Preamble Recitals

Förordning (EU) 2022/2554 omfattar ett brett spektrum av finansiella entiteter som skiljer sig åt i fråga om storlek, struktur, intern organisation och verksamhetens karaktär och komplexitet, och som därmed har delar av ökad eller minskad komplexitet eller ökade eller minskade risker. För att säkerställa att denna variation vederbörligen beaktas bör alla krav avseende IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg och avseende en förenklad IKT-riskhanteringsram stå i proportion till dessa finansiella entiteters storlek, struktur, interna organisation, karaktär och komplexitet samt till de motsvarande riskerna.

Av samma skäl bör finansiella entiteter som omfattas av förordning (EU) 2022/2554 ha en viss flexibilitet när det gäller hur de uppfyller kraven avseende IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg, och avseende en förenklad IKT-riskhanteringsram. Finansiella entiteter bör därför tillåtas att använda all dokumentation som de redan har för att uppfylla samtliga dokumentationskrav som följer av dessa krav. Av detta följer att utarbetande, dokumentation och genomförande av specifika IKT-relaterade säkerhetsstrategier endast bör krävas för vissa väsentliga delar, med beaktande av bland annat ledande branschpraxis och branschstandarder. För att tillgodose specifika tekniska genomförandeaspekter är det dessutom nödvändigt att utarbeta, dokumentera och genomföra IKT-säkerhetsförfaranden, inbegripet kapacitets- och prestandahantering, hantering av sårbarheter och programfixar, data- och systemsäkerhet samt loggning.

För att säkerställa ett korrekt genomförande över tid av de IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg som avses i avdelning II kapitel I i denna förordning är det viktigt att finansiella entiteter på ett korrekt sätt fördelar och upprätthåller alla roller och ansvarsområden som rör IKT-säkerhet, och att de fastställer konsekvenserna av bristande efterlevnad av IKT-relaterade säkerhetsstrategier eller säkerhetsförfaranden.

För att begränsa risken för intressekonflikter bör de finansiella entiteterna säkerställa åtskillnad av arbetsuppgifter när de fördelar roller och ansvarsområden på IKT-området.

För att säkerställa flexibilitet och förenkla de finansiella entiteternas kontrollram bör finansiella entiteter inte vara skyldiga att utarbeta särskilda bestämmelser om konsekvenserna av bristande efterlevnad av de IKT-relaterade säkerhetsstrategier, förfaranden och protokoll som avses i avdelning II kapitel I i denna förordning om sådana bestämmelser redan fastställs i en annan strategi eller ett annat förfarande.

I en dynamisk miljö där IKT-riskerna ständigt utvecklas är det viktigt att finansiella entiteter utvecklar sin uppsättning IKT-relaterade säkerhetsstrategier på grundval av ledande praxis och, i tillämpliga fall, standarder enligt definitionen i artikel 2.1 i Europaparlamentets och rådets förordning (EU) nr 1025/2012(²)Europaparlamentets och rådets förordning (EU) nr 1025/2012 av den 25 oktober 2012 om europeisk standardisering och om ändring av rådets direktiv 89/686/EEG och 93/15/EEG samt av Europaparlamentets och rådets direktiv 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG och 2009/105/EG samt om upphävande av rådets beslut 87/95/EEG och Europaparlamentets och rådets beslut nr 1673/2006/EG (EUT L 316, 14.11.2012, s. 12, ELI: http://data.europa.eu/eli/reg/2012/1025/oj).. Detta bör göra det möjligt för de finansiella entiteter som avses i avdelning II i denna förordning att förbli informerade och förberedda i en föränderlig miljö.

För att säkerställa sin digitala operativa motståndskraft bör de finansiella entiteter som avses i avdelning II i denna förordning, som en del av sina IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg, utarbeta och genomföra en policy för hantering av IKT-tillgångar, förfaranden för kapacitets- och prestandahantering samt strategier och förfaranden för IKT-verksamhet. Dessa strategier och förfaranden är nödvändiga för att säkerställa övervakningen av IKT-tillgångarnas status under hela deras livscykel, så att dessa tillgångar används och underhålls på ett ändamålsenligt sätt (hantering av IKT-tillgångar). Strategierna och förfarandena bör också säkerställa att driften av IKT-systemen optimeras och att IKT-systemens och IKT-kapacitetens prestanda uppfyller de fastställda verksamhets- och informationssäkerhetsmålen (kapacitets- och prestandahantering). Slutligen bör strategierna och förfarandena säkerställa en effektiv och smidig daglig hantering och drift av IKT-systemen (IKT-verksamhet) och därigenom minimera risken för att uppgifternas konfidentialitet, integritet och tillgänglighet förloras. Dessa strategier och förfaranden är således nödvändiga för att säkerställa nätverkssäkerheten, tillhandahålla lämpliga skyddsåtgärder mot intrång och missbruk av uppgifter samt bevara uppgifternas tillgänglighet, äkthet, integritet och konfidentialitet.

För att säkerställa en korrekt hantering av risken med äldre IKT-systemett IKT-system som har nått slutet på sin livscykel, som inte lämpar sig för uppgraderingar eller justeringar, av tekniska eller kommersiella skäl, eller som inte längre stöds av leverantören eller av en tredjepartsleverantör av IKT-tjänster, men som fortfarande används och stöder den finansiella entitetens funktioner. bör finansiella entiteter registrera och övervaka slutdatum för IKT-supporttjänster från tredje part. På grund av den potentiella inverkan som en förlust av uppgifternas konfidentialitet, integritet och tillgänglighet kan ha, bör finansiella entiteter fokusera på de IKT-tillgångar eller IKT-system som är kritiska för affärsverksamheten när de registrerar och övervakar dessa slutdatum.

Kryptografiska säkerhetsåtgärder kan säkerställa uppgifters tillgänglighet, äkthet, integritet och konfidentialitet. Finansiella entiteter som avses i avdelning II i denna förordning bör därför identifiera och genomföra sådana åtgärder baserat på en riskbaserad metod. I detta syfte bör de finansiella entiteterna kryptera de berörda uppgifterna i vila, under överföring eller, vid behov, i bruk, baserat på resultaten av en tvådelad process, nämligen dataklassificering och en heltäckande IKT-riskbedömning. Med tanke på komplexiteten i att kryptera uppgifter i bruk bör de finansiella entiteter som avses i avdelning II i denna förordning endast kryptera uppgifter i bruk om det är lämpligt mot bakgrund av resultaten av IKT-riskbedömningen. De finansiella entiteter som avses i avdelning II i denna förordning bör dock, om kryptering av uppgifter i bruk inte är genomförbar eller är alltför komplex, kunna skydda de berörda uppgifternas konfidentialitet, integritet och tillgänglighet genom andra IKT-säkerhetsåtgärder. Med tanke på den snabba tekniska utvecklingen inom området för krypteringsmetoder bör de finansiella entiteter som avses i avdelning II i denna förordning hålla sig à jour med den relevanta utvecklingen inom kryptoanalys och beakta ledande praxis och standarder. De finansiella entiteter som avses i avdelning II i denna förordning bör därför följa en flexibel strategi, baserad på riskreducering och riskövervakning, för att hantera den dynamiska utvecklingen av kryptografiska hot, inbegripet hot från framsteg inom kvantteknik.

En säkerhetsstrategi för IKT-verksamhet och IKT-relaterade strategier, förfaranden, protokoll och verktyg är nödvändiga för att säkerställa uppgifternas konfidentialitet, integritet och tillgänglighet. En central aspekt är den strikta separeringen av IKT-produktionsmiljöer från de miljöer där IKT-system utvecklas och testas eller andra miljöer som inte är produktionsmiljöer. Denna separering bör fungera som en viktig IKT-säkerhetsåtgärd mot oavsiktlig och obehörig åtkomst till, ändringar av och radering av uppgifter i produktionsmiljön, vilket skulle kunna leda till allvarliga avbrott i affärsverksamheten för de finansiella entiteter som avses i avdelning II i denna förordning. Med tanke på nuvarande praxis för utveckling av IKT-system bör finansiella entiteter dock i undantagsfall tillåtas att testa i produktionsmiljöer, förutsatt att de motiverar sådan testning och erhåller det godkännande som krävs.

Den snabba utvecklingen inom IKT-området och i fråga om IKT-sårbarheter och cyberhotett cyberhot enligt definitionen i artikel 2.8 i förordning (EU) 2019/881. kräver en proaktiv och heltäckande strategi för att identifiera, utvärdera och åtgärda IKT-sårbarheter. Utan en sådan strategi kan finansiella entiteter och deras kunder, användare eller motparter vara allvarligt utsatta för risker, vilket skulle äventyra deras digitala operativa motståndskraft, säkerheten i deras nätverk och tillgängligheten, äktheten, integriteten och konfidentialiteten för uppgifter som IKT-relaterade säkerhetsstrategier och förfaranden bör skydda. Finansiella entiteter som avses i avdelning II i denna förordning bör därför identifiera och åtgärda sårbarheter i sin IKT-miljö, och både de finansiella entiteterna och deras tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. bör följa en sammanhängande, transparent och ansvarsfull ram för sårbarhetshantering. Av samma skäl bör finansiella entiteter övervaka IKT-sårbarheter med hjälp av tillförlitliga resurser och automatiserade verktyg, och kontrollera att tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. vidtar omedelbara åtgärder mot sårbarheter i tillhandahållna IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster..

Hantering av programfixar bör vara en viktig del av de IKT-relaterade säkerhetsstrategier och förfaranden som, genom testning och användning i en kontrollerad miljö, ska åtgärda identifierade sårbarheter och förhindra avbrott på grund av installation av programfixar.

För att säkerställa snabb och transparent kommunikation av potentiella säkerhetshot som kan påverka den finansiella entiteten och dess berörda parter, bör finansiella entiteter fastställa förfaranden för ansvarsfullt offentliggörande av IKT-sårbarheter till kunder, motparter och allmänheten. Vid upprättandet av dessa förfaranden bör finansiella entiteter beakta olika faktorer, däribland hur allvarlig sårbarheten är, den potentiella effekten av en sådan sårbarheten svaghet, mottaglighet eller brist hos en tillgång, ett system, en process eller en kontroll som kan utnyttjas. på berörda parter och beredskapen för en justering eller begränsningsåtgärder.

För att möjliggöra tilldelning av åtkomsträttigheter för användare bör de finansiella entiteter som avses i avdelning II i denna förordning införa kraftfulla åtgärder för att säkerställa unik identifiering av personer och system som kommer att få åtkomst till den finansiella entitetens information. Underlåtenhet att göra detta skulle utsätta finansiella entiteter för potentiell obehörig åtkomst, dataintrång och bedräglig verksamhet och därmed äventyra konfidentialiteten, integriteten och tillgängligheten för känsliga finansiella uppgifter. Även om användningen av generiska eller delade konton undantagsvis bör tillåtas under omständigheter som specificeras av finansiella entiteter, bör finansiella entiteter säkerställa att ansvarsskyldigheten för åtgärder som vidtas via dessa konton upprätthålls. Utan denna skyddsåtgärd skulle potentiella användare med ont uppsåt kunna hindra utredningsåtgärder och korrigerande åtgärder, vilket skulle göra finansiella entiteter sårbara för oupptäckt skadlig verksamhet eller påföljder för bristande efterlevnad.

För att hantera den snabba utvecklingen inom IKT-miljöer bör de finansiella entiteter som avses i avdelning II i denna förordning införa solida strategier och förfaranden för IKT-projekthantering för att upprätthålla uppgifternas tillgänglighet, äkthet, integritet och konfidentialitet. Dessa strategier och förfaranden för IKT-projekthantering bör identifiera de delar som är nödvändiga för att framgångsrikt hantera IKT-projekt, inbegripet förändringar, förvärv, underhåll och utveckling av den finansiella entitetens IKT-system, oavsett vilken metod för IKT-projekthantering som den finansiella entiteten har valt. I samband med dessa strategier och förfaranden bör finansiella entiteter tillämpa testpraxis och testmetoder som passar deras behov, samtidigt som de följer en riskbaserad metod och säkerställer att en säker, tillförlitlig och motståndskraftig IKT-miljö upprätthålls. För att garantera ett säkert genomförande av ett IKT-projekt bör de finansiella entiteterna säkerställa att personal från specifika affärssektorer eller med roller som påverkas eller berörs av IKT-projektet kan tillhandahålla nödvändig information och expertis. För att säkerställa en effektiv tillsyn bör rapporter om IKT-projekt, särskilt om projekt som berör kritiska eller viktiga funktioner och om deras tillhörande risker, lämnas till ledningsorganet. Finansiella entiteter bör anpassa frekvensen för och inslagen i de systematiska och löpande översynerna och rapporterna till de berörda IKT-projektens betydelse och storlek.

Programvarupaket som de finansiella entiteter som avses i avdelning II i denna förordning förvärvar och utvecklar måste på ett effektivt och säkert sätt integreras i den befintliga IKT-miljön, i enlighet med fastställda verksamhets- och informationssäkerhetsmål. Finansiella entiteter bör därför noggrant utvärdera sådana programvarupaket. I detta syfte, och för att identifiera sårbarheter och potentiella säkerhetsluckor inom både programvarupaket och de bredare IKT-systemen, bör finansiella entiteter utföra IKT-säkerhetstestning. För att bedöma programvarans integritet och säkerställa att användningen av den programvaran inte medför IKT-säkerhetsrisker bör finansiella entiteter också granska källkoder för förvärvad programvara, inklusive, där så är möjligt, för proprietär programvara som tillhandahålls av tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster., med hjälp av både statiska och dynamiska testmetoder.

Förändringar, oavsett omfattning, medför inneboende risker och kan innebära betydande risker för att uppgifternas konfidentialitet, integritet och tillgänglighet förloras, och kan därmed leda till allvarliga störningar i verksamheten. För att skydda finansiella entiteter mot potentiella IKT-sårbarheter och IKT-svagheter som kan utsätta dem för betydande risker, är en strikt verifieringsprocess nödvändig för att bekräfta att alla förändringar uppfyller de nödvändiga IKT-säkerhetskraven. Finansiella entiteter som avses i avdelning II i denna förordning bör därför, som en väsentlig del av sina IKT-relaterade säkerhetsstrategier och förfaranden, införa sunda strategier och förfaranden för hantering av IKT-förändringar. För att upprätthålla objektiviteten och ändamålsenligheten i processen för hantering av IKT-förändringar, förhindra intressekonflikter och säkerställa att IKT-förändringar utvärderas objektivt, måste de funktioner som ansvarar för att godkänna dessa förändringar skiljas från de funktioner som begär och genomför dessa förändringar. För att uppnå effektiva omställningar, kontrollerat genomförande av IKT-förändringar och minimala störningar i driften av IKT-systemen bör de finansiella entiteterna fastställa tydliga roller och ansvarsområden som säkerställer att IKT-förändringar planeras och testas på lämpligt sätt och att kvaliteten säkerställs. För att säkerställa att IKT-system fortsätter att fungera effektivt, och för att tillhandahålla ett skyddsnät för finansiella entiteter, bör finansiella entiteter också utveckla och genomföra reservförfaranden. Finansiella entiteter bör tydligt identifiera dessa reservförfaranden och tilldela ansvar för att säkerställa en snabb och effektiv respons i händelse av misslyckade IKT-förändringar.

För att upptäcka, hantera och rapportera IKT-relaterade incidenter bör de finansiella entiteter som avses i avdelning II i denna förordning fastställa en strategi för IKT-relaterade incidenter som omfattar komponenterna i en process för hantering av IKT-relaterade incidenter. I detta syfte bör de finansiella entiteterna identifiera alla relevanta kontakter inom och utanför organisationen som kan underlätta korrekt samordning och genomförande av de olika faserna i denna process. För att optimera upptäckten och hanteringen av IKT-relaterade incidenter och identifiera trender för sådana incidenter, som är en värdefull informationskälla som gör det möjligt för finansiella entiteter att identifiera och hantera grundorsaker och problem på ett ändamålsenligt sätt, bör finansiella entiteter särskilt detaljanalysera de IKT-relaterade incidenter som de anser vara mest betydande, bland annat eftersom de regelbundet återkommer.

För att garantera en tidig och effektiv upptäckt av onormal verksamhet bör de finansiella entiteter som avses i avdelning II i denna förordning samla in, övervaka och analysera de olika informationskällorna och fördela relaterade roller och ansvarsområden. När det gäller interna informationskällor är loggar en ytterst relevant källa, men finansiella entiteter bör inte förlita sig enbart på loggar. I stället bör de finansiella entiteterna överväga att bredda informationen till att omfatta vad som rapporteras av andra interna funktioner, eftersom dessa funktioner ofta är en värdefull källa till relevant information. Av samma skäl bör finansiella entiteter analysera och övervaka information som samlats in från externa källor, inklusive information som tillhandahålls av tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. om incidenter som berör deras system och nätverk, och andra informationskällor som finansiella entiteter anser vara relevanta. I den mån sådan information utgör personuppgifter är unionens dataskyddslagstiftning tillämplig. Personuppgifterna bör begränsas till vad som är nödvändigt för att upptäcka incidenter.

För att underlätta upptäckt av IKT-relaterade incidenter bör finansiella entiteter bevara bevisning för sådana incidenter. För att å ena sidan säkerställa att sådan bevisning bevaras tillräckligt länge och å andra sidan undvika en alltför stor regelbörda, bör finansiella entiteter fastställa lagringstiden med beaktande av bland annat uppgifternas kritikalitet och lagringskrav som härrör från unionsrätten.

För att säkerställa att IKT-relaterade incidenter upptäcks i tid bör de finansiella entiteter som avses i avdelning II i denna förordning betrakta de kriterier som fastställs för att utlösa processer för upptäckt och hantering av IKT-relaterade incidenter som icke uttömmande. Även om finansiella entiteter bör beakta vart och ett av dessa kriterier, bör vidare de omständigheter som beskrivs i kriterierna inte behöva inträffa samtidigt, och betydelsen av de berörda IKT-tjänsterna bör beaktas på lämpligt sätt vid utlösandet av processer för upptäckt och hantering av IKT-relaterade incidenter.

När finansiella entiteter som avses i avdelning II i denna förordning utarbetar en IKT-kontinuitetspolicy bör de ta hänsyn till de väsentliga komponenterna i IKT-riskhantering, inbegripet strategier för hantering och kommunikation av IKT-relaterade incidenter, processen för hantering av IKT-förändringar och risker förknippade med tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster..

Det är nödvändigt att fastställa den uppsättning scenarier som de finansiella entiteter som avses i avdelning II i denna förordning bör beakta både vid genomförandet av åtgärds- och återställningsplaner avseende IKT och testning av IKT-kontinuitetsplaner. Dessa scenarier bör tjäna som utgångspunkt för de finansiella entiteternas analys av både relevansen och rimligheten i varje scenario och behovet av att utveckla alternativa scenarier. Finansiella entiteter bör fokusera på de scenarier där investeringar i åtgärder för motståndskraft skulle kunna vara mer effektiva och ändamålsenliga. Genom att testa byten mellan den primära IKT-infrastrukturen och reservkapacitet, säkerhetskopior och reservanläggningar bör finansiella institut bedöma om denna kapacitet och dessa säkerhetskopior och anläggningar fungerar effektivt under en tillräckligt lång tidsperiod och säkerställa att den primära IKT-infrastrukturens normala funktion återställs i enlighet med återställningsmålen.

Det är nödvändigt att fastställa krav för operativ risk, och mer specifikt krav på IKT-projekthantering och hantering av IKT-förändringar samt IKT-kontinuitetshantering med utgångspunkt i de krav som redan gäller för centrala motparter, värdepapperscentraler och handelsplatser enligt Europaparlamentets och rådets förordningar (EU) nr 648/2012(³)Europaparlamentets och rådets förordning (EU) nr 648/2012 av den 4 juli 2012 om OTC-derivat, centrala motparter och transaktionsregister (EUT L 201, 27.7.2012, s. 1, ELI: http://data.europa.eu/eli/reg/2012/648/oj)., (EU) nr 600/2014(⁴)Europaparlamentets och rådets förordning (EU) nr 600/2014 av den 15 maj 2014 om marknader för finansiella instrument och om ändring av förordning (EU) nr 648/2012 (EUT L 173, 12.6.2014, s. 84, ELI: http://data.europa.eu/eli/reg/2014/600/oj). och (EU) nr 909/2014(⁵)Europaparlamentets och rådets förordning (EU) nr 909/2014 av den 23 juli 2014 om förbättrad värdepappersavveckling i Europeiska unionen och om värdepapperscentraler samt ändring av direktiv 98/26/EG och 2014/65/EU och förordning (EU) nr 236/2012 (EUT L 257, 28.8.2014, s. 1, ELI: http://data.europa.eu/eli/reg/2014/909/oj)..

Enligt artikel 6.5 i förordning (EU) 2022/2554 ska finansiella entiteter se över sin IKT-riskhanteringsram och lämna en rapport om denna översyn till sin behöriga myndighet. För att de behöriga myndigheterna enkelt ska kunna behandla informationen i dessa rapporter, och för att garantera en lämplig överföring av denna information, bör de finansiella entiteterna lämna in dessa rapporter i ett sökbart elektroniskt format.

Kraven för finansiella entiteter som omfattas av den förenklade IKT-riskhanteringsram som avses i artikel 16 i förordning (EU) 2022/2554 bör inriktas på de väsentliga områden och delar som, mot bakgrund av dessa finansiella entiteters omfattning, risk, storlek och komplexitet, minst måste ingå för att säkerställa konfidentialitet, integritet, tillgänglighet och äkthet hos de finansiella entiteternas uppgifter och tjänster. I detta sammanhang bör dessa finansiella entiteter ha en intern styrnings- och kontrollram med tydliga ansvarsområden, för att möjliggöra en effektiv och sund riskhanteringsram. För att minska den administrativa och operativa bördan bör dessa finansiella entiteter dessutom utarbeta och dokumentera endast en uppsättning riktlinjer, dvs. riktlinjer för informationssäkerhet, som anger de principer och regler på hög nivå som krävs för att skydda konfidentialitet, integritet, tillgänglighet och äkthet hos dessa finansiella entiteters uppgifter och tjänster.

Bestämmelserna i denna förordning avser IKT-riskhanteringsramen, genom att i detalj beskriva specifika delar som är tillämpliga på finansiella entiteter i enlighet med artikel 15 i förordning (EU) 2022/2554 och genom att utforma den förenklade IKT-riskhanteringsram för finansiella entiteter som anges i artikel 16.1 i den förordningen. För att säkerställa samstämmighet mellan den ordinarie och den förenklade IKT-riskhanteringsramen, och med tanke på att dessa bestämmelser bör bli tillämpliga samtidigt, bör dessa bestämmelser anges i en enda lagstiftningsakt.

Denna förordning grundar sig på det förslag till tekniska standarder för tillsyn som lämnats till kommissionen av Europeiska bankmyndigheten, Europeiska försäkrings- och tjänstepensionsmyndigheten och Europeiska värdepappers- och marknadsmyndigheten (de europeiska tillsynsmyndigheterna), i samråd med Europeiska unionens cybersäkerhetsbyrå (Enisa).

De europeiska tillsynsmyndigheternas gemensamma kommitté, som avses i artikel 54 i Europaparlamentets och rådets förordning (EU) nr 1093/2010(⁶)Europaparlamentets och rådets förordning (EU) nr 1093/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska bankmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/78/EG (EUT L 331, 15.12.2010, s. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., artikel 54 i Europaparlamentets och rådets förordning (EU) nr 1094/2010(⁷)Europaparlamentets och rådets förordning (EU) nr 1094/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska försäkrings- och tjänstepensionsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/79/EG (EUT L 331, 15.12.2010, s. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). och artikel 54 i Europaparlamentets och rådets förordning (EU) nr 1095/2010(⁸)Europaparlamentets och rådets förordning (EU) nr 1095/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska värdepappers- och marknadsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/77/EG (EUT L 331, 15.12.2010, s. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj)., har genomfört öppna offentliga samråd om det förslag till tekniska standarder för tillsyn som denna förordning grundar sig på, analyserat de potentiella kostnaderna för och fördelarna med de föreslagna standarderna och begärt råd från den bankintressentgrupp som inrättats i enlighet med artikel 37 i förordning (EU) nr 1093/2010, den intressentgrupp för försäkring och återförsäkring och den intressentgrupp för tjänstepensioner som inrättats i enlighet med artikel 37 i förordning (EU) nr 1094/2010 samt den intressentgrupp för värdepapper och marknader som inrättats i enlighet med artikel 37 i förordning (EU) nr 1095/2010.

I den mån behandling av personuppgifter krävs för att fullgöra de skyldigheter som anges i denna akt bör Europaparlamentets och rådets förordningar (EU) 2016/679(⁹)Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj). och (EU) 2018/1725(¹⁰)Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). tillämpas fullt ut. Till exempel bör principen om uppgiftsminimering följas när personuppgifter samlas in för att säkerställa en lämplig upptäckt av incidenter. Europeiska datatillsynsmannen har också rådfrågats om utkastet till denna akt.