Art. 7 Ändring av direktiv (EU) 2015/2366 | DORA directive | DORA

Direktiv (EU) 2015/2366 ska ändras på följande sätt:

I artikel 3 ska led j ersättas med följande:
”Tjänster som tillhandahålls av leverantörer av tekniska tjänster som stöder tillhandahållandet av betaltjänster, utan att de vid någon tidpunkt kommer i besittning av de medel som ska överföras, inklusive behandling och lagring av uppgifter, förtroendeskapande tjänster och integritetsskydd, autentisering av uppgifter och enheter, tillhandahållande av nät för informations- och kommunikationsteknik (IKT) och kommunikationsnät samt tillhandahållande och underhåll av terminaler och utrustning för betaltjänster, med undantag för tjänster för betalningsinitiering och kontoinformationstjänster.”
Artikel 5.1 ska ändras på följande sätt:
1. Första stycket ska ändras på följande sätt:
  
  Led e ska ersättas med följande:
  
  ”En beskrivning av den sökandes styrsystem och interna kontrollmekanismer, inklusive förvaltnings-, riskhanterings- och redovisningsförfaranden samt arrangemang för användning av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. i enlighet med Europaparlamentets och rådets förordning (EU) 2022/2554(²¹)Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 ((EUT L333, 27.12.2022, s. 1).”, vilken ska visa att dessa styrsystem och interna kontrollmekanismer är proportionella, lämpliga, sunda och tillräckliga.
  
  Led f ska ersättas med följande:
  
  ”En beskrivning av de förfaranden som finns för att övervaka, hantera och följa upp säkerhetsincidenter och säkerhetsrelaterade kundklagomål, inklusive en rapporteringsmekanism för incidenter som beaktar betalningsinstitutets informationsskyldigheter enligt kapitel III i förordning (EU) 2022/2554.”
  
  Led h ska ersättas med följande:
  
  ”En beskrivning av arrangemang för verksamhetens kontinuitet, inklusive en tydlig angivelse av kritiska verksamheter, en effektiv IKT-kontinuitetspolicy och -planer samt effektiva IKT-relaterade åtgärds- och återställningsplaner och ett förfarande för att regelbundet kontrollera och se över dessa planers lämplighet och effektivitet i enlighet med förordning (EU) 2022/2554.”
2. Tredje stycket ska ersättas med följande:
  ”I samband med de säkerhetskontroll- och begränsningsåtgärder som avses i första stycket j ska det anges på vilket sätt de säkrar en hög nivå av digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott. i enlighet med kapitel II i förordning (EU) 2022/2554, särskilt när det gäller teknisk säkerhet och dataskydd, däribland för de programvaru- och IKT-system som används av sökanden eller de företag till vilka denne utkontrakterar hela eller delar av sin verksamhet. Dessa åtgärder ska också omfatta de säkerhetsåtgärder som fastställs i artikel 95.1 i detta direktiv. I samband med dessa åtgärder ska hänsyn tas till EBA:s riktlinjer för säkerhetsåtgärder som avses i artikel 95.3 i detta direktiv när dessa har införts.”
I artikel 19.6 ska andra stycket ersättas med följande:
”Utkontraktering av viktiga operativa funktioner, inbegripet IKT-system, får inte ske på så sätt att det väsentligt försämrar kvaliteten på betalningsinstitutets interna kontroll och de behöriga myndigheternas möjligheter att övervaka och följa upp att betalningsinstitutet fullgör alla skyldigheter enligt detta direktiv.”
I artikel 95.1 ska följande stycke läggas till:
”Första stycket påverkar inte tillämpningen av kapitel II i förordning (EU) 2022/2554 på

betaltjänstleverantörer som avses i artikel 1.1 a, b och d i detta direktiv,

leverantörer av kontoinformationstjänster som avses i artikel 33.1 i detta direktiv,

betalningsinstitutett betalningsinstitut enligt definitionen i artikel 4.4 i direktiv (EU) 2015/2366. som är undantagna enligt artikel 32.1 i detta direktiv, och

institut för elektroniska pengarett institut för elektroniska pengar enligt definitionen i artikel 2.1 i Europaparlamentets och rådets direktiv 2009/110/EG. som omfattas av ett undantag enligt artikel 9.1 i direktiv 2009/110/EG.”
I artikel 96 ska följande punkt läggas till:
Medlemsstaterna ska säkerställa att punkterna 1–5 i denna artikel inte tillämpas på

betaltjänstleverantörer som avses i artikel 1.1 a, b och d i detta direktiv,

leverantörer av kontoinformationstjänster som avses i artikel 33.1 i detta direktiv,

betalningsinstitutett betalningsinstitut enligt definitionen i artikel 4.4 i direktiv (EU) 2015/2366. som är undantagna enligt artikel 32.1 i detta direktiv, och

institut för elektroniska pengarett institut för elektroniska pengar enligt definitionen i artikel 2.1 i Europaparlamentets och rådets direktiv 2009/110/EG. som omfattas av ett undantag enligt artikel 9.1 i direktiv 2009/110/EG.”
Artikel 98.5 ska ersättas med följande:
I enlighet med artikel 10 i förordning (EU) nr 1093/2010 ska EBA se över och vid behov regelbundet uppdatera de tekniska standarderna för tillsyn i syfte att bland annat ta hänsyn till innovation och teknisk utveckling, samt till bestämmelserna i kapitel II i förordning (EU) 2022/2554.”