{"id":1134,"date":"2024-01-29T16:47:57","date_gmt":"2024-01-29T16:47:57","guid":{"rendered":"https:\/\/nis2resources.eu\/?page_id=1134"},"modified":"2024-08-11T19:28:36","modified_gmt":"2024-08-11T19:28:36","slug":"preambule","status":"publish","type":"page","link":"https:\/\/nis2resources.eu\/nl\/richtlijn-4\/preambule\/","title":{"rendered":"Preambule"},"content":{"rendered":"
Overwegende hetgeen volgt:<\/p>\n\n\n\n
van 14 december 2022<\/p>\n\n\n\n
betreffende digitale operationele weerbaarheid voor de financi\u00eble sector en tot wijziging van de Verordeningen (EG) nr. 1060\/2009, (EU) nr. 648\/2012, (EU) nr. 600\/2014, (EU) nr. 909\/2014 en (EU) 2016\/1011<\/p>\n\n\n\n
(Voor de EER relevante tekst)<\/p>\n\n\n\n
HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,<\/p>\n\n\n\n
Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 114, Gezien het voorstel van de Europese Commissie, Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen, Gezien het advies van de Europese Centrale Bank (1), Gezien het advies van het Europees Economisch en Sociaal Comit\u00e9 (2), Handelend volgens de gewone wetgevingsprocedure (3),<\/p>\n\n\n\n
Overwegende hetgeen volgt:<\/p>\n\n\n\n
(1) In het digitale tijdperk ondersteunt informatie- en communicatietechnologie (ICT) complexe systemen die voor dagelijkse activiteiten worden gebruikt. ICT houdt onze economie\u00ebn draaiende in belangrijke sectoren, waaronder de financi\u00eble sector, en verbetert de werking van de interne markt. Door de toenemende digitalisering en onderlinge verbondenheid wordt de ICT-sector nog belangrijker. risicoRisico<\/span> Betekent de kans op verlies of verstoring veroorzaakt door een incident en moet worden uitgedrukt als een combinatie van de omvang van een dergelijk verlies of verstoring en de waarschijnlijkheid dat het incident zich voordoet. Definitie volgens artikel 6 van Richtlijn (EU) 2022\/2555 (NIS2-richtlijn)<\/a><\/span><\/span><\/span>Dit maakt de samenleving als geheel, en het financi\u00eble systeem in het bijzonder, kwetsbaarder voor cyberdreigingen of ICT-verstoringen. Hoewel het alomtegenwoordige gebruik van ICT-systemen en een hoge mate van digitalisering en connectiviteit tegenwoordig kernkenmerken zijn van de activiteiten van financi\u00eble entiteiten in de Unie, moet hun digitale veerkracht nog beter worden aangepakt en ge\u00efntegreerd in hun bredere operationele kaders.<\/p>\n\n\n\n (2) Het gebruik van ICT heeft de afgelopen decennia een centrale rol gekregen in de verlening van financi\u00eble diensten, zozeer zelfs dat het nu van cruciaal belang is geworden voor de uitvoering van de typische dagelijkse functies van alle financi\u00eble entiteiten. Digitalisering heeft nu bijvoorbeeld betrekking op betalingen, die in toenemende mate zijn overgeschakeld van contante en op papier gebaseerde methoden naar het gebruik van digitale oplossingen, evenals op clearing en afwikkeling van effecten, elektronische en algoritmische handel, leningen en financieringstransacties, peer-to-peer financiering, kredietbeoordeling, claimbeheer en backoffice-activiteiten. De verzekeringssector is ook veranderd door het gebruik van ICT, van de opkomst van verzekeringstussenpersonen die hun diensten online aanbieden en werken met InsurTech, tot digitale verzekeringstechnieken. Financiering is niet alleen grotendeels digitaal geworden in de hele sector, maar digitalisering heeft ook de onderlinge verbindingen en afhankelijkheden binnen de financi\u00eble sector en met infrastructuren en dienstverleners van derden verdiept.<\/p>\n\n\n\n (3) Het Europees Comit\u00e9 voor systeemrisico's (ECSR) heeft in een verslag van 2020 over systeemrisico's in de cybersector opnieuw bevestigd dat de bestaande hoge mate van verwevenheid tussen financi\u00eble entiteiten, financi\u00eble markten en financi\u00eblemarktinfrastructuren, en met name de onderlinge afhankelijkheid van hun ICT-systemen, een systeemrisico kan vormen. kwetsbaarheidKwetsbaarheid<\/span> Een zwakte, gevoeligheid of tekortkoming van ICT-producten of ICT-diensten die door een cyberdreiging kan worden uitgebuit. Definitie volgens artikel 6 van Richtlijn (EU) 2022\/2555 (NIS2-richtlijn)<\/a><\/span><\/span><\/span> omdat gelokaliseerde cyberincidenten zich snel kunnen verspreiden van een van de ongeveer 22 000 financi\u00eble entiteiten in de Unie naar het hele financi\u00eble systeem, ongehinderd door geografische grenzen. Ernstige ICT-inbreuken in de financi\u00eble sector treffen niet alleen financi\u00eble entiteiten afzonderlijk. Ze effenen ook het pad voor de verspreiding van gelokaliseerde kwetsbaarheden via de financi\u00eble transmissiekanalen en kunnen nadelige gevolgen hebben voor de stabiliteit van het financi\u00eble systeem van de Unie, zoals het genereren van liquiditeitsruns en een algeheel verlies van vertrouwen in de financi\u00eble markten.<\/p>\n\n\n\n (4) De afgelopen jaren hebben ICT-risico's de aandacht getrokken van internationale, Europese en nationale beleidsmakers, regelgevers en toezichthouders. standaardStandaard<\/span> Een technische specificatie die door een erkende normalisatie-instelling is aangenomen voor herhaalde of voortdurende toepassing, waarvan de inachtneming niet verplicht is en die tot een van de volgende categorie\u00ebn behoort\r(a) \"internationale norm\": een norm die door een internationale normalisatie-instelling is vastgesteld; b) \"Europese norm\": een norm die door een Europese normalisatie-instelling is vastgesteld; c) \"geharmoniseerde norm\": een Europese norm die is vastgesteld op basis van een door de Commissie ingediend verzoek om toepassing van harmonisatiewetgeving van de Unie; d) \"nationale norm\": een norm die door een nationale normalisatie-instelling is vastgesteld - Definitie overeenkomstig artikel 2, punt 1, van Verordening (EU) nr. 1025\/2012 van het Europees Parlement en de Raad.<\/span><\/span><\/span>-instanties in een poging om de digitale weerbaarheid te vergroten, normen vast te stellen en regelgevend of toezichthoudend werk te co\u00f6rdineren. Op internationaal niveau hebben het Bazels Comit\u00e9 voor Bankentoezicht, het Comit\u00e9 voor Betalings- en Marktinfrastructuren, de Raad voor Financi\u00eble Stabiliteit, het Instituut voor Financi\u00eble Stabiliteit, evenals de G7 en de G20 zich ten doel gesteld om bevoegde autoriteiten en marktoperatoren in verschillende rechtsgebieden te voorzien van instrumenten om de veerkracht van hun financi\u00eble systemen te versterken. Dat werk is ook ingegeven door de noodzaak om naar behoren rekening te houden met ICT-risico's in de context van een sterk verweven wereldwijd financieel systeem en om te streven naar meer consistentie van relevante beste praktijken.<\/p>\n\n\n\n (5) Ondanks gerichte beleids- en wetgevingsinitiatieven van de Unie en de lidstaten blijft het ICT-risico een uitdaging vormen voor de operationele veerkracht, de prestaties en de stabiliteit van het financi\u00eble stelsel van de Unie. De hervormingen die volgden op de financi\u00eble crisis van 2008 versterkten in de eerste plaats de financi\u00eble veerkracht van de financi\u00eble sector van de Unie en waren erop gericht het concurrentievermogen en de stabiliteit van de Unie te vrijwaren vanuit economisch, prudentieel en marktgedragsperspectief. Hoewel ICT-beveiliging en digitale weerbaarheid deel uitmaken van het operationele risico, stonden ze minder centraal op de regelgevingsagenda na de financi\u00eble crisis en zijn ze slechts op enkele gebieden van het beleid en de regelgeving van de Unie op het gebied van financi\u00eble diensten of in slechts enkele lidstaten ontwikkeld.<\/p>\n\n\n\n (6) In haar mededeling van 8 maart 2018 getiteld \"FinTech-actieplan: Voor een meer concurrerende en innovatieve Europese financi\u00eble sector\" heeft de Commissie benadrukt dat het van het grootste belang is om de financi\u00eble sector van de Unie veerkrachtiger te maken, ook vanuit operationeel oogpunt om de technologische veiligheid en goede werking ervan te waarborgen, om snel te kunnen herstellen van ICT-inbreuken en -incidenten en om uiteindelijk een effectieve en soepele verlening van financi\u00eble diensten in de hele Unie mogelijk te maken, ook in stresssituaties, terwijl ook het vertrouwen van de consument en de markt behouden blijft.<\/p>\n\n\n\n (7) In april 2019 hebben de Europese toezichthoudende autoriteit (Europese Bankautoriteit), (EBA) opgericht bij Verordening (EU) nr. 1093\/2010 van het Europees Parlement en de Raad (4 ), de Europese toezichthoudende autoriteit (Europese Autoriteit voor verzekeringen en bedrijfspensioenen), (EIOPA) opgericht bij Verordening (EU) nr. 1094\/2010 van het Europees Parlement en de Raad (5 ) en de Europese toezichthoudende autoriteit (Europese Autoriteit voor effecten en markten), (\"ESMA\"), opgericht bij Verordening (EU) nr. 1095\/2010 van het Europees Parlement en de Raad (6 ) (samen \"Europese toezichthoudende autoriteiten\" of \"ESA's\" genoemd) hebben gezamenlijk technisch advies uitgebracht waarin wordt opgeroepen tot een samenhangende aanpak van ICT-risico's in de financi\u00eble sector en wordt aanbevolen de digitale operationele veerkracht van de financi\u00eble sector op evenredige wijze te versterken door middel van een sectorspecifiek initiatief van de Unie.<\/p>\n\n\n\n (8) De financi\u00eble sector van de Unie wordt gereguleerd door \u00e9\u00e9n enkel wetboek en valt onder een Europees systeem voor financieel toezicht. De bepalingen inzake digitale operationele veerkracht en ICT-beveiliging zijn echter nog niet volledig of consequent geharmoniseerd, ondanks het feit dat digitale operationele veerkracht van vitaal belang is voor het waarborgen van financi\u00eble stabiliteit en marktintegriteit in het digitale tijdperk, en niet minder belangrijk is dan bijvoorbeeld gemeenschappelijke prudenti\u00eble of marktgedragsnormen. Het gemeenschappelijk rulebook en het toezichtsysteem moeten daarom zodanig worden ontwikkeld dat ze ook betrekking hebben op digitale operationele veerkracht, door de mandaten van de bevoegde autoriteiten te versterken zodat ze toezicht kunnen houden op het beheer van ICT-risico's in de financi\u00eble sector om de integriteit en effici\u00ebntie van de interne markt te beschermen en de ordelijke werking ervan te bevorderen.<\/p>\n\n\n\n (9) Verschillen in wetgeving en ongelijke nationale benaderingen op het gebied van regelgeving of toezicht met betrekking tot ICT-risico's vormen obstakels voor de werking van de interne markt voor financi\u00eble diensten en belemmeren een soepele uitoefening van de vrijheid van vestiging en de vrijheid van dienstverlening voor financi\u00eble entiteiten die grensoverschrijdend actief zijn. Ook zou de concurrentie tussen hetzelfde type financi\u00eble entiteiten die in verschillende lidstaten actief zijn, kunnen worden verstoord. Dit is met name het geval voor gebieden waar harmonisatie in de Unie zeer beperkt is, zoals het testen van de digitale operationele veerkracht, of afwezig is, zoals het monitoren van ICT-risico's van derden. Verschillen die voortvloeien uit ontwikkelingen die op nationaal niveau worden overwogen, kunnen verdere belemmeringen voor de werking van de interne markt cre\u00ebren, ten nadele van de marktdeelnemers en de financi\u00eble stabiliteit.<\/p>\n\n\n\n (10) Doordat de ICT-risicobepalingen slechts gedeeltelijk op het niveau van de Unie zijn vastgesteld, zijn er tot dusver hiaten of overlappingen op belangrijke gebieden, zoals ICT-gerelateerde risico's en risico's voor de EU. incidentIncident<\/span> Een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid in gevaar brengt van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen. Definitie volgens artikel 6 van Richtlijn (EU) 2022\/2555 (NIS2-richtlijn)<\/a><\/span><\/span><\/span> rapportage en het testen van de digitale operationele veerkracht, en inconsistenties als gevolg van opkomende uiteenlopende nationale regels of kostenineffici\u00ebnte toepassing van overlappende regels. Dit is met name nadelig voor een ICT-intensieve gebruiker zoals de financi\u00eble sector, aangezien technologische risico's geen grenzen kennen en de financi\u00eble sector zijn diensten op brede grensoverschrijdende basis binnen en buiten de Unie inzet. Individuele financi\u00eble entiteiten die grensoverschrijdend actief zijn of over meerdere vergunningen beschikken (bijv. \u00e9\u00e9n financi\u00eble entiteitEntiteit<\/span> Een natuurlijke persoon of rechtspersoon die als zodanig is opgericht en erkend door het nationale recht van zijn vestigingsplaats en die in eigen naam rechten kan uitoefenen en verplichtingen kan hebben. Definitie volgens artikel 6 van Richtlijn (EU) 2022\/2555 (NIS2-richtlijn)<\/a><\/span><\/span><\/span> kunnen een bank-, een beleggingsonderneming- en een betalingsinstellingenvergunning hebben, elk uitgegeven door een andere bevoegde autoriteit in een of meerdere lidstaten) worden geconfronteerd met operationele uitdagingen om ICT-risico's aan te pakken en de negatieve gevolgen van ICT-incidenten op een coherente en kosteneffectieve manier te beperken.<\/p>\n\n\n\n (11) Aangezien het ene wetboek niet vergezeld gaat van een alomvattend ICT- of operationeel-risicokader, is verdere harmonisatie van de belangrijkste digitale operationele veerkrachtvereisten voor alle financi\u00eble entiteiten vereist. De ontwikkeling van ICT-capaciteit en algemene veerkracht door financi\u00eble entiteiten, gebaseerd op deze essenti\u00eble vereisten, met het oog op het weerstaan van operationele uitval, zou de stabiliteit en integriteit van de financi\u00eble markten in de Unie helpen vrijwaren en aldus bijdragen tot het verzekeren van een hoog niveau van bescherming van beleggers en consumenten in de Unie. Aangezien deze verordening tot doel heeft bij te dragen tot de goede werking van de interne markt, moet zij gebaseerd zijn op de bepalingen van artikel 114 van het Verdrag betreffende de werking van de Europese Unie (VWEU), zoals uitgelegd overeenkomstig de vaste rechtspraak van het Hof van Justitie van de Europese Unie (Hof van Justitie).<\/p>\n\n\n\n (12) Deze verordening beoogt de vereisten inzake ICT-risico te consolideren en te verbeteren als onderdeel van de vereisten inzake operationeel risico die tot dusver afzonderlijk in verschillende rechtshandelingen van de Unie werden behandeld. Hoewel deze handelingen de belangrijkste categorie\u00ebn van financi\u00eble risico's bestreken (bv. kredietrisico, marktrisico, tegenpartijkredietrisico en liquiditeitsrisico, marktgedragsrisico), behandelden zij ten tijde van hun vaststelling niet alle componenten van operationele veerkracht. Toen de regels voor operationeel risico verder werden uitgewerkt in die rechtshandelingen van de Unie, werd vaak de voorkeur gegeven aan een traditionele kwantitatieve aanpak van het risico (namelijk het vaststellen van een kapitaalvereiste om het ICT-risico te dekken) in plaats van gerichte kwalitatieve regels voor de bescherming, detectie, insluiting, herstel- en reparatiecapaciteit tegen ICT-gerelateerde incidenten, of voor de rapportage- en digitale testcapaciteit. Deze handelingen waren in de eerste plaats bedoeld om essenti\u00eble regels inzake prudentieel toezicht, marktintegriteit of gedrag te dekken en te actualiseren. Door de verschillende regels inzake ICT-risico's te consolideren en te actualiseren, moeten alle bepalingen die betrekking hebben op digitale risico's in de financi\u00eble sector voor het eerst op consistente wijze worden samengebracht in \u00e9\u00e9n wetgevingsbesluit. Daarom vult deze verordening de leemten op of verhelpt zij inconsistenties in sommige eerdere wetgevingsbesluiten, onder meer met betrekking tot de daarin gebruikte terminologie, en verwijst zij expliciet naar ICT-risico's via gerichte regels inzake ICT-risicobeheercapaciteiten, incidentenrapportage, het testen van de operationele veerkracht en ICT-risicomonitoring door derden. Deze verordening moet dus ook het bewustzijn van ICT-risico's vergroten en erkennen dat ICT-incidenten en een gebrek aan operationele veerkracht de soliditeit van financi\u00eble entiteiten in gevaar kunnen brengen.<\/p>\n\n\n\n (13) Financi\u00eble entiteiten moeten dezelfde benadering en dezelfde op beginselen gebaseerde regels volgen bij het aanpakken van ICT-risico's, rekening houdend met hun omvang en algehele risicoprofiel en de aard, schaal en complexiteit van hun diensten, activiteiten en operaties. Consistentie draagt bij aan het vertrouwen in het financi\u00eble systeem en het behoud van de stabiliteit ervan, vooral in tijden van grote afhankelijkheid van ICT-systemen, -platforms en -infrastructuren, wat een verhoogd digitaal risico met zich meebrengt. Het naleven van elementaire cyberhygi\u00ebne moet ook voorkomen dat de economie met hoge kosten wordt opgezadeld door de impact en de kosten van ICT-verstoringen tot een minimum te beperken.<\/p>\n\n\n\n (14) Een verordening helpt de complexiteit van de regelgeving te verminderen, bevordert de toezichtconvergentie en vergroot de rechtszekerheid, en draagt ook bij tot het beperken van de nalevingskosten, met name voor financi\u00eble entiteiten die grensoverschrijdend actief zijn, en tot het verminderen van concurrentieverstoringen. Daarom is de keuze voor een verordening tot vaststelling van een gemeenschappelijk kader voor de digitale operationele weerbaarheid van financi\u00eble entiteiten de meest geschikte manier om een homogene en coherente toepassing van alle componenten van ICT-risicobeheer door de financi\u00eble sector in de Unie te waarborgen.<\/p>\n\n\n\n (15) Richtlijn (EU) 2016\/1148 van het Europees Parlement en de Raad (7) was de eerste horizontale cyberbeveiligingCyberbeveiliging<\/span> \"cyberbeveiliging\": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019\/881; - \"cyberbeveiliging\": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019\/881. Definitie volgens artikel 6 van Richtlijn (EU) 2022\/2555 (NIS2-richtlijn)<\/a>\r\r\"cyberbeveiliging\": de activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere personen die te maken hebben met cyberdreigingen, te beschermen; - Definitie overeenkomstig artikel 2, punt 1, van Verordening (EU) 2019\/881;<\/span><\/span><\/span> kader dat op het niveau van de Unie is vastgesteld en dat ook van toepassing is op drie soorten financi\u00eble entiteiten, namelijk kredietinstellingen, handelsplatforms en centrale tegenpartijen. Aangezien in Richtlijn (EU) 2016\/1148 een mechanisme is vastgesteld voor de identificatie op nationaal niveau van exploitanten van essenti\u00eble diensten, zijn in de praktijk echter alleen bepaalde kredietinstellingen, handelsplatforms en centrale tegenpartijen die door de lidstaten zijn ge\u00efdentificeerd, onder het toepassingsgebied van de richtlijn gebracht, zodat zij moeten voldoen aan de in de richtlijn vastgestelde eisen inzake ICT-beveiliging en incidentenmelding. In Richtlijn (EU) 2022\/2555 van het Europees Parlement en de Raad (8 ) is een uniform criterium vastgesteld om te bepalen welke entiteiten binnen het toepassingsgebied van de richtlijn vallen (de \"size-cap\"-regel), terwijl ook de drie soorten financi\u00eble entiteiten binnen het toepassingsgebied van de richtlijn blijven vallen.<\/p>\n\n\n\n (16) Aangezien deze verordening echter het harmonisatieniveau van de verschillende onderdelen van de digitale veerkracht verhoogt door de invoering van strengere eisen inzake ICT-risicobeheer en rapportage van ICT-gerelateerde incidenten in vergelijking met de eisen die zijn vastgesteld in de huidige wetgeving van de Unie inzake financi\u00eble diensten, vormt dit hogere niveau ook een verhoogde harmonisatie in vergelijking met de eisen die zijn vastgesteld in Richtlijn (EU) 2022\/2555. Bijgevolg vormt deze verordening een lex specialis ten opzichte van Richtlijn (EU) 2022\/2555. Tegelijkertijd is het van cruciaal belang om een sterke relatie te behouden tussen de financi\u00eble sector en het horizontale cyberbeveiligingskader van de Unie zoals dat momenteel is vastgelegd in Richtlijn (EU) 2022\/2555, om de consistentie met de door de lidstaten vastgestelde cyberbeveiligingsstrategie\u00ebn te waarborgen en om financi\u00eble toezichthouders in staat te stellen op de hoogte te zijn van cyberincidenten die andere onder die richtlijn vallende sectoren treffen.<\/p>\n\n\n\n (17) Overeenkomstig artikel 4, lid 2, van het Verdrag betreffende de Europese Unie en onverminderd de rechterlijke toetsing door het Hof van Justitie, mag deze verordening geen afbreuk doen aan de verantwoordelijkheid van de lidstaten voor essenti\u00eble staatsfuncties op het gebied van openbare veiligheid, defensie en bescherming van de nationale veiligheid, bijvoorbeeld met betrekking tot de verstrekking van informatie die strijdig zou zijn met de bescherming van de nationale veiligheid.<\/p>\n\n\n\n (18) Om sectoroverschrijdend leren mogelijk te maken en doeltreffend gebruik te kunnen maken van de ervaringen van andere sectoren bij het aanpakken van cyberdreigingen, dienen de in Richtlijn (EU) 2022\/2555 bedoelde financi\u00eble entiteiten deel te blijven uitmaken van het \"ecosysteem\" van die richtlijn (bijvoorbeeld de samenwerkingsgroep en de computercalamiteitenteams (CSIRT's)). De ETA's en nationale bevoegde autoriteiten dienen te kunnen deelnemen aan de strategische beleidsdiscussies en de technische werkzaamheden van de samenwerkingsgroep in het kader van die richtlijn, en informatie te kunnen uitwisselen en verder te kunnen samenwerken met de overeenkomstig die richtlijn aangewezen of opgerichte centrale contactpunten. De bevoegde autoriteiten in het kader van deze verordening moeten ook de CSIRT's raadplegen en met hen samenwerken. De bevoegde autoriteiten moeten ook technisch advies kunnen inwinnen bij de overeenkomstig Richtlijn (EU) 2022\/2555 aangewezen of opgerichte bevoegde autoriteiten en samenwerkingsregelingen kunnen treffen met het oog op doeltreffende en snel reagerende co\u00f6rdinatiemechanismen.<\/p>\n\n\n\n (19) Gezien de sterke verwevenheid tussen de digitale en de fysieke weerbaarheid van financi\u00eble entiteiten is in deze verordening en in Richtlijn (EU) 2022\/2557 van het Europees Parlement en de Raad (9 ) een coherente aanpak nodig met betrekking tot de weerbaarheid van kritieke entiteiten. Aangezien de fysieke weerbaarheid van financi\u00eble entiteiten op alomvattende wijze wordt aangepakt door de ICT-risicobeheer- en rapportageverplichtingen die onder deze verordening vallen, mogen de verplichtingen die zijn vastgesteld in de hoofdstukken III en IV van Richtlijn (EU) 2022\/2557 niet van toepassing zijn op financi\u00eble entiteiten die onder het toepassingsgebied van die richtlijn vallen.<\/p>\n\n\n\n