Artikel 4 Proportionalitetsprincipen

1. Finansiella entiteter ska genomföra reglerna i kapitel II i enlighet med proportionalitetsprincipen, och med beaktande av sin storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, sin verksamhet och sina insatser.
1. Dessutom ska finansiella entiteters tillämpning av kapitlen III, IV och V, avsnitt I, stå i proportion till deras storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, verksamhet och insatser, i enlighet med vad som specificeras i de relevanta reglerna i dessa kapitel.
1. De behöriga myndigheterna ska beakta finansiella entiteters tillämpning av proportionalitetsprincipen när de ser över enhetligheten i IKT-riskhanteringsramen baserat på de rapporter som lämnats in på begäran av de behöriga myndigheterna enligt artiklarna 6.5 och 16.2.

Relevant recitals

Skäl 21 Baseline requirements with proportional application and supervision

För att finansiella entiteter ska kunna upprätthålla full kontroll över IKT-risk måste de ha övergripande kapacitet som möjliggör en kraftfull och effektiv IKT-riskhantering, liksom särskilda mekanismer och riktlinjer för att hantera alla IKT-relaterade incidenter och rapportera allvarliga IKT-relaterade incidenter. På samma sätt bör finansiella entiteter ha inrättat strategier för testning av IKT-system, IKT-kontroller och IKT-processer samt för hantering av IKT-tredjepartsrisk. Referensnivån för digital operativ motståndskraft hos finansiella entiteter bör höjas och samtidigt möjliggöra en proportionell tillämpning av kraven för vissa finansiella entiteter, särskilt mikroföretag, liksom finansiella entiteter som är föremål för en förenklad IKT-riskhanteringsram. För att underlätta en effektiv tillsyn av tjänstepensionsinstitut som är proportionell och tillgodoser behovet att minska de behöriga myndigheternas administrativa bördor bör relevanta nationella tillsynsramar för sådana finansiella entiteter beakta deras storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, verksamhet och insatser, även när de relevanta trösklar som fastställs i artikel 5 i Europaparlamentets och rådets direktiv (EU) 2016/2341(¹⁰)Europaparlamentets och rådets direktiv (EU) 2016/2341 av den 14 december 2016 om verksamhet i och tillsyn över tjänstepensionsinstitut (EUT L 354, 23.12.2016, s. 37). överskrids. Framför allt bör tillsynsverksamhet i första hand inriktas på behovet av att hantera allvarliga risker i samband med IKT-riskhantering i en särskild entitet.

De behöriga myndigheterna bör också upprätthålla ett vaksamt men proportionellt tillvägagångssätt vad gäller tillsyn över tjänstepensionsinstitut som, i enlighet med artikel 31 i direktiv (EU) 2016/2341, utkontrakterar en betydande del av sin kärnverksamhet, till exempel kapitalförvaltning, försäkringstekniska beräkningar, redovisning och databehandling till tjänsteleverantörer.

Skäl 36 Proportionality principle

Trots den breda täckning som föreskrivs i denna förordning bör vid tillämpningen av reglerna om digital operativ motståndskraft beaktas betydande skillnader mellan finansiella entiteter i fråga om deras storlek och allmänna riskprofil. Som en allmän princip bör finansiella entiteter, när de fördelar resurser och kapacitet till genomförandet av IKT-riskhanteringsramen, på lämpligt sätt väga sina IKT-relaterade behov mot sin storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, verksamhet och insatser medan de behöriga myndigheterna bör fortsätta att bedöma och se över tillvägagångssättet för en sådan fördelning.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.