Source: OJ L 333, 27.12.2022, pp. 153–163Current language: SV
DORA directive
EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV (EU) 2022/2556
av den 14 december 2022
om ändring av direktiven 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 och (EU) 2016/2341 vad gäller digital operativ motståndskraft för finanssektorn
EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV
med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artiklarna 53.1 och 114,
med beaktande av Europeiska kommissionens förslag,
efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,
med beaktande av Europeiska centralbankens yttrande(1),
med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande(2),
i enlighet med det ordinarie lagstiftningsförfarandet(3), och
av följande skäl:
Skäl 1Digital risks in financial services
Unionen måste på ett lämpligt och heltäckande sätt ta itu med de digitala risker som uppstår för alla finansiella entiteter till följd av en ökad användning av informations- och kommunikationsteknik (IKT) vid tillhandahållande och konsumtion av finansiella tjänster, och därmed bidra till att förverkliga den digitala finanssektorns potential när det gäller att stimulera innovation och främja konkurrens i en säker digital miljö.
Skäl 2 ICT risks of breakthrough technologies
Finansiella entiteter är mycket beroende av digital teknik i sin dagliga verksamhet. Det är därför ytterst viktigt att säkerställa att deras digitala transaktioner har en operativ motståndskraft mot IKT-risk. Detta behov har blivit allt större på grund av den ökade marknaden för banbrytande teknik, särskilt teknik som möjliggör att digitala representationer av värde eller rättigheter kan överföras och lagras elektroniskt, med hjälp av teknik för distribuerade liggare eller liknande teknik (kryptotillgångar) och för tjänster relaterade till sådana tillgångar.
Skäl 3Amended directives
De krav som rör hantering av IKT-risk för finanssektorn på unionsnivå fastställs för närvarande i Europaparlamentets och rådets direktiv 2009/65/EG(4), 2009/138/EG(5), 2011/61/EU(6), 2013/36/EU(7), 2014/59/EU(8), 2014/65/EU(9), (EU) 2015/2366(10) och (EU) 2016/2341(11).
Dessa krav skiljer sig åt och är ibland ofullständiga. IKT-risk har i vissa fall endast behandlats indirekt som en del av den operativa risken, medan den i andra fall inte har behandlats över huvud taget. Dessa problem åtgärdas genom antagandet av Europaparlamentets och rådets förordning (EU) 2022/2554(12). Dessa direktiv bör därför ändras för att säkerställa konsekvens med den förordningen. I detta direktiv antas en rad ändringar som är nödvändiga för att bringa rättslig klarhet och enhetlighet i fråga om hur de finansiella entiteter som auktoriseras och övervakas i enlighet med dessa direktiv ska tillämpa olika krav på digital operativ motståndskraft som är nödvändiga för att de ska kunna bedriva sin verksamhet och tillhandahålla tjänster och därigenom garantera en smidigt fungerande inre marknad. Det är nödvändigt att se till att dessa krav är förenliga med marknadsutvecklingen, samtidigt som proportionalitet uppmuntras, särskilt med avseende på de finansiella entiteternas storlek och de särskilda ordningar som är tillämpliga på dem, i syfte att minska efterlevnadskostnaderna.
Skäl 4Amendments to the capital requirements directive
Inom området för banktjänster innehåller direktiv 2013/36/EU i dagsläget endast allmänna regler om intern styrning och operativ risk med krav på beredskaps- och kontinuitetsplaner vilka underförstått används som en grund för att hantera IKT-risk. För att uttryckligen och tydligt hantera IKT-risk bör dock kraven på beredskaps- och kontinuitetsplaner ändras så att de även innefattar kontinuitets- och åtgärds- och återställningsplaner även för IKT-risk, i enlighet med kraven i förordning (EU) 2022/2554. Dessutom ingår IKT-risk endast indirekt, som en del av den operativa risken, i den översyns- och utvärderingsprocess (ÖUP) som utförs av behöriga myndigheter, och kriterierna för deras bedömning fastställs för närvarande i riktlinjerna om IKT-riskbedömning inom ramen för översyns- och utvärderingsprocessen (ÖUP), utfärdade av den europeiska tillsynsmyndigheten (Europeiska bankmyndigheten, EBA), inrättad genom Europaparlamentets och rådets förordning (EU) nr 1093/2010(13). För att skapa rättslig klarhet och säkerställa att banktillsynsmyndigheterna effektivt identifierar IKT-risk och övervakar finansiella entiteters hantering därav, i linje med den nya ramen för digital operativ motståndskraft, bör ÖUP:s tillämpningsområde även ändras så att det uttryckligen hänvisar till de krav som fastställs i förordning (EU) 2022/2554 och i synnerhet omfattar de risker som påvisats i rapporter om allvarliga IKT-relaterade incidenter och resultaten av den testning av digital operativ motståndskraft som finansiella entiteter utfört i enlighet med den förordningen.
Skäl 5Amendments to the bank recovery and resolution directive (BRRD)
Digital operativ motståndskraft är nödvändigt för att upprätthålla en finansiell entitets kritiska funktioner och kärnaffärsområden i händelse av dess resolution och för att undvika störningar i realekonomin och det finansiella systemet. Allvarliga operativa incidenter kan hämma en finansiell entitets förmåga att fortsätta att driva sin verksamhet och kan äventyra resolutionsmålen. Vissa kontraktsmässiga arrangemang som rör användningen av IKT-tjänster är väsentliga för att säkerställa driftskontinuitet och tillhandahålla nödvändiga uppgifter i händelse av resolution. För att vara anpassat till målen för unionens ram för operativ motståndskraft bör direktiv 2014/59/EU ändras i enlighet med detta så att det säkerställs att information relaterad till operativ motståndskraft beaktas i samband med resolutionsplanering och bedömning av finansiella entiteters möjligheter till resolution.
Skäl 6Amendments to the markets in financial instruments directive (MiFID II)
I direktiv 2014/65/EU fastställs hårdare IKT-riskregler för värdepappersföretag och handelsplatser när dessa bedriver algoritmisk handel. Mindre utförliga krav tillämpas på datarapporteringstjänster och transaktionsregister. Dessutom hänvisas det i direktiv 2014/65/EU endast i begränsad mån till kontroll- och skyddssystem för informationsbehandlingssystem och användning av lämpliga system, resurser och förfaranden för att sörja för kontinuitet och regelbundenhet i affärstjänster. Det direktivet bör dessutom harmoniseras med förordning (EU) 2022/2554 i fråga om kontinuitet och regelbundenhet i tillhandahållandet av investeringstjänster och utförandet av investeringsverksamhet, operativ motståndskraft, handelssystemens kapacitet och effektiva arrangemang för kontinuitet och riskhantering.
Skäl 7Amendments to the payment service directive (PSD 2)
I direktiv (EU) 2015/2366 fastställs särskilda regler om IKT-relaterade säkerhetskontroll- och begränsningsaspekter för erhållande av en auktorisation att utföra betaltjänster. Dessa auktorisationsregler bör ändras för att anpassas till förordning (EU) 2022/2554. För att minska den administrativa bördan och undvika komplexitet och överlappande rapporteringskrav bör dessutom reglerna om incidentrapportering i det direktivet upphöra att tillämpas för betaltjänstleverantörer som regleras enligt det direktivet och som omfattas av förordning (EU) 2022/2554, vilket gör det möjligt för dessa betaltjänstleverantörer att dra nytta av en gemensam, fullständigt harmoniserad incidentrapporteringsmekanism med avseende på alla operativa incidenter eller säkerhetsincidenter, oavsett om sådana incidenter är IKT-relaterade.
Skäl 8Amendments to the UCITS and AIFM directives
Direktiven 2009/138/EG och (EU) 2016/2341 fångar delvis upp IKT-risk i sina allmänna bestämmelser om styrning och riskhantering, vilket innebär att vissa krav ska specificeras genom delegerade akter med eller utan särskilda hänvisningar till IKT-risk. På samma sätt tillämpas endast mycket allmänna regler på förvaltare av alternativa investeringsfonder som omfattas av direktiv 2011/61/EU och förvaltningsbolag som omfattas av direktiv 2009/65/EG. Dessa direktiv bör därför anpassas till kraven i förordning (EU) 2022/2554 när det gäller förvaltningen av IKT-system och IKT-verktyg.
Skäl 9Removal of ESAs empowerments on ICT risk from certain legislative acts
Ytterligare IKT-krav har i många fall redan fastställts i delegerade akter och genomförandeakter, antagna utifrån förslag till tekniska tillsynsstandarder och tekniska standarder för genomförande vilka utarbetats av den behöriga europeiska tillsynsmyndigheten. Eftersom bestämmelserna i förordning (EU) 2022/2554 hädanefter utgör den rättsliga ramen för IKT-risk för finanssektorn bör vissa befogenheter att anta delegerade akter och genomförandeakter i direktiven 2009/65/EG, 2009/138/EG, 2011/61/EU och 2014/65/EU ändras för att stryka IKT-riskbestämmelserna från tillämpningsområdet för dessa befogenheter.
Skäl 10Transposal into national law by applicability of DORA
För att säkerställa ett enhetligt genomförande av den nya ramen för digital operativ motståndskraft för finanssektorn bör medlemsstaterna tillämpa de bestämmelser i nationell rätt som införlivar detta direktiv från och med tillämpningsdagen för förordning (EU) 2022/2554.
Skäl 11The Treaty on the Functioning of the European Union
Direktiven 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 och (EU) 2016/2341 har antagits på grundval av artikel 53.1 eller artikel 114 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) eller båda. Ändringarna genom detta direktiv har tagits med i en och samma lagstiftningsakt på grund av det inbördes förhållandet mellan sakfrågan och ändringarnas syften. Följaktligen bör detta direktiv antas på grundval av såväl artikel 53.1 som artikel 114 i EUF-fördraget.
Skäl 12Subsidiarity and proportionality
Eftersom målen för detta direktiv inte i tillräcklig utsträckning kan uppnås av medlemsstaterna, eftersom de innebär en harmonisering av redan befintliga krav i direktiven, utan snarare, på grund av åtgärdens omfattning och verkningar, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå dessa mål.
Skäl 13Notification of transposition measures
I enlighet med den gemensamma politiska förklaringen av den 28 september 2011 från medlemsstaterna och kommissionen om förklarande dokument(14), har medlemsstaterna åtagit sig att, när det är motiverat, låta anmälan av införlivandeåtgärder åtföljas av ett eller flera dokument som förklarar förhållandet mellan de olika delarna i direktivet och motsvarande delar i de nationella instrumenten för införlivande. Lagstiftaren anser att det är motiverat att sådana dokument översänds avseende detta direktiv.
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
- Artikel 1Ändringar av direktiv 2009/65/EG
- Artikel 2Ändringar av direktiv 2009/138/EG
- Artikel 3Ändring av direktiv 2011/61/EU
- Artikel 4Ändringar av direktiv 2013/36/EU
- Artikel 5Ändringar av direktiv 2014/59/EU
- Artikel 6Ändringar av direktiv 2014/65/EU
- Artikel 7Ändring av direktiv (EU) 2015/2366
- Artikel 8Ändring av direktiv (EU) 2016/2341
- Artikel 9Införlivande
- Artikel 10Ikraftträdande
- Artikel 11Adressater
Utfärdat i Strasbourg den 14 december 2022.
På Europaparlamentets vägnar
R. METSOLA
Ordförande
På rådets vägnar
M. BEK
Ordförande
Definition
IKT-risk
(En. ICT risk)
Definition
digital operativ motståndskraft
(En. digital operational resilience)
Definition
transaktionsregister
(En. trade repository)
Definition
förvaltningsbolag
(En. management company)
Definition
IKT-tjänster
(En. ICT services)
Definition
tredjepartsleverantör av IKT-tjänster
(En. ICT third-party service provider)
Definition
värdepappersföretag
(En. investment firm)
Definition
förvaltare av alternativa investeringsfonder
(En. manager of alternative investment funds)
Definition
nätverks- och informationssystem
(En. network and information system)
Definition
handelsplats
(En. trading venue)
Definition
säkerhet i nätverks- och informationssystem
(En. security of network and information systems)
Footnote 1
Footnote 3
Footnote 2
Footnote 14
Footnote 11
Footnote 4
Footnote 12
Footnote 10
Footnote 6
Footnote 5
Footnote 9
Footnote 13
Footnote 7
Footnote 8