Source: OJ L 333, 27.12.2022, p. 1–79Current language: SV
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Artikel 32 Tillsynsramens struktur
Den gemensamma kommittén ska i enlighet med artikel 57.1 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010, inrätta tillsynsforumet som en underkommitté för att stödja arbetet i den gemensamma kommittén och i den ledande tillsynsmyndighet som avses i artikel 31.1 b inom området för IKT-tredjepartsrisker i alla finansiella sektorer. Tillsynsforumet ska utarbeta utkast till gemensamma ståndpunkter och utkast till gemensamma akter från den gemensamma kommittén på detta område.
Tillsynsforumet ska regelbundet diskutera relevant utveckling när det gäller IKT-risk och IKT-sårbarheter och främja en konsekvent strategi för övervakning av IKT-tredjepartsrisk på unionsnivå.
Tillsynsforumet ska årligen göra en gemensam bedömning av resultaten och slutsatserna av den tillsynsverksamhet som genomförts för alla kritiska tredjepartsleverantörer av IKT-tjänster och främja samordningsåtgärder för att öka finansiella entiteters digitala operativa motståndskraft, främja bästa praxis för hantering av IKT-koncentrationsrisker och undersöka riskreducerande åtgärder för sektorsövergripande risköverföring.
Tillsynsforumet ska lägga fram heltäckande referensvärden för kritiska tredjepartsleverantörer av IKT-tjänster som ska antas av den gemensamma kommittén i form av gemensamma ståndpunkter från de europeiska tillsynsmyndigheterna i enlighet med artikel 56.1 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.
Tillsynsforumet ska bestå av följande:
Ordförandena för de europeiska tillsynsmyndigheterna.
En företrädare på hög nivå för den tjänstgörande personalen på den relevanta behöriga myndighet som avses i artikel 46 i varje medlemsstat.
De verkställande direktörerna för varje europeisk tillsynsmyndighet och en företrädare för kommissionen, ESRB, ECB och Enisa som observatörer.
När så är lämpligt, ytterligare en företrädare från en behörig myndighet som avses i artikel 46 i varje medlemsstat som observatör.
I tillämpliga fall, en företrädare från de behöriga myndigheter som i enlighet med direktiv (EU) 2022/2555 har utsetts eller inrättats till ansvariga för tillsynen av en väsentlig eller viktig entitet om inte annat följer av det direktivet som har klassificerats som kritisk tredjepartsleverantör av IKT-tjänster som observatör.
Tillsynsforumet får, när så är lämpligt, rådfråga oberoende experter som utsetts i enlighet med punkt 6.
Varje medlemsstat ska utse den relevanta behöriga myndighet vars anställde ska vara den företrädare på hög nivå som avses i punkt 4 första stycket b, och ska informera den ledande tillsynsmyndigheten om detta.
De europeiska tillsynsmyndigheterna ska på sin webbplats offentliggöra förteckningen över de företrädare på hög nivå från den befintliga personalen vid den relevanta behöriga myndigheten som utsetts av medlemsstaterna.
De oberoende experter som avses i punkt 4 andra stycket ska utses av tillsynsforumet bland en pool av experter som väljs ut efter ett offentligt och transparent ansökningsförfarande.
De oberoende experterna ska utses baserat på sin sakkunskap om finansiell stabilitet, digital operativ motståndskraft och IKT-säkerhet. De ska handla oberoende och objektivt och uteslutande i hela unionens intresse och varken begära eller ta emot instruktioner från unionens institutioner eller organ, regeringen i någon medlemsstat eller något annat offentligt eller privat organ.
I enlighet med artikel 16 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010 ska de europeiska tillsynsmyndigheterna senast den 17 juli 2024 vid tillämpningen av detta avsnitt utfärda riktlinjer för samarbetet mellan de europeiska tillsynsmyndigheterna och de behöriga myndigheterna som omfattar detaljerade förfaranden och villkor för fördelningen och utförandet av uppgifter mellan behöriga myndigheter och de europeiska tillsynsmyndigheterna och närmare uppgifter om det informationsutbyte som är nödvändiga för att de behöriga myndigheterna ska kunna säkerställa uppföljningen av de rekommendationer som riktas till kritiska tredjepartsleverantörer av IKT-tjänster enligt artikel 35.1 d.
De krav som fastställs i detta avsnitt ska inte påverka tillämpningen av direktiv (EU) 2022/2555 och andra unionsregler om tillsyn som är tillämpliga på leverantörer av molntjänster.
De europeiska tillsynsmyndigheterna ska, genom den gemensamma kommittén och på grundval av det förberedande arbete som utförs av tillsynsforumet, varje år lägga fram en rapport om tillämpningen av detta avsnitt för Europaparlamentet, rådet och kommissionen.
Relevant recitals
Skäl 31 Oversight framework for ICT third-party service providers
Med hänsyn till de potentiella systemrisker som den ökade utkontrakteringen och koncentrationen av IKT-tredjeparter medför, och till de otillräckliga nationella mekanismer som ger finansiella tillsynsmyndigheter lämpliga verktyg för att kvantitativt och kvalitativt fastställa och åtgärda konsekvenserna av IKT-risk som uppstår hos kritiska tredjepartsleverantörer av IKT-tjänster, är det nödvändigt att inrätta en lämplig tillsynsram som möjliggör en kontinuerlig övervakning av verksamheten hos tredjepartsleverantörer av IKT-tjänster som är kritiska tredjepartsleverantörer av IKT-tjänster till finansiella entiteter, och samtidigt säkerställa konfidentialitet och säkerhet för kunder som inte är finansiella entiteter. Tillhandahållandet av IKT-tjänster inom en koncern medför specifika risker och fördelar, men det bör inte automatiskt anses mindre riskfyllt än tillhandahållande av IKT-tjänster från leverantörer utanför en finansiell koncern, och bör därför omfattas av samma regelverk. När IKT-tjänster tillhandahålls inom samma finansiella koncern kan dock finansiella entiteter ha större kontroll över koncerninterna leverantörer, vilket bör beaktas vid den övergripande riskbedömningen.
Skäl 76 Oversight Framework for critical ICT third-party providers
I syfte att främja konvergens och effektivitet när det gäller tillsynsstrategier för IKT-tredjepartsrisker i den finansiella sektorn, och för att stärka den digitala operativa motståndskraften hos finansiella entiteter som är beroende av kritiska tredjepartsleverantörer av IKT-tjänster för att tillhandahålla IKT-tjänster som stöder tillhandahållandet av finansiella tjänster, och därmed bidra till att bevara stabiliteten i unionens finansiella system och integriteten på den inre marknaden för finansiella tjänster, bör kritiska tredjepartsleverantörer av IKT-tjänster omfattas av en tillsynsram på unionsnivå. Inrättandet av tillsynsramen motiveras av mervärdet av att vidta åtgärder på unionsnivå och av särdragen hos användningen av IKT-tjänster och den roll de spelar vid tillhandahållandet av finansiella tjänster, men det bör samtidigt erinras om att denna lösning endast förefaller vara lämplig inom ramen för denna förordning, som specifikt behandlar digital operativ motståndskraft inom finanssektorn. En sådan tillsynsram bör dock inte betraktas som en ny modell för unionstillsyn på andra områden av finansiella tjänster och finansiell verksamhet.
Skäl 79 Risks posed by critical ICT third-party providers
Digitaliseringen av finansiella tjänster har lett till en användning och ett beroende av IKT-tjänster som aldrig tidigare skådats. Eftersom det har blivit otänkbart att tillhandahålla finansiella tjänster utan användning av molntjänster, programvarulösningar och datarelaterade tjänster, har unionens finansiella ekosystem i sig blivit beroende av vissa IKT-tjänster som tillhandahålls av leverantörer av IKT-tjänster. Vissa av dessa leverantörer är innovatörer när det gäller att utveckla och tillämpa IKT-baserad teknik, och spelar en viktig roll i tillhandahållandet av finansiella tjänster eller har integrerats i värdekedjan för finansiella tjänster. De har därför blivit kritiska för stabiliteten och integriteten i unionens finansiella system. Detta utbredda beroende av tjänster som tillhandahålls av kritiska tredjepartsleverantörer av IKT-tjänster, i kombination med det ömsesidiga beroendet mellan olika marknadsoperatörers informationssystem, skapar en direkt och potentiellt allvarlig risk för unionens system för finansiella tjänster och för kontinuiteten i tillhandahållandet av finansiella tjänster, om kritiska tredjepartsleverantörer av IKT-tjänster skulle påverkas av operativa störningar eller allvarliga cyberincidenter. Cyberincidenter har en särskild förmåga att föröka sig och sprida sig i hela det finansiella systemet i en betydligt snabbare takt än andra typer av risker som övervakas inom finanssektorn och kan sträcka sig över sektorer och över geografiska gränser. De har potential att utvecklas till en systemkris där förtroendet för det finansiella systemet har urholkats på grund av störningar i funktioner som stöder realekonomin, eller betydande finansiella förluster som når en nivå som det finansiella systemet inte kan klara, eller som kräver omfattande åtgärder för att absorbera stora chocker. För att förhindra att dessa scenarier inträffar och därmed äventyrar unionens finansiella stabilitet och integritet, är det viktigt att skapa konvergens i tillsynspraxis för IKT-tredjepartsrisker inom finanssektorn, särskilt genom nya regler som möjliggör unionstillsyn av kritiska tredjepartsleverantörer av IKT-tjänster.
Skäl 87 Designation of Lead Overseer by preponderance
För att säkerställa att kritiska tredjepartsleverantörer av IKT-tjänster lämpligt och effektivt övervakas på unionsnivå föreskriver denna förordning att var och en av de tre europeiska tillsynsmyndigheterna kan utses till ledande tillsynsmyndighet. Den enskilda tilldelningen av en kritisk tredjepartsleverantör av IKT-tjänster till en av de tre europeiska tillsynsmyndigheterna bör vara resultatet av en bedömning av den övervägande andelen finansiella entiteter som är verksamma inom de finansiella sektorer för vilka den europeiska tillsynsmyndigheten har ansvar. Detta tillvägagångssätt bör leda till en välavvägd fördelning av uppgifter och ansvar mellan de tre europeiska tillsynsmyndigheterna i samband med utövandet av tillsynsfunktionerna och bör på bästa sätt utnyttja de personalresurser och den tekniska expertis som finns i var och en av de tre europeiska tillsynsmyndigheterna.
Skäl 91 Operational principles for oversight
Utövandet av tillsyn bör styras av tre operativa principer som syftar till att säkerställa a) nära samordning mellan de europeiska tillsynsmyndigheterna i deras roller som ledande tillsynsmyndigheter, genom ett gemensamt tillsynsnätverk, b) överensstämmelse med den ram som inrättas genom direktiv (EU) 2022/2555 (genom frivilligt samråd med organ enligt det direktivet i syfte att undvika överlappning av åtgärder som är riktade till kritiska tredjepartsleverantörer av IKT-tjänster), och c) omsorg för att minimera den potentiella risken för avbrott i tjänster som kritiska tredjepartsleverantörer av IKT-tjänster tillhandahåller kunder som är entiteter som faller utanför denna förordnings tillämpningsområde.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.