Artikel 2 Identifiering av finansiella entiteter som är skyldiga att genomföra hotbildsstyrd penetrationstestning

1. Faktorer relaterade till påverkan och till betydelse för systemet, enligt följande:

   1. Storleken på den finansiella entiteten, fastställd på grundval av huruvida den finansiella entiteten tillhandahåller finansiella tjänster i en eller flera medlemsstater och genom jämförelse av den finansiella entitetens verksamhet med verksamheten hos andra finansiella entiteter som tillhandahåller liknande tjänster.

   2. Omfattningen och arten av den finansiella entitetens sammanlänkning med andra finansiella entiteter inom finanssektorn i en eller flera medlemsstater.

   3. Hur pass kritiska eller viktiga de tjänster som den finansiella entiteten tillhandahåller finanssektorn är.

   4. Utbytbarheten hos de tjänster som den finansiella entiteten tillhandahåller.

   5. Komplexiteten i den finansiella entitetens affärsmodell och tillhörande tjänster och processer.

   6. Huruvida den finansiella entiteten ingår i en koncern av betydelse för systemet på unionsnivå eller nationell nivå inom finanssektorn och delar IKT-system.

2. Faktorer relaterade till IKT-risk, enligt följande:

   1. Den finansiella entitetens riskprofil.

   2. Den finansiella entitetens hotbild.

   3. Den finansiella entitetens grad av beroende av kritiska eller viktiga funktioner eller deras stödfunktioner sett till IKT-system och IKT-processer.

   4. Komplexiteten i den finansiella entitetens IKT-arkitektur.

   5. De IKT-tjänster och IKT-funktioner som stöds av tredjepartsleverantörer av IKT-tjänster och kvantiteten och typen av kontraktsmässiga arrangemang med tredjepartsleverantörer av IKT-tjänster eller koncerninterna IKT-tjänsteleverantörer.

   6. Resultaten av eventuella tillsynsgranskningar som är relevanta för bedömningen av den finansiella entitetens IKT-mognad.

   7. Mognaden hos IKT-kontinuitetsplaner och åtgärds- och återställningsplaner avseende IKT.

   8. Mognaden hos de operativa upptäckts- och begränsningsåtgärderna för IKT-säkerhet, inbegripet förmågan att

      1. permanent övervaka den finansiella entitetens IKT-infrastruktur,

      2. upptäcka IKT-relaterade händelser i realtid,

      3. analysera de händelser som avses i punkt 2,

      4. reagera på de händelser som avses i punkt 2 på ett skyndsamt och effektivt sätt.

   9. Huruvida den finansiella entiteten ingår i en koncern som är verksam inom finanssektorn på unionsnivå eller nationell nivå och som delar IKT-system.

1. den finansiella entitetens marknadsandel på unionsnivå och nationell nivå,

2. utbudet av verksamheter som erbjuds av den finansiella entiteten,

3. marknadsandelen för de tjänster som tillhandahålls av den finansiella entiteten eller för de verksamheter som bedrivs på unionsnivå och nationell nivå.

1. huruvida den finansiella entiteten använder mer än en affärsmodell,

2. sammanlänkningen av olika affärsprocesser och tillhörande tjänster.

1. Kreditinstitut som uppfyller något av följande villkor:

   1. De har identifierats som globala systemviktiga institut (G-SII) i enlighet med artikel 131 i Europaparlamentets och rådets direktiv 2013/36/EU(⁷)Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 om behörighet att utöva verksamhet i kreditinstitut och om tillsyn av kreditinstitut, om ändring av direktiv 2002/87/EG och om upphävande av direktiven 2006/48/EG och 2006/49/EG (EUT L 176, 27.6.2013, s. 338, ELI: http://data.europa.eu/eli/dir/2013/36/oj)..

   2. De har identifierats som andra systemviktiga institut (O-SII) i enlighet med artikel 131 i direktiv 2013/36/EU.

   3. De utgör delar av globala systemviktiga institut eller andra systemviktiga institut.

2. Betalningsinstitut som under vart och ett av de två kalenderår som föregick bedömningen av myndigheten med ansvar för hotbildsstyrd penetrationstestning hade betalningstransaktioner, enligt definitionen i artikel 4.5 i Europaparlamentets och rådets direktiv (EU) 2015/2366(⁸)Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG (EUT L 337, 23.12.2015, s. 35, ELI: http://data.europa.eu/eli/dir/2015/2366/oj)., till ett totalt värde som översteg 150 miljarder euro.

3. Institut för elektroniska pengar som under vart och ett av de två kalenderår som föregick bedömningen av myndigheten med ansvar för hotbildsstyrd penetrationstestning antingen hade betalningstransaktioner, enligt definitionen i artikel 4.5 i direktiv (EU) 2015/2366, till ett totalt värde som översteg 150 miljarder euro eller hade utestående elektroniska pengar till ett totalt värde som översteg 40 miljarder euro.

4. Värdepapperscentraler.

5. Centrala motparter.

6. Handelsplatser med ett elektroniskt handelssystem som uppfyller något av följande kriterier:

   1. Handelsplatsen hade den största marknadsandelen sett till omsättning på nationell nivå under vart och ett av de två kalenderår som föregick bedömningen av myndigheten med ansvar för hotbildsstyrd penetrationstestning i fråga om något av följande:

      1. Överlåtbara värdepapper enligt definitionen i artikel 4.1.44 a i Europaparlamentets och rådets direktiv 2014/65/EU(⁹)Europaparlamentets och rådets direktiv 2014/65/EU av den 15 maj 2014 om marknader för finansiella instrument och om ändring av direktiv 2002/92/EG och av direktiv 2011/61/EU (EUT L 173, 12.6.2014, s. 349, ELI: http://data.europa.eu/eli/dir/2014/65/oj)..

      2. Överlåtbara värdepapper enligt definitionen i artikel 4.1.44 b i direktiv 2014/65/EU.

      3. Derivat enligt definitionen i artikel 2.1.29 i Europaparlamentets och rådets förordning (EU) nr 600/2014(¹⁰)Europaparlamentets och rådets förordning (EU) nr 600/2014 av den 15 maj 2014 om marknader för finansiella instrument och om ändring av förordning (EU) nr 648/2012 (EUT L 173, 12.6.2014, s. 84, ELI: http://data.europa.eu/eli/reg/2014/600/oj)..

      4. Strukturerade finansiella produkter enligt definitionen i artikel 2.1.28 i förordning (EU) nr 600/2014.

      5. Utsläppsrätter enligt avsnitt C.11 i bilaga I till direktiv 2014/65/EU.

   2. Handelsplatsen hade en marknadsandel sett till omsättning på unionsnivå som översteg 5 % under vart och ett av de två kalenderår som föregick bedömningen av myndigheten med ansvar för hotbildsstyrd penetrationstestning i fråga om något av följande:

      1. Aktier och andra värdepapper som motsvarar andelar i aktiebolag, bolag med personligt ansvar eller andra entiteter samt depåbevis för aktier.

      2. Obligationer eller andra former av skuldförbindelser i värdepappersform, inbegripet depåbevis för sådana värdepapper.

      3. Derivat enligt definitionen i artikel 2.1.29 i förordning (EU) nr 600/2014.

      4. Strukturerade finansiella produkter enligt definitionen i artikel 2.1.28 i förordning (EU) nr 600/2014.

      5. Utsläppsrätter enligt avsnitt C.11 i bilaga I till direktiv 2014/65/EU.

7. Försäkrings- och återförsäkringsföretag som uppfyller samtliga av följande kriterier:

   1. De har en bruttopremieinkomst (GWP) som överstiger 1 500 000 000 euro.

   2. De har försäkringstekniska avsättningar som överstiger 10 000 000 000 euro.

   3. Försäkringsföretag som endast bedriver livförsäkringsverksamhet eller som bedriver både livförsäkrings- och skadeförsäkringsverksamhet och som har totala tillgångar som överstiger 3,5 % av summan av de totala tillgångarna, värderade i enlighet med artikel 75 i Europaparlamentets och rådets direktiv 2009/138/EG(¹¹)Europaparlamentets och rådets direktiv 2009/138/EG av den 25 november 2009 om upptagande och utövande av försäkrings- och återförsäkringsverksamhet (Solvens II) (EUT L 335, 17.12.2009, s. 1, ELI: http://data.europa.eu/eli/dir/2009/138/oj)., för de försäkrings- och återförsäkringsföretag som är etablerade i medlemsstaten.

Vid tillämpning av led f ii ska, om handelsplatsen är en del av en koncern som delar IKT-system eller samma koncerninterna IKT-tjänsteleverantör, omsättningen av värdepapper och derivatavtal på alla handelsplatser som tillhör samma koncern och som är etablerade i unionen räknas med.

1. Bruttopremieinkomst (GWP) som överstiger 3 000 000 000 euro.

2. Tekniska avsättningar som överstiger 30 000 000 000 euro.

3. Totala tillgångar som överstiger 10 % av summan av de totala tillgångarna, värderade i enlighet med artikel 75 i direktiv 2009/138/EG, för de försäkrings- och återförsäkringsföretag som är etablerade i medlemsstaten.

Om fler än en finansiell entitet som tillhör samma koncern och delar IKT-system, eller om fler än en finansiell entitet som använder samma koncerninterna IKT-tjänsteleverantör, uppfyller de kriterier som anges i punkt 2 ska myndigheterna med ansvar för hotbildsstyrd penetrationstestning för dessa finansiella entiteter i enlighet med artikel 16.2 besluta huruvida kravet att genomföra hotbildsstyrd penetrationstestning på individuell nivå är relevant för dessa finansiella entiteter.

Om myndigheten med ansvar för hotbildsstyrd penetrationstestning för moderföretaget för en koncern med finansiella entiteter som avses i första stycket är en annan myndighet än myndigheterna med ansvar för hotbildsstyrd penetrationstestning för de finansiella entiteterna i koncernen ska denna myndighet rådfrågas av myndigheterna med ansvar för hotbildsstyrd penetrationstestning för de finansiella entiteterna som ingår i denna koncern huruvida det är lämpligt att genomföra hotbildsstyrd penetrationstestning på individuell nivå.