Utvalgte hurtiglenker

    Proposisjoner til Stortinget

    Prop. 54 LS (2024–2025)

    Lov om digital operasjonell motstandsdyktighet i finanssektoren, lov om endringer i hvitvaskingsloven (gjennomføring av forordning (EU) 2023/1113) og samtykke til godkjenning av to beslutninger i EØS-komiteen om innlemmelse i EØS-avtalen av forordning (EU) 2022/2554, direktiv (EU) 2022/2556 og forordning (EU) 2023/1113

    Til innholdsfortegnelse
    Neste kapittel
    Forrige kapittel

    2 Europaparlaments- og rådsdirektiv (EU) 2022/2556 av 14. desember 2022 om endring av direktiv 2009/65/EF, 2009/138/EF, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341 med hensyn til digital operasjonell motstandsdyktighet i finanssektoren

    EUROPAPARLAMENTET OG RÅDET FOR DEN EUROPEISKE UNION HAR

    under henvisning til traktaten om Den europeiske unions virkemåte, særlig artikkel 53 nr. 1 og artikkel 114,

    under henvisning til forslag fra Europakommisjonen,

    etter oversending av utkast til regelverksakt til de nasjonale parlamentene,

    under henvisning til uttalelse fra Den europeiske sentralbank1,

    under henvisning til uttalelse fra Den europeiske økonomiske og sosiale komité2,

    etter den ordinære regelverksprosedyren3 og

    ut fra følgende betraktninger:

    • 1) Unionen skal på en tilstrekkelig og grundig måte håndtere digitale risikoer for alle finansielle enheter som følge av økt bruk av informasjons- og kommunikasjonsteknologi (IKT) i forbindelse med levering og forbruk av finansielle tjenester, og dermed bidra til å realisere potensialet for digital finansiering med hensyn til å styrke innovasjon og fremme konkurranse i et sikkert digitalt miljø.

    • 2) Finansielle enheter er svært avhengige av bruken av digital teknologi i sin daglige virksomhet. Det er derfor svært viktig å sikre deres digitale aktiviteters operasjonelle motstandsdyktighet mot IKT-risiko. Dette behovet er blitt enda mer presserende på grunn av veksten i banebrytende teknologier på markedet, særlig de teknologiene som gjør det mulig å overføre og lagre digitale uttrykk for en verdi eller for en rettighet elektronisk ved bruk av desentralisert registerteknologi eller lignende teknologi (kryptoeiendeler), og for tjenester knyttet til disse eiendelene.

    • 3) På unionsplan er kravene til styring av IKT-risiko i finanssektoren for tiden fastsatt i europaparlaments- og rådsdirektiv 2009/65/EF4, 2009/138/EF5, 2011/61/EU6, 2013/36/EU7, 2014/59/EU8, 2014/65/EU9, (EU) 2015/236610 og (EU) 2016/234111.

      Disse kravene er forskjellige og i noen tilfeller ufullstendige. IKT-risikoen er i noen tilfeller bare blitt behandlet indirekte som en del av den operasjonelle risikoen, mens den i andre tilfeller ikke er blitt behandlet i det hele tatt. Disse problemene utbedres ved å vedta europaparlaments- og rådsforordning (EU) 2022/255412. Disse direktivene bør derfor endres for å sikre samsvar med den nevnte forordningen. I dette direktivet vedtas en rekke endringer som er nødvendige for å skape juridisk klarhet og sammenheng med hensyn til hvordan finansielle enheter som er meddelt tillatelse og underlagt tilsyn i samsvar med de nevnte direktivene, skal anvende ulike krav til digital operasjonell motstandsdyktighet som er nødvendige for at de skal kunne utøve sin virksomhet og levere tjenester, og dermed garantere at det indre marked fungerer på en tilfredsstillende måte. Det er nødvendig å sikre at disse kravene er forenlige med markedsutviklingen, samtidig som det oppmuntres til forholdsmessighet, særlig med hensyn til størrelsen på finansielle enheter og de særskilte ordningene som de er omfattet av, med henblikk på å redusere overholdelseskostnadene.

    • 4) Når det gjelder banktjenester, fastsetter direktiv 2013/36/EU i øyeblikket bare generelle regler om intern styring og bestemmelser om operasjonell risiko som inneholder krav til beredskapsplaner og planer for kontinuitet i virksomheten, som underforstått tjener som grunnlag for å håndtere IKT-risiko. For å håndtere IKT-risiko eksplisitt og tydelig bør imidlertid kravene til beredskapsplaner og planer for kontinuitet i virksomheten endres slik at de også omfatter planer for kontinuitet i virksomheten samt respons- og gjenopprettingsplaner vedrørende IKT-risiko i samsvar med kravene fastsatt i forordning (EU) 2022/2554. Dessuten inngår IKT-risiko bare indirekte, som en del av den operasjonelle risikoen, i tilsyns- og evalueringsprosessen (SREP) som utføres av vedkommende myndigheter, og kriteriene for vurderingen av den er i øyeblikket fastsatt i retningslinjene for IKT-risikovurdering innenfor rammen av tilsyns- og evalueringsprosessen (SREP), som er utstedt av Den europeiske tilsynsmyndighet (Den europeiske banktilsynsmyndighet) (EBA), som ble opprettet ved europaparlaments- og rådsforordning (EU) nr. 1093/201013. For å skape juridisk klarhet og sikre at banktilsynsmyndighetene effektivt avdekker IKT-risiko, og overvåker finansielle enheters styring av den, i tråd med det nye rammeverket for digital operasjonell motstandsdyktighet, bør virkeområdet for tilsyns- og evalueringsprosessen (SREP) også endres slik at det uttrykkelig viser til kravene fastsatt i forordning (EU) 2022/2554, og særlig omfatter de risikoene som avdekkes i rapporter om alvorlige IKT-relaterte hendelser, og i resultatene av den testingen av digital operasjonell motstandsdyktighet som finansielle enheter utfører i samsvar med den nevnte forordningen.

    • 5) Digital operasjonell motstandsdyktighet er nødvendig for å opprettholde en finansiell enhets kritiske funksjoner og hovedforretningsområder i tilfelle krisehåndtering, og for å unngå forstyrrelser i realøkonomien og i finanssystemet. Alvorlige operasjonelle hendelser kan hemme en finansiell enhets evne til å drive sin virksomhet og kan true krisehåndteringsmålene. Visse kontraktsregulerte ordninger om bruken av IKT-tjenester er viktige for å sikre operasjonell kontinuitet og for å levere de nødvendige opplysningene i tilfelle krisehåndtering. Med henblikk på tilpasning til målene i Unionens rammeverk for operasjonell motstandsdyktighet bør direktiv 2014/59/EU derfor endres for å sikre at det tas hensyn til opplysninger om operasjonell motstandsdyktighet i forbindelse med planlegging av krisehåndtering og vurdering av finansielle enheters muligheter til krisehåndtering.

    • 6) I direktiv 2014/65/EU er det fastsatt strengere regler med hensyn til IKT-risiko for verdipapirforetak og handelsplasser som er involvert i algoritmehandel. Det gjelder mindre detaljerte krav for datarapporteringstjenester og transaksjonsregistre. I direktiv 2014/65/EU vises det bare i begrenset omfang til kontroll- og sikkerhetsordninger for databehandlingssystemer og bruken av hensiktsmessige systemer, ressurser og framgangsmåter for å sikre kontinuitet og regelmessighet i forbindelse med forretningstjenester. Dessuten bør det nevnte direktivet harmoniseres med forordning (EU) 2022/2554 når det gjelder kontinuitet og regelmessighet i forbindelse med leveringen av investeringstjenester og utøvelsen av investeringsvirksomhet, operasjonell motstandsdyktighet, handelssystemenes kapasitet og effektivitet i forbindelse med ordninger for å sikre kontinuitet i virksomheten og risikostyring.

    • 7) I direktiv (EU) 2015/2366 fastsettes særlige regler om IKT-relaterte sikkerhetskontroll- og begrensningsaspekter for å få tillatelse til å tilby betalingstjenester. Disse reglene om tillatelse bør endres for å bringe dem i samsvar med forordning (EU) 2022/2554. For å redusere den administrative byrden og unngå kompleksitet og overlappende rapporteringskrav bør dessuten reglene om rapportering av hendelser i det nevnte direktivet opphøre å gjelde for betalingstjenesteytere som er regulert i henhold til det nevnte direktivet, og som også er omfattet av forordning (EU) 2022/2554, slik at disse betalingstjenesteyterne kan dra nytte av en felles og fullt ut harmonisert ordning for rapportering av hendelser med hensyn til alle betalingsrelaterte operasjonelle hendelser eller sikkerhetshendelser, uavhengig av om slike hendelser er IKT-relaterte.

    • 8) Direktiv 2009/138/EF og (EU) 2016/2341 fanger delvis opp IKT-risiko i sine generelle bestemmelser om foretaksstyring og risikostyring, hvilket innebærer at visse krav skal spesifiseres gjennom delegerte rettsakter med eller uten særskilte henvisninger til IKT-risiko. På samme måte får bare svært generelle regler anvendelse på forvaltere av alternative investeringsfond som er omfattet av direktiv 2011/61/EU, og forvaltningsselskaper som er omfattet av direktiv 2009/65/EF. Disse direktivene bør derfor tilpasses til kravene fastsatt i forordning (EU) 2022/2554 med hensyn til forvaltningen av IKT-systemer og -verktøyer.

    • 9) I mange tilfeller er det allerede fastsatt krav til IKT-risiko i delegerte rettsakter og gjennomføringsrettsakter som er vedtatt på grunnlag av utkast til tekniske reguleringsstandarder og tekniske gjennomføringsstandarder, som er utarbeidet av den vedkommende europeiske tilsynsmyndigheten. Ettersom bestemmelsene i forordning (EU) 2022/2554 heretter utgjør det rettslige rammeverket for IKT-risiko i finanssektoren, bør visse fullmakter til å vedta delegerte rettsakter og gjennomføringsrettsakter i direktiv 2009/65/EF, 2009/138/EF, 2011/61/EU og 2014/65/EU endres for å fjerne bestemmelsene om IKT-risiko fra anvendelsesområdet for disse fullmaktene.

    • 10) For å sikre en enhetlig gjennomføring av det nye rammeverket om digital operasjonell motstandsdyktighet i finanssektoren bør medlemsstatene anvende de internrettslig bestemmelsene som innarbeider dette direktivet fra og med anvendelsesdatoen for forordning (EU) 2022/2554.

    • 11) Direktiv 2009/65/EF, 2009/138/EF, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341 er vedtatt på grunnlag av artikkel 53 nr. 1 eller artikkel 114 i traktaten om Den europeiske unions virkemåte (TEUV) eller begge. Endringene i dette direktivet er blitt innarbeidet i én enkelt regelverksakt ettersom gjenstanden for og målene med endringene er innbyrdes forbundet. Dette direktivet bør derfor vedtas på grunnlag av både artikkel 53 nr. 1 og artikkel 114 i TEUV.

    • 12) Ettersom målene for dette direktivet ikke kan nås i tilstrekkelig grad av medlemsstatene, ettersom de innebærer harmonisering av krav som allerede finnes i direktivene, og derfor på grunn av tiltakets omfang og virkninger bedre kan nås på unionsplan, kan Unionen treffe tiltak i samsvar med nærhetsprinsippet som fastsatt i artikkel 5 i traktaten om Den europeiske union. I samsvar med forholdsmessighetsprinsippet fastsatt i den nevnte artikkelen går dette direktivet ikke lenger enn det som er nødvendig for å nå disse målene.

    • 13) I samsvar med den felles politiske erklæringen fra medlemsstatene og Kommisjonen av 28. september 2011 om forklarende dokumenter14 har medlemsstatene forpliktet seg til at de, i berettigede tilfeller, sammen med underretningen om innarbeidingstiltakene skal oversende et eller flere dokumenter som forklarer sammenhengen mellom et direktivs bestanddeler og de tilsvarende delene i de nasjonale innarbeidingsinstrumentene. Med hensyn til dette direktivet anser regelgiveren at det er berettiget å oversende slike dokumenter.

    VEDTATT DETTE DIREKTIVET:

    Artikkel 1

    Endringer av direktiv 2009/65/EF

    I artikkel 12 i direktiv 2009/65/EF gjøres følgende endringer:

    • 1) I nr. 1 andre ledd skal bokstav a) lyde:

      • «a) har gode forvaltningsmessige og regnskapsmessige rutiner, kontroll- og sikkerhetsordninger for elektronisk databehandling, herunder med hensyn til nettverks- og informasjonssystemer som opprettes og forvaltes i samsvar med europaparlaments- rådsforordning (EU) 2022/2554(*), samt tilfredsstillende ordninger for internkontroll, herunder særlig regler for de ansattes personlige transaksjoner eller for besittelse eller forvaltning av investeringer i finansielle instrumenter med henblikk på investering av egne midler, som minst sikrer at enhver transaksjon der innretningen for kollektiv investering i omsettelige verdipapirer (UCITS) er involvert, kan rekonstrueres med hensyn til opprinnelse, parter, art samt tid og sted for gjennomføringen, og at UCITS’ eiendeler som forvaltes av forvaltningsselskapet, investeres i samsvar med fondsreglene eller stiftelsesdokumentene samt gjeldende lovbestemmelser,

        (*) Europaparlaments- og rådsforordning (EU) 2022/2554 av 14. desember 2022 om digital operasjonell motstandsdyktighet i finanssektoren og om endring av forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 (EUT L 333 av 27.12.2022, s.1).»

    • 2) Nr. 3 skal lyde:

      • «3. Uten at det berører artikkel 116, skal Kommisjonen ved hjelp av delegerte rettsakter i samsvar med artikkel 112a, vedta tiltak som spesifiserer

        • a) de framgangsmåtene og ordningene som er nevnt i nr. 1 andre ledd bokstav a), bortsett fra de framgangsmåtene og ordningene som gjelder nettverks- og informasjonssystemer,

        • b) de strukturene og organisatoriske krav som er nevnt i nr. 1 andre ledd bokstav b), med sikte på å redusere interessekonfliktene til et minimum.».

    Artikkel 2

    Endringer av direktiv 2009/138/EF

    I direktiv 2009/138/EF gjøres følgende endringer:

    • 1) I artikkel 41 skal nr. 4 lyde:

      • «4. Forsikrings- og gjenforsikringsforetak skal iverksette rimelige tiltak for å sikre kontinuitet og regelmessighet i utøvelsen av virksomheten, herunder utarbeiding av beredskapsplaner. For dette formålet skal foretakene anvende egnede og forholdsmessige systemer, ressurser og framgangsmåter, og skal særlig opprette og forvalte nett- og informasjonssystemer i samsvar med europaparlaments- og rådsforordning (EU) 2022/2554(*).

        (*) Europaparlaments- og rådsforordning (EU) 2022/2554 av 14. desember 2022 om digital operasjonell motstandsdyktighet i finanssektoren og om endring av forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 (EUT L 333 av 27.12.2022, s.1).»

    • 2) I artikkel 50 nr. 1 skal bokstav a) og b) lyde:

      • «a) elementene i systemene nevnt i artikkel 41, artikkel 44, særlig de områdene som er nevnt i artikkel 44 nr. 2, og artikkel 46 og 47, bortsett fra de elementene som gjelder risikostyring i forbindelse med informasjons- og kommunikasjonsteknologi,

      • b) funksjonene nevnt i artikkel 44 og 46-48, bortsett fra de funksjonene som gjelder risikostyring i forbindelse med informasjons- og kommunikasjonsteknologi.»

    Artikkel 3

    Endring av direktiv 2011/61/EU

    I direktiv 2011/61/EU skal artikkel 18 lyde:

    «Artikkel 18
    Allmenne prinsipper

    • 1. Medlemsstatene skal kreve at AIF-forvaltere til enhver tid bruker tilstrekkelige og hensiktsmessige menneskelige og tekniske ressurser for å sikre korrekt forvaltning av AIF-ene.

      Samtidig som det tas hensyn til arten av AIF-er som AIF-forvalteren forvalter, skal vedkommende myndigheter i AIF-forvalterens hjemstat særlig kreve at AIF-forvalteren har god forvaltnings- og regnskapspraksis, kontroll- og sikkerhetsordninger for elektronisk databehandling, herunder når det gjelder nettverks- og informasjonssystemer som opprettes og forvaltes i samsvar med europaparlaments- og rådsforordning (EU) 2022/2554(*), samt tilfredsstillende ordninger for internkontroll, herunder særlig regler for de ansattes personlige transaksjoner eller for besittelse eller forvaltning av investeringer med henblikk på investering for egen regning, som minst sikrer at enhver transaksjon der AIF-er er involvert, kan rekonstrueres med hensyn til opprinnelse, parter, art samt tid og sted for gjennomføringen, og at eiendeler i AIF-ene som forvaltes av AIF-forvalteren, investeres i samsvar med AIF-ets regler eller stiftelsesdokumenter samt gjeldende lovbestemmelser.

    • 2. Kommisjonen skal gjennom delegerte rettsakter i samsvar med artikkel 56 og på vilkårene fastsatt i artikkel 57 og 58, vedta tiltak som angir de framgangsmåtene og ordningene som er nevnt i nr. 1 i denne artikkelen, bortsett fra de framgangsmåtene og ordningene som gjelder nettverks- og informasjonssystemer.

    (*) Europaparlaments- og rådsforordning (EU) 2022/2554 av 14. desember 2022 om digital operasjonell motstandsdyktighet i finanssektoren og om endring av forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 (EUT L 333 av 27.12.2022, s. 1.»

    Artikkel 4

    Endringer av direktiv 2013/36/EU

    I direktiv 2013/36/EU gjøres følgende endringer:

    • 1) I artikkel 65 nr. 3 skal bokstav a) vi) lyde:

      • «vi) tredjeparter som de enhetene som er nevnt i nr. i)–iv), har utkontraktert funksjoner eller aktiviteter til, herunder tredjepartsleverandører av IKT-tjenester som nevnt i kapittel V i europaparlaments- og rådsforordning (EU) 2022/2554(*),

        (*) Europaparlaments- og rådsforordning (EU) 2022/2554 av 14. desember 2022 om digital operasjonell motstandsdyktighet i finanssektoren og om endring av forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 (EUT L 333 av 27.12.2022, s. 1.»

    • 2) I artikkel 74 nr. 1 skal første ledd lyde:

      «Institusjoner skal ha solide styringsordninger, herunder en klar organisasjonsstruktur med klart definerte, gjennomsiktige og konsekvente ansvarslinjer, effektive framgangsmåter for å identifisere, styre, overvåke og rapportere de risikoene som institusjonene er eller kan bli eksponert for, forsvarlige ordninger for internkontroll, herunder forsvarlig forvaltnings- og regnskapspraksis, nettverks- og informasjonssystemer som opprettes og forvaltes i samsvar med forordning (EU) 2022/2554, og godtgjøringspolitikk og -praksis som er forenlig med og fremmer en forsvarlig og effektiv risikostyring.»

    • 3) I artikkel 85 skal nr. 2 lyde:

      • «2. Vedkommende myndigheter skal sikre at institusjonene har tilstrekkelige retningslinjer og planer for beredskap og kontinuitet i virksomheten, herunder retningslinjer og planer for IKT-kontinuitet i virksomheten og planer for IKT-respons og -gjenoppretting i forbindelse med den teknologien de bruker til formidling av opplysninger, og at disse planene utarbeides, forvaltes og testes i samsvar med artikkel 11 i forordning (EU) 2022/2554, slik at institusjonene kan fortsette å drive sin virksomhet i tilfelle alvorlige driftsforstyrrelser og begrense tap som oppstår som følge av slike forstyrrelser.»

    • 4) I artikkel 97 nr. 1 skal ny bokstav lyde:

      • «d) de risikoene som påvises ved testing av digital operasjonell motstandsdyktighet i samsvar med kapittel IV i forordning (EU) 2022/2554.»

    Artikkel 5

    Endringer av direktiv 2014/59/EU

    I direktiv 2014/59/EU gjøres følgende endringer:

    • 1) I artikkel 10 gjøres følgende endringer:

      • a) I nr. 7 skal bokstav c) lyde:

        • «c) En beskrivelse av hvordan kritiske funksjoner og hovedforretningsområder i nødvendig omfang kan atskilles juridisk og økonomisk fra andre funksjoner for å sikre kontinuitet og digital operasjonell motstandsdyktighet dersom institusjonen blir kriserammet.»

      • b) I nr. 7 skal bokstav q) lyde:

        • «q) En beskrivelse av de aktivitetene og systemene som er avgjørende for å opprettholde løpende drift av institusjonens operasjonelle prosesser, herunder nettverks- og informasjonssystemer som nevnt i europaparlaments- og rådsforordning (EU) 2022/2554(*).

          (*) Europaparlaments- og rådsforordning (EU) 2022/2554 av 14. desember 2022 om digital operasjonell motstandsdyktighet i finanssektoren og om endring av forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 (EUT L 333 av 27.12.2022, s. 1.»

      • c) I nr. 9 skal nytt ledd lyde:

        «EBA skal i samsvar med artikkel 10 i forordning (EU) nr. 1093/2010 gjennomgå og eventuelt oppdatere de tekniske reguleringsstandardene for blant annet å ta hensyn til bestemmelsene i kapittel II i forordning (EU) 2022/2554.»

    • 2) I vedlegget gjøres følgende endringer:

      • a) I avsnitt A skal punkt 16) lyde:

        • «16) ordninger og tiltak som er nødvendige for å opprettholde løpende drift av institusjonens operasjonelle prosesser, herunder nettverks- og informasjonssystemer som opprettes og forvaltes i samsvar med forordning (EU) 2022/2554.»

      • b) I avsnitt B gjøres følgende endringer:

        • i) Punkt 14) skal lyde:

          • «14) Identifisering av eierne av systemene angitt i punkt 13), tilknyttede tjenestenivåavtaler samt programvare og systemer eller lisenser, herunder per rettssubjekt, kritiske funksjoner og hovedforretningsområder, samt identifisering av kritiske tredjepartsleverandører av IKT-tjenester som definert i artikkel 3 nr. 23 i forordning (EU) 2022/2554.»

        • ii) Nytt punkt skal lyde:

          • «14a) Resultatene av institusjoners testing av digital operasjonell motstandsdyktighet i henhold til forordning (EU) 2022/2554.»

      • c) I avsnitt C gjøres følgende endringer:

        • i) Punkt 4) skal lyde:

          • «4) i hvilket omfang de tjenesteavtalene som institusjonen har inngått, herunder de kontraktsregulerte ordningene om bruken av IKT-tjenester, er solide og kan håndheves dersom institusjonen krisehåndteres,»

        • ii) Nytt punkt skal lyde:

          • «4a) den digitale operasjonelle motstandsdyktigheten til nettverks- og informasjonssystemene som støtter institusjonens kritiske funksjoner og hovedforretningsområder, samtidig som det tas hensyn til rapporter om alvorlige IKT-relaterte hendelser og resultatene av testing av digital operasjonell motstandsdyktighet i henhold til forordning (EU) 2022/2554.»

    Artikkel 6

    Endringer av direktiv 2014/65/EU

    I direktiv 2014/65/EU gjøres følgende endringer:

    • 1) I artikkel 16 gjøres følgende endringer:

      • a) Nr. 4 skal lyde:

        • «4. Et verdipapirforetak skal treffe rimelige tiltak for å sikre kontinuitet og regelmessighet i ytingen av investeringstjenester og utøvelsen av investeringsvirksomhet. For dette formålet skal verdipapirforetaket anvende egnede og riktig avpassede systemer, herunder systemer for informasjons- og kommunikasjonsteknologi (IKT) som opprettes og forvaltes i samsvar med artikkel 7 i europaparlaments- og rådsforordning (EU) 2022/2554(*), samt egnede og riktig avpassede ressurser og framgangsmåter.

          (*) Europaparlaments- og rådsforordning (EU) 2022/2554 av 14. desember 2022 om digital operasjonell motstandsdyktighet i finanssektoren og om endring av forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 (EUT L 333 av 27.12.2022, s. 1.»

      • b) I nr. 5 skal andre og tredje ledd lyde:

        Et verdipapirforetak skal ha god forvaltnings- og regnskapspraksis, ordninger for internkontroll og effektive framgangsmåter for risikovurdering.

        Uten at det berører vedkommende myndigheters mulighet til å kreve tilgang til kommunikasjon i samsvar med dette direktivet og forordning (EU) nr. 600/2014, skal et verdipapirforetak ha innført pålitelige sikkerhetssystemer for å garantere, i henhold til kravene i forordning (EU) 2022/2554, sikkerhet og autentisering ved informasjonsoverføringen, redusere risikoen for dataforfalskning og ulovlig tilgang og forebygge informasjonslekkasje, slik at opplysningene til enhver tid behandles på en fortrolig måte.»

    • 2) I artikkel 17 gjøres følgende endringer:

      • a) Nr. 1 skal lyde:

        • «1. Et verdipapirforetak som anvender algoritmehandel, skal ha innført effektive systemer og risikokontroller som er egnede for den virksomheten det utøver, for å sikre at dets handelssystemer er motstandsdyktige og har tilstrekkelig kapasitet i samsvar med kravene fastsatt i kapittel II til forordning (EU) 2022/2554, er omfattet av egnede handelsterskler og -grenser og hindrer at det sendes feilaktige ordrer, eller at systemene på annen måte fungerer på en måte som skaper eller bidrar til uro på markedet.

          Et slikt foretak skal også ha innført effektive systemer og risikokontroller for å sikre at handelssystemene ikke kan brukes til formål som er i strid med forordning (EU) nr. 596/2014 eller med reglene til en handelsplass som det er knyttet til.

          Verdipapirforetaket skal ha innført effektive ordninger for kontinuitet i virksomheten for å håndtere en eventuell svikt i sine handelssystemer, herunder retningslinjer og planer for IKT-kontinuitet i virksomheten og planer for IKT-respons og -gjenoppretting som er utarbeidet i samsvar med artikkel 11 i forordning (EU) 2022/2554, og skal sikre at systemene testes fullt ut og blir behørig overvåket for å sikre at de oppfyller de generelle kravene i dette nummeret og eventuelle særlige krav i kapittel II og IV til forordning (EU) 2022/2554.»

      • b) I nr. 7 skal bokstav a) lyde:

        • «a) Nærmere opplysninger om organisatoriske krav fastsatt i nr. 1–6, bortsett fra de organisatoriske kravene som gjelder styring av IKT-risiko, som skal pålegges verdipapirforetak som yter ulike typer investeringstjenester, utøver ulike typer investeringsvirksomhet, yter tilleggstjenester eller kombinasjoner av slike, der spesifikasjonene for de organisatoriske kravene i nr. 5 skal fastsette de særlige kravene til direkte markedsadgang og sponset tilgang på en måte som sikrer at kontrollene som foretas av sponset tilgang, minst tilsvarer dem som foretas i forbindelse med direkte markedsadgang.»

    • 3) I artikkel 47 nr. 1 gjøres følgende endringer:

      • a) Bokstav b) skal lyde:

        • «b) er tilstrekkelig utstyrt til å styre risikoene fasiliteten utsettes for, herunder til å styre IKT-risiko i samsvar med kapittel II til forordning (EU) 2022/2554, innfører egnede ordninger og systemer for å identifisere vesentlige risikoer for driften, og har innført effektive tiltak for å redusere slike risikoer,»

      • b) Bokstav c) utgår.

    • 4) I artikkel 48 gjøres følgende endringer:

      • a) Nr. 1 skal lyde:

        • «1. Medlemsstatene skal kreve at et regulert marked innfører og opprettholder sin operasjonelle motstandsdyktighet i samsvar med kravene fastsatt i kapittel II i forordning (EU) 2022/2554, for å sikre at dets handelssystemer er motstandsdyktige, har tilstrekkelig kapasitet til å kunne håndtere toppbelastning med hensyn til ordre- og meldingsvolum, kan sikre ordnet handel ved alvorlig markedsstress, er testet fullt ut for å sikre at slike vilkår er oppfylt, og er omfattet av effektive ordninger for kontinuitet i virksomheten, herunder planer og retningslinjer for IKT-kontinuitet i virksomheten og planer for IKT-respons og -gjenoppretting som er utarbeidet i samsvar med artikkel 11 i forordning (EU) 2022/2554, for å sikre kontinuitet i sin virksomhet ved en eventuell svikt i sine handelssystemer.»

      • b) Nr. 6 skal lyde:

        • «6. Medlemsstatene skal kreve at et regulert marked har innført effektive systemer, framgangsmåter og ordninger, herunder krav om at medlemmer eller deltakere skal foreta egnet testing av algoritmer og skape miljøer som letter slik testing, i samsvar med kravene fastsatt i kapittel II og IV i forordning (EU) 2022/2554, for å sikre at algoritmebaserte handelssystemer ikke kan skape eller bidra til uordnede handelsvilkår på markedet, og for å håndtere eventuelle uordnede handelsvilkår som kan oppstå som følge av slike algoritmebaserte handelssystemer, herunder systemer som begrenser andelen av ikke-utførte ordrer i forhold til transaksjonene som kan gjennomføres i systemet av et medlem eller en deltaker, slik at det blir mulig å bremse ordrestrømmen dersom det er en risiko for at grensen for systemkapasiteten nås, og slik at den minste tillatte kursendringen som kan anvendes på markedet, begrenses og håndheves.»

      • c) I nr. 12 gjøres følgende endringer:

        • i) Bokstav a) skal lyde:

          • «a) kravene til å sikre at regulerte markeders handelssystemer er motstandsdyktige og har tilstrekkelig kapasitet, med unntak av de kravene som er knyttet til digital operasjonell motstandsdyktighet,»

        • ii) Bokstav g) skal lyde:

          • «g) kravene om å sikre tilstrekkelig testing av algoritmer, bortsett fra testing av digital operasjonell motstandsdyktighet, for å sikre at algoritmebaserte handelssystemer, herunder systemer for høyfrekvent algoritmehandel, ikke kan skape eller bidra til uordnede handelsvilkår på markedet.»

    Artikkel 7

    Endringer av direktiv (EU) 2015/2366

    I direktiv (EU) 2015/2366 gjøres følgende endringer:

    • 1) I artikkel 3 skal bokstav j) lyde:

      • «j) tjenester som leveres av leverandører av tekniske tjenester til støtte for betalingstjenesteytingen, uten at disse på noe tidspunkt kommer i besittelse av de midlene som skal overføres, herunder behandling og lagring av data, tillitsskapende tjenester og integritetsvern, autentisering av data og enheter, levering av informasjons- og kommunikasjonsteknologi (IKT) og levering av kommunikasjonsnett, levering og vedlikehold av terminaler og innretninger som benyttes til betalingstjenester, med unntak av betalingsinitieringstjenester og kontoopplysningstjenester,»

    • 2) I artikkel 5 nr. 1 gjøres følgende endringer:

      • a) I første ledd gjøres følgende endringer:

        • i) Bokstav e) skal lyde:

          • «e) en beskrivelse av søkerens ordninger for foretaksstyring og internkontroll, herunder framgangsmåter for forvaltning, risikostyring og regnskapsføring samt ordninger for bruk av IKT-tjenester i samsvar med europaparlaments- og rådsforordning (EU) 2022/2554(*), som viser at disse ordningene for foretaksstyring og internkontroll er forholdsmessige, hensiktsmessige, forsvarlige og tilstrekkelige.

            (*) Europaparlaments- og rådsforordning (EU) 2022/2554 av 14. desember 2022 om digital operasjonell motstandsdyktighet i finanssektoren og om endring av forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 (EUT L 333 av 27.12.2022, s. 1.»

        • ii) Bokstav f) skal lyde:

          • «f) en beskrivelse av framgangsmåten som er innført for å overvåke, håndtere og følge opp sikkerhetshendelser og sikkerhetsrelaterte kundeklager, herunder en ordning for rapportering av hendelser som tar hensyn til betalingsinstitusjonens meldingsplikt i henhold til kapittel III i forordning (EU) 2022/2554,»,

        • iii) Bokstav h) skal lyde:

          • «h) en beskrivelse av ordningene for å sikre kontinuitet i virksomheten, herunder en tydelig angivelse av kritiske funksjoner, effektive retningslinjer og planer for IKT-kontinuitet i virksomheten og planer for IKT-respons og -gjenoppretting samt en prosedyre for regelmessig å teste og kontrollere slike planers egnethet og effektivitet i samsvar med forordning (EU) 2022/2554,»,

      • b) Tredje ledd skal lyde:

        «I forbindelse med de sikkerhetskontrolltiltakene og risikoreduserende tiltakene som er nevnt i første ledd bokstav j), skal det angis hvordan de sikrer et høyt nivå av digital operasjonell motstandsdyktighet i samsvar med kapittel II i forordning (EU) 2022/2554, særlig med hensyn til teknisk sikkerhet og datavern, også for den programvaren og de IKT-systemene som brukes av søkeren eller de foretakene søkeren har satt hele eller deler av sin virksomhet ut til. Disse tiltakene skal også omfatte de sikkerhetstiltakene som er fastsatt i artikkel 95 nr. 1 i dette direktivet. I forbindelse med disse tiltakene skal det tas hensyn til de europeiske tilsynsmyndighetenes retningslinjer om sikkerhetstiltak som nevnt i artikkel 95 nr. 3 i dette direktivet, når disse foreligger.»

    • 3) I artikkel 19 nr. 6 skal andre ledd lyde:

      «Utkontraktering av viktige driftsfunksjoner, herunder IKT-systemer, kan ikke skje på en slik måte at det vesentlig forringer kvaliteten på betalingsinstitusjonens internkontroll og vedkommende myndigheters mulighet til å overvåke og spore om betalingsinstitusjonen oppfyller alle sine forpliktelser i henhold til dette direktivet.»

    • 4) I artikkel 95 nr. 1 skal nytt ledd lyde:

      «Første ledd berører ikke anvendelsen av kapittel II i forordning (EU) 2022/2554 på

      • a) betalingstjenesteytere nevnt i artikkel 1 nr. 1 bokstav a), b) og d) i dette direktivet,

      • b) ytere av kontoopplysningstjenester nevnt i artikkel 33 nr. 1 i dette direktivet,

      • c) betalingsinstitusjoner som er unntatt i henhold til artikkel 32 nr. 1 i dette direktivet, og

      • d) e-pengeforetak som er omfattet av et unntak i henhold til artikkel 9 nr. 1 i direktiv 2009/110/EF.»

    • 5) I artikkel 96 skal nytt nummer lyde:

      • «7. Medlemsstatene skal sikre at nr. 1–5 i denne artikkelen ikke får anvendelse på

        • a) betalingstjenesteytere nevnt i artikkel 1 nr. 1 bokstav a), b) og d) i dette direktivet,

        • b) ytere av kontoopplysningstjenester nevnt i artikkel 33 nr. 1 i dette direktivet,

        • c) betalingsinstitusjoner som er unntatt i henhold til artikkel 32 nr. 1 i dette direktivet, og

        • d) e-pengeforetak som er omfattet av et unntak i henhold til artikkel 9 nr. 1 i direktiv 2009/110/EF.»

    • 6) I artikkel 98 skal nr. 5 lyde:

      • «5. I samsvar med artikkel 10 i forordning (EU) nr. 1093/2010 skal EBA regelmessig gjennomgå og eventuelt oppdatere de tekniske reguleringsstandardene for blant annet å ta hensyn til innovasjon og teknologisk utvikling samt til bestemmelsene i kapittel II i forordning (EU) 2022/2554.»

    Artikkel 8

    Endring av direktiv (EU) 2016/2341

    Artikkel 21 nr. 5 i direktiv (EU) 2016/2341 skal lyde:

    • «5. Medlemsstatene skal sikre at tjenestepensjonsforetaket treffer rimelige tiltak for å sikre kontinuitet og regelmessighet i utøvelsen av virksomheten, herunder utarbeiding av beredskapsplaner. For dette formålet skal tjenestepensjonsforetakene anvende egnede og forholdsmessige systemer, ressurser og framgangsmåter, og skal særlig opprette og forvalte nettverks- og informasjonssystemer i samsvar med europaparlaments- og rådsforordning (EU) 2022/2554(*), dersom det er relevant.

      (*) Europaparlaments,- og rådsforordning (EU) 2022/2554 av 14. desember 2022 om digital operasjonell motstandsdyktighet i finanssektoren og om endring av forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 (EUT L 333 av 27.12.2022, s.1).»

    Artikkel 9

    Innarbeiding i nasjonal rett

    • 1. Medlemsstatene skal senest 17. januar 2025 vedta og kunngjøre de bestemmelsene som er nødvendige for å etterkomme dette direktivet. De skal umiddelbart underrette Kommisjonen om dette.

      De skal anvende disse bestemmelsene fra 17. januar 2025.

      Når disse bestemmelsene vedtas av medlemsstatene, skal de inneholde en henvisning til dette direktivet, eller det skal vises til direktivet når de kunngjøres. Nærmere regler for henvisningen fastsettes av medlemsstatene.

    • 2. Medlemsstatene skal oversende Kommisjonen teksten til de viktigste internrettslige bestemmelsene som de vedtar på det området dette direktivet omhandler.

    Artikkel 10

    Ikrafttredelse

    Dette direktivet trer i kraft den 20. dagen etter at det er kunngjort i Den europeiske unions tidende.

    Artikkel 11

    Adressater

    Dette direktivet er rettet til medlemsstatene.

    Utferdiget i Strasbourg 14. desember 2022.

    For Europaparlamentet

    R. Metsola

    President

    For Rådet

    M. Bek

    Formann

    Fotnoter

    1

    EUT C 343 av 26.8 2021, s. 1.

    2

    EUT C 155 av 30.4. 2021, s. 38.

    3

    Europaparlamentets holdning av 10. november 2022 (ennå ikke offentliggjort i EUT) og rådsbeslutning av 28. november 2022.

    4

    Europaparlaments- og rådsdirektiv 2009/65/EF av 13. juli 2009 om samordning av lover og forskrifter om foretak for kollektiv investering i omsettelige verdipapirer (UCITS) (EUT L 302 av 17.11.2009, s. 32).

    5

    Europaparlaments- og rådsdirektiv 2009/138/EF av 25. november 2009 om adgang til å starte og utøve virksomhet innen forsikring og gjenforsikring (Solvens II) (EUT L 335 av 17.12.2009, s. 1).

    6

    Europaparlaments- og rådsdirektiv 2011/61/EU av 8. juni 2011 om forvaltere av alternative investeringsfond og om endring av direktiv 2003/41/EF og 2009/65/EF og forordning (EF) nr. 1060/2009 og (EU) nr. 1095/2010 (EUT L 174 av 1.7.2011, s. 1).

    7

    Europaparlaments- og rådsdirektiv 2013/36/EU av 26. juni 2013 om adgang til å utøve virksomhet som kredittinstitusjon og om tilsyn med kredittinstitusjoner, om endring av direktiv 2002/87/EF og om oppheving av direktiv 2006/48/EF og 2006/49/EF (EUT L 176 av 27.6.2013, s. 338).

    8

    Europaparlaments- og rådsdirektiv 2014/59/EU av 15. mai 2014 om fastsettelse av en ramme for gjenoppretting og krisehåndtering av kredittinstitusjoner og verdipapirforetak og om endring av rådsdirektiv 82/891/EØF, europaparlaments- og rådsdirektiv 2001/24/EF, 2002/47/EF, 2004/25/EF, 2005/56/EF, 2007/36/EF, 2011/35/EU, 2012/30/EU og 2013/36/EU og europaparlaments- og rådsforordning (EU) nr. 1093/2010 og (EU) nr. 648/2012 (EUT L 173 av 12.6.2014, s. 190).

    9

    Europaparlaments- og rådsdirektiv 2014/65/EU av 15. mai 2014 om markeder for finansielle instrumenter og om endring av direktiv 2002/92/EF og direktiv 2011/61/EU (EUT L 173 av 12.6.2014, s. 349).

    10

    Europaparlaments- og rådsdirektiv (EU) 2015/2366 av 25. november 2015 om betalingstjenester i det indre marked, om endring av direktiv 2002/65/EF, 2009/110/EF og 2013/36/EU og forordning (EU) nr. 1093/2010 og om oppheving av direktiv 2007/64/EF (EUT L 337 av 23.12.2015, s. 35).

    11

    Europaparlaments- og rådsdirektiv (EU) 2016/2341 av 14. desember 2016 om virksomhet i og tilsyn med tjenestepensjonsforetak (EUT L 354 av 23.12.2016, s. 37).

    12

    Europaparlaments- og rådsforordning (EU) 2022/2554 av 14. desember 2022 om digital operasjonell motstandsdyktighet i finanssektoren og om endring av forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 (EUT L 333 av 27.12.2022, s. 1).

    13

    Europaparlaments- og rådsforordning (EU) nr. 1093/2010 av 24. november 2010 om opprettelse av en europeisk tilsynsmyndighet (Den europeiske banktilsynsmyndighet), om endring av beslutning nr. 716/2009/EF og om oppheving av kommisjonsbeslutning 2009/78/EF (EUT L 331 av 15.12.2010, s. 12).

    14

    EUT C 369 av 17.12.2011, s. 14.

    Neste kapittel
    Forrige kapittel
    Neste kapittel
    Forrige kapittel
    Til forsiden
    Til toppen