Art. 61 Ändringar av förordning (EU) nr 909/2014 | DORA regulation | DORA

This article is an amending provision, modifying Article 45 of Regulation (EU) No 909/2014, which governs Central Securities Depositories (CSDs).

The amendments integrate DORA's ICT requirements into the existing CSD framework, essentially carving out ICT risk management from the general operational risk provisions of the CSD regulation and redirecting it to DORA.

CSDs must now identify and minimise operational risks using ICT tools managed in accordance with DORA, and their business continuity and disaster recovery plans must explicitly include ICT-specific continuity and recovery plans as required by DORA.

Notably, ESMA is tasked with developing technical standards covering non-ICT operational risks only, with ICT risk now firmly within DORA's domain.

Important points:

As a CSD, identify sources of operational risk and minimise their impact through ICT tools, processes and policies managed in accordance with DORA.
Establish, implement and maintain a business continuity policy and disaster recovery plan — including ICT-specific plans under DORA — covering all securities settlement systems you operate, ensuring full recovery of transactions and participants' positions.
ESMA is required to develop regulatory technical standards covering operational risks other than ICT risk, reflecting the clean separation between DORA and the CSD regulation.

Artikel 45 i förordning (EU) nr 909/2014 ska ändras på följande sätt:

Punkt 1 ska ersättas med följande:
En värdepapperscentral ska identifiera källor till operativ risk, såväl interna som externa, och minimera deras effekt genom att använda lämpliga IKT-verktyg, IKT-processer och IKT-strategier som har inrättats och förvaltas i enlighet med Europaparlamentets och rådets förordning (EU) 2022/2554(⁴²), samt andra relevanta lämpliga verktyg, kontroller och förfaranden för andra typer av operativa risker, inbegripet för samtliga avvecklingssystem för värdepapper som den driver.
Punkt 2 ska utgå.
Punkterna 3 och 4 ska ersättas med följande:
En värdepapperscentral ska för tjänster som den tillhandahåller samt för varje avvecklingssystem för värdepapper som den driver upprätta, genomföra och upprätthålla ändamålsenliga riktlinjer för driftskontinuitet och en plan för katastrofberedskap, inbegripet IKT-kontinuitetspolicy och åtgärds- och återställningsplaner avseende IKT som har inrättats i enlighet med förordning (EU) 2022/2554, för att se till att dess tjänster kan upprätthållas, driften snabbt kan återupptas och värdepapperscentralens skyldigheter kan fullgöras vid händelser som medför en betydande risk för avbrott i verksamheten.
Den plan som avses i punkt 3 ska göra det möjligt att återupprätta alla transaktioner och deltagares positioner vid tidpunkten för avbrottet, så att värdepapperscentralens deltagare kan fortsätta sin verksamhet på ett säkert sätt och avvecklingen kan fullföljas på fastställd dag, inbegripet genom att säkerställa att driften av avgörande it-system kan återupptas från och med tidpunkten för avbrottet i enlighet med vad som föreskrivs i artikel 12.5 och 12.7 i förordning (EU) 2022/2554.”
Punkt 6 ska ersättas med följande:
En värdepapperscentral ska identifiera, övervaka och hantera de risker för verksamheten som de viktigaste deltagarna i det avvecklingssystem för värdepapper som den driver samt tjänsteleverantörer, andra värdepapperscentraler eller andra marknadsinfrastrukturer kan utgöra för dess verksamhet. Den ska på begäran tillhandahålla behöriga och relevanta myndigheter information om varje sådan risk som har identifierats. Den ska även utan dröjsmål informera den behöriga myndigheten och de relevanta myndigheterna om alla operativa incidenter till följd av sådana risker, med undantag för IKT-risk.”
I punkt 7 ska första stycket ersättas med följande:
Esma ska i nära samarbete med medlemmarna i ECBS utarbeta förslag till tekniska standarder för tillsyn i syfte att fastställa de operativa risker som avses i punkterna 1 och 6, med undantag för IKT-risker, och de metoder för att testa, hantera och minimera de riskerna, inbegripet de riktlinjer för driftskontinuitet och planer för katastrofberedskap som avses i punkterna 3 och 4 samt metoderna för att bedöma dessa.”