HET EUROPEES PARLEMENT EN DE RAAD
Gezien het voorstel van de Europese Commissie,
Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,
Gezien het advies van het Europees Economisch en Sociaal Comité,
Gezien het advies van het Comité van de Regio's,
Handelend volgens de gewone wetgevingsprocedure,
Overwegende hetgeen volgt:
van 14 december 2022
betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van de Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011
(Voor de EER relevante tekst)
HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,
Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 114, Gezien het voorstel van de Europese Commissie, Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen, Gezien het advies van de Europese Centrale Bank (1), Gezien het advies van het Europees Economisch en Sociaal Comité (2), Handelend volgens de gewone wetgevingsprocedure (3),
Overwegende hetgeen volgt:
(1) In het digitale tijdperk ondersteunt informatie- en communicatietechnologie (ICT) complexe systemen die voor dagelijkse activiteiten worden gebruikt. ICT houdt onze economieën draaiende in belangrijke sectoren, waaronder de financiële sector, en verbetert de werking van de interne markt. Door de toenemende digitalisering en onderlinge verbondenheid wordt de ICT-sector nog belangrijker. risicoRisico Betekent de kans op verlies of verstoring veroorzaakt door een incident en moet worden uitgedrukt als een combinatie van de omvang van een dergelijk verlies of verstoring en de waarschijnlijkheid dat het incident zich voordoet. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn)Dit maakt de samenleving als geheel, en het financiële systeem in het bijzonder, kwetsbaarder voor cyberdreigingen of ICT-verstoringen. Hoewel het alomtegenwoordige gebruik van ICT-systemen en een hoge mate van digitalisering en connectiviteit tegenwoordig kernkenmerken zijn van de activiteiten van financiële entiteiten in de Unie, moet hun digitale veerkracht nog beter worden aangepakt en geïntegreerd in hun bredere operationele kaders.
(2) Het gebruik van ICT heeft de afgelopen decennia een centrale rol gekregen in de verlening van financiële diensten, zozeer zelfs dat het nu van cruciaal belang is geworden voor de uitvoering van de typische dagelijkse functies van alle financiële entiteiten. Digitalisering heeft nu bijvoorbeeld betrekking op betalingen, die in toenemende mate zijn overgeschakeld van contante en op papier gebaseerde methoden naar het gebruik van digitale oplossingen, evenals op clearing en afwikkeling van effecten, elektronische en algoritmische handel, leningen en financieringstransacties, peer-to-peer financiering, kredietbeoordeling, claimbeheer en backoffice-activiteiten. De verzekeringssector is ook veranderd door het gebruik van ICT, van de opkomst van verzekeringstussenpersonen die hun diensten online aanbieden en werken met InsurTech, tot digitale verzekeringstechnieken. Financiering is niet alleen grotendeels digitaal geworden in de hele sector, maar digitalisering heeft ook de onderlinge verbindingen en afhankelijkheden binnen de financiële sector en met infrastructuren en dienstverleners van derden verdiept.
(3) Het Europees Comité voor systeemrisico's (ECSR) heeft in een verslag van 2020 over systeemrisico's in de cybersector opnieuw bevestigd dat de bestaande hoge mate van verwevenheid tussen financiële entiteiten, financiële markten en financiëlemarktinfrastructuren, en met name de onderlinge afhankelijkheid van hun ICT-systemen, een systeemrisico kan vormen. kwetsbaarheidKwetsbaarheid Een zwakte, gevoeligheid of tekortkoming van ICT-producten of ICT-diensten die door een cyberdreiging kan worden uitgebuit. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) omdat gelokaliseerde cyberincidenten zich snel kunnen verspreiden van een van de ongeveer 22 000 financiële entiteiten in de Unie naar het hele financiële systeem, ongehinderd door geografische grenzen. Ernstige ICT-inbreuken in de financiële sector treffen niet alleen financiële entiteiten afzonderlijk. Ze effenen ook het pad voor de verspreiding van gelokaliseerde kwetsbaarheden via de financiële transmissiekanalen en kunnen nadelige gevolgen hebben voor de stabiliteit van het financiële systeem van de Unie, zoals het genereren van liquiditeitsruns en een algeheel verlies van vertrouwen in de financiële markten.
(4) De afgelopen jaren hebben ICT-risico's de aandacht getrokken van internationale, Europese en nationale beleidsmakers, regelgevers en toezichthouders. standaardStandaard Een technische specificatie die door een erkende normalisatie-instelling is aangenomen voor herhaalde of voortdurende toepassing, waarvan de inachtneming niet verplicht is en die tot een van de volgende categorieën behoort (a) "internationale norm": een norm die door een internationale normalisatie-instelling is vastgesteld; b) "Europese norm": een norm die door een Europese normalisatie-instelling is vastgesteld; c) "geharmoniseerde norm": een Europese norm die is vastgesteld op basis van een door de Commissie ingediend verzoek om toepassing van harmonisatiewetgeving van de Unie; d) "nationale norm": een norm die door een nationale normalisatie-instelling is vastgesteld - Definitie overeenkomstig artikel 2, punt 1, van Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad.-instanties in een poging om de digitale weerbaarheid te vergroten, normen vast te stellen en regelgevend of toezichthoudend werk te coördineren. Op internationaal niveau hebben het Bazels Comité voor Bankentoezicht, het Comité voor Betalings- en Marktinfrastructuren, de Raad voor Financiële Stabiliteit, het Instituut voor Financiële Stabiliteit, evenals de G7 en de G20 zich ten doel gesteld om bevoegde autoriteiten en marktoperatoren in verschillende rechtsgebieden te voorzien van instrumenten om de veerkracht van hun financiële systemen te versterken. Dat werk is ook ingegeven door de noodzaak om naar behoren rekening te houden met ICT-risico's in de context van een sterk verweven wereldwijd financieel systeem en om te streven naar meer consistentie van relevante beste praktijken.
(5) Ondanks gerichte beleids- en wetgevingsinitiatieven van de Unie en de lidstaten blijft het ICT-risico een uitdaging vormen voor de operationele veerkracht, de prestaties en de stabiliteit van het financiële stelsel van de Unie. De hervormingen die volgden op de financiële crisis van 2008 versterkten in de eerste plaats de financiële veerkracht van de financiële sector van de Unie en waren erop gericht het concurrentievermogen en de stabiliteit van de Unie te vrijwaren vanuit economisch, prudentieel en marktgedragsperspectief. Hoewel ICT-beveiliging en digitale weerbaarheid deel uitmaken van het operationele risico, stonden ze minder centraal op de regelgevingsagenda na de financiële crisis en zijn ze slechts op enkele gebieden van het beleid en de regelgeving van de Unie op het gebied van financiële diensten of in slechts enkele lidstaten ontwikkeld.
(6) In haar mededeling van 8 maart 2018 getiteld "FinTech-actieplan: Voor een meer concurrerende en innovatieve Europese financiële sector" heeft de Commissie benadrukt dat het van het grootste belang is om de financiële sector van de Unie veerkrachtiger te maken, ook vanuit operationeel oogpunt om de technologische veiligheid en goede werking ervan te waarborgen, om snel te kunnen herstellen van ICT-inbreuken en -incidenten en om uiteindelijk een effectieve en soepele verlening van financiële diensten in de hele Unie mogelijk te maken, ook in stresssituaties, terwijl ook het vertrouwen van de consument en de markt behouden blijft.
(7) In april 2019 hebben de Europese toezichthoudende autoriteit (Europese Bankautoriteit), (EBA) opgericht bij Verordening (EU) nr. 1093/2010 van het Europees Parlement en de Raad (4 ), de Europese toezichthoudende autoriteit (Europese Autoriteit voor verzekeringen en bedrijfspensioenen), (EIOPA) opgericht bij Verordening (EU) nr. 1094/2010 van het Europees Parlement en de Raad (5 ) en de Europese toezichthoudende autoriteit (Europese Autoriteit voor effecten en markten), ("ESMA"), opgericht bij Verordening (EU) nr. 1095/2010 van het Europees Parlement en de Raad (6 ) (samen "Europese toezichthoudende autoriteiten" of "ESA's" genoemd) hebben gezamenlijk technisch advies uitgebracht waarin wordt opgeroepen tot een samenhangende aanpak van ICT-risico's in de financiële sector en wordt aanbevolen de digitale operationele veerkracht van de financiële sector op evenredige wijze te versterken door middel van een sectorspecifiek initiatief van de Unie.
(8) De financiële sector van de Unie wordt gereguleerd door één enkel wetboek en valt onder een Europees systeem voor financieel toezicht. De bepalingen inzake digitale operationele veerkracht en ICT-beveiliging zijn echter nog niet volledig of consequent geharmoniseerd, ondanks het feit dat digitale operationele veerkracht van vitaal belang is voor het waarborgen van financiële stabiliteit en marktintegriteit in het digitale tijdperk, en niet minder belangrijk is dan bijvoorbeeld gemeenschappelijke prudentiële of marktgedragsnormen. Het gemeenschappelijk rulebook en het toezichtsysteem moeten daarom zodanig worden ontwikkeld dat ze ook betrekking hebben op digitale operationele veerkracht, door de mandaten van de bevoegde autoriteiten te versterken zodat ze toezicht kunnen houden op het beheer van ICT-risico's in de financiële sector om de integriteit en efficiëntie van de interne markt te beschermen en de ordelijke werking ervan te bevorderen.
(9) Verschillen in wetgeving en ongelijke nationale benaderingen op het gebied van regelgeving of toezicht met betrekking tot ICT-risico's vormen obstakels voor de werking van de interne markt voor financiële diensten en belemmeren een soepele uitoefening van de vrijheid van vestiging en de vrijheid van dienstverlening voor financiële entiteiten die grensoverschrijdend actief zijn. Ook zou de concurrentie tussen hetzelfde type financiële entiteiten die in verschillende lidstaten actief zijn, kunnen worden verstoord. Dit is met name het geval voor gebieden waar harmonisatie in de Unie zeer beperkt is, zoals het testen van de digitale operationele veerkracht, of afwezig is, zoals het monitoren van ICT-risico's van derden. Verschillen die voortvloeien uit ontwikkelingen die op nationaal niveau worden overwogen, kunnen verdere belemmeringen voor de werking van de interne markt creëren, ten nadele van de marktdeelnemers en de financiële stabiliteit.
(10) Doordat de ICT-risicobepalingen slechts gedeeltelijk op het niveau van de Unie zijn vastgesteld, zijn er tot dusver hiaten of overlappingen op belangrijke gebieden, zoals ICT-gerelateerde risico's en risico's voor de EU. incidentIncident Een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid in gevaar brengt van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) rapportage en het testen van de digitale operationele veerkracht, en inconsistenties als gevolg van opkomende uiteenlopende nationale regels of kosteninefficiënte toepassing van overlappende regels. Dit is met name nadelig voor een ICT-intensieve gebruiker zoals de financiële sector, aangezien technologische risico's geen grenzen kennen en de financiële sector zijn diensten op brede grensoverschrijdende basis binnen en buiten de Unie inzet. Individuele financiële entiteiten die grensoverschrijdend actief zijn of over meerdere vergunningen beschikken (bijv. één financiële entiteitEntiteit Een natuurlijke persoon of rechtspersoon die als zodanig is opgericht en erkend door het nationale recht van zijn vestigingsplaats en die in eigen naam rechten kan uitoefenen en verplichtingen kan hebben. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) kunnen een bank-, een beleggingsonderneming- en een betalingsinstellingenvergunning hebben, elk uitgegeven door een andere bevoegde autoriteit in een of meerdere lidstaten) worden geconfronteerd met operationele uitdagingen om ICT-risico's aan te pakken en de negatieve gevolgen van ICT-incidenten op een coherente en kosteneffectieve manier te beperken.
(11) Aangezien het ene wetboek niet vergezeld gaat van een alomvattend ICT- of operationeel-risicokader, is verdere harmonisatie van de belangrijkste digitale operationele veerkrachtvereisten voor alle financiële entiteiten vereist. De ontwikkeling van ICT-capaciteit en algemene veerkracht door financiële entiteiten, gebaseerd op deze essentiële vereisten, met het oog op het weerstaan van operationele uitval, zou de stabiliteit en integriteit van de financiële markten in de Unie helpen vrijwaren en aldus bijdragen tot het verzekeren van een hoog niveau van bescherming van beleggers en consumenten in de Unie. Aangezien deze verordening tot doel heeft bij te dragen tot de goede werking van de interne markt, moet zij gebaseerd zijn op de bepalingen van artikel 114 van het Verdrag betreffende de werking van de Europese Unie (VWEU), zoals uitgelegd overeenkomstig de vaste rechtspraak van het Hof van Justitie van de Europese Unie (Hof van Justitie).
(12) Deze verordening beoogt de vereisten inzake ICT-risico te consolideren en te verbeteren als onderdeel van de vereisten inzake operationeel risico die tot dusver afzonderlijk in verschillende rechtshandelingen van de Unie werden behandeld. Hoewel deze handelingen de belangrijkste categorieën van financiële risico's bestreken (bv. kredietrisico, marktrisico, tegenpartijkredietrisico en liquiditeitsrisico, marktgedragsrisico), behandelden zij ten tijde van hun vaststelling niet alle componenten van operationele veerkracht. Toen de regels voor operationeel risico verder werden uitgewerkt in die rechtshandelingen van de Unie, werd vaak de voorkeur gegeven aan een traditionele kwantitatieve aanpak van het risico (namelijk het vaststellen van een kapitaalvereiste om het ICT-risico te dekken) in plaats van gerichte kwalitatieve regels voor de bescherming, detectie, insluiting, herstel- en reparatiecapaciteit tegen ICT-gerelateerde incidenten, of voor de rapportage- en digitale testcapaciteit. Deze handelingen waren in de eerste plaats bedoeld om essentiële regels inzake prudentieel toezicht, marktintegriteit of gedrag te dekken en te actualiseren. Door de verschillende regels inzake ICT-risico's te consolideren en te actualiseren, moeten alle bepalingen die betrekking hebben op digitale risico's in de financiële sector voor het eerst op consistente wijze worden samengebracht in één wetgevingsbesluit. Daarom vult deze verordening de leemten op of verhelpt zij inconsistenties in sommige eerdere wetgevingsbesluiten, onder meer met betrekking tot de daarin gebruikte terminologie, en verwijst zij expliciet naar ICT-risico's via gerichte regels inzake ICT-risicobeheercapaciteiten, incidentenrapportage, het testen van de operationele veerkracht en ICT-risicomonitoring door derden. Deze verordening moet dus ook het bewustzijn van ICT-risico's vergroten en erkennen dat ICT-incidenten en een gebrek aan operationele veerkracht de soliditeit van financiële entiteiten in gevaar kunnen brengen.
(13) Financiële entiteiten moeten dezelfde benadering en dezelfde op beginselen gebaseerde regels volgen bij het aanpakken van ICT-risico's, rekening houdend met hun omvang en algehele risicoprofiel en de aard, schaal en complexiteit van hun diensten, activiteiten en operaties. Consistentie draagt bij aan het vertrouwen in het financiële systeem en het behoud van de stabiliteit ervan, vooral in tijden van grote afhankelijkheid van ICT-systemen, -platforms en -infrastructuren, wat een verhoogd digitaal risico met zich meebrengt. Het naleven van elementaire cyberhygiëne moet ook voorkomen dat de economie met hoge kosten wordt opgezadeld door de impact en de kosten van ICT-verstoringen tot een minimum te beperken.
(14) Een verordening helpt de complexiteit van de regelgeving te verminderen, bevordert de toezichtconvergentie en vergroot de rechtszekerheid, en draagt ook bij tot het beperken van de nalevingskosten, met name voor financiële entiteiten die grensoverschrijdend actief zijn, en tot het verminderen van concurrentieverstoringen. Daarom is de keuze voor een verordening tot vaststelling van een gemeenschappelijk kader voor de digitale operationele weerbaarheid van financiële entiteiten de meest geschikte manier om een homogene en coherente toepassing van alle componenten van ICT-risicobeheer door de financiële sector in de Unie te waarborgen.
(15) Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad (7) was de eerste horizontale cyberbeveiligingCyberbeveiliging "cyberbeveiliging": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881; - "cyberbeveiliging": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) "cyberbeveiliging": de activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere personen die te maken hebben met cyberdreigingen, te beschermen; - Definitie overeenkomstig artikel 2, punt 1, van Verordening (EU) 2019/881; kader dat op het niveau van de Unie is vastgesteld en dat ook van toepassing is op drie soorten financiële entiteiten, namelijk kredietinstellingen, handelsplatforms en centrale tegenpartijen. Aangezien in Richtlijn (EU) 2016/1148 een mechanisme is vastgesteld voor de identificatie op nationaal niveau van exploitanten van essentiële diensten, zijn in de praktijk echter alleen bepaalde kredietinstellingen, handelsplatforms en centrale tegenpartijen die door de lidstaten zijn geïdentificeerd, onder het toepassingsgebied van de richtlijn gebracht, zodat zij moeten voldoen aan de in de richtlijn vastgestelde eisen inzake ICT-beveiliging en incidentenmelding. In Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad (8 ) is een uniform criterium vastgesteld om te bepalen welke entiteiten binnen het toepassingsgebied van de richtlijn vallen (de "size-cap"-regel), terwijl ook de drie soorten financiële entiteiten binnen het toepassingsgebied van de richtlijn blijven vallen.
(16) Aangezien deze verordening echter het harmonisatieniveau van de verschillende onderdelen van de digitale veerkracht verhoogt door de invoering van strengere eisen inzake ICT-risicobeheer en rapportage van ICT-gerelateerde incidenten in vergelijking met de eisen die zijn vastgesteld in de huidige wetgeving van de Unie inzake financiële diensten, vormt dit hogere niveau ook een verhoogde harmonisatie in vergelijking met de eisen die zijn vastgesteld in Richtlijn (EU) 2022/2555. Bijgevolg vormt deze verordening een lex specialis ten opzichte van Richtlijn (EU) 2022/2555. Tegelijkertijd is het van cruciaal belang om een sterke relatie te behouden tussen de financiële sector en het horizontale cyberbeveiligingskader van de Unie zoals dat momenteel is vastgelegd in Richtlijn (EU) 2022/2555, om de consistentie met de door de lidstaten vastgestelde cyberbeveiligingsstrategieën te waarborgen en om financiële toezichthouders in staat te stellen op de hoogte te zijn van cyberincidenten die andere onder die richtlijn vallende sectoren treffen.
(17) Overeenkomstig artikel 4, lid 2, van het Verdrag betreffende de Europese Unie en onverminderd de rechterlijke toetsing door het Hof van Justitie, mag deze verordening geen afbreuk doen aan de verantwoordelijkheid van de lidstaten voor essentiële staatsfuncties op het gebied van openbare veiligheid, defensie en bescherming van de nationale veiligheid, bijvoorbeeld met betrekking tot de verstrekking van informatie die strijdig zou zijn met de bescherming van de nationale veiligheid.
(18) Om sectoroverschrijdend leren mogelijk te maken en doeltreffend gebruik te kunnen maken van de ervaringen van andere sectoren bij het aanpakken van cyberdreigingen, dienen de in Richtlijn (EU) 2022/2555 bedoelde financiële entiteiten deel te blijven uitmaken van het "ecosysteem" van die richtlijn (bijvoorbeeld de samenwerkingsgroep en de computercalamiteitenteams (CSIRT's)). De ETA's en nationale bevoegde autoriteiten dienen te kunnen deelnemen aan de strategische beleidsdiscussies en de technische werkzaamheden van de samenwerkingsgroep in het kader van die richtlijn, en informatie te kunnen uitwisselen en verder te kunnen samenwerken met de overeenkomstig die richtlijn aangewezen of opgerichte centrale contactpunten. De bevoegde autoriteiten in het kader van deze verordening moeten ook de CSIRT's raadplegen en met hen samenwerken. De bevoegde autoriteiten moeten ook technisch advies kunnen inwinnen bij de overeenkomstig Richtlijn (EU) 2022/2555 aangewezen of opgerichte bevoegde autoriteiten en samenwerkingsregelingen kunnen treffen met het oog op doeltreffende en snel reagerende coördinatiemechanismen.
(19) Gezien de sterke verwevenheid tussen de digitale en de fysieke weerbaarheid van financiële entiteiten is in deze verordening en in Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad (9 ) een coherente aanpak nodig met betrekking tot de weerbaarheid van kritieke entiteiten. Aangezien de fysieke weerbaarheid van financiële entiteiten op alomvattende wijze wordt aangepakt door de ICT-risicobeheer- en rapportageverplichtingen die onder deze verordening vallen, mogen de verplichtingen die zijn vastgesteld in de hoofdstukken III en IV van Richtlijn (EU) 2022/2557 niet van toepassing zijn op financiële entiteiten die onder het toepassingsgebied van die richtlijn vallen.
(20) Cloud computing serviceCloud computing service Een digitale dienst die on-demand beheer en brede toegang op afstand tot een schaalbare en elastische pool van deelbare computerbronnen mogelijk maakt, ook als deze bronnen over verschillende locaties zijn verspreid. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) dienstverleners vormen een categorie digitale infrastructuur die onder Richtlijn (EU) 2022/2555 valt. Het toezichtskader van de Unie ("het toezichtskader") dat bij deze verordening wordt vastgesteld, is van toepassing op alle kritieke externe ICT-dienstverleners, met inbegrip van aanbieders van cloud computing-diensten die ICT-diensten aan financiële entiteiten verlenen, en moet worden beschouwd als een aanvulling op het toezicht dat wordt uitgeoefend overeenkomstig Richtlijn (EU) 2022/2555. Bovendien moet het bij deze verordening ingestelde toezichtkader ook gelden voor aanbieders van cloud computing-diensten bij gebrek aan een horizontaal Uniekader tot oprichting van een digitale toezichthoudende autoriteit.
(21) Om de ICT-risico's volledig onder controle te houden, moeten financiële entiteiten over uitgebreide capaciteiten beschikken om een sterk en doeltreffend ICT-risicobeheer mogelijk te maken, alsmede over specifieke mechanismen en beleidsmaatregelen voor het afhandelen van alle ICT-gerelateerde incidenten en voor het melden van ernstige ICT-gerelateerde incidenten. Financiële entiteiten moeten ook beleid hebben voor het testen van ICT-systemen, -controles en -processen en voor het beheren van ICT-risico's van derden. Het basisniveau van digitale operationele veerkracht voor financiële entiteiten moet worden verhoogd, terwijl ook moet worden voorzien in een evenredige toepassing van de vereisten voor bepaalde financiële entiteiten, met name micro-ondernemingen, en financiële entiteiten die vallen onder een vereenvoudigd kader voor ICT-risicobeheer. Om een efficiënt toezicht op instellingen voor bedrijfspensioenvoorziening te vergemakkelijken dat evenredig is en tegemoetkomt aan de noodzaak om de administratieve lasten voor de bevoegde autoriteiten te verminderen, moeten de relevante nationale toezichtregelingen met betrekking tot dergelijke financiële entiteiten rekening houden met hun omvang en algehele risicoprofiel en met de aard, schaal en complexiteit van hun diensten, activiteiten en operaties, zelfs wanneer de relevante drempels die zijn vastgesteld in artikel 5 van Richtlijn (EU) 2016/2341 van het Europees Parlement en de Raad (10 ) worden overschreden. De toezichtactiviteiten moeten met name in de eerste plaats gericht zijn op de noodzaak om ernstige risico's in verband met het ICT-risicobeheer van een bepaalde entiteit aan te pakken.
De bevoegde autoriteiten moeten ook een waakzame maar evenredige aanpak hanteren met betrekking tot het toezicht op instellingen voor bedrijfspensioenvoorziening die, overeenkomstig artikel 31 van Richtlijn (EU) 2016/2341, een aanzienlijk deel van hun kernactiviteiten, zoals vermogensbeheer, actuariële berekeningen, boekhouding en gegevensbeheer, uitbesteden aan dienstverleners.
(22) De meldingsdrempels en taxonomieën voor ICT-gerelateerde incidenten verschillen aanzienlijk op nationaal niveau. Hoewel er een gemeenschappelijke basis kan worden bereikt via de relevante werkzaamheden van het Agentschap voor cyberbeveiliging van de Europese Unie (ENISA), opgericht bij Verordening (EU) 2019/881 van het Europees Parlement en de Raad (11 ), en de samenwerkingsgroep krachtens Richtlijn (EU) 2022/2555, bestaan er nog steeds uiteenlopende benaderingen voor het vaststellen van de drempels en het gebruik van taxonomieën, of kunnen deze ontstaan, voor de overige financiële entiteiten. Als gevolg van deze verschillen zijn er meerdere vereisten waaraan financiële entiteiten moeten voldoen, vooral wanneer ze in verschillende lidstaten actief zijn en wanneer ze deel uitmaken van een financiële groep. Bovendien kunnen dergelijke verschillen een belemmering vormen voor het opzetten van verdere uniforme of gecentraliseerde mechanismen van de Unie die het rapportageproces versnellen en een snelle en soepele uitwisseling van informatie tussen bevoegde autoriteiten ondersteunen, wat cruciaal is voor het aanpakken van ICT-risico's in het geval van grootschalige aanvallen met mogelijk systemische gevolgen.
(23) Om de administratieve lasten en de mogelijk dubbele rapportageverplichtingen voor bepaalde financiële entiteiten te verminderen, moet de verplichting tot het melden van incidenten krachtens Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad (12 ) niet langer gelden voor betalingsdienstaanbieders die onder het toepassingsgebied van deze verordening vallen. Bijgevolg moeten kredietinstellingen, instellingen voor elektronisch geld, betalingsinstellingen en aanbieders van rekeninginformatiediensten als bedoeld in artikel 33, lid 1, van die richtlijn vanaf de datum van toepassing van deze verordening alle operationele of veiligheidsgerelateerde betalingsgerelateerde incidenten die eerder overeenkomstig die richtlijn zijn gemeld, overeenkomstig deze verordening melden, ongeacht of deze incidenten ICT-gerelateerd zijn.
(24) Om de bevoegde autoriteiten in staat te stellen hun toezichthoudende taken uit te voeren door een volledig overzicht te krijgen van de aard, frequentie, omvang en gevolgen van ICT-gerelateerde incidenten en om de uitwisseling van informatie tussen de betrokken overheidsinstanties, met inbegrip van rechtshandhavingsinstanties en afwikkelingsautoriteiten, te verbeteren, moet deze verordening een robuuste regeling voor het melden van ICT-gerelateerde incidenten vaststellen waarbij de desbetreffende voorschriften de huidige lacunes in de wetgeving inzake financiële diensten opvullen en bestaande overlappingen en doublures wegwerken om de kosten te beperken. Het is van essentieel belang dat de regeling voor het melden van ICT-gerelateerde incidenten wordt geharmoniseerd door alle financiële entiteiten te verplichten aan hun bevoegde autoriteiten te melden via één gestroomlijnd kader zoals uiteengezet in deze verordening. Daarnaast moeten de ETA's de bevoegdheid krijgen om relevante elementen voor het meldingskader voor ICT-gerelateerde incidenten nader te specificeren, zoals taxonomie, tijdschema's, gegevensverzamelingen, sjablonen en toepasselijke drempels. Om volledige consistentie met Richtlijn (EU) 2022/2555 te verzekeren, moet het financiële entiteiten worden toegestaan om op vrijwillige basis significante cyberdreigingen te melden aan de relevante bevoegde autoriteit, wanneer zij van mening zijn dat de cyberdreigingCyberdreiging elke potentiële omstandigheid, gebeurtenis of actie die netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere personen kan beschadigen, verstoren of anderszins nadelig kan beïnvloeden - definitie overeenkomstig artikel 2, punt 8, van Verordening (EU) 2019/881 van belang is voor het financiële systeem, dienstgebruikers of klanten.
(25) In bepaalde financiële subsectoren zijn eisen voor het testen van de digitale operationele veerkracht ontwikkeld, waarbij kaders zijn vastgesteld die niet altijd volledig op elkaar zijn afgestemd. Dit leidt tot een potentiële verdubbeling van de kosten voor grensoverschrijdende financiële entiteiten en maakt de wederzijdse erkenning van de resultaten van digitale tests van de operationele veerkracht complex, wat op zijn beurt de interne markt kan versnipperen.
(26) Wanneer ICT-tests niet vereist zijn, blijven kwetsbaarheden bovendien onopgemerkt, waardoor een financiële entiteit wordt blootgesteld aan ICT-risico's en uiteindelijk een hoger risico ontstaat voor de stabiliteit en integriteit van de financiële sector. Zonder tussenkomst van de Unie zou het testen van de digitale operationele veerkracht inconsistent blijven en zou een systeem van wederzijdse erkenning van ICT-testresultaten in verschillende rechtsgebieden ontbreken. Aangezien het bovendien onwaarschijnlijk is dat andere financiële subsectoren testregelingen op een betekenisvolle schaal zouden invoeren, zouden zij de potentiële voordelen van een testkader mislopen, in de zin van het aan het licht brengen van ICT-kwetsbaarheden en -risico's en het testen van verdedigingscapaciteiten en bedrijfscontinuïteit, wat bijdraagt aan het vergroten van het vertrouwen van klanten, leveranciers en zakenpartners. Om deze overlappingen, verschillen en lacunes te verhelpen, moeten regels voor een gecoördineerde testregeling worden vastgesteld en moet daardoor de wederzijdse erkenning van geavanceerde tests voor financiële entiteiten die aan de criteria van deze verordening voldoen, worden vergemakkelijkt.
(27) De afhankelijkheid van financiële entiteiten van het gebruik van ICT-diensten wordt deels ingegeven door hun behoefte om zich aan te passen aan een opkomende concurrerende digitale wereldeconomie, om hun bedrijfsefficiëntie te verhogen en om tegemoet te komen aan de vraag van de consument. De aard en de omvang van deze afhankelijkheid is de afgelopen jaren voortdurend geëvolueerd en heeft geleid tot kostenverlaging bij financiële bemiddeling, bedrijfsuitbreiding en schaalbaarheid bij de ontplooiing van financiële activiteiten, terwijl een breed scala aan ICT-instrumenten wordt aangeboden om complexe interne processen te beheren.
(28) Het uitgebreide gebruik van ICT-diensten blijkt uit complexe contractuele regelingen, waarbij financiële entiteiten vaak moeilijkheden ondervinden bij het onderhandelen over contractvoorwaarden die zijn afgestemd op de prudentiële normen of andere regelgevingsvereisten waaraan zij onderworpen zijn, of anderszins bij het afdwingen van specifieke rechten, zoals toegangs- of auditrechten, zelfs wanneer deze in hun contractuele regelingen zijn vastgelegd. Bovendien voorzien veel van deze contractuele regelingen niet in voldoende waarborgen voor een volwaardig toezicht op de uitbestedingsprocessen, waardoor de financiële entiteit niet in staat is om de bijbehorende risico's te beoordelen. Bovendien leveren externe ICT-dienstverleners vaak gestandaardiseerde diensten aan verschillende soorten klanten, waardoor dergelijke contractuele regelingen niet altijd adequaat inspelen op de individuele of specifieke behoeften van actoren uit de financiële sector.
(29) Hoewel de wetgeving van de Unie inzake financiële diensten bepaalde algemene regels inzake uitbesteding bevat, is het toezicht op de contractuele dimensie niet volledig verankerd in de wetgeving van de Unie. Bij gebrek aan duidelijke en op maat gemaakte Unienormen die van toepassing zijn op de contractuele regelingen die met externe ICT-dienstverleners worden gesloten, wordt de externe bron van ICT-risico's niet uitgebreid aangepakt. Bijgevolg moeten bepaalde basisbeginselen worden vastgesteld als richtsnoer voor het beheer van ICT-risico's van derden door financiële entiteiten, die van bijzonder belang zijn wanneer financiële entiteiten een beroep doen op externe ICT-dienstverleners ter ondersteuning van hun kritieke of belangrijke functies. Deze beginselen moeten vergezeld gaan van een reeks contractuele kernrechten met betrekking tot verschillende elementen in de uitvoering en beëindiging van contractuele regelingen, teneinde bepaalde minimumwaarborgen te bieden om financiële entiteiten beter in staat te stellen effectief toezicht te houden op alle ICT-risico's die zich voordoen op het niveau van externe dienstverleners. Deze beginselen vormen een aanvulling op de sectorale wetgeving die van toepassing is op uitbesteding.
(30) Vandaag de dag is er een zeker gebrek aan homogeniteit en convergentie met betrekking tot het toezicht op ICT-risico's van derden en ICT-afhankelijkheden van derden. Ondanks inspanningen om uitbesteding aan te pakken, zoals de EBA-richtsnoeren inzake uitbesteding van 2019 en de ESMA-richtsnoeren inzake uitbesteding aan aanbieders van clouddiensten van 2021, wordt de bredere kwestie van het tegengaan van systeemrisico's die kunnen worden veroorzaakt door de blootstelling van de financiële sector aan een beperkt aantal kritieke aanbieders van ICT-diensten van derden onvoldoende aangepakt in de wetgeving van de Unie. Het gebrek aan regels op het niveau van de Unie wordt nog verergerd door het ontbreken van nationale regels inzake mandaten en instrumenten die financiële toezichthouders in staat stellen een goed inzicht te krijgen in de afhankelijkheid van derde ICT-leveranciers en de risico's die voortvloeien uit de concentratie van afhankelijkheid van derde ICT-leveranciers adequaat te monitoren.
(31) Rekening houdend met het potentiële systeemrisico dat voortvloeit uit toenemende uitbestedingspraktijken en uit de concentratie van ICT-diensten voor derden, en indachtig het feit dat de nationale mechanismen ontoereikend zijn om financiële toezichthouders adequate instrumenten te verschaffen om de gevolgen van ICT-risico's bij kritieke ICT-dienstverleners te kwantificeren, te kwalificeren en te corrigeren, is het noodzakelijk een passend toezichtkader vast te stellen dat een permanente monitoring mogelijk maakt van de activiteiten van ICT-dienstverleners die kritieke ICT-dienstverleners voor financiële entiteiten zijn, waarbij ervoor moet worden gezorgd dat de vertrouwelijkheid en veiligheid van andere klanten dan financiële entiteiten wordt gewaarborgd. Hoewel de verlening van ICT-diensten binnen een groep specifieke risico's en voordelen met zich meebrengt, mag deze niet automatisch als minder risicovol worden beschouwd dan de verlening van ICT-diensten door dienstverleners buiten een financiële groep en moet deze daarom aan hetzelfde regelgevingskader worden onderworpen. Wanneer ICT-diensten echter vanuit dezelfde financiële groep worden verleend, kunnen financiële entiteiten een grotere mate van controle hebben over de verleners van ICT-diensten binnen de groep, waarmee rekening moet worden gehouden in de algemene risicobeoordeling.
(32) Nu ICT-risico's steeds complexer en geavanceerder worden, hangen goede maatregelen voor de detectie en preventie van ICT-risico's in grote mate af van de regelmatige uitwisseling van informatie over bedreigingen en kwetsbaarheden tussen financiële entiteiten. Het delen van informatie draagt bij tot een groter bewustzijn van cyberdreigingen. Dit vergroot op zijn beurt de capaciteit van financiële entiteiten om te voorkomen dat cyberdreigingen uitgroeien tot echte ICT-gerelateerde incidenten en stelt financiële entiteiten in staat om de impact van ICT-gerelateerde incidenten effectiever in te dammen en sneller te herstellen. Bij gebrek aan richtsnoeren op het niveau van de Unie lijken verschillende factoren een dergelijke uitwisseling van inlichtingen te hebben belemmerd, met name onzekerheid over de verenigbaarheid ervan met gegevensbescherming, antitrust- en aansprakelijkheidsregels.
(33) Bovendien leiden twijfels over het soort informatie dat kan worden gedeeld met andere marktdeelnemers of met niet-toezichthoudende autoriteiten (zoals ENISA, voor analytische input, of Europol, voor rechtshandhavingsdoeleinden) ertoe dat nuttige informatie wordt achtergehouden. Daarom blijft de omvang en de kwaliteit van de informatie-uitwisseling momenteel beperkt en gefragmenteerd, waarbij relevante uitwisselingen meestal lokaal zijn (door middel van nationale initiatieven) en er geen consistente Uniebrede regelingen voor informatie-uitwisseling zijn die zijn toegesneden op de behoeften van een geïntegreerd financieel systeem. Het is daarom belangrijk om deze communicatiekanalen te versterken.
(34) Financiële entiteiten dienen te worden aangemoedigd om onderling informatie en inlichtingen over cyberdreigingen uit te wisselen en om hun individuele kennis en praktische ervaring op strategisch, tactisch en operationeel niveau collectief te benutten om hun capaciteit om cyberdreigingen adequaat te beoordelen, te bewaken, zich ertegen te verdedigen en erop te reageren, te vergroten door deel te nemen aan regelingen voor het delen van informatie. Het is daarom noodzakelijk om op het niveau van de Unie mechanismen voor vrijwillige informatie-uitwisselingsregelingen te ontwikkelen die, wanneer zij in een vertrouwde omgeving worden uitgevoerd, de gemeenschap van de financiële sector zouden helpen cyberdreigingen te voorkomen en er collectief op te reageren door de verspreiding van ICT-risico's snel te beperken en potentiële besmetting via de financiële kanalen te verhinderen. Deze mechanismen moeten voldoen aan de toepasselijke regels van het mededingingsrecht van de Unie zoals uiteengezet in de mededeling van de Commissie van 14 januari 2011 met als titel "Richtsnoeren inzake de toepasselijkheid van artikel 101 van het Verdrag betreffende de werking van de Europese Unie op horizontale samenwerkingsovereenkomsten", alsook aan de regels van de Unie inzake gegevensbescherming, met name Verordening (EU) 2016/679 van het Europees Parlement en de Raad (13). Zij moeten functioneren op basis van het gebruik van een of meer van de rechtsgrondslagen die zijn vastgelegd in artikel 6 van die verordening, zoals in de context van de verwerking van persoonsgegevens die noodzakelijk is voor de behartiging van het gerechtvaardigde belang dat wordt nagestreefd door de voor de verwerking verantwoordelijke of door een derde, zoals bedoeld in artikel 6, lid 1, onder f), van die verordening, alsmede in het kader van de verwerking van persoonsgegevens die noodzakelijk is om een wettelijke verplichting na te komen waaraan de voor de verwerking verantwoordelijke onderworpen is, of die noodzakelijk is voor de vervulling van een taak van algemeen belang of die deel uitmaakt van de uitoefening van het openbaar gezag die aan de voor de verwerking verantwoordelijke is opgedragen, zoals bedoeld in artikel 6, lid 1, respectievelijk onder c) en e), van die verordening.
(35) Om een hoog niveau van digitale operationele veerkracht voor de hele financiële sector in stand te houden en tegelijkertijd gelijke tred te houden met de technologische ontwikkelingen, moet deze verordening betrekking hebben op risico's die voortvloeien uit alle soorten ICT-diensten. Daartoe moet de definitie van ICT-diensten in de context van deze verordening ruim worden opgevat en digitale en datadiensten omvatten die doorlopend via ICT-systemen aan een of meer interne of externe gebruikers worden geleverd. Deze definitie moet bijvoorbeeld de zogenaamde "over the top"-diensten omvatten, die binnen de categorie van elektronischecommunicatiediensten vallen. Alleen de beperkte categorie van traditionele analoge telefoondiensten, zoals PSTN-diensten (Public Switched Telephone Network), vaste telefoondiensten, Plain Old Telephone Service (POTS) of vaste telefoondiensten, moet worden uitgesloten.
(36) Niettegenstaande het brede toepassingsgebied dat met deze verordening wordt beoogd, moet bij de toepassing van de regels inzake digitale operationele veerkracht rekening worden gehouden met de aanzienlijke verschillen tussen financiële entiteiten wat betreft hun omvang en algehele risicoprofiel. Als algemeen beginsel geldt dat financiële entiteiten bij de verdeling van middelen en capaciteiten voor de tenuitvoerlegging van het ICT-risicobeheerkader hun ICT-gerelateerde behoeften naar behoren moeten afwegen tegen hun omvang en algehele risicoprofiel en de aard, schaal en complexiteit van hun diensten, activiteiten en operaties, terwijl de bevoegde autoriteiten de aanpak van een dergelijke verdeling moeten blijven beoordelen en herzien.
(37) Aanbieders van rekeninginformatiediensten als bedoeld in artikel 33, lid 1, van Richtlijn (EU) 2015/2366 vallen uitdrukkelijk onder het toepassingsgebied van deze verordening, rekening houdend met de specifieke aard van hun activiteiten en de risico's die daaruit voortvloeien. Daarnaast vallen instellingen voor elektronisch geld en betalingsinstellingen die op grond van artikel 9, lid 1, van Richtlijn 2009/110/EG van het Europees Parlement en de Raad (14 ) en artikel 32, lid 1, van Richtlijn (EU) 2015/2366 zijn vrijgesteld, onder het toepassingsgebied van deze verordening, ook al hebben zij geen vergunning overeenkomstig Richtlijn 2009/110/EG om elektronisch geld uit te geven of geen vergunning overeenkomstig Richtlijn (EU) 2015/2366 om betalingsdiensten aan te bieden en uit te voeren. Postcheque- en girodiensten als bedoeld in artikel 2, lid 5, punt 3, van Richtlijn 2013/36/EU van het Europees Parlement en de Raad (15 ) vallen echter buiten het toepassingsgebied van deze verordening. De bevoegde autoriteit voor betalingsinstellingen die zijn vrijgesteld krachtens Richtlijn (EU) 2015/2366, instellingen voor elektronisch geld die zijn vrijgesteld krachtens Richtlijn 2009/110/EG en aanbieders van rekeninginformatiediensten als bedoeld in artikel 33, lid 1, van Richtlijn (EU) 2015/2366, dient de bevoegde autoriteit te zijn die is aangewezen overeenkomstig artikel 22 van Richtlijn (EU) 2015/2366.
(38) Aangezien grotere financiële entiteiten over ruimere middelen kunnen beschikken en snel middelen kunnen inzetten om governancestructuren te ontwikkelen en verschillende bedrijfsstrategieën op te zetten, dienen alleen financiële entiteiten die geen micro-ondernemingen in de zin van deze verordening zijn, verplicht te worden complexere governanceregelingen vast te stellen. Dergelijke entiteiten zijn met name beter toegerust om specifieke managementfuncties op te zetten voor het toezicht op overeenkomsten met externe ICT-dienstverleners of voor het omgaan met crisisbeheer, om hun ICT-risicobeheer te organiseren volgens het three lines of defence-model, of om een intern risicobeheer- en controlemodel op te zetten, en om hun ICT-risicobeheerkader aan interne audits te onderwerpen.
(39) Sommige financiële entiteiten genieten vrijstellingen of zijn onderworpen aan een zeer licht regelgevingskader uit hoofde van de relevante sectorspecifieke wetgeving van de Unie. Dergelijke financiële entiteiten zijn onder meer beheerders van alternatieve beleggingsfondsen als bedoeld in artikel 3, lid 2, van Richtlijn 2011/61/EU van het Europees Parlement en de Raad (16), verzekerings- en herverzekeringsondernemingen als bedoeld in artikel 4 van Richtlijn 2009/138/EG van het Europees Parlement en de Raad (17), en instellingen voor bedrijfspensioenvoorziening die pensioenregelingen uitvoeren die samen in totaal niet meer dan 15 deelnemers tellen. In het licht van deze vrijstellingen zou het niet evenredig zijn dergelijke financiële entiteiten in het toepassingsgebied van deze verordening op te nemen. Bovendien wordt in deze verordening rekening gehouden met de specifieke kenmerken van de marktstructuur voor verzekeringsbemiddeling, zodat verzekeringstussenpersonen, herverzekeringstussenpersonen en nevenverzekeringstussenpersonen die als micro-onderneming of als kleine of middelgrote onderneming worden aangemerkt, niet onder deze verordening dienen te vallen.
(40) Aangezien de in artikel 2, lid 5, punten 4 tot en met 23, van Richtlijn 2013/36/EU bedoelde entiteiten van het toepassingsgebied van die richtlijn zijn uitgesloten, moeten de lidstaten ervoor kunnen kiezen om dergelijke op hun respectieve grondgebied gevestigde entiteiten vrij te stellen van de toepassing van deze verordening.
(41) Om deze verordening in overeenstemming te brengen met het toepassingsgebied van Richtlijn 2014/65/EU van het Europees Parlement en de Raad (18 ), is het eveneens aangewezen de in de artikelen 2 en 3 van die richtlijn bedoelde natuurlijke en rechtspersonen die beleggingsdiensten mogen verrichten zonder een vergunning krachtens Richtlijn 2014/65/EU te hoeven verkrijgen, van het toepassingsgebied van deze verordening uit te sluiten. Artikel 2 van Richtlijn 2014/65/EU sluit echter ook entiteiten van het toepassingsgebied van die richtlijn uit die voor de toepassing van deze verordening als financiële entiteiten kunnen worden aangemerkt, zoals centrale effectenbewaarinstellingen, instellingen voor collectieve belegging of verzekerings- en herverzekeringsondernemingen. De uitsluiting van het toepassingsgebied van deze verordening van de in de artikelen 2 en 3 van die richtlijn bedoelde personen en entiteiten mag deze centrale effectenbewaarinstellingen, instellingen voor collectieve belegging of verzekerings- en herverzekeringsondernemingen niet omvatten.
(42) Krachtens sectorspecifiek Unierecht gelden voor sommige financiële entiteiten lichtere eisen of vrijstellingen in verband met hun omvang of de diensten die zij verlenen. Tot die categorie financiële entiteiten behoren kleine en niet-verbonden beleggingsondernemingen, kleine instellingen voor bedrijfspensioenvoorziening die onder de door de betrokken lidstaat in artikel 5 van die richtlijn vastgestelde voorwaarden van het toepassingsgebied van Richtlijn (EU) 2016/2341 kunnen worden uitgesloten en pensioenregelingen uitvoeren die tezamen in totaal niet meer dan 100 deelnemers tellen, alsook instellingen die op grond van Richtlijn 2013/36/EU zijn vrijgesteld. Daarom is het, overeenkomstig het evenredigheidsbeginsel en om de geest van sectorspecifieke wetgeving van de Unie te behouden, ook passend om deze financiële entiteiten krachtens deze verordening aan een vereenvoudigd ICT-risicobeheerkader te onderwerpen. Het evenredige karakter van het ICT-risicobeheerkader dat op deze financiële entiteiten van toepassing is, mag niet worden gewijzigd door de technische reguleringsnormen die door de ETA's moeten worden ontwikkeld. Bovendien is het, in overeenstemming met het evenredigheidsbeginsel, passend ook betalingsinstellingen als bedoeld in artikel 32, lid 1, van Richtlijn (EU) 2015/2366 en instellingen voor elektronisch geld als bedoeld in artikel 9 van Richtlijn 2009/110/EG die zijn vrijgesteld overeenkomstig de nationale wetgeving tot omzetting van deze rechtshandelingen van de Unie, te onderwerpen aan een vereenvoudigd ICT-risicobeheerskader uit hoofde van deze verordening, terwijl betalingsinstellingen en instellingen voor elektronisch geld die niet zijn vrijgesteld overeenkomstig hun respectieve nationale wetgeving tot omzetting van sectorale wetgeving van de Unie, moeten voldoen aan het algemene kader dat bij deze verordening is vastgesteld.
(43) Evenzo mag van financiële entiteiten die als micro-onderneming kunnen worden aangemerkt of waarop het vereenvoudigde kader voor ICT-risicobeheer krachtens deze verordening van toepassing is, niet worden verlangd dat zij een rol instellen om toezicht te houden op hun overeenkomsten met derde ICT-dienstverleners inzake het gebruik van ICT-diensten; of dat zij een lid van de hoogste leiding aanwijzen dat verantwoordelijk is voor het toezicht op de desbetreffende risicopositie en de desbetreffende documentatie; de verantwoordelijkheid voor het beheer van en het toezicht op ICT-risico's toe te wijzen aan een controlefunctie en te zorgen voor een passend niveau van onafhankelijkheid van een dergelijke controlefunctie om belangenconflicten te voorkomen; het kader voor ICT-risicobeheer ten minste eenmaal per jaar te documenteren en te evalueren; het kader voor ICT-risicobeheer regelmatig aan een interne audit te onderwerpen; grondige evaluaties uit te voeren na belangrijke wijzigingen in hun ICT-risicobeheerskader; het kader voor ICT-risicobeheer regelmatig aan een interne audit te onderwerpen. netwerk- en informatiesysteemNetwerk en informatiesysteem (a) een elektronische-communicatienetwerk als omschreven in artikel 2, punt 1, van Richtlijn (EU) 2018/1972; b) een apparaat of groep van onderling verbonden of verwante apparaten, waarvan een of meer, overeenkomstig een programma, digitale gegevens automatisch verwerkt of c) digitale gegevens die zijn opgeslagen, verwerkt, opgehaald of verzonden door elementen die onder a) en b) vallen, met het oog op de werking, het gebruik, de bescherming en het onderhoud ervan; - een elektronische-communicatienetwerk als omschreven in artikel 2, punt 1, van Richtlijn (EU) 2018/1972. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) infrastructuur en processen; regelmatig risicoanalyses uit te voeren op oudere ICT-systemen; de uitvoering van de ICT-respons- en herstelplannen te onderwerpen aan onafhankelijke interne audits; te beschikken over een crisismanagementfunctie, het testen van bedrijfscontinuïteits- en respons- en herstelplannen uit te breiden met omschakelingsscenario's tussen de primaire ICT-infrastructuur en redundante faciliteiten; op verzoek van de bevoegde autoriteiten een raming te verstrekken van de totale jaarlijkse kosten en verliezen ten gevolge van grote ICT-gerelateerde incidenten, redundante ICT-capaciteit in stand te houden; de nationale bevoegde autoriteiten in kennis te stellen van doorgevoerde wijzigingen naar aanleiding van beoordelingen na ICT-gerelateerde incidenten; voortdurend toezicht te houden op relevante technologische ontwikkelingen, een alomvattend programma voor het testen van de digitale operationele veerkracht op te zetten als integraal onderdeel van het kader voor ICT-risicobeheer waarin deze verordening voorziet, of een strategie inzake ICT-risico's van derden vast te stellen en regelmatig te herzien. Bovendien mag van micro-ondernemingen alleen worden verlangd dat zij de noodzaak van het in stand houden van dergelijke redundante ICT-capaciteit beoordelen op basis van hun risicoprofiel. Micro-ondernemingen moeten kunnen profiteren van een flexibelere regeling wat betreft programma's om de digitale operationele veerkracht te testen. Bij het afwegen van het soort en de frequentie van de uit te voeren tests moeten zij een goede afweging maken tussen de doelstelling van het handhaven van een hoge digitale operationele veerkracht, de beschikbare middelen en hun algehele risicoprofiel. Micro-ondernemingen en financiële entiteiten waarop het kader voor vereenvoudigd ICT-risicobeheer krachtens deze verordening van toepassing is, moeten worden vrijgesteld van de eis om geavanceerde tests van ICT-instrumenten, -systemen en -processen uit te voeren op basis van dreigingsgestuurde penetratietests (TLPT), aangezien alleen financiële entiteiten die aan de criteria in deze verordening voldoen, verplicht moeten worden dergelijke tests uit te voeren. In het licht van hun beperkte capaciteiten moeten micro-ondernemingen met de ICT-dienstverlener kunnen overeenkomen de rechten van de financiële entiteit op toegang, inspectie en audit te delegeren aan een onafhankelijke derde die door de ICT-dienstverlener wordt aangewezen, op voorwaarde dat de financiële entiteit te allen tijde alle relevante informatie en zekerheid over de prestaties van de ICT-dienstverlener kan opvragen bij de respectieve onafhankelijke derde.
(44) Aangezien alleen de financiële entiteiten die worden geïdentificeerd voor de doeleinden van de geavanceerde digitale weerbaarheidstest, verplicht moeten worden dreigingsgestuurde penetratietests uit te voeren, moeten de administratieve processen en financiële kosten die met het uitvoeren van dergelijke tests gepaard gaan, worden gedragen door een klein percentage van de financiële entiteiten.
(45) Om te zorgen voor volledige afstemming en algehele consistentie tussen de bedrijfsstrategieën van financiële entiteiten enerzijds en de uitvoering van ICT-risicobeheer anderzijds, moet van de leidinggevende organen van financiële entiteiten worden verlangd dat zij een centrale en actieve rol blijven spelen bij het sturen en aanpassen van het ICT-risicobeheerkader en de algehele digitale operationele veerkrachtstrategie. De aanpak van de beheersorganen moet niet alleen gericht zijn op de middelen om de veerkracht van de ICT-systemen te garanderen, maar moet ook betrekking hebben op mensen en processen door middel van een reeks beleidslijnen die op elke bedrijfslaag en voor alle medewerkers een sterk bewustzijn van cyberrisico's en een verbintenis tot strikte cyberhygiëne op alle niveaus cultiveren. De uiteindelijke verantwoordelijkheid van het bestuursorgaan voor het beheer van het ICT-risico van een financiële entiteit moet een overkoepelend principe zijn van die alomvattende aanpak, dat verder wordt vertaald in de voortdurende betrokkenheid van het bestuursorgaan bij de controle van het toezicht op het ICT-risicobeheer.
(46) Bovendien gaat het beginsel van de volledige en eindverantwoordelijkheid van het leidinggevend orgaan voor het beheer van het ICT-risico van de financiële entiteit hand in hand met de noodzaak om te zorgen voor een niveau van ICT-gerelateerde investeringen en een algemeen budget voor de financiële entiteit waarmee de financiële entiteit een hoog niveau van digitale operationele veerkracht kan bereiken.
(47) Geïnspireerd door relevante internationale, nationale en sectorale beste praktijken, richtsnoeren, aanbevelingen en benaderingen voor het beheer van cyberrisico's, bevordert deze verordening een reeks beginselen die de algemene structuur van ICT-risicobeheer vergemakkelijken. Bijgevolg moeten financiële entiteiten de vrijheid behouden om ICT-risicobeheermodellen te gebruiken die anders zijn ingekaderd of gecategoriseerd, zolang de belangrijkste capaciteiten die financiële entiteiten invoeren, gericht zijn op de verschillende functies in het ICT-risicobeheer (identificatie, bescherming en preventie, detectie, reactie en herstel, leren en evolueren en communicatie) die in deze verordening zijn vastgesteld.
(48) Om gelijke tred te houden met een zich ontwikkelend cyberdreigingslandschap moeten financiële entiteiten bijgewerkte ICT-systemen onderhouden die betrouwbaar en geschikt zijn, niet alleen om de verwerking van gegevens te garanderen die nodig zijn voor hun diensten, maar ook om te zorgen voor voldoende technologische veerkracht zodat ze adequaat kunnen omgaan met extra verwerkingsbehoeften als gevolg van gespannen marktomstandigheden of andere ongunstige situaties.
(49) Efficiënte bedrijfscontinuïteits- en herstelplannen zijn nodig om financiële entiteiten in staat te stellen ICT-gerelateerde incidenten, met name cyberaanvallen, snel en snel op te lossen door de schade te beperken en prioriteit te geven aan de hervatting van activiteiten en herstelmaatregelen in overeenstemming met hun back-upbeleid. Een dergelijke hervatting mag echter op geen enkele manier de integriteit en veiligheid van het netwerk en de informatiesystemen of de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van gegevens in gevaar brengen.
(50) Hoewel deze verordening financiële entiteiten toestaat hun doelstellingen inzake hersteltijd en herstelpunt op een flexibele manier te bepalen en dus dergelijke doelstellingen vast te stellen door ten volle rekening te houden met de aard en de kriticiteit van de relevante functies en eventuele specifieke bedrijfsbehoeften, moet de verordening hen niettemin verplichten een beoordeling uit te voeren van de potentiële algemene impact op de marktefficiëntie bij het bepalen van dergelijke doelstellingen.
(51) De verspreiders van cyberaanvallen zijn vaak uit op direct financieel gewin bij de bron, waardoor financiële entiteiten aan aanzienlijke gevolgen worden blootgesteld. Om te voorkomen dat ICT-systemen hun integriteit verliezen of onbeschikbaar worden, en zo inbreuken op gegevens en schade aan de fysieke ICT-infrastructuur te voorkomen, moet de rapportage van grote ICT-gerelateerde incidenten door financiële entiteiten aanzienlijk worden verbeterd en gestroomlijnd. De rapportage van ICT-gerelateerde incidenten moet worden geharmoniseerd door de invoering van een verplichting voor alle financiële entiteiten om rechtstreeks te rapporteren aan hun relevante bevoegde autoriteiten. Wanneer een financiële entiteit onder toezicht staat van meer dan één nationale bevoegde autoriteit, moeten de lidstaten één bevoegde autoriteit aanwijzen als geadresseerde van dergelijke rapportage. Kredietinstellingen die overeenkomstig artikel 6, lid 4, van Verordening (EU) nr. 1024/2013 van de Raad (19 ) als significant zijn geclassificeerd, moeten een dergelijke rapportage indienen bij de nationale bevoegde autoriteiten, die het verslag vervolgens aan de Europese Centrale Bank (ECB) moeten doorgeven.
(52) De rechtstreekse rapportage moet financiële toezichthouders in staat stellen onmiddellijk toegang te krijgen tot informatie over ernstige ICT-gerelateerde incidenten. Financiële toezichthouders moeten op hun beurt details van ernstige ICT-gerelateerde incidenten doorgeven aan niet-financiële overheidsinstanties (zoals bevoegde autoriteiten en één-loketten in het kader van Richtlijn (EU) 2022/2555, nationale gegevensbeschermingsautoriteiten en aan rechtshandhavingsautoriteiten voor ernstige ICT-gerelateerde incidenten van criminele aard) om deze autoriteiten meer bewust te maken van dergelijke incidenten en, in het geval van CSIRT's, om snelle bijstand aan financiële entiteiten te vergemakkelijken, voor zover van toepassing. De lidstaten moeten bovendien kunnen bepalen dat financiële entiteiten zelf dergelijke informatie aan overheidsinstanties buiten het gebied van de financiële diensten moeten verstrekken. Deze informatiestromen moeten financiële entiteiten in staat stellen snel te profiteren van alle relevante technische input, advies over oplossingen en de daaropvolgende follow-up van dergelijke autoriteiten. De informatie over grote ICT-gerelateerde incidenten moet wederzijds worden gekanaliseerd: financiële toezichthouders moeten alle nodige feedback of richtsnoeren aan de financiële entiteit verstrekken, terwijl de ETA's geanonimiseerde gegevens over cyberdreigingen en kwetsbaarheden met betrekking tot een incident moeten delen om een bredere collectieve verdediging te ondersteunen.
(53) Hoewel van alle financiële entiteiten moet worden verlangd dat zij incidenten melden, wordt niet verwacht dat deze eis op alle entiteiten op dezelfde wijze van invloed zal zijn. De relevante materialiteitsdrempels en rapportagetermijnen moeten namelijk naar behoren worden aangepast in het kader van gedelegeerde handelingen op basis van de technische reguleringsnormen die door de ETA's moeten worden ontwikkeld, zodat alleen ernstige ICT-gerelateerde incidenten worden bestreken. Bovendien moet bij de vaststelling van termijnen voor rapportageverplichtingen rekening worden gehouden met de specifieke kenmerken van financiële entiteiten.
(54) Deze verordening moet kredietinstellingen, betalingsinstellingen, aanbieders van rekeninginformatiediensten en instellingen voor elektronisch geld ertoe verplichten alle operationele of veiligheidsgerelateerde betalingsgerelateerde incidenten - die voorheen op grond van Richtlijn (EU) 2015/2366 werden gemeld - te melden, ongeacht de ICT-karakter van het incident.
(55) De ETA's moeten worden belast met het beoordelen van de haalbaarheid van en de voorwaarden voor een mogelijke centralisatie van ICT-gerelateerde incidentmeldingen op het niveau van de Unie. Een dergelijke centralisatie zou kunnen bestaan uit één EU-hub voor meldingen van ernstige ICT-gerelateerde incidenten die ofwel rechtstreeks relevante meldingen ontvangt en de nationale bevoegde instanties automatisch in kennis stelt, ofwel slechts de door de nationale bevoegde instanties doorgestuurde relevante meldingen centraliseert en zo een coördinerende rol vervult. De ETA's moeten worden belast met het opstellen, in overleg met de ECB en ENISA, van een gezamenlijk verslag waarin de haalbaarheid van het opzetten van één EU-hub wordt onderzocht.
(56) Om een hoog niveau van digitale operationele veerkracht te bereiken, en in overeenstemming met zowel de relevante internationale normen (bijv. de Fundamental Elements for Threat-Led Penetration Testing van de G7) als de kaders die in de Unie worden toegepast, zoals TIBER-EU, dienen financiële entiteiten regelmatig hun ICT-systemen en personeel met ICT-gerelateerde verantwoordelijkheden te testen op de effectiviteit van hun preventie-, detectie-, respons- en herstelcapaciteit, om potentiële ICT-kwetsbaarheden aan het licht te brengen en aan te pakken. Om rekening te houden met de verschillen tussen en binnen de verschillende financiële subsectoren wat betreft de mate waarin financiële entiteiten voorbereid zijn op cyberbeveiliging, moeten de tests een breed scala aan instrumenten en acties omvatten, variërend van de beoordeling van basisvereisten (bijvoorbeeld kwetsbaarheidsbeoordelingen en scans, openbronanalyses, netwerkbeveiligingsbeoordelingen, gap-analyses, fysieke beveiligingsbeoordelingen, vragenlijsten en het scannen van softwareoplossingen, broncodebeoordelingen indien mogelijk, tests op basis van scenario's, compatibiliteitstests, prestatietests of end-to-end tests) tot meer geavanceerde tests door middel van TLPT. Dergelijke geavanceerde tests mogen alleen worden vereist van financiële entiteiten die vanuit ICT-perspectief volwassen genoeg zijn om ze redelijkerwijs uit te voeren. Het testen van de digitale operationele veerkracht dat door deze verordening wordt vereist, moet dus veeleisender zijn voor financiële entiteiten die voldoen aan de criteria die in deze verordening zijn vastgelegd (bijvoorbeeld grote, systeemrelevante en ICT-volwassen kredietinstellingen, effectenbeurzen, centrale effectenbewaarinstellingen en centrale tegenpartijen) dan voor andere financiële entiteiten. Tegelijkertijd moet het testen van de digitale operationele veerkracht door middel van TLPT relevanter zijn voor financiële entiteiten die actief zijn in de kernsubsectoren van financiële diensten en een systeemkritische rol spelen (bijvoorbeeld betalingen, bankieren en clearing en afwikkeling), en minder relevant voor andere subsectoren (bijvoorbeeld vermogensbeheerders en ratingbureaus).
(57) Financiële entiteiten die betrokken zijn bij grensoverschrijdende activiteiten en gebruikmaken van de vrijheid van vestiging of van dienstverlening binnen de Unie, moeten voldoen aan één pakket geavanceerde testvereisten (d.w.z. TLPT) in hun lidstaat van herkomst, dat de ICT-infrastructuren moet omvatten in alle rechtsgebieden waar de grensoverschrijdende financiële groep binnen de Unie actief is, zodat dergelijke grensoverschrijdende financiële groepen de gerelateerde ICT-testkosten slechts in één rechtsgebied hoeven te maken.
(58) Om gebruik te maken van de deskundigheid die bepaalde bevoegde autoriteiten reeds hebben verworven, met name wat de tenuitvoerlegging van het EU-TIBER-kader betreft, moet deze verordening de lidstaten de mogelijkheid bieden één enkele overheidsinstantie aan te wijzen die op nationaal niveau in de financiële sector verantwoordelijk is voor alle TLPT-aangelegenheden, of bevoegde autoriteiten die, bij ontstentenis van een dergelijke aanwijzing, de uitoefening van met TLPT verband houdende taken kunnen delegeren aan een andere nationale financiële bevoegde autoriteit.
(59) Aangezien deze verordening financiële entiteiten niet verplicht om alle kritieke of belangrijke functies in één enkele dreigingsgestuurde penetratietest te bestrijken, moeten financiële entiteiten vrij kunnen bepalen welke en hoeveel kritieke of belangrijke functies in het bereik van een dergelijke test moeten worden opgenomen.
(60) Gepoolde tests in de zin van deze verordening - waarbij verschillende financiële entiteiten deelnemen aan een TLPT en waarvoor een ICT-dienstverlener rechtstreeks contractuele regelingen kan treffen met een externe tester - mogen alleen worden toegestaan als redelijkerwijs kan worden verwacht dat de kwaliteit of de beveiliging van de diensten die de ICT-dienstverlener levert aan klanten die entiteiten zijn die buiten het toepassingsgebied van deze verordening vallen, of de vertrouwelijkheid van de gegevens in verband met die diensten, nadelig worden beïnvloed. Gepoolde tests moeten ook onderworpen zijn aan waarborgen (regie door één aangewezen financiële entiteit, kalibratie van het aantal deelnemende financiële entiteiten) om te zorgen voor een strenge testoefening voor de betrokken financiële entiteiten die voldoen aan de doelstellingen van de TLPT ingevolge deze verordening.
(61) Om te profiteren van de interne middelen die op ondernemingsniveau beschikbaar zijn, moet deze verordening het gebruik van interne testers voor het uitvoeren van TLPT toestaan, mits er sprake is van goedkeuring door de toezichthouder, er geen sprake is van belangenconflicten en het gebruik van interne en externe testers elkaar periodiek afwisselt (om de drie tests). De verantwoordelijkheid voor het uitvoeren van TLPT moet volledig bij de financiële entiteit blijven liggen. Attesten die door autoriteiten worden afgegeven, dienen uitsluitend te zijn bedoeld voor wederzijdse erkenning en mogen niet uitsluiten dat vervolgacties worden ondernomen die nodig zijn om het ICT-risico waaraan de financiële entiteit is blootgesteld aan te pakken, noch mogen ze worden gezien als een goedkeuring door de toezichthouder van de capaciteiten van een financiële entiteit op het gebied van ICT-risicobeheer en risicobeperking.
(62) Om te zorgen voor een deugdelijk toezicht op ICT-risico's van derden in de financiële sector, moet een reeks op beginselen gebaseerde regels worden vastgesteld die als leidraad dienen voor financiële entiteiten bij het toezicht op risico's die ontstaan in het kader van functies die zijn uitbesteed aan externe ICT-dienstverleners, met name voor ICT-diensten die kritieke of belangrijke functies ondersteunen, alsook meer in het algemeen in het kader van alle ICT-afhankelijkheden van derden.
(63) Om de complexiteit van de verschillende bronnen van ICT-risico aan te pakken en tegelijkertijd rekening te houden met de veelheid en diversiteit van aanbieders van technologische oplossingen die een soepele verlening van financiële diensten mogelijk maken, moet deze verordening betrekking hebben op een breed scala van externe ICT-dienstverleners, waaronder aanbieders van cloud computing-diensten, software, data-analysediensten en aanbieders van datacenterdiensten. Evenzo moet, aangezien financiële entiteiten alle soorten risico's op doeltreffende en samenhangende wijze moeten identificeren en beheren, ook in de context van ICT-diensten die binnen een financiële groep worden ingekocht, worden verduidelijkt dat ondernemingen die deel uitmaken van een financiële groep en ICT-diensten hoofdzakelijk verlenen aan hun moederonderneming of aan dochterondernemingen of filialen van hun moederonderneming, alsook financiële entiteiten die ICT-diensten verlenen aan andere financiële entiteiten, ook moeten worden beschouwd als externe ICT-dienstverleners in het kader van deze verordening. Ten slotte moeten deelnemers aan het ecosysteem van betalingsdiensten die betalingsverwerkingsactiviteiten verrichten of betalingsinfrastructuren exploiteren, in het licht van de zich ontwikkelende markt voor betalingsdiensten die steeds afhankelijker wordt van complexe technische oplossingen, ook als derde ICT-dienstverleners in de zin van deze verordening worden aangemerkt, met uitzondering van centrale banken wanneer zij betalings- of effectenafwikkelingssystemen exploiteren, en overheidsinstanties wanneer zij ICT-gerelateerde diensten verlenen in het kader van de vervulling van overheidstaken.
(64) Een financiële entiteit moet te allen tijde volledig verantwoordelijk blijven voor de naleving van haar in deze verordening vastgelegde verplichtingen. Financiële entiteiten moeten een evenredige benadering toepassen op het toezicht op risico's die zich voordoen op het niveau van de externe ICT-dienstverleners, door naar behoren rekening te houden met de aard, de schaal, de complexiteit en het belang van hun ICT-gerelateerde afhankelijkheden, het kritieke karakter of het belang van de diensten, processen of functies die onder de contractuele regelingen vallen en, uiteindelijk, op basis van een zorgvuldige beoordeling van de mogelijke gevolgen voor de continuïteit en de kwaliteit van de financiële diensten op individueel en groepsniveau, al naargelang het geval.
(65) Bij de uitoefening van dit toezicht moet een strategische benadering van het ICT-risico voor derden worden gevolgd, die formeel gestalte krijgt door de vaststelling door het leidinggevend orgaan van de financiële entiteit van een specifieke ICT-risicostrategie voor derden, die is gebaseerd op een voortdurende screening van alle ICT-afhankelijkheden van derden. Om het toezicht beter bewust te maken van de afhankelijkheid van derden op ICT-gebied en om de werkzaamheden in het kader van het bij deze verordening ingestelde toezichtkader verder te ondersteunen, moet van alle financiële entiteiten worden verlangd dat zij een informatieregister bijhouden met alle contractuele afspraken over het gebruik van ICT-diensten die door externe ICT-dienstverleners worden verleend. Financiële toezichthouders moeten het volledige register of specifieke delen ervan kunnen opvragen en zo essentiële informatie verkrijgen om een breder inzicht te krijgen in de ICT-afhankelijkheden van financiële entiteiten.
(66) Een grondige precontractuele analyse moet ten grondslag liggen aan en voorafgaan aan de formele sluiting van contractuele regelingen, met name door aandacht te besteden aan elementen zoals het kritieke karakter of het belang van de diensten die door het beoogde ICT-contract worden ondersteund, de vereiste goedkeuringen van toezichthouders of andere voorwaarden, het mogelijke concentratierisico dat ermee gepaard gaat, en door zorgvuldigheid te betrachten bij de selectie en beoordeling van externe ICT-dienstverleners en bij de beoordeling van mogelijke belangenconflicten. Voor contractuele regelingen met betrekking tot kritieke of belangrijke functies moeten financiële entiteiten rekening houden met het gebruik door externe ICT-dienstverleners van de meest actuele en hoogste informatiebeveiligingsnormen. De beëindiging van contractuele regelingen kan op zijn minst worden ingegeven door een reeks omstandigheden die wijzen op tekortkomingen op het niveau van de externe ICT-dienstverlener, in het bijzonder belangrijke inbreuken op wetten of contractuele voorwaarden, omstandigheden die wijzen op een mogelijke wijziging van de uitvoering van de functies waarin de contractuele regelingen voorzien, bewijs van zwakke punten van de externe ICT-dienstverlener in zijn algemene ICT-risicobeheer, of omstandigheden die wijzen op het onvermogen van de relevante bevoegde autoriteit om effectief toezicht te houden op de financiële entiteit.
(67) Om het systeemeffect van het concentratierisico bij ICT-diensten van derden aan te pakken, bevordert deze verordening een evenwichtige oplossing door middel van een flexibele en geleidelijke aanpak van dit concentratierisico, aangezien het opleggen van strikte bovengrenzen of strikte beperkingen de bedrijfsvoering zou kunnen belemmeren en de contractuele vrijheid zou kunnen beperken. Financiële entiteiten moeten hun beoogde contractuele regelingen grondig beoordelen om de waarschijnlijkheid van het ontstaan van een dergelijk risico vast te stellen, onder meer door middel van grondige analyses van onderaannemingsovereenkomsten, in het bijzonder wanneer deze worden gesloten met ICT-dienstverleners die in een derde land zijn gevestigd. In dit stadium en met het oog op een billijk evenwicht tussen de noodzaak om contractuele vrijheid te behouden en de noodzaak om financiële stabiliteit te garanderen, wordt het niet passend geacht om regels vast te stellen voor strikte plafonds en limieten voor uitbestedingen aan derden op het gebied van ICT. In de context van het toezichtskader moet een overeenkomstig deze verordening aangestelde leidende toezichthouder met betrekking tot kritieke externe ICT-dienstverleners bijzondere aandacht besteden aan het volledig doorgronden van de omvang van de onderlinge afhankelijkheden, specifieke gevallen ontdekken waarin een hoge mate van concentratie van kritieke externe ICT-dienstverleners in de Unie de stabiliteit en integriteit van het financiële stelsel van de Unie onder druk kan zetten en een dialoog onderhouden met kritieke externe ICT-dienstverleners wanneer dat specifieke risico wordt vastgesteld.
(68) Om op regelmatige basis het vermogen van een externe ICT-dienstverlener om veilig diensten te verlenen aan een financiële entiteit zonder nadelige gevolgen voor de digitale operationele veerkracht van een financiële entiteit te evalueren en te controleren, moeten verschillende belangrijke contractuele elementen met externe ICT-dienstverleners worden geharmoniseerd. Een dergelijke harmonisatie moet betrekking hebben op minimumgebieden die cruciaal zijn om een volledige controle door de financiële entiteit mogelijk te maken van de risico's die zouden kunnen voortvloeien uit de externe ICT-dienstverlener, vanuit het perspectief van de noodzaak van een financiële entiteit om haar digitale veerkracht te waarborgen omdat ze sterk afhankelijk is van de stabiliteit, functionaliteit, beschikbaarheid en beveiliging van de ontvangen ICT-diensten.
(69) Bij het heronderhandelen van contractuele regelingen om deze in overeenstemming te brengen met de eisen van deze verordening, moeten financiële entiteiten en externe ICT-dienstverleners ervoor zorgen dat de belangrijkste contractuele bepalingen van deze verordening worden gedekt.
(70) De definitie van "kritieke of belangrijke functie" in deze verordening omvat de "kritieke functies" als gedefinieerd in artikel 2, lid 1, punt 35, van Richtlijn 2014/59/EU van het Europees Parlement en de Raad (20). Functies die overeenkomstig Richtlijn 2014/59/EU als kritiek worden beschouwd, vallen derhalve onder de definitie van kritieke functies in de zin van deze verordening.
(71) Ongeacht het kritieke karakter of het belang van de functie die door de ICT-diensten wordt ondersteund, moeten contractuele regelingen met name voorzien in een specificatie van de volledige beschrijvingen van functies en diensten, van de locaties waar dergelijke functies worden verstrekt en waar gegevens worden verwerkt, alsmede in een indicatie van de beschrijvingen van het dienstverleningsniveau. Andere essentiële elementen om een financiële entiteit in staat te stellen toezicht te houden op het ICT-risico van derden zijn: contractuele bepalingen waarin wordt gespecificeerd hoe de toegankelijkheid, beschikbaarheid, integriteit, beveiliging en bescherming van persoonsgegevens worden gewaarborgd door de ICT-dienstverlener, bepalingen waarin de relevante garanties worden vastgelegd voor het mogelijk maken van toegang tot, herstel en teruggave van gegevens in geval van insolventie, afwikkeling of beëindiging van de bedrijfsactiviteiten van de ICT-dienstverlener, evenals bepalingen die de ICT-dienstverlener verplichten om bijstand te verlenen in geval van ICT-incidenten in verband met de verleende diensten, zonder extra kosten of tegen vooraf bepaalde kosten; bepalingen over de verplichting van de externe ICT-dienstverlener om volledig samen te werken met de bevoegde autoriteiten en afwikkelingsautoriteiten van de financiële entiteit; en bepalingen over beëindigingsrechten en gerelateerde minimale opzegtermijnen voor de beëindiging van de contractuele regelingen, in overeenstemming met de verwachtingen van bevoegde autoriteiten en afwikkelingsautoriteiten.
(72) Naast dergelijke contractuele bepalingen, en om ervoor te zorgen dat financiële entiteiten de volledige controle behouden over alle ontwikkelingen die zich voordoen op het niveau van derden en die hun ICT-beveiliging kunnen aantasten, dienen de contracten voor de levering van ICT-diensten ter ondersteuning van kritieke of belangrijke functies ook te voorzien in het volgende: de specificatie van de volledige beschrijvingen van het dienstverleningsniveau, met precieze kwantitatieve en kwalitatieve prestatiedoelen, om zonder onnodige vertraging passende corrigerende maatregelen mogelijk te maken wanneer de overeengekomen dienstverleningsniveaus niet worden gehaald; de relevante kennisgevingstermijnen en rapportageverplichtingen van de ICT-dienstverlener aan derden in geval van ontwikkelingen met een potentiële materiële impact op het vermogen van de ICT-dienstverlener aan derden om hun respectieve ICT-diensten effectief te verlenen; een vereiste voor de ICT-dienstverlener aan derden om bedrijfsnoodplannen uit te voeren en te testen en te beschikken over ICT-beveiligingsmaatregelen, -hulpmiddelen en -beleidslijnen die een veilige dienstverlening mogelijk maken, en om deel te nemen aan en volledig mee te werken aan de TLPT die door de financiële entiteit wordt uitgevoerd.
(73) Contracten voor de levering van ICT-diensten ter ondersteuning van kritieke of belangrijke functies moeten ook bepalingen bevatten die het recht op toegang, inspectie en audit door de financiële entiteit of een aangewezen derde partij mogelijk maken, alsook het recht om kopieën te maken als cruciale instrumenten in het doorlopende toezicht door de financiële entiteit op de prestaties van de ICT-dienstverlener, gekoppeld aan de volledige medewerking van de dienstverlener tijdens inspecties. Evenzo moet de bevoegde autoriteit van de financiële entiteit het recht hebben om, op basis van kennisgevingen, de externe ICT-dienstverlener te inspecteren en te controleren, met inachtneming van de bescherming van vertrouwelijke informatie.
(74) Dergelijke contractuele regelingen moeten ook voorzien in specifieke exitstrategieën om met name verplichte overgangsperioden mogelijk te maken tijdens welke derde ICT-dienstverleners de betrokken diensten moeten blijven leveren om het risico van verstoringen op het niveau van de financiële entiteit te beperken, of om de financiële entiteit effectief in staat te stellen over te schakelen op het gebruik van andere derde ICT-dienstverleners of, als alternatief, over te schakelen op interne oplossingen, in overeenstemming met de complexiteit van de geleverde diensten. ICT-dienstICT-dienst Een dienst die geheel of hoofdzakelijk bestaat uit het overbrengen, opslaan, opvragen of verwerken van informatie door middel van netwerken en informatiesystemen - Definitie overeenkomstig artikel 2, punt 13, van Verordening (EU) 2019/881.. Bovendien moeten financiële entiteiten die onder het toepassingsgebied van Richtlijn 2014/59/EU vallen, ervoor zorgen dat de relevante contracten voor ICT-diensten robuust en volledig afdwingbaar zijn in geval van afwikkeling van die financiële entiteiten. In overeenstemming met de verwachtingen van de afwikkelingsautoriteiten moeten die financiële entiteiten er daarom voor zorgen dat de relevante contracten voor ICT-diensten afwikkelingsbestendig zijn. Zolang zij aan hun betalingsverplichtingen blijven voldoen, moeten die financiële entiteiten er, naast andere vereisten, voor zorgen dat de relevante contracten voor ICT-diensten clausules bevatten voor niet-beëindiging, niet-opschorting en niet-wijziging om redenen van herstructurering of afwikkeling.
(75) Bovendien zou het vrijwillige gebruik van door overheidsinstanties of instellingen van de Unie ontwikkelde modelcontractbepalingen, met name het gebruik van door de Commissie ontwikkelde contractbepalingen voor cloud computing-diensten, de financiële entiteiten en externe ICT-dienstverleners meer comfort kunnen bieden door hun niveau van rechtszekerheid te verhogen met betrekking tot het gebruik van cloud computing-diensten in de financiële sector, in volledige overeenstemming met de eisen en verwachtingen die zijn vastgesteld in de Uniewetgeving inzake financiële diensten. De ontwikkeling van contractuele standaardclausules bouwt voort op maatregelen die al waren voorzien in het Fintech-actieplan van 2018, waarin het voornemen van de Commissie werd aangekondigd om de ontwikkeling van contractuele standaardclausules voor het gebruik van uitbesteding van cloud computing-diensten door financiële entiteiten aan te moedigen en te vergemakkelijken, op basis van sectoroverschrijdende inspanningen van belanghebbenden op het gebied van cloud computing-diensten, die de Commissie heeft gefaciliteerd met de hulp van de betrokkenheid van de financiële sector.
(76) Ter bevordering van de convergentie en efficiëntie van de toezichtbenaderingen bij de aanpak van ICT-risico's van derden in de financiële sector en ter versterking van de digitale operationele veerkracht van financiële entiteiten die afhankelijk zijn van kritieke ICT-dienstverleners voor het verlenen van ICT-diensten ter ondersteuning van het aanbieden van financiële diensten, en daarmee bij te dragen aan de instandhouding van de stabiliteit van het financiële stelsel van de Unie en de integriteit van de interne markt voor financiële diensten, moeten kritieke ICT-dienstverleners aan een Uniekader voor toezicht worden onderworpen. Hoewel het opzetten van het toezichtkader gerechtvaardigd is door de toegevoegde waarde van maatregelen op het niveau van de Unie en door de inherente rol en de specifieke kenmerken van het gebruik van ICT-diensten bij het aanbieden van financiële diensten, moet er tegelijkertijd aan worden herinnerd dat deze oplossing alleen geschikt lijkt in de context van deze verordening, die specifiek betrekking heeft op digitale operationele veerkracht in de financiële sector. Een dergelijk toezichtkader mag echter niet worden beschouwd als een nieuw model voor het toezicht van de Unie op andere gebieden van financiële diensten en activiteiten.
(77) Het kader voor toezicht mag alleen van toepassing zijn op kritieke externe ICT-dienstverleners. Daarom moet er een aanwijzingsmechanisme zijn om rekening te houden met de omvang en de aard van de afhankelijkheid van de financiële sector van dergelijke externe ICT-dienstverleners. Dat mechanisme moet een reeks kwantitatieve en kwalitatieve criteria omvatten om de kriticiteitsparameters vast te stellen als basis voor opname in het toezichtkader. Om de nauwkeurigheid van die beoordeling te garanderen, en ongeacht de bedrijfsstructuur van de externe ICT-dienstverlener, moeten dergelijke criteria, in het geval van een externe ICT-dienstverlener die deel uitmaakt van een bredere groep, rekening houden met de volledige groepsstructuur van de externe ICT-dienstverlener. Enerzijds moeten kritieke externe ICT-dienstverleners, die niet automatisch worden aangewezen op grond van de toepassing van deze criteria, de mogelijkheid hebben om zich op vrijwillige basis aan te sluiten bij het kader voor toezicht, anderzijds moeten externe ICT-dienstverleners die al onderworpen zijn aan kaders voor toezichtmechanismen ter ondersteuning van het vervullen van de taken van het Europees Stelsel van centrale banken als bedoeld in artikel 127, lid 2, VWEU, worden vrijgesteld.
(78) Evenzo moeten financiële entiteiten die ICT-diensten verlenen aan andere financiële entiteiten, hoewel zij behoren tot de categorie van externe ICT-dienstverleners in het kader van deze verordening, eveneens worden vrijgesteld van het toezichtkader, aangezien zij reeds onderworpen zijn aan de toezichtmechanismen die zijn vastgesteld bij de relevante uniale wetgeving inzake financiële diensten. In voorkomend geval moeten de bevoegde autoriteiten in het kader van hun toezichtactiviteiten rekening houden met het ICT-risico dat financiële entiteiten die ICT-diensten verlenen, voor financiële entiteiten opleveren. Wegens de bestaande mechanismen voor risicomonitoring op groepsniveau moet dezelfde vrijstelling worden ingevoerd voor externe ICT-dienstverleners die hoofdzakelijk diensten verlenen aan entiteiten van hun eigen groep. Derden ICT-dienstverleners die uitsluitend in één lidstaat ICT-diensten verlenen aan financiële entiteiten die alleen in die lidstaat actief zijn, moeten ook worden vrijgesteld van het aanwijzingsmechanisme vanwege hun beperkte activiteiten en het gebrek aan grensoverschrijdende impact.
(79) De digitale transformatie in de financiële dienstverlening heeft geleid tot een ongekend gebruik van en afhankelijkheid van ICT-diensten. Aangezien het ondenkbaar is geworden om financiële diensten te verlenen zonder gebruik te maken van cloud computing-diensten, softwareoplossingen en gegevensgerelateerde diensten, is het financiële ecosysteem van de Unie intrinsiek medeafhankelijk geworden van bepaalde ICT-diensten die worden geleverd door ICT-dienstverleners. Sommige van deze leveranciers, die innovatief zijn in het ontwikkelen en toepassen van op ICT gebaseerde technologieën, spelen een belangrijke rol in de levering van financiële diensten of zijn geïntegreerd in de waardeketen van financiële diensten. Ze zijn dus van cruciaal belang geworden voor de stabiliteit en integriteit van het financiële systeem van de Unie. Deze wijdverspreide afhankelijkheid van diensten die worden geleverd door kritieke externe ICT-dienstverleners, in combinatie met de onderlinge afhankelijkheid van de informatiesystemen van verschillende marktexploitanten, creëren een direct en potentieel ernstig risico voor het systeem van financiële diensten in de Unie en voor de continuïteit van de levering van financiële diensten indien kritieke externe ICT-dienstverleners getroffen zouden worden door operationele verstoringen of grote cyberincidenten. Cyberincidenten hebben een kenmerkend vermogen om zich te vermenigvuldigen en te verspreiden binnen het financiële systeem in een aanzienlijk sneller tempo dan andere soorten risico's die in de financiële sector worden gevolgd en kunnen zich uitstrekken over sectoren en geografische grenzen heen. Ze kunnen uitgroeien tot een systeemcrisis, waarbij het vertrouwen in het financiële systeem is aangetast door de verstoring van functies die de reële economie ondersteunen, of tot aanzienlijke financiële verliezen, die een niveau bereiken dat het financiële systeem niet aankan of waarvoor zware schokabsorptiemaatregelen moeten worden genomen. Om te voorkomen dat deze scenario's zich voordoen en daardoor de financiële stabiliteit en integriteit van de Unie in gevaar brengen, is het van essentieel belang om te zorgen voor de convergentie van de toezichtpraktijken met betrekking tot ICT-risico's van derden in de financiële sector, met name door middel van nieuwe regels die het EU-toezicht op kritieke ICT-dienstverleners van derden mogelijk maken.
(80) Het kader voor toezicht hangt grotendeels af van de mate van samenwerking tussen de Lead Overseer en de kritieke ICT-dienstverlener die diensten levert aan financiële entiteiten die van invloed zijn op de levering van financiële diensten. Succesvol toezicht is onder meer afhankelijk van het vermogen van de Lead Overseer om doeltreffend monitoringmissies en inspecties uit te voeren om de regels, controles en processen te beoordelen die worden gebruikt door de kritieke ICT-dienstverleners en om de potentiële cumulatieve impact van hun activiteiten op de financiële stabiliteit en de integriteit van het financiële stelsel te beoordelen. Tegelijkertijd is het van cruciaal belang dat de kritieke ICT-dienstverleners de aanbevelingen van de Lead Overseer opvolgen en tegemoet komen aan zijn bezorgdheden. Aangezien een gebrek aan medewerking van een kritieke ICT-dienstverlener die diensten verleent die een invloed hebben op de levering van financiële diensten, zoals de weigering om toegang te verlenen tot zijn gebouwen of om informatie te verstrekken, de Lead Overseer uiteindelijk zijn essentiële instrumenten zou ontnemen om het risico van ICT-diensten van derden te beoordelen, en een negatieve invloed zou kunnen hebben op de financiële stabiliteit en de integriteit van het financiële systeem, is het noodzakelijk om ook te voorzien in een gepaste sanctieregeling.
(81) Tegen deze achtergrond mag de noodzaak voor de Lead Overseer om dwangsommen op te leggen teneinde aanbieders van kritieke ICT-diensten van derden te dwingen te voldoen aan de in deze verordening vastgestelde verplichtingen inzake transparantie en toegang, niet in het gedrang worden gebracht door moeilijkheden in verband met de tenuitvoerlegging van die dwangsommen ten aanzien van in derde landen gevestigde aanbieders van kritieke ICT-diensten van derden. Teneinde de afdwingbaarheid van dergelijke sancties te waarborgen en een snelle invoering mogelijk te maken van procedures ter handhaving van de rechten van verdediging van de aanbieders van kritieke ICT-diensten in het kader van het aanwijzingsmechanisme en het uitbrengen van aanbevelingen, moet van deze aanbieders van kritieke ICT-diensten die diensten verlenen aan financiële entiteiten die van invloed zijn op de levering van financiële diensten, worden verlangd dat zij een toereikende zakelijke aanwezigheid in de Unie handhaven. Gezien de aard van het toezicht en het ontbreken van vergelijkbare regelingen in andere rechtsgebieden, zijn er geen geschikte alternatieve mechanismen die deze doelstelling waarborgen door middel van doeltreffende samenwerking met financiële toezichthouders in derde landen met betrekking tot het toezicht op de impact van digitale operationele risico's die uitgaan van in derde landen gevestigde aanbieders van systemische ICT-diensten van derden die als kritieke ICT-dienstverleners worden aangemerkt. Om ICT-diensten te kunnen blijven verlenen aan financiële entiteiten in de Unie, moet een in een derde land gevestigde ICT-dienstverlener die overeenkomstig deze verordening als kritiek is aangemerkt, binnen twaalf maanden na die aanmerking alle nodige regelingen treffen om zijn opname in de Unie te verzekeren door middel van de oprichting van een dochteronderneming, zoals gedefinieerd in het gehele acquis van de Unie, namelijk in Richtlijn 2013/34/EU van het Europees Parlement en de Raad (21).
(82) De eis om in de Unie een dochteronderneming op te richten, mag de aanbieder van kritieke ICT-diensten van derden er niet van weerhouden ICT-diensten en aanverwante technische ondersteuning te verlenen vanuit buiten de Unie gelegen faciliteiten en infrastructuur. Deze verordening legt geen verplichting tot lokalisatie van gegevens op, aangezien zij niet vereist dat gegevens in de Unie worden opgeslagen of verwerkt.
(83) Kritische ICT-dienstverleners moeten ICT-diensten overal ter wereld kunnen verlenen, niet noodzakelijkerwijs of niet alleen vanuit bedrijfsruimten in de Unie. Toezichtsactiviteiten moeten in de eerste plaats worden uitgevoerd in gebouwen die zich in de Unie bevinden en door interactie met entiteiten die zich in de Unie bevinden, met inbegrip van de dochterondernemingen die door derde aanbieders van kritieke ICT-diensten overeenkomstig deze verordening zijn opgericht. Dergelijke acties binnen de Unie kunnen echter ontoereikend zijn om de hoofdtoezichthouder in staat te stellen zijn taken uit hoofde van deze verordening volledig en doeltreffend uit te voeren. De Lead Overseer moet daarom zijn relevante toezichtsbevoegdheden ook in derde landen kunnen uitoefenen. De uitoefening van die bevoegdheden in derde landen moet de Lead Overseer in staat stellen de faciliteiten te onderzoeken van waaruit de ICT-diensten of de technische ondersteuningsdiensten daadwerkelijk worden verleend of beheerd door de externe verlener van kritieke ICT-diensten, en moet de Lead Overseer een volledig en operationeel inzicht geven in het ICT-risicobeheer van de externe verlener van kritieke ICT-diensten. De mogelijkheid voor de Lead Overseer om als agentschap van de Unie bevoegdheden uit te oefenen buiten het grondgebied van de Unie moet naar behoren worden omkaderd door relevante voorwaarden, met name de toestemming van de betrokken verlener van kritieke ICT-diensten van derden. Evenzo moeten de betrokken autoriteiten van het derde land op de hoogte zijn gebracht van en geen bezwaar hebben gemaakt tegen de uitoefening op hun eigen grondgebied van de activiteiten van de Lead Overseer. Met het oog op een efficiënte uitvoering, en onverminderd de respectieve bevoegdheden van de instellingen van de Unie en de lidstaten, moeten dergelijke bevoegdheden echter ook volledig worden verankerd in de sluiting van regelingen voor administratieve samenwerking met de betrokken autoriteiten van het betrokken derde land. Deze verordening dient de ETA's derhalve in staat te stellen regelingen voor administratieve samenwerking te treffen met de betrokken autoriteiten van derde landen, die verder geen juridische verplichtingen voor de Unie en haar lidstaten met zich mee mogen brengen.
(84) Om de communicatie met de Lead Overseer te vergemakkelijken en een adequate vertegenwoordiging te verzekeren, moeten cruciale externe ICT-dienstverleners die deel uitmaken van een groep één rechtspersoon aanwijzen als hun coördinatiepunt.
(85) Het kader voor toezicht mag geen afbreuk doen aan de bevoegdheid van de lidstaten om hun eigen toezicht- of monitoringmissies uit te voeren met betrekking tot externe ICT-dienstverleners die in het kader van deze verordening niet als kritiek worden aangemerkt, maar die op nationaal niveau als belangrijk worden beschouwd.
(86) Om gebruik te maken van de gelaagde institutionele architectuur op het gebied van financiële diensten moet het Gemengd Comité van de ETA's blijven zorgen voor de algemene sectoroverschrijdende coördinatie met betrekking tot alle aangelegenheden die verband houden met ICT-risico's, in overeenstemming met zijn taken op het gebied van cyberbeveiliging. Het moet worden ondersteund door een nieuw subcomité (het "Oversight Forum") dat voorbereidende werkzaamheden verricht zowel voor de individuele besluiten die zijn gericht tot kritieke externe ICT-dienstverleners als voor het doen van collectieve aanbevelingen, met name met betrekking tot het benchmarken van de oversightprogramma's voor kritieke externe ICT-dienstverleners en het vaststellen van beste praktijken voor het aanpakken van ICT-concentratierisicokwesties.
(87) Om ervoor te zorgen dat op Unieniveau passend en doeltreffend toezicht wordt uitgeoefend op de verleners van kritieke ICT-diensten van derden, is in deze verordening bepaald dat elk van de drie ETA's als hoofdtoezichthouder kan worden aangewezen. De individuele toewijzing van een verlener van kritieke ICT-diensten aan een van de drie ETA's moet voortvloeien uit een beoordeling van het overwicht van financiële entiteiten die actief zijn in de financiële sectoren waarvoor die ETA verantwoordelijk is. Deze aanpak moet leiden tot een evenwichtige verdeling van taken en verantwoordelijkheden tussen de drie ETA's, in het kader van de uitoefening van de toezichtsfuncties, en moet optimaal gebruik maken van de personele middelen en technische deskundigheid die in elk van de drie ETA's beschikbaar zijn.
(88) Hoofdtoezichthouders moeten de nodige bevoegdheden krijgen om onderzoeken in te stellen en om inspecties ter plaatse en elders uit te voeren in de gebouwen en op de locaties van kritieke verleners van ICT-diensten aan derden en om volledige en geactualiseerde informatie te verkrijgen. Deze bevoegdheden moeten de Lead Overseer in staat stellen echt inzicht te krijgen in het type, de omvang en de impact van het risico dat derden lopen op het gebied van ICT voor financiële entiteiten en uiteindelijk voor het financiële stelsel van de Unie. De ESA's belasten met de rol van hoofdtoezichthouder is een eerste vereiste om de systeemdimensie van ICT-risico's in de financiële sector te begrijpen en aan te pakken. De impact van kritieke externe ICT-dienstverleners op de financiële sector van de Unie en de potentiële problemen die worden veroorzaakt door het ICT-concentratierisico dat ermee gepaard gaat, vragen om een collectieve aanpak op het niveau van de Unie. De gelijktijdige uitvoering van meerdere audits en toegangsrechten, afzonderlijk uitgevoerd door tal van bevoegde autoriteiten, met weinig of geen onderlinge coördinatie, zou financiële toezichthouders verhinderen een volledig en alomvattend overzicht te krijgen van het risico van ICT-diensten van derden in de Unie, en zou ook leiden tot redundantie, lasten en complexiteit voor kritieke ICT-dienstverleners indien zij het voorwerp zouden uitmaken van talrijke monitoring- en inspectieverzoeken.
(89) Gezien de aanzienlijke impact van de aanmerking als kritiek moet deze verordening ervoor zorgen dat de rechten van kritieke externe ICT-dienstverleners gedurende de hele tenuitvoerlegging van het kader voor toezicht in acht worden genomen. Voordat zij als kritiek worden aangemerkt, moeten dergelijke dienstverleners bijvoorbeeld het recht hebben bij de leidende toezichthouder een gemotiveerde verklaring in te dienen met alle relevante informatie voor de beoordeling van hun aanmerking als kritiek. Aangezien de Lead Overseer de bevoegdheid moet krijgen om aanbevelingen te doen over ICT-risicokwesties en passende oplossingen daarvoor, waaronder de bevoegdheid om zich te verzetten tegen bepaalde contractuele regelingen die uiteindelijk de stabiliteit van de financiële entiteit of het financiële stelsel aantasten, moeten ook aanbieders van kritieke ICT-diensten van derden de kans krijgen om, voordat deze aanbevelingen definitief worden, uitleg te geven over de verwachte impact van de in de aanbevelingen overwogen oplossingen op klanten die entiteiten zijn die buiten het toepassingsgebied van deze verordening vallen, en om oplossingen te formuleren om de risico's te beperken. Derdepartijaanbieders van kritieke ICT-diensten die het niet eens zijn met de aanbevelingen, moeten een gemotiveerde verklaring indienen van hun voornemen om de aanbeveling niet te onderschrijven. Indien een dergelijke gemotiveerde verklaring niet wordt ingediend of ontoereikend wordt geacht, dient de Lead Overseer een openbare kennisgeving te publiceren waarin de kwestie van niet-naleving summier wordt beschreven.
(90) De bevoegde autoriteiten dienen het verifiëren van de inhoudelijke naleving van de aanbevelingen van de Lead Overseer naar behoren in hun takenpakket met betrekking tot het bedrijfseconomisch toezicht op financiële entiteiten op te nemen. De bevoegde autoriteiten moeten van financiële entiteiten kunnen verlangen dat zij aanvullende maatregelen nemen om de in de aanbevelingen van de Lead Overseer gesignaleerde risico's aan te pakken. Wanneer de Lead Overseer aanbevelingen doet aan kritieke externe ICT-dienstverleners die onder het toezicht van Richtlijn (EU) 2022/2555 vallen, moeten de bevoegde autoriteiten op vrijwillige basis en vóór de vaststelling van aanvullende maatregelen de bevoegde autoriteiten in het kader van die richtlijn kunnen raadplegen om een gecoördineerde aanpak van de kritieke externe ICT-dienstverleners in kwestie te bevorderen.
(91) Bij de uitoefening van het toezicht moeten drie operationele beginselen als richtsnoer dienen om te zorgen voor: (a) nauwe coördinatie tussen de ETA's in hun rol van Lead Overseer, via een gezamenlijk netwerk voor toezicht (JON), (b) consistentie met het kader dat is vastgesteld bij Richtlijn (EU) 2022/2555 (via een vrijwillige raadpleging van organen in het kader van die richtlijn om overlapping van maatregelen gericht op aanbieders van kritieke ICT-diensten van derden te voorkomen), en (c) toepassing van zorgvuldigheid om het potentiële risico op verstoring van diensten die door de aanbieders van kritieke ICT-diensten van derden worden verleend aan klanten die entiteiten zijn die buiten het toepassingsgebied van deze verordening vallen, tot een minimum te beperken.
(92) Het Toezichtkader mag niet in de plaats komen van, of op geen enkele wijze of voor geen enkel onderdeel in de plaats komen van, de eis dat financiële entiteiten zelf de risico's beheren die voortvloeien uit het gebruik van externe ICT-dienstverleners, met inbegrip van hun verplichting om doorlopend toezicht te houden op contractuele regelingen die met kritieke externe ICT-dienstverleners zijn gesloten. Het kader voor toezicht mag evenmin afbreuk doen aan de volledige verantwoordelijkheid van financiële entiteiten voor het naleven en nakomen van alle wettelijke verplichtingen die in deze verordening en in de relevante wetgeving inzake financiële diensten zijn vastgelegd.
(93) Om doublures en overlappingen te voorkomen, moeten de bevoegde autoriteiten afzien van het individueel nemen van maatregelen om de risico's van de verlener van kritieke ICT-diensten te bewaken en moeten zij in dat verband vertrouwen op de beoordeling van de betrokken leidende toezichthouder. Maatregelen moeten in elk geval vooraf worden gecoördineerd en overeengekomen met de Lead Overseer in het kader van de uitoefening van de taken van het Toezichtskader.
(94) Ter bevordering van de convergentie op internationaal niveau wat betreft het gebruik van beste praktijken bij de evaluatie van en het toezicht op het beheer van digitale risico's door derde ICT-dienstverleners, moeten de ETA's worden aangemoedigd samenwerkingsovereenkomsten te sluiten met relevante toezichthoudende en regelgevende autoriteiten van derde landen.
(95) Om gebruik te maken van de specifieke competenties, technische vaardigheden en deskundigheid van het personeel dat gespecialiseerd is in operationele en ICT-risico's binnen de bevoegde autoriteiten, de drie ETA's en, op vrijwillige basis, de bevoegde autoriteiten in het kader van Richtlijn (EU) 2022/2555, moet de leidende toezichthouder gebruik maken van de nationale toezichtcapaciteiten en -kennis en voor elke kritieke ICT-dienstverlener speciale onderzoeksteams opzetten, waarin multidisciplinaire teams worden samengebracht ter ondersteuning van de voorbereiding en uitvoering van toezichtactiviteiten, met inbegrip van algemene onderzoeken en inspecties van kritieke ICT-dienstverleners, alsook voor de nodige follow-up daarvan.
(96) Terwijl de kosten die voortvloeien uit de toezichttaken volledig zouden worden gefinancierd uit vergoedingen die worden aangerekend aan externe verleners van kritieke ICT-diensten, zullen de ETA's echter vóór de aanvang van het toezichtkader waarschijnlijk kosten moeten maken voor de implementatie van specifieke ICT-systemen ter ondersteuning van het komende toezicht, aangezien specifieke ICT-systemen van tevoren moeten worden ontwikkeld en ingezet. Deze verordening voorziet daarom in een hybride financieringsmodel, waarbij het toezichtkader als zodanig volledig uit vergoedingen wordt gefinancierd, terwijl de ontwikkeling van de ICT-systemen van de ETA's wordt gefinancierd uit bijdragen van de Unie en de nationale bevoegde autoriteiten.
(97) De bevoegde autoriteiten moeten over alle vereiste toezichts-, onderzoeks- en sanctiebevoegdheden beschikken om te garanderen dat zij hun taken uit hoofde van deze verordening naar behoren vervullen. Zij moeten in beginsel kennisgevingen publiceren van de administratieve sancties die zij opleggen. Aangezien financiële entiteiten en externe ICT-dienstverleners in verschillende lidstaten gevestigd kunnen zijn en onder toezicht van verschillende bevoegde autoriteiten kunnen staan, dient de toepassing van deze verordening te worden vergemakkelijkt door enerzijds nauwe samenwerking tussen de relevante bevoegde autoriteiten, waaronder de ECB met betrekking tot de specifieke taken die haar bij Verordening (EU) nr. 1024/2013 van de Raad zijn opgedragen, en anderzijds door overleg met de ETA's via de wederzijdse uitwisseling van informatie en de verlening van bijstand in de context van relevante toezichtactiviteiten.
(98) Teneinde de criteria voor het aanmerken van externe ICT-dienstverleners als kritiek verder te kwantificeren en te kwalificeren en de toezichtvergoedingen te harmoniseren, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 VWEU handelingen vast te stellen om deze verordening aan te vullen door de systeemimpact die een storing of operationele uitval van een externe ICT-dienstverlener kan hebben op de financiële entiteiten waaraan hij ICT-diensten levert, nader te specificeren, het aantal mondiaal systeemrelevante instellingen (G-SII's) of andere systeemrelevante instellingen (O-SII's) dat afhankelijk is van de ICT-dienstverlener in kwestie, het aantal ICT-dienstverleners dat actief is op een bepaalde markt, de kosten van migratie van data en ICT-werklast naar andere ICT-dienstverleners, evenals het bedrag van de oversightvergoedingen en de manier waarop deze moeten worden betaald. Het is van bijzonder belang dat de Commissie tijdens haar voorbereidende werkzaamheden passende raadplegingen houdt, onder meer op deskundigenniveau, en dat deze raadplegingen plaatsvinden overeenkomstig de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 "Beter wetgeven" (22). Om gelijke deelname aan de voorbereiding van gedelegeerde handelingen te waarborgen, moeten het Europees Parlement en de Raad met name alle documenten op hetzelfde moment ontvangen als de deskundigen van de lidstaten, en moeten hun deskundigen systematisch toegang hebben tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van gedelegeerde handelingen.
(99) Technische regelgevingsnormen moeten zorgen voor een consequente harmonisatie van de in deze verordening vastgestelde eisen. Als organen met hooggespecialiseerde expertise moeten de ETA's voorstellen voor technische regelgevingsnormen opstellen die geen beleidskeuzen inhouden en bij de Commissie worden ingediend. Er moeten regelgevende technische normen worden ontwikkeld op het gebied van ICT-risicobeheer, rapportage van ernstige ICT-gerelateerde incidenten, tests, alsook met betrekking tot de belangrijkste vereisten voor een deugdelijk toezicht op ICT-risico's van derden. De Commissie en de ETA's moeten ervoor zorgen dat deze normen en eisen door alle financiële entiteiten kunnen worden toegepast op een wijze die evenredig is met hun omvang en algehele risicoprofiel en de aard, schaal en complexiteit van hun diensten, activiteiten en operaties. De Commissie moet de bevoegdheid krijgen om deze technische reguleringsnormen vast te stellen door middel van gedelegeerde handelingen op grond van artikel 290 VWEU en in overeenstemming met de artikelen 10 tot en met 14 van de Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 en (EU) nr. 1095/2010.
(100) Om de vergelijkbaarheid van verslagen over ernstige ICT-gerelateerde incidenten en ernstige operationele of beveiligingsgerelateerde betalingsgerelateerde incidenten te vergemakkelijken, alsook om te zorgen voor transparantie met betrekking tot contractuele regelingen voor het gebruik van ICT-diensten die worden verleend door externe ICT-dienstverleners, dienen de ETA's voorstellen voor technische uitvoeringsnormen op te stellen tot vaststelling van gestandaardiseerde modellen, formulieren en procedures voor financiële entiteiten om een ernstig ICT-gerelateerd incident en een ernstig operationeel of beveiligingsgerelateerd incident te melden, alsook gestandaardiseerde modellen voor het register van informatie. Bij de ontwikkeling van deze normen moeten de ETA's rekening houden met de omvang en het algemene risicoprofiel van de financiële entiteit en met de aard, schaal en complexiteit van haar diensten, activiteiten en operaties. De Commissie dient de bevoegdheid te krijgen deze technische uitvoeringsnormen vast te stellen door middel van uitvoeringshandelingen op grond van artikel 291 VWEU en in overeenstemming met artikel 15 van de Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 en (EU) nr. 1095/2010.
(101) Aangezien in de Verordeningen (EG) nr. 1060/2009 (23), (EU) nr. 648/2012 (24), (EU) nr. 600/2014 (25) en (EU) nr. 909/2014 (26) van het Europees Parlement en de Raad reeds verdere voorschriften zijn gespecificeerd door middel van gedelegeerde handelingen en uitvoeringshandelingen op basis van technische regelgevings- en uitvoeringsnormen, is het passend de ETA's, hetzij individueel, hetzij gezamenlijk via het Gemengd Comité, te mandateren om technische regelgevings- en uitvoeringsnormen bij de Commissie in te dienen met het oog op de vaststelling van gedelegeerde handelingen en uitvoeringshandelingen tot overneming en actualisering van bestaande ICT-risicobeheersregels.
(102) Aangezien deze verordening, samen met Richtlijn (EU) 2022/2556 van het Europees Parlement en de Raad (27 ), een consolidatie inhoudt van de bepalingen inzake ICT-risicobeheer in meerdere verordeningen en richtlijnen van het acquis van de Unie op het gebied van financiële diensten, waaronder Verordeningen (EG) nr, (EU) nr. 648/2012, (EU) nr. 600/2014 en (EU) nr. 909/2014, en Verordening (EU) 2016/1011 van het Europees Parlement en de Raad (28), moeten die verordeningen met het oog op volledige consistentie worden gewijzigd om te verduidelijken dat de toepasselijke ICT-risicobepalingen in deze verordening zijn vastgesteld.
(103) Bijgevolg moet het toepassingsgebied van de relevante artikelen met betrekking tot operationele risico's, waarvoor in de Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 vastgestelde bevoegdheden de vaststelling van gedelegeerde en uitvoeringshandelingen voorschrijven, worden beperkt om alle bepalingen betreffende de digitale aspecten van operationele veerkracht die thans deel uitmaken van die verordeningen, in deze verordening over te nemen.
(104) Het potentiële systeemrisico in verband met het gebruik van ICT-infrastructuren die de werking van betalingssystemen en de verrichting van betalingsverwerkingsactiviteiten mogelijk maken, moet op Unieniveau naar behoren worden aangepakt door middel van geharmoniseerde regels inzake digitale veerkracht. Daartoe moet de Commissie snel nagaan of het toepassingsgebied van deze verordening moet worden herzien en moet zij deze herziening afstemmen op het resultaat van de uitgebreide herziening waarin Richtlijn (EU) 2015/2366 voorziet. Talrijke grootschalige aanvallen in de afgelopen tien jaar hebben aangetoond dat betalingssystemen zijn blootgesteld aan cyberdreigingen. Betalingssystemen en betalingsverwerkingsactiviteiten, die een centrale plaats innemen in de betalingsdienstketen en sterk verweven zijn met het gehele financiële stelsel, zijn van cruciaal belang geworden voor de werking van de financiële markten van de Unie. Cyberaanvallen op dergelijke systemen kunnen ernstige operationele bedrijfsstoringen veroorzaken met directe gevolgen voor belangrijke economische functies, zoals het faciliteren van betalingen, en indirecte effecten op gerelateerde economische processen. Totdat op het niveau van de Unie een geharmoniseerde regeling voor en het toezicht op exploitanten van betalingssystemen en verwerkingsentiteiten zijn ingevoerd, kunnen de lidstaten, met het oog op de toepassing van vergelijkbare marktpraktijken, inspiratie putten uit de in deze verordening vastgestelde vereisten inzake digitale operationele veerkracht wanneer zij regels toepassen op exploitanten van betalingssystemen en verwerkingsentiteiten die onder hun eigen rechtsgebied onder toezicht staan.
(105) Aangezien de doelstelling van deze verordening, namelijk het bereiken van een hoog niveau van digitale operationele veerkracht voor gereglementeerde financiële entiteiten, niet voldoende door de lidstaten kan worden verwezenlijkt omdat zulks de harmonisatie vereist van diverse verschillende voorschriften in het Unierecht en het nationale recht, maar vanwege de omvang en de gevolgen ervan beter op Unieniveau kan worden verwezenlijkt, kan de Unie overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om deze doelstelling te verwezenlijken.
(106) De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (29 ) en heeft op 10 mei 2021 advies uitgebracht (30),
HEBBEN DEZE VERORDENING AANGENOMEN: