Art. 7 Änderungen der Richtlinie (EU) 2015/2366 | DORA directive | DORA

This article amends the Payment Services Directive (PSD2, Directive (EU) 2015/2366) to align it with DORA (Regulation (EU) 2022/2554).

It is a substantial amendment article that touches multiple provisions of PSD2, updating authorisation requirements, security obligations, outsourcing rules, and incident reporting to ensure consistency with DORA's framework.

The overarching effect is that payment institutions and related entities must now demonstrate compliance with DORA's ICT risk management and digital operational resilience standards as part of their existing PSD2 obligations, rather than treating the two frameworks as separate.

Important points:

Ensure that authorisation applications include descriptions of governance, ICT service arrangements, incident handling procedures, and business continuity plans that are aligned with Regulation (EU) 2022/2554.
Outsourcing of important operational functions, including ICT systems, must not materially impair the payment institution's internal control or the ability of competent authorities to monitor compliance.
EBA is required to review and, if appropriate, update its regulatory technical standards on a regular basis to take account of innovation, technological developments, and the provisions of Chapter II of Regulation (EU) 2022/2554.

Die Richtlinie (EU) 2015/2366 wird wie folgt geändert:

Artikel 3 Buchstabe j erhält folgende Fassung:
„Dienste, die von technischen Dienstleistern erbracht werden, die zwar zur Erbringung der Zahlungsdienste beitragen, jedoch zu keiner Zeit in den Besitz der zu transferierenden Geldbeträge gelangen, wie die Verarbeitung und Speicherung von Daten, vertrauensbildende Maßnahmen und Dienste zum Schutz der Privatsphäre, Nachrichten- und Instanzenauthentisierung, Bereitstellung von Informations- und Kommunikationstechnologie (IKT) und Kommunikationsnetzen sowie Bereitstellung und Wartung der für Zahlungsdienste genutzten Endgeräte und Einrichtungen mit Ausnahme von Zahlungsauslösediensten und Kontoinformationsdiensten;“.
Artikel 5 Absatz 1 erhält folgende Fassung:
1. Unterabsatz 1 wird wie folgt geändert:
  Buchstabe e erhält folgende Fassung:
  „eine Beschreibung der Unternehmenssteuerung und der internen Kontrollmechanismen des Antragstellers einschließlich der Verwaltungs-, Risikomanagement- und Rechnungslegungsverfahren sowie Vereinbarungen über die Nutzung von IKT-Diensten gemäß der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates(²¹), aus der hervorgeht, dass diese Unternehmenssteuerung und interne Kontrollmechanismen verhältnismäßig, angemessen, zuverlässig und ausreichend sind;
  Buchstabe f erhält folgende Fassung:
  „eine Beschreibung der vorhandenen Verfahren für Überwachung, Handhabung und Folgemaßnahmen bei Sicherheitsvorfällen und sicherheitsbezogenen Kundenbeschwerden, einschließlich eines Mechanismus für die Meldung von Vorfällen, der die Meldepflichten des Zahlungsinstituts nach Kapitel III der Verordnung (EU) 2022/2554 berücksichtigt;“;
  Buchstabe h erhält folgende Fassung:
  „eine Beschreibung der Vorkehrungen zur Fortführung der Geschäftstätigkeiten, einschließlich klarer Angaben der kritischen Vorgänge, wirksamer IKT-Geschäftsfortführungsleitlinie und -plänen, IKT-Reaktions- und Wiederherstellungsplänen sowie eines Verfahrens für regelmäßige Tests der Angemessenheit und Wirksamkeit dieser Pläne gemäß der Verordnung (EU) 2022/2554;“;
2. Unterabsatz 3 erhält folgende Fassung:
  „Bei den in Unterabsatz 1 Buchstabe j genannten Sicherheitskontroll- und Risikominderungsmaßnahmen ist anzugeben, auf welche Weise dadurch ein hohes Maß an digitaler operationaler Resilienz entsprechend Kapitel II der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates, insbesondere bezüglich technischer Sicherheit und Datenschutz gewährleistet wird; das gilt auch für Software und IKT-Systeme, die der Antragsteller oder die Unternehmen, an die er den Betrieb oder Teile des Betriebs dieser auslagert, verwenden. Zu diesen Maßnahmen gehören auch die Sicherheitsmaßnahmen gemäß Artikel 95 Absatz 1. Bei diesen Maßnahmen ist den in Artikel 95 Absatz 3 genannten Leitlinien für Sicherheitsmaßnahmen der EBA Rechnung zu tragen, sobald diese vorliegen.“
Artikel 19 Absatz 6 Unterabsatz 2 erhält folgende Fassung:
„Die Auslagerung wichtiger betrieblicher Aufgaben, einschließlich IKT-Systemen, darf nicht auf eine Weise erfolgen, dass die Qualität der internen Kontrolle des Zahlungsinstituts und die Möglichkeit der zuständigen Behörde, zu überprüfen und zurückzuverfolgen, ob das Zahlungsinstitut sämtlichen Anforderungen dieser Richtlinie genügt, wesentlich beeinträchtigt werden.“
Dem Artikel 95 Absatz 1 wird folgender Unterabsatz angefügt:
„Unterabsatz 1 gilt unbeschadet der Anwendung von Kapitel II der Verordnung (EU) 2022/2554 auf
Zahlungsdienstleister im Sinne des Artikels 1 Absatz 1 Buchstaben a, b und d,
Kontoinformationsdienstleister im Sinne des Artikels 33 Absatz 1,
Zahlungsinstitute, die gemäß Artikel 32 Absatz 1 ausgenommen sind, und
E-Geld-Institute, für die eine Ausnahme gemäß Artikel 9 Absatz 1 der Richtlinie 2009/110/EG gilt;“.
Dem Artikel 96 wird folgender Absatz angefügt:
Die Mitgliedstaaten stellen sicher, dass die Absätze 1 bis 5 des vorliegenden Artikels nicht gelten für
Zahlungsdienstleister im Sinne des Artikels 1 Absatz 1 Buchstaben a, b und d,
Kontoinformationsdienstleister im Sinne des Artikels 33 Absatz 1,
Zahlungsinstitute, die gemäß Artikel 32 Absatz 1 ausgenommen sind, und
E-Geld-Institute, für die eine Ausnahme gemäß Artikel 9 Absatz 1 der Richtlinie 2009/110/EG gilt.“
Artikel 98 Absatz 5 erhält folgende Fassung:
Gemäß Artikel 10 der Verordnung (EU) Nr. 1093/2010 überprüft und aktualisiert die EBA — soweit erforderlich — die technischen Regulierungsstandards regelmäßig, um unter anderem der Innovation und den technologischen Entwicklungen sowie den Bestimmungen des Kapitels II der Verordnung (EU) 2022/2554 Rechnung zu tragen.“