Artikel 1 Innehåll

I den digitala tidsåldern stöder informations- och kommunikationstekniken (IKT) komplexa system som används för dagliga aktiviteter. Den får våra ekonomier att fungera inom viktiga sektorer, inbegripet finanssektorn, och förbättrar den inre marknadens funktion. Ökad digitalisering och sammanlänkning ökar också IKT-risk och gör samhället som helhet – och i synnerhet det finansiella systemet – mer sårbart för cyberhot eller IKT-avbrott. Den allmänt utbredda användningen av IKT-system och hög digitalisering och konnektivitet är i dag centrala inslag i den verksamhet som bedrivs av unionens finansiella entiteter, men deras digitala motståndskraft måste fortfarande hanteras bättre och integreras i deras bredare operativa ramar.

Användningen av IKT har under de senaste årtiondena fått en avgörande roll inom tillhandahållandet av finansiella tjänster och har nått den punkt där den i dag är avgörande för driften av alla finansiella entiteters vanliga dagliga funktioner. Digitaliseringen omfattar i dag t.ex. betalningar, som i allt högre grad har gått från kontanter och pappersbaserade metoder till användning av digitala lösningar, liksom clearing och avveckling av värdepapper, elektronisk och algoritmisk handel, utlåning och finansiering, peer-to-peer-finansiering, kreditvärdering, skadereglering och back-office-verksamhet. Försäkringssektorn har också omvandlats genom användningen av IKT, från framväxten av försäkringsförmedlare som erbjuder sina tjänster online med hjälp av försäkringsteknik (insurtech), till digital försäkringsgarantiverksamhet. Hela finanssektorn har blivit till stor del digital, och digitaliseringen har också fördjupat sammanlänkningarna och beroendena inom finanssektorn och med tredjepartsinfrastruktur och tredjepartstjänsteleverantörer.

Europeiska systemrisknämnden (ESRB) bekräftade i en rapport från 2020 om systemrisker på cyberområdet att den nuvarande höga graden av sammanlänkning mellan finansiella entiteter, finansmarknader och finansmarknadsinfrastrukturer, och särskilt det ömsesidiga beroendet mellan deras IKT-system, skulle kunna utgöra en systemsårbarhet, eftersom lokala cyberincidenter snabbt skulle kunna spridas från någon av de cirka 22 000 finansiella entiteterna i unionen till hela det finansiella systemet, utan hinder av geografiska gränser. Allvarliga IKT-relaterade överträdelser inom finanssektorn påverkar inte bara finansiella entiteter var för sig. De underlättar också spridning av lokaliserade sårbarheter i de finansiella överföringskanalerna och kan få negativa konsekvenser för stabiliteten i unionens finansiella system, t.ex. generera likviditetsrusningar och generellt leda till ett minskat förtroende för finansmarknaderna.

På senare år har IKT-risk uppmärksammats av internationella, unionens och nationella beslutsfattare, tillsynsmyndigheter och standardiseringsorgan i ett försök att öka den digitala motståndskraften, fastställa standarder och samordna reglerings- eller tillsynsarbete. På internationell nivå har Baselkommittén för banktillsyn, kommittén för betalningar och marknadsinfrastruktur, rådet för finansiell stabilitet, Financial Stability Institute samt G7 och G20 som mål att förse behöriga myndigheter och marknadsoperatörer inom olika jurisdiktioner med verktyg för att stärka motståndskraften hos deras finansiella system. Det arbetet har också motiverats av behovet av att vederbörligen beakta IKT-risk i ett globalt finansiellt system som är starkt sammanlänkat och eftersträva större samstämmighet vad gäller relevant bästa praxis.

Trots unionens och nationella riktade politiska initiativ och lagstiftningsinitiativ fortsätter IKT-risk att utgöra en utmaning för den operativa motståndskraften, prestandan och stabiliteten i unionens finansiella system. De reformer som följde på finanskrisen 2008 stärkte i första hand den finansiella motståndskraften hos unionens finanssektor och syftade till att skydda unionens konkurrenskraft och stabilitet ur ekonomiska och tillsynsmässiga perspektiv samt vad gäller marknadsbeteende. Även om IKT-säkerhet och digital motståndskraft ingår i de operativa riskerna har de inte uppmärksammats lika mycket i lagstiftningsagendan efter finanskrisen och har bara utvecklats inom vissa områden av unionens politik och regelverk för finansiella tjänster, eller endast i ett fåtal medlemsstater.

I sitt meddelande av den 8 mars 2018 med titeln Handlingsplanen för fintech: – ett viktigt steg mot en mer konkurrenskraftig europeisk finanssektor betonade kommissionen att det är ytterst viktigt att göra unionens finanssektor mer motståndskraftig, inbegripet ur ett operativt perspektiv för att säkerställa dess tekniska säkerhet och goda funktion, och dess snabba återställning efter IKT-relaterade överträdelser och IKT-incidenter, så att finansiella tjänster i förlängningen kan tillhandahållas på ett effektivt och smidigt sätt i hela unionen, inbegripet i stressituationer, samtidigt som konsumenternas och marknadens förtroende bevaras.

I april 2019 utfärdade gemensamt Europeiska tillsynsmyndigheten (Europeiska bankmyndigheten, EBA) inrättad genom Europaparlamentets och rådets förordning (EU) nr 1093/2010(⁴), Europeiska tillsynsmyndigheten (Europeiska försäkrings- och tjänstepensionsmyndigheten, Eiopa) inrättad genom Europaparlamentets och rådets förordning (EU) nr 1094/2010(⁵), och Europeiska tillsynsmyndigheten (Europeiska värdepappers- och marknadsmyndigheten, Esma) inrättad genom Europaparlamentets och rådets förordning (EU) nr 1095/2010(⁶) (gemensamt kallade de europeiska tillsynsmyndigheterna) teknisk rådgivning och efterlyste ett enhetligt tillvägagångssätt för IKT-risk inom finanssektorn och rekommenderade en proportionell förstärkning av den digitala operativa motståndskraften i sektorn för finansiella tjänster genom ett sektorsspecifikt initiativ från unionen.

Unionens finansiella sektor regleras genom ett enhetligt regelverk och styrs av ett europeiskt system för finansiell tillsyn. Icke desto mindre är bestämmelserna om digital operativ motståndskraft och IKT-säkerhet ännu inte fullständigt eller konsekvent harmoniserade, trots att den digitala operativa motståndskraften är avgörande för att säkerställa finansiell stabilitet och marknadsintegritet i den digitala tidsåldern, och inte mindre viktiga än t.ex. gemensamma standarder för tillsyn eller marknadsbeteenden. Det enhetliga regelverket och tillsynssystemet bör därför utvecklas så att de även omfattar digital operativ motståndskraft, genom att behöriga myndigheters mandat stärks så att de kan övervaka hanteringen av IKT-risk inom den finansiella sektorn i syfte att skydda den inre marknadens integritet och effektivitet samt för att främja dess korrekta funktion.

Skillnader i lagstiftning och olika nationella reglerings- eller tillsynsstrategier för IKT-risk skapar hinder för den inre marknadens funktion för finansiella tjänster och hindrar ett smidigt utövande av etableringsfriheten och tillhandahållandet av tjänster för finansiella entiteter som bedriver gränsöverskridande verksamhet. Konkurrensen mellan samma typ av finansiella entiteter med verksamhet i olika medlemsstater skulle också kunna snedvridas. Detta gäller särskilt de områden där unionens harmonisering har varit mycket begränsad, såsom testning av digital operativ motståndskraft, eller saknas, såsom övervakning av IKT-tredjepartsrisk. Skillnader som härrör från den planerade utvecklingen på nationell nivå skulle kunna skapa ytterligare hinder för den inre marknadens funktion, till skada för marknadsaktörer och finansiell stabilitet.

På grund av att bestämmelser i fråga om IKT-risk endast delvis behandlas på unionsnivå finns för närvarande luckor eller överlappningar på viktiga områden, t.ex. när det gäller IKT-relaterad incidentrapportering och testning av digital operativ motståndskraft, samt bristande konsekvens när skiljaktiga nationella regler utformas eller överlappande regler tillämpas på ett icke kostnadseffektivt sätt. Detta är särskilt skadligt för IKT-intensiva användare som finanssektorn, eftersom teknikrisker inte stannar vid nationsgränser och finanssektorn använder sina tjänster på bred gränsöverskridande basis inom och utanför unionen. Enskilda finansiella entiteter som bedriver gränsöverskridande verksamhet eller som innehar flera tillstånd (en finansiell entitet kan t.ex. ha tillstånd som bank, värdepappersföretag och betalningsinstitut, där varje tillstånd har utfärdats av olika behöriga myndigheter i en eller flera medlemsstater) ställs inför operativa utmaningar när det gäller att på egen hand hantera IKT-risk och mildra IKT-incidenters negativa effekter på ett samstämmigt och kostnadseffektivt sätt.

Eftersom det enhetliga regelverket inte har åtföljts av en heltäckande IKT-ram eller ram för operativa risker krävs ytterligare harmonisering av viktiga krav på digital operativ motståndskraft för alla finansiella entiteter. Utvecklingen av IKT-kapacitet och övergripande motståndskraft hos finansiella entiteter baserat på dessa viktiga krav för att stå emot driftstörningar skulle bidra till att bevara stabiliteten och integriteten på unionens finansmarknader och därmed bidra till att säkerställa en hög skyddsnivå för investerare och konsumenter i unionen. Eftersom syftet med denna förordning är att bidra till att den inre marknaden fungerar friktionsfritt bör den baseras på artikel 114 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget), så som artikeln tolkats i Europeiska unionens domstols (domstolen) fasta rättspraxis.

Denna förordning syftar till att konsolidera och uppgradera IKT-riskkraven som en del av de operativa riskkraven, vilka hittills har behandlats separat i olika unionsrättsakter. Även om dessa akter omfattade de huvudsakliga kategorierna av finansiell risk (t.ex. kreditrisk, marknadsrisk, motpartsrisk, likviditetsrisk och marknadsbeteenderisker), behandlades inte alla komponenter i den operativa motståndskraften på ett heltäckande sätt när dessa akter antogs. När reglerna rörande operativa risker närmare utformades i dessa unionsrättsakter föredrogs ofta en traditionell kvantitativ strategi för riskhantering (nämligen fastställande av ett kapitalkrav för att täcka IKT-risk) i stället för riktade kvalitativa regler avseende skydd, upptäckt, begränsning, återställning och avhjälpande av IKT-relaterade incidenter eller avseende rapporteringskapacitet och digital testkapacitet. Dessa akter var i första hand avsedda att omfatta och uppdatera grundläggande regler om tillsyn, marknadsintegritet eller marknadsbeteende. Genom att olika regler för IKT-risk konsolideras och uppgraderas bör alla bestämmelser om digitala risker inom finanssektorn för första gången samlas på ett enhetligt sätt i en enda rättsakt. Denna förordning täpper till luckorna eller avhjälper bristen på konsekvens i vissa av de tidigare rättsakterna, inbegripet i fråga om den terminologi som används i dem och som uttryckligen hänvisar till IKT-risk genom riktade regler om IKT-riskhanteringsförmåga, incidentrapportering, testning av operativ motståndskraft och övervakning av IKT-tredjepartsrisk. Denna förordning bör därför också öka medvetenheten om IKT-risk och understryka att IKT-incidenter och bristande operativ motståndskraft kan äventyra finansiella entiteters sundhet.

Finansiella entiteter bör följa samma tillvägagångssätt och samma principbaserade regler i sin hantering av IKT-risk med beaktande av sin storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, verksamhet och insatser. Enhetlighet bidrar till att öka förtroendet för det finansiella systemet och bevara dess stabilitet, särskilt i tider av starkt beroende av IKT-system, IKT-plattformar och IKT-infrastrukturer, vilket medför ökad digital risk. Iakttagande av grundläggande cyberhygien bör också leda till att det går att undvika höga kostnader för ekonomin, genom att effekterna av och kostnaderna för IKT-avbrott minimeras.

En förordning bidrar till att minska lagstiftningens komplexitet, främjar konvergens i tillsynen och ökar rättssäkerheten, och bidrar också till att begränsa efterlevnadskostnaderna, särskilt för finansiella entiteter som bedriver gränsöverskridande verksamhet, och till att minska snedvridningen av konkurrensen. Därför är valet av en förordning för inrättandet av en gemensam ram för finansiella entiteters digitala operativa motståndskraft det lämpligaste sättet att garantera en enhetlig och samstämmig tillämpning av alla delar av IKT-riskhanteringen inom unionens finanssektor.

Europaparlamentets och rådets direktiv (EU) 2016/1148(⁷) var den första övergripande ramen för cybersäkerhet som antogs på unionsnivå och som också tillämpas på tre typer av finansiella entiteter, nämligen kreditinstitut, handelsplatser och centrala motparter. Eftersom det i direktiv (EU) 2016/1148 fastställdes en mekanism för identifiering på nationell nivå av leverantörer av samhällsviktiga tjänster, var det endast vissa kreditinstitut, handelsplatser och centrala motparter som identifierades av medlemsstaterna som inkluderades i direktivets tillämpningsområde i praktiken och därmed är skyldiga att uppfylla de rapporteringskrav i fråga om IKT-säkerhet och IKT-incidenter som fastställs i direktivet. I Europaparlamentets och rådets direktiv (EU) 2022/2555(⁸) fastställs enhetliga kriterier för att avgöra vilka entiteter som omfattas av dess tillämpningsområde (storleksbaserad regel) samtidigt som de tre typerna av finansiella entiteter behålls inom dess tillämpningsområde.

Eftersom denna förordning leder till en ökad harmonisering av de olika komponenterna av digital motståndskraft genom att det införs strängare krav på IKT-riskhantering och IKT-relaterad incidentrapportering än de som fastställs i den nuvarande unionsrätten avseende finansiella tjänster, innebär denna högre nivå en ökad harmonisering även jämfört med kraven i direktiv (EU) 2022/2555. Denna förordning utgör följaktligen lex specialis i förhållande till direktiv (EU) 2022/2555. Det är samtidigt mycket viktigt att upprätthålla en stark koppling mellan finanssektorn och unionens övergripande ram för cybersäkerhet, som för närvarande fastställs i direktiv (EU) 2022/2555 för att säkerställa överensstämmelse med de strategier för cybersäkerhet som antagits av medlemsstaterna och göra det möjligt för finansiella tillsynsmyndigheter att få kännedom om cyberincidenter som påverkar andra sektorer som omfattas av det direktivet.

I enlighet med artikel 4.2 i fördraget om Europeiska unionen och utan att det påverkar domstolens rättsliga prövning bör denna förordning inte påverka medlemsstaternas ansvar vad gäller väsentliga statliga funktioner rörande allmän säkerhet, försvar och skyddet av den nationella säkerheten, till exempel när det gäller tillhandahållande av information som står i strid med skyddet av den nationella säkerheten.

För att möjliggöra sektorsövergripande lärande och effektivt ta vara på erfarenheter från andra sektorer när det gäller att hantera cyberhot bör de finansiella entiteter som avses i direktiv (EU) 2022/2555 fortsätta att ingå i ”ekosystemet” i det direktivet (t.ex. samarbetsgrupp samt nätverket av entiteter för hantering av it-säkerhetsincidenter (CSIRT-enheter)). De europeiska tillsynsmyndigheterna och de nationella behöriga myndigheterna bör kunna delta i de strategiska politiska diskussionerna och det tekniska arbetet i samarbetsgruppen enligt det direktivet och kunna utbyta information och samarbeta ytterligare med de gemensamma kontaktpunkter som har utsetts eller inrättats i enlighet med det direktivet. De behöriga myndigheterna enligt denna förordning bör också samråda och samarbeta med CSIRT-enheter. De behöriga myndigheterna bör också kunna begära teknisk rådgivning från de behöriga myndigheter som utsetts eller inrättats i enlighet med direktiv (EU) 2022/2555 samt inrätta samarbetsarrangemang i syfte att säkerställa effektiva och snabba samordningsmekanismer.

Med tanke på de starka sambanden mellan finansiella entiteters digitala motståndskraft och fysiska motståndskraft krävs ett enhetligt tillvägagångssätt för kritiska entiteters motståndskraft i denna förordning och i Europaparlamentets och rådets direktiv (EU) 2022/2557(⁹). Eftersom finansiella entiteters fysiska motståndskraft behandlas övergripande i de skyldigheter rörande IKT-riskhantering och rapportering som omfattas av denna förordning, bör de skyldigheter som fastställs i kapitlen III och IV i direktiv (EU) 2022/2557 inte tillämpas på finansiella entiteter som omfattas av tillämpningsområdet för det direktivet.

Leverantörer av molntjänster är en kategori av leverantörer av digitala infrastrukturer som omfattas av direktiv (EU) 2022/2555. Den unionstillsynsram (tillsynsramen) som inrättas genom denna förordning är tillämplig på alla kritiska tredjepartsleverantörer av IKT-tjänster, inbegripet leverantörer av molntjänster som tillhandahåller IKT-tjänster till finansiella entiteter, och bör betraktas som ett komplement till den tillsyn som utförs enligt direktiv (EU) 2022/2555. Den tillsynsram som inrättas genom denna förordning bör dessutom omfatta leverantörer av molntjänster, i avsaknad av en unionsomfattande sektorsövergripande ram för inrättande av en digital tillsynsmyndighet.