DORA directive

Inom området för banktjänster innehåller direktiv 2013/36/EU i dagsläget endast allmänna regler om intern styrning och operativ risk med krav på beredskaps- och kontinuitetsplaner vilka underförstått används som en grund för att hantera IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön.. För att uttryckligen och tydligt hantera IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön. bör dock kraven på beredskaps- och kontinuitetsplaner ändras så att de även innefattar kontinuitets- och åtgärds- och återställningsplaner även för IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön., i enlighet med kraven i förordning (EU) 2022/2554. Dessutom ingår IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön. endast indirekt, som en del av den operativa risken, i den översyns- och utvärderingsprocess (ÖUP) som utförs av behöriga myndigheter, och kriterierna för deras bedömning fastställs för närvarande i riktlinjerna om IKT-riskbedömning inom ramen för översyns- och utvärderingsprocessen (ÖUP), utfärdade av den europeiska tillsynsmyndigheten (Europeiska bankmyndigheten, EBA), inrättad genom Europaparlamentets och rådets förordning (EU) nr 1093/2010(¹³)Europaparlamentets och rådets förordning (EU) nr 1093/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska bankmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/78/EG (EUT L 331, 15.12.2010, s. 12).. För att skapa rättslig klarhet och säkerställa att banktillsynsmyndigheterna effektivt identifierar IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön. och övervakar finansiella entiteters hantering därav, i linje med den nya ramen för digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott., bör ÖUP:s tillämpningsområde även ändras så att det uttryckligen hänvisar till de krav som fastställs i förordning (EU) 2022/2554 och i synnerhet omfattar de risker som påvisats i rapporter om allvarliga IKT-relaterade incidenter och resultaten av den testning av digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott. som finansiella entiteter utfört i enlighet med den förordningen.

Digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott. är nödvändigt för att upprätthålla en finansiell entitets kritiska funktioner och kärnaffärsområden i händelse av dess resolution och för att undvika störningar i realekonomin och det finansiella systemet. Allvarliga operativa incidenter kan hämma en finansiell entitets förmåga att fortsätta att driva sin verksamhet och kan äventyra resolutionsmålen. Vissa kontraktsmässiga arrangemang som rör användningen av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. är väsentliga för att säkerställa driftskontinuitet och tillhandahålla nödvändiga uppgifter i händelse av resolution. För att vara anpassat till målen för unionens ram för operativ motståndskraft bör direktiv 2014/59/EU ändras i enlighet med detta så att det säkerställs att information relaterad till operativ motståndskraft beaktas i samband med resolutionsplanering och bedömning av finansiella entiteters möjligheter till resolution.

I direktiv 2014/65/EU fastställs hårdare IKT-riskregler för värdepappersföretagett värdepappersföretag enligt definitionen i artikel 4.1.1 i direktiv 2014/65/EU. och handelsplatser när dessa bedriver algoritmisk handel. Mindre utförliga krav tillämpas på datarapporteringstjänster och transaktionsregisterett transaktionsregister enligt definitionen i artikel 2.2 i förordning (EU) nr 648/2012.. Dessutom hänvisas det i direktiv 2014/65/EU endast i begränsad mån till kontroll- och skyddssystem för informationsbehandlingssystem och användning av lämpliga system, resurser och förfaranden för att sörja för kontinuitet och regelbundenhet i affärstjänster. Det direktivet bör dessutom harmoniseras med förordning (EU) 2022/2554 i fråga om kontinuitet och regelbundenhet i tillhandahållandet av investeringstjänster och utförandet av investeringsverksamhet, operativ motståndskraft, handelssystemens kapacitet och effektiva arrangemang för kontinuitet och riskhantering.

I direktiv (EU) 2015/2366 fastställs särskilda regler om IKT-relaterade säkerhetskontroll- och begränsningsaspekter för erhållande av en auktorisation att utföra betaltjänster. Dessa auktorisationsregler bör ändras för att anpassas till förordning (EU) 2022/2554. För att minska den administrativa bördan och undvika komplexitet och överlappande rapporteringskrav bör dessutom reglerna om incidentrapportering i det direktivet upphöra att tillämpas för betaltjänstleverantörer som regleras enligt det direktivet och som omfattas av förordning (EU) 2022/2554, vilket gör det möjligt för dessa betaltjänstleverantörer att dra nytta av en gemensam, fullständigt harmoniserad incidentrapporteringsmekanism med avseende på alla operativa incidenter eller säkerhetsincidenter, oavsett om sådana incidenter är IKT-relaterade.

Direktiven 2009/138/EG och (EU) 2016/2341 fångar delvis upp IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön. i sina allmänna bestämmelser om styrning och riskhantering, vilket innebär att vissa krav ska specificeras genom delegerade akter med eller utan särskilda hänvisningar till IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön.. På samma sätt tillämpas endast mycket allmänna regler på förvaltare av alternativa investeringsfonderen förvaltare av alternativa investeringsfonder enligt definitionen i artikel 4.1 b i direktiv 2011/61/EU. som omfattas av direktiv 2011/61/EU och förvaltningsbolagett förvaltningsbolag enligt definitionen i artikel 2.1 b i direktiv 2009/65/EG. som omfattas av direktiv 2009/65/EG. Dessa direktiv bör därför anpassas till kraven i förordning (EU) 2022/2554 när det gäller förvaltningen av IKT-system och IKT-verktyg.

Ytterligare IKT-krav har i många fall redan fastställts i delegerade akter och genomförandeakter, antagna utifrån förslag till tekniska tillsynsstandarder och tekniska standarder för genomförande vilka utarbetats av den behöriga europeiska tillsynsmyndigheten. Eftersom bestämmelserna i förordning (EU) 2022/2554 hädanefter utgör den rättsliga ramen för IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön. för finanssektorn bör vissa befogenheter att anta delegerade akter och genomförandeakter i direktiven 2009/65/EG, 2009/138/EG, 2011/61/EU och 2014/65/EU ändras för att stryka IKT-riskbestämmelserna från tillämpningsområdet för dessa befogenheter.

För att säkerställa ett enhetligt genomförande av den nya ramen för digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott. för finanssektorn bör medlemsstaterna tillämpa de bestämmelser i nationell rätt som införlivar detta direktiv från och med tillämpningsdagen för förordning (EU) 2022/2554.

Direktiven 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 och (EU) 2016/2341 har antagits på grundval av artikel 53.1 eller artikel 114 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) eller båda. Ändringarna genom detta direktiv har tagits med i en och samma lagstiftningsakt på grund av det inbördes förhållandet mellan sakfrågan och ändringarnas syften. Följaktligen bör detta direktiv antas på grundval av såväl artikel 53.1 som artikel 114 i EUF-fördraget.

Eftersom målen för detta direktiv inte i tillräcklig utsträckning kan uppnås av medlemsstaterna, eftersom de innebär en harmonisering av redan befintliga krav i direktiven, utan snarare, på grund av åtgärdens omfattning och verkningar, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå dessa mål.

I enlighet med den gemensamma politiska förklaringen av den 28 september 2011 från medlemsstaterna och kommissionen om förklarande dokument(¹⁴)EUT C 369, 17.12.2011, s. 14., har medlemsstaterna åtagit sig att, när det är motiverat, låta anmälan av införlivandeåtgärder åtföljas av ett eller flera dokument som förklarar förhållandet mellan de olika delarna i direktivet och motsvarande delar i de nationella instrumenten för införlivande. Lagstiftaren anser att det är motiverat att sådana dokument översänds avseende detta direktiv.