellem kompetente myndigheder i henhold til denne forordning og kompetente myndigheder, der er udpeget eller oprettet i overensstemmelse med direktiv (EU) 2022/2555, må ikke videregives til nogen anden person eller myndighed, medmindre der er hjemmel dertil i bestemmelser fastsat i EU-ret eller national ret;

4. Alle oplysninger, der udveksles mellem de kompetente myndigheder i henhold til denne forordning, og som vedrører forretnings- eller driftsmæssige betingelser og andre økonomiske eller personlige anliggender, betragtes som fortrolige og er underlagt krav om tavshedspligt, undtagen når den kompetente myndighed på det tidspunkt, hvor oplysningerne blev meddelt, har erklæret, at disse oplysninger kan videregives, eller når videregivelse er nødvendig i forbindelse med en eventuel retsforfølgning.

Artikel 56

Databeskyttelse

1. ESA'erne og de kompetente myndigheder må kun behandle personoplysninger, hvis det er nødvendigt for, at de kan opfylde deres respektive forpligtelser og udføre deres opgaver i henhold til denne forordning, navnlig med hensyn til undersøgelse, inspektion, anmodning om oplysninger, kommunikation, offentliggørelse, evaluering, efterprøvning, vurdering og udarbejdelse af tilsynsplaner. Personoplysninger behandles i overensstemmelse med forordning (EU) 2016/679 eller (EU) 2018/1725, alt efter hvilken der finder anvendelse.

2. Medmindre andet er fastsat i andre sektorspecifikke retsakter, opbevares de personoplysninger, der er omhandlet i stk. 1, indtil de relevante tilsynsopgaver er udført, og under alle omstændigheder i en periode på højst 15 år, undtagen i tilfælde af verserende retssager, der kræver yderligere opbevaring af sådanne oplysninger.

Artikel 57

Udøvelse af de delegerede beføjelser

1. Beføjelsen til at vedtage delegerede retsakter tillægges Kommissionen på de i denne artikel fastlagte betingelser.

2. Beføjelsen til at vedtage delegerede retsakter, jf. artikel 31, stk. 6, og artikel 43, stk. 2, tillægges Kommissionen for en periode på fem år fra den 17. januar 2024. Kommissionen udarbejder en rapport vedrørende delegationen af beføjelser senest ni måneder inden udløbet af femårsperioden. Delegationen af beføjelser forlænges stiltiende for perioder af samme varighed, medmindre Europa-Parlamentet eller Rådet modsætter sig en sådan forlængelse senest tre måneder inden udløbet af hver periode.

3. Den i artikel 31, stk. 6, og artikel 43, stk. 2, omhandlede delegation af beføjelser kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer delegationen af de beføjelser, der er angivet i den pågældende afgørelse, til ophør. Den får virkning dagen efter offentliggørelsen af afgørelsen i Den Europæiske Unions Tidende eller på et senere tidspunkt, der angives i afgørelsen. Den berører ikke gyldigheden af delegerede retsakter, der allerede er i kraft.

4. Inden vedtagelsen af en delegeret retsakt hører Kommissionen eksperter, som er udpeget af hver enkelt medlemsstat, i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning.

5. Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidigt Europa-Parlamentet og Rådet meddelelse herom.

6. En delegeret retsakt vedtaget i henhold til artikel 31, stk. 6, og artikel 43, stk. 2, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på tre måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet og Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har underrettet Kommissionen om, at de ikke agter at gøre indsigelse. Fristen forlænges med tre måneder på Europa-Parlamentets eller Rådets initiativ.

Artikel 58

Revisionsklausul

1. Senest den 17. januar 2028 foretager Kommissionen efter høring af ESA'erne og ESRB, alt efter hvad der er relevant, en gennemgang og forelægger en rapport for Europa-Parlamentet og Rådet, eventuelt ledsaget af et lovgivningsmæssigt forslag. Gennemgangen skal som minimum omfatte følgende:

a) kriterierne for udpegelse af kritiske tredjepartsudbydere af IKT-tjenester i overensstemmelse med artikel 31, stk. 2

b) den frivillige karakter af underretningen om væsentlige cybertrusler, der er omhandlet i artikel 19

c) den ordning, der er omhandlet i artikel 31, stk. 12, og de beføjelser, som tillægges den ledende tilsynsførende, som er fastsat i artikel 35, stk. 1, litra d), nr. iv), første led, med henblik på at evaluere nævnte bestemmelsers effektivitet med hensyn til at sikre effektivt tilsyn med kritiske tredjepartsudbydere af IKT-tjenester med hjemsted i et tredjeland og nødvendigheden af at etablere en dattervirksomhed i Unionen.

Med henblik på dette litras første afsnit skal gennemgangen indeholde en analyse af den ordning, der er omhandlet i artikel 31, stk. 12, herunder for så vidt angår adgang for Unionens finansielle enheder til tjenester fra tredjelande og tilgængeligheden af sådanne tjenester på Unionens marked, og den skal tage hensyn til den yderligere udvikling på markederne for tjenester, der er omfattet af denne forordning, de finansielle enheders og de finansielle tilsynsmyndigheders praktiske erfaring med hensyn til henholdsvis brugen af og tilsynet med nævnte ordning og enhver relevant reguleringsmæssig og tilsynsmæssig udvikling, der finder sted på internationalt plan.

d) det hensigtsmæssige i at lade de finansielle enheder, der er omhandlet i artikel 2, stk. 3, litra e), og som gør brug af automatiske salgssystemer, være omfattet af denne forordnings anvendelsesområde i lyset af den fremtidige markedsudvikling i brugen af sådanne systemer

e) det fælles tilsynsnetværks funktion og effektivitet med hensyn til at støtte tilsynets konsekvens og informationsudvekslingens effektivitet inden for tilsynsrammen.

2. I forbindelse med revisionen af direktiv (EU) 2015/2366 vurderer Kommissionen behovet for øget cyberrobusthed i betalingssystemer og betalingsbehandlingsaktiviteter og hensigtsmæssigheden af at udvide denne forordnings anvendelsesområde til operatører af betalingssystemer og enheder, der er involveret i betalingsbehandlingsaktiviteter. I lyset af denne vurdering forelægger Kommissionen som led i revisionen af en rapport for Europa-Parlamentet og Rådet senest den 17. juli 2023.

Artikel 59

Ændringer af forordning (EF) nr. 1060/2009

I forordning (EF) nr. 1060/2009 foretages følgende ændringer:

1) Bilag I, afsnit A, punkt 4, første afsnit, affattes således:

»Et kreditvurderingsbureau skal have passende administrative og regnskabsmæssige procedurer, interne kontrolmekanismer, effektive procedurer til risikovurdering og effektive kontrol- og sikkerhedsforanstaltninger med henblik på styring af sine IKT-systemer i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554.

---

Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og om ændring af forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 (EUT L 333 af 27.12.2022, s. 1).« "

2) Bilag III, punkt 12, affattes således:

»12. Kreditvurderingsbureauet overtræder artikel 6, stk. 2, sammenholdt med bilag I, afsnit A, punkt 4, ved at undlade at have passende administrative og regnskabsmæssige procedurer, interne kontrolmekanismer, effektive procedurer til risikovurdering og effektive kontrol- og sikkerhedsforanstaltninger med henblik på styring af sine IKT-systemer i overensstemmelse med forordning (EU) 2022/2554, eller ved at undlade at gennemføre eller opretholde beslutningsprocedurer eller organisatoriske strukturer som påkrævet i henhold til nævnte punkt.«

Artikel 60

Ændringer af forordning (EU) nr. 648/2012

I forordning (EU) nr. 648/2012 foretages følgende ændringer:

1) I artikel 26 foretages følgende ændringer:

a) Stk. 3 affattes således:

»3. En CCP opretholder og anvender en sådan organisatorisk struktur, som er nødvendig til at sikre kontinuitet og regelmæssighed i leveringen af dens tjenesteydelser og udøvelsen af dens aktiviteter. Den anvender med henblik herpå hensigtsmæssige og forholdsmæssigt afpassede systemer, ressourcer og procedurer, herunder IKT-systemer, som styres i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554.

---

Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og om ændring af forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 (EUT L 333 af 27.12.2022, s. 1).« "

b) Stk. 6 udgår.

Artikel 61

Ændringer af forordning (EU) nr. 909/2014

I foretages følgende ændringer:

1) Stk. 1 affattes således:

»1. CSD'er skal identificere kilder til operationelle risici, både interne og eksterne, og ligeledes begrænse deres indvirkning ved at anvende passende IKT-værktøjer, kontroller og procedurer, som er oprettet og styres i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554, samt ved anvende eventuelle andre relevante værktøjer, kontroller og procedurer for andre typer af operationelle risici, herunder for alle de værdipapirafviklingssystemer, som de driver.

---

Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og om ændring af forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 (EUT L 333 af 27.12.2022, s. 1).« "

2) Stk. 2 udgår.

3) Stk. 3 og 4 affattes således:

»3. CSD'er udarbejder, gennemfører og opretholder for tjenesteydelser, som de leverer, samt for hvert af de værdipapirafviklingssystemer, som de driver, en passende forretningskontinuitetspolitik og en katastrofeberedskabsplan, herunder en politik for IKT-driftsstabilitet og planer for IKT-indsats og -genopretning udarbejdet i overensstemmelse med forordning (EU) 2022/2554, som har til formål at sikre opretholdelsen af deres tjenesteydelser, rettidig genopretning af transaktioner og opfyldelse af deres forpligtelser i tilfælde af hændelser, som i høj grad risikerer at afbryde transaktioner.

Artikel 62

Ændringer af forordning (EU) nr. 600/2014

I forordning (EU) nr. 600/2014 foretages følgende ændringer:

1) Artikel 27g ændres således:

a) Stk. 4 affattes således:

»4. En APA skal opfylde kravene til sikkerheden i net- og informationssystemer, der er fastsat i Europa-Parlamentets og Rådets forordning (EU) 2022/2554.

---

Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og om ændring af forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 (EUT L 333 af 27.12.2022, s. 1).« "

b) Stk. 8, litra c), affattes således:

»c) de konkrete organisatoriske krav, der er fastsat i stk. 3 og 5.«

Artikel 63

Ændring af forordning (EU) 2016/1011

I tilføjes følgende stykke:

»6. For kritiske benchmarks skal en administrator have solide administrative og regnskabsmæssige procedurer, interne kontrolmekanismer, effektive procedurer til risikovurdering og effektive kontrol- og sikkerhedsforanstaltninger med henblik på styring af sine IKT-systemer i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554.

Artikel 64

Ikrafttræden og anvendelse

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Den finder anvendelse fra den 17. januar 2025.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Strasbourg, den 14. december 2022.

På Europa-Parlamentets vegne

R. METSOLA

Formand

På Rådets vegne

M. BEK

Formand

EUT C 343 af 26.8.2021, s. 1.

EUT C 155 af 30.4.2021, s. 38.

Europa-Parlamentets holdning af 10.11.2022 (endnu ikke offentliggjort i EUT) og Rådets afgørelse af 28.11.2022.

Europa-Parlamentets og Rådets forordning (EU) nr. 1093/2010 af 24. november 2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Banktilsynsmyndighed), om ændring af afgørelse nr. 716/2009/EF og om ophævelse af Kommissionens afgørelse 2009/78/EF (EUT L 331 af 15.12.2010, s. 12).

Europa-Parlamentets og Rådets forordning (EU) nr. 1094/2010 af 24. november 2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Tilsynsmyndighed for Forsikrings- og Arbejdsmarkedspensionsordninger), om ændring af afgørelse 716/2009/EF og om ophævelse af ().