Artikel 2 Identifiering av finansiella entiteter som är skyldiga att genomföra hotbildsstyrd penetrationstestning

1. Faktorer relaterade till påverkan och till betydelse för systemet, enligt följande:

   1. Storleken på den finansiella entiteten, fastställd på grundval av huruvida den finansiella entiteten tillhandahåller finansiella tjänster i en eller flera medlemsstater och genom jämförelse av den finansiella entitetens verksamhet med verksamheten hos andra finansiella entiteter som tillhandahåller liknande tjänster.

   2. Omfattningen och arten av den finansiella entitetens sammanlänkning med andra finansiella entiteter inom finanssektorn i en eller flera medlemsstater.

   3. Hur pass kritiska eller viktiga de tjänster som den finansiella entiteten tillhandahåller finanssektorn är.

   4. Utbytbarheten hos de tjänster som den finansiella entiteten tillhandahåller.

   5. Komplexiteten i den finansiella entitetens affärsmodell och tillhörande tjänster och processer.

   6. Huruvida den finansiella entiteten ingår i en koncernen koncern enligt definitionen i artikel 2.11 i direktiv 2013/34/EU. av betydelse för systemet på unionsnivå eller nationell nivå inom finanssektorn och delar IKT-system.

2. Faktorer relaterade till IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön., enligt följande:

   1. Den finansiella entitetens riskprofil.

   2. Den finansiella entitetens hotbild.

   3. Den finansiella entitetens grad av beroende av kritiska eller viktiga funktioner eller deras stödfunktioner sett till IKT-system och IKT-processer.

   4. Komplexiteten i den finansiella entitetens IKT-arkitektur.

   5. De IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. och IKT-funktioner som stöds av tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. och kvantiteten och typen av kontraktsmässiga arrangemang med tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. eller koncerninterna IKT-tjänsteleverantörer.

   6. Resultaten av eventuella tillsynsgranskningar som är relevanta för bedömningen av den finansiella entitetens IKT-mognad.

   7. Mognaden hos IKT-kontinuitetsplaner och åtgärds- och återställningsplaner avseende IKT.

   8. Mognaden hos de operativa upptäckts- och begränsningsåtgärderna för IKT-säkerhet, inbegripet förmågan att

      1. permanent övervaka den finansiella entitetens IKT-infrastruktur,

      2. upptäcka IKT-relaterade händelser i realtid,

      3. analysera de händelser som avses i punkt 2,

      4. reagera på de händelser som avses i punkt 2 på ett skyndsamt och effektivt sätt.

   9. Huruvida den finansiella entiteten ingår i en koncernen koncern enligt definitionen i artikel 2.11 i direktiv 2013/34/EU. som är verksam inom finanssektorn på unionsnivå eller nationell nivå och som delar IKT-system.

1. den finansiella entitetens marknadsandel på unionsnivå och nationell nivå,

2. utbudet av verksamheter som erbjuds av den finansiella entiteten,

3. marknadsandelen för de tjänster som tillhandahålls av den finansiella entiteten eller för de verksamheter som bedrivs på unionsnivå och nationell nivå.

1. huruvida den finansiella entiteten använder mer än en affärsmodell,

2. sammanlänkningen av olika affärsprocesser och tillhörande tjänster.

1. Kreditinstitutett kreditinstitut enligt definitionen i artikel 4.1.1 i Europaparlamentets och rådets förordning (EU) nr 575/2013(32) Europaparlamentets och rådets förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och om ändring av förordning (EU) nr 648/2012 (EUT L 176, 27.6.2013, s. 1).. som uppfyller något av följande villkor:

   1. De har identifierats som globala systemviktiga institut (G-SII) i enlighet med artikel 131 i Europaparlamentets och rådets direktiv 2013/36/EU(⁷)Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 om behörighet att utöva verksamhet i kreditinstitut och om tillsyn av kreditinstitut, om ändring av direktiv 2002/87/EG och om upphävande av direktiven 2006/48/EG och 2006/49/EG (EUT L 176, 27.6.2013, s. 338, ELI: http://data.europa.eu/eli/dir/2013/36/oj)..

   2. De har identifierats som andra systemviktiga institut (O-SII) i enlighet med artikel 131 i direktiv 2013/36/EU.

   3. De utgör delar av globala systemviktiga institut eller andra systemviktiga institut.

2. Betalningsinstitutett betalningsinstitut enligt definitionen i artikel 4.4 i direktiv (EU) 2015/2366. som under vart och ett av de två kalenderår som föregick bedömningen av myndigheten med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. hade betalningstransaktioner, enligt definitionen i artikel 4.5 i Europaparlamentets och rådets direktiv (EU) 2015/2366(⁸)Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG (EUT L 337, 23.12.2015, s. 35, ELI: http://data.europa.eu/eli/dir/2015/2366/oj)., till ett totalt värde som översteg 150 miljarder euro.

3. Institut för elektroniska pengarett institut för elektroniska pengar enligt definitionen i artikel 2.1 i Europaparlamentets och rådets direktiv 2009/110/EG. som under vart och ett av de två kalenderår som föregick bedömningen av myndigheten med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. antingen hade betalningstransaktioner, enligt definitionen i artikel 4.5 i direktiv (EU) 2015/2366, till ett totalt värde som översteg 150 miljarder euro eller hade utestående elektroniska pengar till ett totalt värde som översteg 40 miljarder euro.

4. Värdepapperscentraler.

5. Centrala motparter.

6. Handelsplatser med ett elektroniskt handelssystem som uppfyller något av följande kriterier:

   1. Handelsplatsen hade den största marknadsandelen sett till omsättning på nationell nivå under vart och ett av de två kalenderår som föregick bedömningen av myndigheten med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. i fråga om något av följande:

      1. Överlåtbara värdepapper enligt definitionen i artikel 4.1.44 a i Europaparlamentets och rådets direktiv 2014/65/EU(⁹)Europaparlamentets och rådets direktiv 2014/65/EU av den 15 maj 2014 om marknader för finansiella instrument och om ändring av direktiv 2002/92/EG och av direktiv 2011/61/EU (EUT L 173, 12.6.2014, s. 349, ELI: http://data.europa.eu/eli/dir/2014/65/oj)..

      2. Överlåtbara värdepapper enligt definitionen i artikel 4.1.44 b i direktiv 2014/65/EU.

      3. Derivat enligt definitionen i artikel 2.1.29 i Europaparlamentets och rådets förordning (EU) nr 600/2014(¹⁰)Europaparlamentets och rådets förordning (EU) nr 600/2014 av den 15 maj 2014 om marknader för finansiella instrument och om ändring av förordning (EU) nr 648/2012 (EUT L 173, 12.6.2014, s. 84, ELI: http://data.europa.eu/eli/reg/2014/600/oj)..

      4. Strukturerade finansiella produkter enligt definitionen i artikel 2.1.28 i förordning (EU) nr 600/2014.

      5. Utsläppsrätter enligt avsnitt C.11 i bilaga I till direktiv 2014/65/EU.

   2. Handelsplatsen hade en marknadsandel sett till omsättning på unionsnivå som översteg 5 % under vart och ett av de två kalenderår som föregick bedömningen av myndigheten med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. i fråga om något av följande:

      1. Aktier och andra värdepapper som motsvarar andelar i aktiebolag, bolag med personligt ansvar eller andra entiteter samt depåbevis för aktier.

      2. Obligationer eller andra former av skuldförbindelser i värdepappersform, inbegripet depåbevis för sådana värdepapper.

      3. Derivat enligt definitionen i artikel 2.1.29 i förordning (EU) nr 600/2014.

      4. Strukturerade finansiella produkter enligt definitionen i artikel 2.1.28 i förordning (EU) nr 600/2014.

      5. Utsläppsrätter enligt avsnitt C.11 i bilaga I till direktiv 2014/65/EU.

7. Försäkrings- och återförsäkringsföretagett återförsäkringsföretag enligt definitionen i artikel 13.4 i direktiv 2009/138/EG. som uppfyller samtliga av följande kriterier:

   1. De har en bruttopremieinkomst (GWP) som överstiger1 500 000 000 euro.

   2. De har försäkringstekniska avsättningar som överstiger10 000 000 000 euro.

   3. Försäkringsföretagett försäkringsföretag enligt definitionen i artikel 13.1 i direktiv 2009/138/EG. som endast bedriver livförsäkringsverksamhet eller som bedriver både livförsäkrings- och skadeförsäkringsverksamhet och som har totala tillgångar som överstiger 3,5 % av summan av de totala tillgångarna, värderade i enlighet med artikel 75 i Europaparlamentets och rådets direktiv 2009/138/EG(¹¹)Europaparlamentets och rådets direktiv 2009/138/EG av den 25 november 2009 om upptagande och utövande av försäkrings- och återförsäkringsverksamhet (Solvens II) (EUT L 335, 17.12.2009, s. 1, ELI: http://data.europa.eu/eli/dir/2009/138/oj)., för de försäkrings- och återförsäkringsföretagett återförsäkringsföretag enligt definitionen i artikel 13.4 i direktiv 2009/138/EG. som är etablerade i medlemsstaten.

Vid tillämpning av led f ii ska, om handelsplatsen är en del av en koncernen koncern enligt definitionen i artikel 2.11 i direktiv 2013/34/EU. som delar IKT-system eller samma koncerninterna IKT-tjänsteleverantör, omsättningen av värdepapper och derivatavtal på alla handelsplatser som tillhör samma koncernen koncern enligt definitionen i artikel 2.11 i direktiv 2013/34/EU. och som är etablerade i unionen räknas med.

1. Bruttopremieinkomst (GWP) som överstiger3 000 000 000 euro.

2. Tekniska avsättningar som överstiger30 000 000 000 euro.

3. Totala tillgångar som överstiger 10 % av summan av de totala tillgångarna, värderade i enlighet med artikel 75 i direktiv 2009/138/EG, för de försäkrings- och återförsäkringsföretagett återförsäkringsföretag enligt definitionen i artikel 13.4 i direktiv 2009/138/EG. som är etablerade i medlemsstaten.

Om fler än en finansiell entitet som tillhör samma koncernen koncern enligt definitionen i artikel 2.11 i direktiv 2013/34/EU. och delar IKT-system, eller om fler än en finansiell entitet som använder samma koncerninterna IKT-tjänsteleverantör, uppfyller de kriterier som anges i punkt 2 ska myndigheterna med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. för dessa finansiella entiteter i enlighet med artikel 16.2 besluta huruvida kravet att genomföra hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. på individuell nivå är relevant för dessa finansiella entiteter.

Om myndigheten med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. för moderföretaget för en koncernen koncern enligt definitionen i artikel 2.11 i direktiv 2013/34/EU. med finansiella entiteter som avses i första stycket är en annan myndighet än myndigheterna med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. för de finansiella entiteterna i koncernen ska denna myndighet rådfrågas av myndigheterna med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. för de finansiella entiteterna som ingår i denna koncernen koncern enligt definitionen i artikel 2.11 i direktiv 2013/34/EU. huruvida det är lämpligt att genomföra hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. på individuell nivå.