lagen.
EU-direktiv

Europaparlamentets och rådets direktiv (EU) 2022/2556 av den 14 december 2022 om ändring av direktiven 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 och (EU) 2016/2341 vad gäller digital operativ motståndskraft för finanssektorn (Text av betydelse för EES)

CELEX
32022L2556
Typ
EU-direktiv
Datum
20221214
EUT
L 333

Källa

Hänvisat till av

+9 fler

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artiklarna 53.1 och 114,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska centralbankens yttrande,

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande,

i enlighet med det ordinarie lagstiftningsförfarandet, och

1 Unionen måste på ett lämpligt och heltäckande sätt ta itu med de digitala risker som uppstår för alla finansiella entiteter till följd av en ökad användning av informations- och kommunikationsteknik (IKT) vid tillhandahållande och konsumtion av finansiella tjänster, och därmed bidra till att förverkliga den digitala finanssektorns potential när det gäller att stimulera innovation och främja konkurrens i en säker digital miljö.

2 Finansiella entiteter är mycket beroende av digital teknik i sin dagliga verksamhet. Det är därför ytterst viktigt att säkerställa att deras digitala transaktioner har en operativ motståndskraft mot IKT-risk. Detta behov har blivit allt större på grund av den ökade marknaden för banbrytande teknik, särskilt teknik som möjliggör att digitala representationer av värde eller rättigheter kan överföras och lagras elektroniskt, med hjälp av teknik för distribuerade liggare eller liknande teknik (kryptotillgångar) och för tjänster relaterade till sådana tillgångar.

3 De krav som rör hantering av IKT-risk för finanssektorn på unionsnivå fastställs för närvarande i Europaparlamentets och rådets direktiv 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 och (EU) 2016/2341.

4 Inom området för banktjänster innehåller direktiv 2013/36/EU i dagsläget endast allmänna regler om intern styrning och operativ risk med krav på beredskaps- och kontinuitetsplaner vilka underförstått används som en grund för att hantera IKT-risk. För att uttryckligen och tydligt hantera IKT-risk bör dock kraven på beredskaps- och kontinuitetsplaner ändras så att de även innefattar kontinuitets- och åtgärds- och återställningsplaner även för IKT-risk, i enlighet med kraven i förordning (EU) 2022/2554. Dessutom ingår IKT-risk endast indirekt, som en del av den operativa risken, i den översyns- och utvärderingsprocess (ÖUP) som utförs av behöriga myndigheter, och kriterierna för deras bedömning fastställs för närvarande i riktlinjerna om IKT-riskbedömning inom ramen för översyns- och utvärderingsprocessen (ÖUP), utfärdade av den europeiska tillsynsmyndigheten (Europeiska bankmyndigheten, EBA), inrättad genom Europaparlamentets och rådets förordning (EU) nr 1093/2010. För att skapa rättslig klarhet och säkerställa att banktillsynsmyndigheterna effektivt identifierar IKT-risk och övervakar finansiella entiteters hantering därav, i linje med den nya ramen för digital operativ motståndskraft, bör ÖUP:s tillämpningsområde även ändras så att det uttryckligen hänvisar till de krav som fastställs i förordning (EU) 2022/2554 och i synnerhet omfattar de risker som påvisats i rapporter om allvarliga IKT-relaterade incidenter och resultaten av den testning av digital operativ motståndskraft som finansiella entiteter utfört i enlighet med den förordningen.

5 Digital operativ motståndskraft är nödvändigt för att upprätthålla en finansiell entitets kritiska funktioner och kärnaffärsområden i händelse av dess resolution och för att undvika störningar i realekonomin och det finansiella systemet. Allvarliga operativa incidenter kan hämma en finansiell entitets förmåga att fortsätta att driva sin verksamhet och kan äventyra resolutionsmålen. Vissa kontraktsmässiga arrangemang som rör användningen av IKT-tjänster är väsentliga för att säkerställa driftskontinuitet och tillhandahålla nödvändiga uppgifter i händelse av resolution. För att vara anpassat till målen för unionens ram för operativ motståndskraft bör direktiv 2014/59/EU ändras i enlighet med detta så att det säkerställs att information relaterad till operativ motståndskraft beaktas i samband med resolutionsplanering och bedömning av finansiella entiteters möjligheter till resolution.

6 I direktiv 2014/65/EU fastställs hårdare IKT-riskregler för värdepappersföretag och handelsplatser när dessa bedriver algoritmisk handel. Mindre utförliga krav tillämpas på datarapporteringstjänster och transaktionsregister. Dessutom hänvisas det i direktiv 2014/65/EU endast i begränsad mån till kontroll- och skyddssystem för informationsbehandlingssystem och användning av lämpliga system, resurser och förfaranden för att sörja för kontinuitet och regelbundenhet i affärstjänster. Det direktivet bör dessutom harmoniseras med förordning (EU) 2022/2554 i fråga om kontinuitet och regelbundenhet i tillhandahållandet av investeringstjänster och utförandet av investeringsverksamhet, operativ motståndskraft, handelssystemens kapacitet och effektiva arrangemang för kontinuitet och riskhantering.

7 I direktiv (EU) 2015/2366 fastställs särskilda regler om IKT-relaterade säkerhetskontroll- och begränsningsaspekter för erhållande av en auktorisation att utföra betaltjänster. Dessa auktorisationsregler bör ändras för att anpassas till förordning (EU) 2022/2554. För att minska den administrativa bördan och undvika komplexitet och överlappande rapporteringskrav bör dessutom reglerna om incidentrapportering i det direktivet upphöra att tillämpas för betaltjänstleverantörer som regleras enligt det direktivet och som omfattas av förordning (EU) 2022/2554, vilket gör det möjligt för dessa betaltjänstleverantörer att dra nytta av en gemensam, fullständigt harmoniserad incidentrapporteringsmekanism med avseende på alla operativa incidenter eller säkerhetsincidenter, oavsett om sådana incidenter är IKT-relaterade.

8 Direktiven 2009/138/EG och (EU) 2016/2341 fångar delvis upp IKT-risk i sina allmänna bestämmelser om styrning och riskhantering, vilket innebär att vissa krav ska specificeras genom delegerade akter med eller utan särskilda hänvisningar till IKT-risk. På samma sätt tillämpas endast mycket allmänna regler på förvaltare av alternativa investeringsfonder som omfattas av direktiv 2011/61/EU och förvaltningsbolag som omfattas av direktiv 2009/65/EG. Dessa direktiv bör därför anpassas till kraven i förordning (EU) 2022/2554 när det gäller förvaltningen av IKT-system och IKT-verktyg.

9 Ytterligare IKT-krav har i många fall redan fastställts i delegerade akter och genomförandeakter, antagna utifrån förslag till tekniska tillsynsstandarder och tekniska standarder för genomförande vilka utarbetats av den behöriga europeiska tillsynsmyndigheten. Eftersom bestämmelserna i förordning (EU) 2022/2554 hädanefter utgör den rättsliga ramen för IKT-risk för finanssektorn bör vissa befogenheter att anta delegerade akter och genomförandeakter i direktiven 2009/65/EG, 2009/138/EG, 2011/61/EU och 2014/65/EU ändras för att stryka IKT-riskbestämmelserna från tillämpningsområdet för dessa befogenheter.

10 För att säkerställa ett enhetligt genomförande av den nya ramen för digital operativ motståndskraft för finanssektorn bör medlemsstaterna tillämpa de bestämmelser i nationell rätt som införlivar detta direktiv från och med tillämpningsdagen för förordning (EU) 2022/2554.

11 Direktiven 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 och (EU) 2016/2341 har antagits på grundval av artikel 53.1 eller artikel 114 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) eller båda. Ändringarna genom detta direktiv har tagits med i en och samma lagstiftningsakt på grund av det inbördes förhållandet mellan sakfrågan och ändringarnas syften. Följaktligen bör detta direktiv antas på grundval av såväl artikel 53.1 som artikel 114 i EUF-fördraget.

12 Eftersom målen för detta direktiv inte i tillräcklig utsträckning kan uppnås av medlemsstaterna, eftersom de innebär en harmonisering av redan befintliga krav i direktiven, utan snarare, på grund av åtgärdens omfattning och verkningar, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå dessa mål.

13 I enlighet med den gemensamma politiska förklaringen av den 28 september 2011 från medlemsstaterna och kommissionen om förklarande dokument, har medlemsstaterna åtagit sig att, när det är motiverat, låta anmälan av införlivandeåtgärder åtföljas av ett eller flera dokument som förklarar förhållandet mellan de olika delarna i direktivet och motsvarande delar i de nationella instrumenten för införlivande. Lagstiftaren anser att det är motiverat att sådana dokument översänds avseende detta direktiv.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1 – Ändringar av direktiv 2009/65/EG

Artikel 12 i direktiv 2009/65/EG ska ändras på följande sätt:

1 I punkt 1 andra stycket ska led a ersättas med följande:

2 Punkt 3 ska ersättas med följande:

Artikel 2 – Ändringar av direktiv 2009/138/EG

Direktiv 2009/138/EG ska ändras på följande sätt:

1 Artikel 41.4 ska ersättas med följande:

2 I artikel 50.1 ska leden a och b ersättas med följande:

Artikel 3 – Ändring av direktiv 2011/61/EU

Artikel 18 i direktiv 2011/61/EU ska ersättas med följande:Artikel 18 Allmänna principer 1. Medlemsstaterna ska kräva att AIF-förvaltare alltid ska använda tillfredsställande och lämpliga personella och tekniska resurser som krävs för att de ska kunna förvalta AIF-fonderna på ett korrekt sätt. De behöriga myndigheterna i AIF-förvaltarens hemmedlemsstat ska, även med beaktande av arten av de AIF-fonder som AIF-förvaltaren förvaltar, särskilt kräva att AIF-förvaltaren har sunda administrativa förfaranden och redovisningsrutiner, kontroll- och säkerhetsarrangemang för elektronisk databehandling, inbegripet när det gäller nätverks- och informationssystem som upprättas och förvaltas i enlighet med Europaparlamentets och rådets förordning (EU) 2022/2554 och tillfredsställande interna kontrollmekanismer, särskilt regler för de anställdas personliga transaktioner eller för innehav eller förvaltning av investeringar i syfte att investera för egen räkning, och att det åtminstone säkerställs att varje transaktion i vilken AIF-förvaltaren medverkar avseende AIF-fonderna är möjlig att rekonstruera med avseende på dess ursprung, de deltagande parterna, dess art samt tiden och platsen då den ägde rum, och att tillgångarna i de AIF-fonder som förvaltas av AIF-förvaltaren investeras i enlighet med fondbestämmelserna eller bolagsordningen samt gällande lagstiftning. 2. Kommissionen ska, genom delegerade akter i enlighet med artikel 56, och med förbehåll för villkoren i artiklarna 57 och 58, anta åtgärder för att närmare ange de förfaranden och arrangemang som avses i punkt 1 i den här artikeln, andra än de förfaranden och arrangemang som gäller nätverks- och informationssystem.

Artikel 4 – Ändringar av direktiv 2013/36/EU

Direktiv 2013/36/EU ska ändras på följande sätt:

1 I artikel 65.3 ska led a vi ersättas med följande:

2 I artikel 74.1 ska första stycket ersättas med följande:

3 Artikel 85.2 ska ersättas med följande:

4 I artikel 97.1 ska följande led läggas till:

Artikel 5 – Ändringar av direktiv 2014/59/EU

Direktiv 2014/59/EU ska ändras på följande sätt:

1 Artikel 10 ska ändras på följande sätt:

2 Bilagan ska ändras på följande sätt:

Artikel 6 – Ändringar av direktiv 2014/65/EU

Direktiv 2014/65/EU ska ändras på följande sätt:

1 Artikel 16 ska ändras på följande sätt:

2 Artikel 17 ska ändras på följande sätt:

3 Artikel 47.1 ska ändras på följande sätt:

4 Artikel 48 ska ändras på följande sätt:

Artikel 7 – Ändring av direktiv (EU) 2015/2366

Direktiv (EU) 2015/2366 ska ändras på följande sätt:

1 I artikel 3 ska led j ersättas med följande:

2 Artikel 5.1 ska ändras på följande sätt:

3 I artikel 19.6 ska andra stycket ersättas med följande:

4 I artikel 95.1 ska följande stycke läggas till:

5 I artikel 96 ska följande punkt läggas till:

6 Artikel 98.5 ska ersättas med följande:

Artikel 8 – Ändring av direktiv (EU) 2016/2341

Artikel 21.5 i direktiv (EU) 2016/2341 ska ersättas med följande:5. Medlemsstaterna ska säkerställa att tjänstepensionsinstituten vidtar rimliga åtgärder för att säkerställa att deras verksamhet bedrivs med kontinuitet och på ett korrekt sätt, inklusive utarbetandet av beredskapsplaner. Tjänstepensionsinstitutet ska i detta syfte använda lämpliga och proportionella system, resurser och förfaranden, och ska i synnerhet inrätta och förvalta nätverks- och informationssystem i enlighet med Europaparlamentets och rådets förordning (EU) 2022/2554, i tillämpliga fall.

Artikel 9 – Införlivande

1 Medlemsstaterna ska senast den 17 januari 2025 anta och offentliggöra de bestämmelser som är nödvändiga för att följa detta direktiv. De ska genast underrätta kommissionen om detta.

2 Medlemsstaterna ska underrätta kommissionen om texten till de centrala bestämmelser i nationell rätt som de antar inom det område som omfattas av detta direktiv.

Artikel 10 – Ikraftträdande

Detta direktiv träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

Artikel 11 – Adressater

Detta direktiv riktar sig till medlemsstaterna.

1 EUT C 343, 26.8.2021, s. 1.

2 EUT C 155, 30.4.2021, s. 38.

3 Europaparlamentets ståndpunkt av den 10 november 2022 (ännu inte offentliggjord i EUT) och rådets beslut av den 28 november 2022.

4 Europaparlamentets och rådets direktiv 2009/65/EG av den 13 juli 2009 om samordning av lagar och andra författningar som avser företag för kollektiva investeringar i överlåtbara värdepapper (fondföretag) (EUT L 302, 17.11.2009, s. 32).

5 Europaparlamentets och rådets direktiv 2009/138/EG av den 25 november 2009 om upptagande och utövande av försäkrings- och återförsäkringsverksamhet (Solvens II) (EUT L 335, 17.12.2009, s. 1).

6 Europaparlamentets och rådets direktiv 2011/61/EU av den 8 juni 2011 om förvaltare av alternativa investeringsfonder samt om ändring av direktiv 2003/41/EG och 2009/65/EG och förordningarna (EG) nr 1060/2009 och (EU) nr 1095/2010 (EUT L 174, 1.7.2011, s. 1).

7 Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 om behörighet att utöva verksamhet i kreditinstitut och om tillsyn av kreditinstitut, om ändring av direktiv 2002/87/EG och om upphävande av direktiven 2006/48/EG och 2006/49/EG (EUT L 176, 27.6.2013, s. 338).

8 Europaparlamentets och rådets direktiv 2014/59/EU av den 15 maj 2014 om inrättande av en ram för återhämtning och resolution av kreditinstitut och värdepappersföretag och om ändring av rådets direktiv 82/891/EEG och Europaparlamentets och rådets direktiv 2001/24/EG, 2002/47/EG, 2004/25/EG, 2005/56/EG, 2007/36/EG, 2011/35/EU, 2012/30/EU och 2013/36/EU samt Europaparlamentets och rådets förordningar (EU) nr 1093/2010 och (EU) nr 648/2012 (EUT L 173, 12.6.2014, s. 190).

9 Europaparlamentets och rådets direktiv 2014/65/EU av den 15 maj 2014 om marknader för finansiella instrument och om ändring av direktiv 2002/92/EG och av direktiv 2011/61/EU (EUT L 173, 12.6.2014, s. 349).

10 Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG (EUT L 337, 23.12.2015, s. 35).

11 Europaparlamentets och rådets direktiv (EU) 2016/2341 av den 14 december 2016 om verksamhet i och tillsyn över tjänstepensionsinstitut (EUT L 354, 23.12.2016, s. 37).

12 Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 (se sidan 1 i detta nummer av EUT).

13 Europaparlamentets och rådets förordning (EU) nr 1093/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska bankmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/78/EG (EUT L 331, 15.12.2010, s. 12).

14 EUT C 369, 17.12.2011, s. 14.

15 Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 (EUT L 333, 27.12.2022, s. 1).

16 Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 (EUT L 333, 27.12.2022, s. 1).

17 Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 (EUT L 333, 27.12.2022, s. 1).

18 Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 (EUT L333, 27.12.2022, s. 1).

19 Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 (EUT L 333, 27.12.2022, s. 1).

20 Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 (EUT L333, 27.12.2022, s. 1).

21 Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 ((EUT L333, 27.12.2022, s. 1).

22 Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 (EUT L 333, 27.12.2022, s. 1).