Verordening 2022/2554 - Digitale operationele weerbaarheid voor de financiële sector - Hoofdinhoud

NL

Publicatieblad van de Europese Unie

L 333/1

In het digitale tijdperk ondersteunt informatie- en communicatietechnologie (ICT) complexe systemen die worden gebruikt voor dagelijkse activiteiten. ICT houdt belangrijke sectoren van onze economie draaiende, waaronder de financiële sector, en verbetert de werking van de interne markt. Meer digitalisering en onderlinge verwevenheid vergroten ook het ICT-risico, waardoor de samenleving als geheel, en het financiële stelsel in het bijzonder, kwetsbaarder wordt voor cyberdreigingen of ICT-verstoringen. Hoewel het alomtegenwoordige gebruik van ICT-systemen en een hoge mate van digitalisering en connectiviteit tegenwoordig belangrijke kenmerken zijn van de activiteiten van financiële entiteiten in de Unie, moet hun digitale weerbaarheid nog beter worden aangepakt en in hun ruimere operationele kaders worden ingebouwd.

Het gebruik van ICT heeft in de afgelopen decennia een centrale rol gekregen in de verlening van financiële diensten, zodat ICT nu van cruciaal belang is voor de werking van typische dagelijkse functies van alle financiële entiteiten. Digitalisering komt tegenwoordig onder andere naar voren bij bijvoorbeeld betalingen, die steeds minder met op contant geld en papier gebaseerde methoden plaatsvinden en steeds vaker met behulp van digitale oplossingen plaatsvinden, alsook effectenclearing en -afwikkeling, elektronische en algoritmische handel, lenings- en financieringsverrichtingen, peer-to-peerfinanciering, kredietbeoordeling, schadebeheer en backofficeverrichtingen. De verzekeringssector is ook getransformeerd door het gebruik van ICT-technologie, van de opkomst van verzekeringstussenpersonen die met InsurTech werken en hun diensten online aanbieden tot het digitaal afsluiten van verzekeringen. Niet alleen is het geldwezen in de hele sector grotendeels digitaal geworden, maar digitalisering heeft ook gezorgd voor sterkere onderlinge verbanden en afhankelijkheden binnen de financiële sector en met derde aanbieders van infrastructuur en diensten.

Het Europees Comité voor systeemrisico’s (ESRB) heeft in een in 2020 uitgebracht verslag over systemisch cyberrisico bevestigd hoe de bestaande hoge mate van verwevenheid tussen financiële entiteiten, financiële markten en financiëlemarktinfrastructuren, en met name de onderlinge afhankelijkheid van hun ICT-systemen, een systeemkwetsbaarheid zou kunnen vormen, omdat lokale cyberincidenten zich snel van elk van de ongeveer 22 000 financiële entiteiten van de Unie zouden kunnen verspreiden naar het gehele financiële stelsel, niet gehinderd door geografische grenzen. Ernstige ICT-inbreuken die zich in de financiële sector voordoen, hebben niet alleen gevolgen voor afzonderlijke financiële entiteiten. Zij begunstigen ook de verspreiding van lokale kwetsbaarheden via de financiële transmissiekanalen en kunnen negatieve gevolgen voor de stabiliteit van het financiële stelsel van de Unie meebrengen, waaronder liquiditeitsruns en een algeheel verlies van vertrouwen in de financiële markten.

De laatste jaren hebben internationale, uniale en nationale beleidsmakers, toezichthouders en normalisatie-instellingen zich beziggehouden met het ICT-risico en is geprobeerd de digitale weerbaarheid te vergroten, normen vast te stellen en regelgevings- of toezichtwerkzaamheden te coördineren. Op internationaal niveau streven het Bazels Comité voor bankentoezicht, het Comité betalingen en marktinfrastructuur, de Raad voor financiële stabiliteit, het Financial Stability Institute en de G-7 en G20 ernaar de bevoegde autoriteiten en marktdeelnemers in verschillende rechtsgebieden te voorzien van instrumenten om de weerbaarheid van hun financiële stelsels te verbeteren. Die werkzaamheden zijn ook ingegeven door de noodzaak om terdege rekening te houden met het ICT-risico in de context van een onderling zeer sterk verbonden mondiaal financieel stelsel en om te streven naar meer consistentie van relevante beste praktijken.

Ondanks gerichte uniale en nationale beleids- en wetgevingsinitiatieven blijft het ICT-risico een uitdaging vormen voor de operationele weerbaarheid, prestaties en stabiliteit van het financiële stelsel van de Unie. De hervormingen die op de financiële crisis van 2008 volgden, hebben in de eerste plaats de financiële weerbaarheid van de financiële sector van de Unie versterkt en hadden als doel het concurrentievermogen en de stabiliteit van de Unie te waarborgen uit economisch, prudentieel en marktgedragsoogpunt. Hoewel ICT-beveiliging en digitale weerbaarheid deel uitmaken van operationeel risico, hebben zij in de regelgevingsagenda na de financiële crisis minder aandacht gekregen en zijn ze alleen op sommige gebieden van het financiëledienstenbeleid en het regelgevingslandschap van de Unie ontwikkeld, of slechts in een paar lidstaten.

In haar mededeling van 8 maart 2018 met als titel “FinTech-actieplan: voor een meer concurrerende en innovatieve Europese financiële sector”, benadrukte de Commissie dat het van het grootste belang is de financiële sector van de Unie weerbaarder te maken, onder andere vanuit operationeel oogpunt, om te zorgen voor de technologische veiligheid en goede werking ervan en voor een snel herstel van ICT-inbreuken en -incidenten, zodat uiteindelijk financiële diensten in de hele Unie doeltreffend en vlot kunnen worden verricht, ook in stresssituaties, terwijl het vertrouwen van consumenten en markten behouden blijft.

In april 2019 hebben de Europese toezichthoudende autoriteit (Europese Bankautoriteit) (EBA) opgericht bij Verordening (EU) nr. 1093/2010 van het Europees Parlement en de Raad (4) , de Europese toezichthoudende autoriteit (Europese Autoriteit voor verzekeringen en bedrijfspensioenen) (Eiopa) opgericht bij Verordening (EU) nr. 1094/2010 van het Europees Parlement en de Raad (5) en de Europese toezichthoudende autoriteit (Europese Autoriteit voor effecten en markten) (ESMA) opgericht bij Verordening (EU) nr. 1095/2010 van het Europees Parlement en de Raad (6) (gezamenlijk bekend als “Europese toezichthoudende autoriteiten” of “ETA’s”) gezamenlijk technische adviezen uitgebracht waarin werd opgeroepen tot een samenhangende aanpak van het ICT-risico in de financiële sector en werd aanbevolen om op evenredige wijze de digitale operationele weerbaarheid van de financiëledienstensector te versterken door middel van een sectorspecifiek initiatief van de Unie.

De financiële sector van de Unie wordt gereglementeerd door een gemeenschappelijk rulebook en is onderworpen aan een Europees systeem van financieel toezicht. Niettemin zijn de bepalingen inzake digitale operationele weerbaarheid en ICT-beveiliging nog niet volledig of consistent geharmoniseerd, hoewel digitale operationele weerbaarheid cruciaal is voor de financiële stabiliteit en marktintegriteit in het digitale tijdperk, en niet minder belangrijk is dan bijvoorbeeld gemeenschappelijke prudentiële of marktgedragsnormen. Het gemeenschappelijk rulebook en het toezichtsysteem moeten daarom ook voor digitale operationele weerbaarheid worden ontwikkeld, door de mandaten van de bevoegde autoriteiten te versterken om hen in staat te stellen toezicht te houden op het beheer van het ICT-risico in de financiële sector, teneinde de integriteit en efficiëntie van de interne markt te beschermen en de ordelijke werking ervan te vergemakkelijken.

Verschillen in wetgeving en ongelijke nationale regelgevings- of toezichtsbenaderingen met betrekking tot het ICT-risico leiden tot obstakels voor de werking van de interne markt voor financiële diensten die de vlotte uitoefening van de vrijheid van vestiging en het verlenen van diensten belemmeren voor financiële entiteiten die grensoverschrijdend actief zijn. De concurrentie tussen hetzelfde type financiële entiteiten in verschillende lidstaten zou ook kunnen worden verstoord. Dit is in het bijzonder het geval op gebieden waar de harmonisatie op Unieniveau zeer beperkt is gebleven, zoals bij het testen van de digitale operationele weerbaarheid, of geheel ontbreekt, zoals bij het monitoren van het ICT-risico van derde aanbieders. Verschillen als gevolg van geplande ontwikkelingen op nationaal niveau zouden verdere belemmeringen voor de werking van de interne markt meebrengen, ten nadele van de marktdeelnemers en de financiële stabiliteit.

Doordat ICT-risico tot nu toe slechts ten dele op Unieniveau is aangepakt, bestaan op belangrijke gebieden — zoals het melden van ICT-gerelateerde incidenten en het testen van digitale operationele weerbaarheid — lacunes of overlappingen, alsook inconsistenties als gevolg van uiteenlopende nationale regels of kosteninefficiënte toepassing van overlappende regels. Dit is met name nadelig voor een ICT-intensieve gebruiker als de financiële sector, aangezien technologische risico’s zich niet door grenzen laten tegenhouden en de financiële sector zijn diensten op brede grensoverschrijdende schaal binnen en buiten de Unie verleent. Individuele financiële entiteiten die grensoverschrijdend actief zijn of over meerdere vergunningen beschikken (een financiële entiteit kan bijvoorbeeld vergunningen als bank, als beleggingsonderneming en als betalingsinstelling hebben die elk zijn afgegeven door verschillende bevoegde autoriteiten in een of meer lidstaten) hebben te maken met operationele uitdagingen wanneer zij zelf op samenhangende en kosteneffectieve manier het ICT-risico moeten aanpakken en de negatieve gevolgen van ICT-incidenten moeten beperken.

Aangezien het gemeenschappelijk rulebook niet vergezeld ging van een uitgebreid kader voor ICT- of operationeel risico, is verdere harmonisatie van essentiële vereisten inzake digitale operationele weerbaarheid voor alle financiële entiteiten geboden. Indien financiële entiteiten op basis van die essentiële vereisten hun ICT-capaciteiten en algehele weerbaarheid opbouwden om operationele storingen te weerstaan, zou dit helpen om de stabiliteit en integriteit van de financiële markten van de Unie te behouden en aldus bijdragen tot het waarborgen van een hoog niveau van bescherming van beleggers en consumenten in de Unie. Aangezien deze verordening beoogt bij te dragen tot de vlotte werking van de interne markt, moet zij gebaseerd zijn op de bepalingen van artikel 114 van het Verdrag betreffende de werking van de Europese Unie (“VWEU”), geïnterpreteerd in overeenstemming met de vaste rechtspraak van het Hof van Justitie van de Europese Unie (“Hof van Justitie”).

Deze verordening is gericht op het consolideren en verbeteren van de vereisten inzake ICT-risico die deel uitmaken van de vereisten inzake operationeel risico, en welke tot dusver afzonderlijk zijn behandeld in verschillende rechtshandelingen van de Unie. Hoewel de belangrijkste categorieën financiële risico’s (bv. kredietrisico, marktrisico, tegenpartijkredietrisico en liquiditeitsrisico, marktgedragrisico) in die rechtshandelingen aan bod kwamen, werden ten tijde van de vaststelling ervan niet alle componenten van operationele weerbaarheid behandeld. In de regels inzake operationeel risico die in die rechtshandelingen van de Unie verder zijn uitgewerkt, is vaak gekozen voor een traditionele kwantitatieve aanpak van risico’s (namelijk de vaststelling van een kapitaalvereiste om het ICT-risico te dekken), in plaats van gerichte kwalitatieve regels voor bescherming, opsporing, inperking, herstel en reparatie bij ICT-gerelateerde incidenten of voor capaciteit inzake rapportage en digitale tests. Die handelingen waren in de eerste plaats bedoeld om essentiële regels inzake prudentieel toezicht, marktintegriteit of marktgedrag vast te stellen en deze bij te werken. Door de verschillende regels inzake ICT-risico te consolideren en bij te werken, zouden alle bepalingen met betrekking tot digitaal risico in de financiële sector voor de eerste keer op consistente wijze in één wetgevingshandeling moeten worden samengebracht. Deze verordening vult dus leemten op in sommige van de eerdere rechtshandelingen of neemt inconsistenties daarin weg, ook wat betreft de daarin gebruikte terminologie, en verwijst expliciet naar ICT-risico door middel van gerichte regels inzake ICT-risicobeheercapaciteiten, rapportage van incidenten, tests van de operationele weerbaarheid en bewaking van het ICT-risico van derde aanbieders. Deze verordening moet dus ook het bewustzijn inzake het ICT-risico vergroten en erkennen dat ICT-incidenten en een gebrek aan operationele weerbaarheid de gezondheid van financiële entiteiten in gevaar kunnen brengen.

Financiële entiteiten moeten, rekening houdend met hun omvang en algeheel risicoprofiel en de aard, schaal en complexiteit van hun diensten, activiteiten en verrichtingen, dezelfde benadering en dezelfde op beginselen gebaseerde regels volgen wanneer zij ICT-risico aanpakken. Consistentie draagt bij tot een groter vertrouwen in het financiële stelsel en tot het behoud van de stabiliteit ervan, met name in tijden van grote afhankelijkheid van ICT-systemen, -platforms en -infrastructuren, waardoor het digitale risico stijgt. De inachtneming van elementaire cyberhygiëne kan ook grote schade voor de economie voorkomen door de gevolgen en kosten van ICT-verstoringen tot een minimum te beperken.

Een verordening helpt de complexiteit van de regelgeving te verminderen, bevordert de convergentie van het toezicht en vergroot de rechtszekerheid, en draagt ook bij tot het beperken van de nalevingskosten, vooral voor financiële entiteiten die grensoverschrijdend actief zijn, en tot het verminderen van concurrentieverstoringen. Voor de vaststelling van een gemeenschappelijk kader voor de digitale operationele weerbaarheid van financiële entiteiten kan daarom het best een verordening worden gekozen om te zorgen voor een homogene en coherente toepassing van alle componenten van het ICT-risicobeheer door de financiële sector van de Unie.

Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad (7) was het eerste horizontale kader voor cyberbeveiliging dat op Unieniveau werd vastgesteld en dat ook van toepassing is op drie soorten financiële entiteiten, namelijk kredietinstellingen, handelsplatformen en centrale tegenpartijen. Aangezien Richtlijn (EU) 2016/1148 voorziet in een mechanisme voor de identificatie op nationaal niveau van aanbieders van essentiële diensten, werden echter alleen bepaalde door de lidstaten geïdentificeerde kredietinstellingen, handelsplatformen en centrale tegenpartijen in de praktijk binnen het toepassingsgebied ervan gebracht zodat zij moeten voldoen aan de daarin vastgestelde vereisten inzake ICT-beveiliging en melding van incidenten. Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad (8) stelt een uniform criterium vast om te bepalen welke entiteiten binnen het toepassingsgebied ervan vallen (size-capregel) en behoudt ook de drie soorten financiële entiteiten binnen dat toepassingsgebied.

Aangezien deze verordening het niveau van harmonisatie van de verschillende onderdelen van digitale weerbaarheid verhoogt door vereisten inzake ICT-risicobeheer en rapportage van ICT-gerelateerde incidenten in te voeren die strenger zijn dan die welke in het huidige Unierecht inzake financiële diensten zijn opgenomen, komt dit hogere niveau echter ook neer op een grotere harmonisatie in vergelijking met de vereisten van Richtlijn (EU) 2022/2555. Deze verordening is dus een lex specialis ten opzichte van Richtlijn (EU) 2022/2555. Tegelijkertijd is het cruciaal om een sterke relatie tussen de financiële sector en het thans in Richtlijn (EU) 2022/2555 vastgelegde horizontale cyberbeveiligingskader van de Unie te handhaven, teneinde te zorgen voor samenhang met de door de lidstaten ingevoerde cyberbeveiligingsstrategieën, en financiële toezichthouders te kunnen wijzen op cyberincidenten die gevolgen hebben voor de andere sectoren die onder die Richtlijn vallen.

Overeenkomstig artikel 4, lid 2, van het Verdrag betreffende de Europese Unie en onverminderd de rechterlijke toetsing door het Hof van Justitie, mag deze verordening geen afbreuk doen aan de verantwoordelijkheid van de lidstaten met betrekking tot essentiële staatsfuncties op het gebied van openbare veiligheid, defensie en de bescherming van de nationale veiligheid, bijvoorbeeld met betrekking tot het verstrekken van informatie die in strijd zou zijn met de bescherming van de nationale veiligheid.

Om sectoroverschrijdend leren mogelijk te maken en daadwerkelijk gebruik te maken van de ervaringen van andere sectoren bij de aanpak van cyberdreigingen, moeten de in Richtlijn (EU) 2022/2555 bedoelde financiële entiteiten deel blijven uitmaken van het “ecosysteem” van die richtlijn (bijvoorbeeld de samenwerkingsgroep en computer security incident response teams (CSIRT’s)). De ETA’s en nationale bevoegde autoriteiten moeten in staat zijn deel te nemen aan de strategische beleidsdiscussies en de technische werkzaamheden van de samenwerkingsgroep uit hoofde van die richtlijn, en daarnaast moeten zij in staat zijn informatie uit te wisselen en te blijven samenwerken met de overeenkomstig die richtlijn aangewezen of ingestelde centrale contactpunten. De bevoegde autoriteiten in de zin van deze verordening moeten ook overleg plegen en samenwerken met de CSIRT’s. De bevoegde autoriteiten moeten ook technisch advies kunnen inwinnen bij de overeenkomstig Richtlijn (EU) 2022/2555 aangewezen of ingestelde bevoegde autoriteiten, en samenwerkingsovereenkomsten kunnen sluiten om te zorgen voor coördinatiemechanismen voor doeltreffende en snelle respons.

Gezien de sterke verwevenheid tussen de digitale en de fysieke weerbaarheid van financiële entiteiten behoeft deze verordening en Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad (9) een coherente aanpak met betrekking tot de weerbaarheid van kritieke entiteiten. Aangezien de fysieke weerbaarheid van financiële entiteiten breed wordt aangepakt door de in deze verordening genoemde verplichtingen inzake ICT-risicobeheer en -rapportage, mogen de in de hoofdstukken III en IV van Richtlijn (EU)2022/2557/ vastgelegde verplichtingen niet van toepassing zijn op financiële entiteiten die binnen het toepassingsgebied van die richtlijn vallen.

Aanbieders van cloudcomputingdiensten zijn een van de categorieën digitale infrastructuur die onder Richtlijn (EU) 2022/2555 vallen. Het bij deze verordening vastgestelde oversightkader van de Unie (oversightkader) is van toepassing op alle kritieke derde aanbieders van ICT-diensten, waaronder aanbieders van cloudcomputingdiensten die ICT-diensten aan financiële entiteiten verlenen, en moet als complementair aan het krachtens Richtlijn (EU) 2022/2555 verrichte toezicht worden beschouwd. Bovendien moet het bij deze verordening vastgestelde oversightkader betrekking hebben op aanbieders van cloudcomputingdiensten, gezien het ontbreken van een horizontaal kader van de Unie tot oprichting van een autoriteit voor digitale oversight.

Om het ICT-risico volledig onder controle te houden, moeten financiële entiteiten beschikken over alomvattende capaciteiten die een krachtig en doeltreffend ICT-risicobeheer mogelijk maken, evenals specifieke mechanismen en beleidsmaatregelen voor de respons op alle ICT-gerelateerde incidenten en voor het melden van ernstige ICT-gerelateerde incidenten. Evenzo moeten financiële entiteiten beschikken over beleidsmaatregelen voor het testen van ICT-systemen, -controles en -procedés en voor het beheren van het ICT-risico van derde aanbieders. Het referentieniveau voor de digitale operationele weerbaarheid van financiële entiteiten moet worden verhoogd, terwijl eveneens een evenredige toepassing van de vereisten mogelijk moet zijn voor bepaalde financiële entiteiten, in het bijzonder micro-ondernemingen, evenals financiële entiteiten die onderworpen zijn aan een vereenvoudigd kader voor ICT-risicobeheer. Om een efficiënt toezicht op instellingen voor bedrijfspensioenvoorziening te bewerkstelligen dat evenredig is en de administratieve lasten voor de bevoegde autoriteiten vermindert, moet in de betrokken nationale toezichtregelingen voor dergelijke financiële entiteiten rekening worden gehouden met hun omvang en algeheel risicoprofiel en met de aard, schaal en complexiteit van hun diensten, activiteiten en verrichtingen, zelfs wanneer de in artikel 5 van Richtlijn (EU) 2016/2341 van het Europees Parlement en de Raad (10) vastgestelde drempels worden overschreden. De toezichtactiviteiten moeten in de eerste plaats gericht zijn op de noodzaak om ernstige risico’s in verband met het ICT-risicobeheer van een bepaalde entiteit aan te pakken.

De bevoegde autoriteiten moeten ook een waakzame maar evenredige aanpak hanteren met betrekking tot het toezicht op instellingen voor bedrijfspensioenvoorziening die overeenkomstig artikel 31 van Richtlijn (EU) 2016/2341 een aanzienlijk deel van hun kernactiviteiten, zoals vermogensbeheer, actuariële berekeningen, boekhouding en gegevensbeheer, uitbesteden aan dienstverleners.

De drempels en taxonomieën voor de rapportage van ICT-gerelateerde incidenten variëren aanzienlijk op nationaal niveau. Hoewel via de relevante werkzaamheden van het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa), dat is opgericht bij Verordening (EU) 2019/881 van het Europees Parlement en de Raad (11), en de samenwerkingsgroep uit hoofde van Richtlijn (EU) 2022/2555 overeenstemming kan worden bereikt, kunnen voor de overige financiële entiteiten verschillende benaderingen inzake het bepalen van de drempels en het gebruik van taxonomieën bestaan of ontstaan. Die verschillen brengen met zich mee dat financiële entiteiten aan vele vereisten moeten voldoen, vooral wanneer zij in verschillende lidstaten actief zijn en wanneer zij deel uitmaken van een financiële groep. Bovendien kunnen dergelijke verschillen een belemmering vormen voor de totstandbrenging van verdere uniforme of gecentraliseerde mechanismen van de Unie die het rapportageproces versnellen en een snelle en vlotte uitwisseling van informatie tussen bevoegde autoriteiten ondersteunen, wat cruciaal is voor het aanpakken van het ICT-risico in geval van grootschalige aanvallen met potentieel systemische gevolgen.

Om de administratieve lasten en mogelijk overlappende rapportageverplichtingen voor bepaalde financiële entiteiten te verminderen, mag de verplichting tot melding van incidenten krachtens Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad (12) niet langer van toepassing zijn op betalingsdienstaanbieders die binnen het toepassingsgebied van deze verordening vallen. Bijgevolg moeten kredietinstellingen, instellingen voor elektronisch geld, betalingsinstellingen en aanbieders van rekeninginformatiediensten, als bedoeld in artikel 33, lid 1, van die richtlijn, vanaf de datum van inwerkingtreding van deze verordening, krachtens deze verordening alle betalingsgerelateerde operationele of beveiligingsincidenten melden die eerder op grond van die richtlijn werden gemeld, ongeacht of dergelijke incidenten ICT-gerelateerd zijn.

Om de bevoegde autoriteiten in staat te stellen toezicht te houden met behulp van een volledig overzicht van de aard, de frequentie, het belang en de impact van ICT-gerelateerde incidenten en om de uitwisseling van informatie tussen relevante overheidsinstanties, waaronder rechtshandhavingsinstanties en afwikkelingsautoriteiten, te bevorderen, moet bij deze verordening een robuuste regeling voor het melden van ICT-gerelateerde incidenten worden vastgesteld met voorschriften die tekortkomingen in het recht inzake financiële diensten aanpakken en tevens, ter verlichting van de kosten, bestaande overlappingen en doublures wegnemen. Het is essentieel de regeling voor het melden van ICT-gerelateerde incidenten te harmoniseren door te bepalen dat de rapportage van alle financiële entiteiten aan hun bevoegde autoriteiten gebeurt via één enkel gestroomlijnd kader zoals uiteengezet in deze verordening. Daarnaast moeten de ETA’s de bevoegdheid krijgen om voor de rapportage van ICT-gerelateerde incidenten relevante elementen nader uit te werken, zoals taxonomie, tijdschema’s, datasets, modellen en toepasselijke drempels. Ten behoeve van volledige overeenstemming met Richtlijn (EU) 2022/2555 moeten financiële entiteiten op vrijwillige basis significante cyberdreigingen aan de relevante bevoegde autoriteit kunnen melden wanneer zij van oordeel zijn dat de cyberdreiging relevant is voor het financiële stelsel, gebruikers van diensten of cliënten.

In bepaalde financiële subsectoren zijn voorschriften voor het testen van de digitale operationele weerbaarheid ontwikkeld, leidend tot niet altijd volledig op elkaar afgestemde kaders. Dit kan voor grensoverschrijdende financiële entiteiten leiden tot dubbele kosten en maakt de wederzijdse erkenning van de resultaten van digitale-operationele-weerbaarheidtests complex, wat dan weer tot versnippering van de interne markt kan leiden.

Bovendien blijven, wanneer ICT-tests niet verplicht zijn, kwetsbaarheden onontdekt, waardoor de financiële entiteit aan ICT-risico’s wordt blootgesteld en uiteindelijk de financiële sector een groter stabiliteits- en integriteitsrisico loopt. Zonder optreden van de Unie blijft het testen van de digitale operationele weerbaarheid inconsistent en komt er geen systeem voor de wederzijdse erkenning van testresultaten tussen verschillende rechtsgebieden. Daarnaast is het onwaarschijnlijk dat andere financiële subsectoren op betekenisvolle schaal testregelingen invoeren, waardoor zij verstoken blijven van de potentiële voordelen van een testkader als het gaat om het onthullen van ICT-kwetsbaarheden en -risico’s en het testen van verdedigingscapaciteiten en bedrijfscontinuïteit, zaken die helpen het vertrouwen van klanten, leveranciers en zakenpartners te vergroten. Om die overlappingen, verschillen en leemten te verhelpen, moeten regels worden vastgesteld voor een gecoördineerde testregeling door financiële entiteiten en bevoegde autoriteiten, zodat de wederzijdse erkenning van geavanceerde tests voor financiële entiteiten die de criteria van deze verordening vervullen, wordt vergemakkelijkt.

Dat financiële entiteiten sterk op het gebruik van ICT-diensten leunen, komt deels doordat zij zich moeten aanpassen aan een opkomende concurrerende digitale mondiale economie, zij hun bedrijfsefficiëntie moeten verbeteren, en zij voldoen moeten aan de vraag van de consument. De aard en de omvang van die afhankelijkheid is de laatste jaren voortdurend in beweging, resulterend in een daling van de kosten van financiële bemiddeling en in mogelijkheden tot bedrijfsuitbreiding en schaalbaarheid bij de ontplooiing van financiële activiteiten, en in een breed aanbod aan ICT-instrumenten voor de aansturing van complexe interne processen.

Het grootschalige gebruik van ICT-diensten komt tot uiting in complexe contractuele overeenkomsten, waarbij financiële entiteiten vaak moeilijkheden ondervinden om te onderhandelen over contractuele voorwaarden die zijn afgestemd op de prudentiële normen of andere regelgevingsvereisten waaraan zij onderworpen zijn. Het kan ook moeilijk zijn specifieke rechten af te dwingen, zoals toegangsrechten of auditrechten, zelfs wanneer deze laatste contractueel zijn vastgelegd. Bovendien voorzien veel van die contractuele overeenkomsten niet in voldoende waarborgen voor de volwaardige monitoring van onderaannemingsprocessen, zodat de financiële entiteit niet langer in staat is de bijbehorende risico’s te beoordelen. Aangezien derde aanbieders van ICT-diensten vaak gestandaardiseerde diensten aanbieden aan verschillende soorten klanten, houden de contractuele overeenkomsten ook niet altijd voldoende rekening met de individuele of specifieke behoeften van actoren uit de financiële sector.

Het Unierecht inzake financiële diensten bevat enkele algemene voorschriften voor uitbesteding, maar daarmee is de monitoring van de contractuele dimensie nog niet volledig in het Unierecht verankerd. Bij ontstentenis van duidelijke, op maat gesneden Unienormen voor contractuele overeenkomsten met derde aanbieders van ICT-diensten wordt de externe bron van ICT-risico niet grondig aangepakt. Het is bijgevolg zaak bepaalde kernbeginselen vast te stellen als leidraad voor het beheer van ICT-risico’s van derden door financiële entiteiten. Die beginselen zijn des te belangrijker wanneer financiële entiteiten ter ondersteuning van kritieke of belangrijke functies een beroep op derde aanbieders van ICT-diensten doen. Aan die beginselen moet een reeks contractuele basisrechten worden gehangen met betrekking tot verschillende elementen van de uitvoering en beëindiging van contractuele overeenkomsten, teneinde bepaalde minimumwaarborgen te verstrekken die het vermogen van de financiële entiteiten moeten versterken om alle mogelijke ICT-risico’s op het niveau van derde aanbieders van diensten doeltreffend te monitoren. Die beginselen vormen een aanvulling op het voor uitbestedingen geldende sectorale recht.

De homogeniteit en convergentie met betrekking tot de monitoring van het ICT-risico van derde aanbieders en de ICT-afhankelijkheden van derde partijen laat momenteel te wensen over. Ondanks inspanningen op het vlak van uitbestedingen, zoals de EBA-richtsnoeren inzake uitbesteding van 2019 en de ESMA-richtsnoeren over uitbesteding aan aanbieders van clouddiensten van 2021, komt de bredere kwestie van de bestrijding van systeemrisico’s die kunnen voortvloeien uit de blootstelling van de financiële sector aan een beperkt aantal kritieke derde aanbieders van ICT-diensten, in het Unierecht onvoldoende aan de orde. Dit wordt nog verergerd door het ontbreken van nationale regelgeving inzake mandaten en instrumenten waarmee financiële toezichthouders zich een goed inzicht in de afhankelijkheden van derden op ICT-gebied zouden kunnen verschaffen en de uit de concentratie van dergelijke afhankelijkheden voortvloeiende risico’s adequaat monitoren.

Rekening houdend met de potentiële systeemrisico’s die de toegenomen uitbesteding en de concentratie van ICT bij derden meebrengen, en met het feit dat nationale mechanismen financiële toezichthouders onvoldoende middelen bieden om de gevolgen van het ICT-risico bij kritieke derde aanbieders van ICT-diensten te kunnen kwantificeren, kwalificeren en herstellen, moet een passend oversightkader tot stand worden gebracht voor de voortdurende monitoring van activiteiten van voor financiële entiteiten kritieke derde aanbieders van ICT-diensten, daarbij zorgend voor vertrouwelijkheid en veiligheid van klanten die geen financiële entiteiten zijn. Aan ICT-dienstverlening binnen een financiële groep zijn specifieke risico’s en voordelen verbonden die evenwel niet automatisch aangemerkt mogen worden als minder risicovol dan ICT-dienstverlening door externe aanbieders. Interne ICT-dienstverlening moet derhalve aan hetzelfde regelgevingskader worden onderworpen. Dat neemt niet weg dat bij interne ICT-dienstverlening vanuit de financiële groep zelf, financiële entiteiten een betere grip op intragroepaanbieders zouden kunnen hebben, iets waarmee bij de algehele risicobeoordeling rekening gehouden moet worden.

Aangezien ICT-risico’s steeds complexer en geavanceerder worden, staan of vallen goede opsporings- en preventiemaatregelen op het vlak van ICT-risico grotendeels met regelmatige uitwisseling van inlichtingen over dreigingen en kwetsbaarheid tussen financiële entiteiten. Uitwisseling van inlichtingen helpt de bewustwording over cyberdreigingen te vergroten. Dit helpt dan weer het vermogen van financiële entiteiten om te voorkomen dat cyberdreigingen tot werkelijke ICT-gerelateerde incidenten uitgroeien te vergroten, en ook kunnen financiële entiteiten dan de impact van ICT-gerelateerde incidenten beter beheersen en sneller ervan herstellen. Bij ontstentenis van richtsnoeren op Unieniveau zijn er verschillende factoren die een dergelijke informatie-uitwisseling lijken te verhinderen, met name onzekerheid over de verenigbaarheid met de regels inzake gegevensbescherming, antitrust en aansprakelijkheid.

Voorts leidt twijfel over het soort informatie dat met andere marktdeelnemers of niet-toezichthoudende autoriteiten (zoals Enisa voor analytische input of Europol voor rechtshandhavingsdoeleinden) mag worden uitgewisseld, ertoe dat nuttige informatie wordt achtergehouden. De informatie-uitwisseling blijft derhalve zowel qua omvang als qua kwaliteit vooralsnog beperkt en gefragmenteerd, waarbij relevante uitwisselingen meestal lokaal plaatsvinden (via nationale initiatieven) zonder samenhangende Uniebrede regelingen voor informatie-uitwisseling die zijn toegesneden op de behoeften van een geïntegreerd financieel stelsel. Het is daarom belangrijk dat die communicatiekanalen versterkt worden.

Financiële entiteiten moeten worden aangemoedigd informatie en inlichtingen over cyberdreigingen tussen elkaar uit te wisselen, en hun individuele kennis en praktische ervaring op strategisch, tactisch en operationeel niveau collectief te benutten, om zo via deelname in informatie-uitwisselingsregelingen beter in staat te zijn cyberdreigingen adequaat te beoordelen, te monitoren, af te weren en aan te pakken. Op Unieniveau moeten er derhalve mechanismen voor vrijwillige informatie-uitwisseling mogelijk worden gemaakt die, wanneer zij in vertrouwde omgevingen worden uitgevoerd, de gehele financiële sector helpen cyberdreigingen te voorkomen en collectief aan te pakken door de verspreiding van ICT-risico snel te beperken en mogelijke besmetting via de financiële kanalen te verhinderen. Die mechanismen moeten in overeenstemming zijn met de toepasselijke mededingingsregels van de Unie uiteengezet in de mededeling van de Commissie van 14 januari 2011 met als titel “Richtsnoeren inzake de toepasselijkheid van artikel 101 van het Verdrag betreffende de werking van de Europese Unie op horizontale samenwerkingsovereenkomsten”, en met haar gegevensbeschermingsregels, meer in het bijzonder Verordening (EU) 2016/679 van het Europees Parlement en de Raad (13). Ook moeten ze gevestigd worden op een of meer van de in artikel 6 van die verordening vastgestelde rechtsgrondslagen, zoals in de context van de verwerking van persoonsgegevens die noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verwerkingsverantwoordelijke of van een derde, als bedoeld in artikel 6, lid 1, punt f), van die verordening, alsmede in de context van de verwerking van persoonsgegevens die noodzakelijk is om te voldoen aan een wettelijke verplichting waaraan de verwerkingsverantwoordelijke onderworpen is, noodzakelijk voor de vervulling van een taak van algemeen belang of een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen, als bedoeld in artikel 6, lid 1, punt c) respectievelijk punt e), van die verordening.

Voor een hoog niveau van digitale operationele weerbaarheid in de hele financiële sector en om daarbij gelijke tred te kunnen houden met de technologische ontwikkelingen, moet deze verordening betrekking hebben op risico’s die uit alle soorten ICT-diensten voortvloeien. Daartoe moet in de context van deze verordening de definitie van ICT-diensten breed worden opgevat en aldus mede digitale en gegevensdiensten omvatten die doorlopend via ICT-systemen aan een of meer interne of externe gebruikers worden geleverd. Die definitie moet onder meer betrekking hebben op zogeheten over-the-topdiensten, die onder de categorie elektronische-communicatiediensten vallen. Uitsluitend de beperkte categorie bestaande uit traditionele, als PSTN-diensten (Public Switched Telephone Network services) aan te merken analoge telefoondiensten, vaste telefoondiensten, verouderde telefoondiensten (Plain Old Telephone Service — POTS), en vastelijntelefoondiensten moet ervan worden uitgesloten.

Ondanks de brede dekking waarin deze verordening voorziet, moet bij de toepassing van de regels inzake digitale operationele weerbaarheid rekening worden gehouden met aanzienlijke verschillen tussen financiële entiteiten qua omvang en qua algeheel risicoprofiel. Als algemeen beginsel geldt dat financiële entiteiten, wanneer zij middelen en capaciteiten vrijmaken voor de uitvoering van het kader voor ICT-risicobeheer, hun ICT-gerelateerde behoeften naar behoren moeten afstemmen op hun omvang en algeheel risicoprofiel, en op de aard, schaal en complexiteit van hun diensten, activiteiten en verrichtingen terwijl de bevoegde autoriteiten de daarbij gehanteerde benadering moeten blijven beoordelen en evalueren.

Aanbieders van rekeninginformatiediensten, in de zin van artikel 33, lid 1, van Richtlijn (EU) 2015/2366, vallen uitdrukkelijk onder het toepassingsgebied van deze verordening, rekening houdend met de specifieke aard van hun activiteiten en de daaruit voortvloeiende risico’s. Onder het toepassingsgebied van deze verordening vallen tevens alle instellingen voor elektronisch geld en betalingsinstellingen die krachtens artikel 9, lid 1, van Richtlijn 2009/110/EG van het Europees Parlement en de Raad (14) en artikel 32, lid 1, van Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad zijn vrijgesteld, zelfs indien zij niet over een vergunning overeenkomstig Richtlijn 2009/110/EG voor de uitgifte van elektronisch geld beschikken, of over een vergunning overeenkomstig Richtlijn (EU) 2015/2366 voor het aanbieden en uitvoeren van betalingsdiensten. Postcheque- en girodiensten als bedoeld in artikel 2, lid 5, punt 3, van Richtlijn 2013/36/EU van het Europees Parlement en de Raad (15) zijn evenwel uitgesloten van het toepassingsgebied van deze verordening. De bevoegde autoriteit die is aangewezen overeenkomstig artikel 22 van Richtlijn (EU) 2015/2366, dient de bevoegde autoriteit te zijn voor betalingsinstellingen die krachtens Richtlijn (EU) 2015/2366 zijn vrijgesteld, voor instellingen voor elektronisch geld die zijn vrijgesteld krachtens Richtlijn 2009/110/EG, en voor aanbieders van rekeninginformatiediensten als bedoeld in artikel 33, lid 1, van Richtlijn (EU) 2015/2366.

Aangezien grotere financiële entiteiten over meer middelen zouden kunnen beschikken en snel financiële middelen kunnen inzetten om governancestructuren te ontwikkelen en diverse bedrijfsstrategieën op te zetten, moeten alleen financiële entiteiten die geen micro-ondernemingen in de zin van deze verordening zijn, verplicht worden complexere governanceregelingen op te zetten. Dergelijke entiteiten zijn met name beter toegerust om specifieke beheersfuncties op te zetten voor het toezicht op regelingen met derde aanbieders van ICT-diensten of voor crisisbeheer, om hun ICT-risicobeheer te organiseren volgens het model van drie verdedigingslinies, of om een intern risicobeheer- en controlemodel op te zetten en hun ICT-risicobeheerkader aan interne audits te onderwerpen.

Sommige financiële entiteiten zijn uit hoofde van het desbetreffende sectorspecifieke Unierecht vrijgesteld of aan een zeer licht regelgevingskader onderworpen. Het gaat daarbij onder meer om beheerders van alternatieve beleggingsfondsen als bedoeld in artikel 3, lid 2, van Richtlijn 2011/61/EU van het Europees Parlement en de Raad (16), verzekerings- en herverzekeringsondernemingen als bedoeld in artikel 4 van Richtlijn 2009/138/EG van het Europees Parlement en de Raad (17), en instellingen voor bedrijfspensioenvoorziening die pensioenregelingen uitvoeren die samen niet meer dan 15 deelnemers tellen. In het licht van die vrijstellingen zou het niet evenredig zijn de betroffen financiële entiteiten onder het toepassingsgebied van deze verordening te laten vallen. Bovendien erkent deze verordening de specifieke kenmerken van de verzekeringsbemiddelingsmarktstructuur, om welke reden verzekeringstussenpersonen, herverzekeringstussenpersonen en nevenverzekeringstussenpersonen die als micro-ondernemingen of als kleine of middelgrote ondernemingen kunnen worden aangemerkt, niet onder deze verordening dienen te vallen.

Aangezien de in artikel 2, lid 5, punten 4 tot en met 23, van Richtlijn 2013/36/EU bedoelde entiteiten niet onder het toepassingsgebied van die richtlijn vallen, moeten de lidstaten ervoor kunnen kiezen dit soort op hun respectieve grondgebied gevestigde entiteiten vrij te stellen van de toepassing van deze verordening.

Om deze verordening in overeenstemming te brengen met het toepassingsgebied van Richtlijn 2014/65/EU van het Europees Parlement en de Raad (18), is het tevens passend natuurlijke en rechtspersonen als bedoeld in de artikelen 2 en 3 van die richtlijn die zonder een vergunning uit hoofde van Richtlijn 2014/65/EU beleggingsdiensten mogen verrichten, van het toepassingsgebied van deze verordening uit te sluiten. Artikel 2 van Richtlijn 2014/65/EU sluit echter ook entiteiten die voor de toepassing van deze verordening als financiële entiteiten kwalificeren, zoals centrale effectenbewaarinstellingen, instellingen voor collectieve belegging of verzekerings- en herverzekeringsondernemingen, uit van het toepassingsgebied van die richtlijn. De uitsluiting van de in de artikelen 2 en 3 van die richtlijn bedoelde personen en entiteiten van het toepassingsgebied van deze verordening mag niet gelden voor die centrale effectenbewaarinstellingen, instellingen voor collectieve belegging of verzekerings- en herverzekeringsondernemingen.

Op grond van sectorspecifiek Unierecht gelden voor sommige financiële entiteiten lichtere eisen of vrijstellingen om redenen die verband houden met hun omvang of de door hen verleende diensten. Die categorie van financiële entiteiten betreft onder meer kleine en niet-verweven beleggingsondernemingen, kleine instellingen voor bedrijfspensioenvoorziening die door de betrokken lidstaat van het toepassingsgebied van Richtlijn (EU) 2016/2341 kunnen worden uitgesloten onder de voorwaarden van artikel 5 van die richtlijn en die pensioenregelingen met bij elkaar niet meer dan 100 deelnemers uitvoeren, alsmede instellingen die krachtens Richtlijn 2013/36/EU zijn vrijgesteld. Het is derhalve overeenkomstig het evenredigheidsbeginsel en met het oog op de geest van het sectorspecifieke Unierecht, tevens passend die financiële entiteiten aan een vereenvoudigd kader voor ICT-risicobeheer in het kader van deze verordening te onderwerpen. Het evenredige karakter van het kader voor ICT-risicobeheer dat die financiële entiteiten bestrijkt, mag niet worden gewijzigd bij de door de ETA’s te ontwikkelen technische reguleringsnormen. Bovendien is het, overeenkomstig het evenredigheidsbeginsel, passend tevens betalingsinstellingen als bedoeld in artikel 32, lid 1, van Richtlijn (EU) 2015/2366 en instellingen voor elektronisch geld als bedoeld in artikel 9 van Richtlijn 2009/110/EG die overeenkomstig het nationale recht tot omzetting van die rechtshandelingen van de Unie zijn vrijgesteld, aan een vereenvoudigd kader voor ICT-risicobeheer uit hoofde van deze verordening te onderwerpen, waarbij zij aangetekend dat betalingsinstellingen en instellingen voor elektronisch geld die niet zijn vrijgesteld overeenkomstig hun respectieve nationale recht tot omzetting van sectoraal Unierecht wel in overeenstemming met het algemene kader van deze verordening moeten zijn.

Evenzo mogen financiële entiteiten die als micro-ondernemingen worden aangemerkt of onder het vereenvoudigde kader voor ICT-risicobeheer in het kader van deze verordening vallen, niet worden verplicht om een functie in te stellen voor het toezicht op hun regelingen met derde aanbieders van ICT-diensten inzake het gebruik van ICT-diensten, of om een lid van het hoger management aan te wijzen dat verantwoordelijk is voor het toezicht op de desbetreffende risicoblootstelling en relevante documentatie; noch om de verantwoordelijkheid voor het beheer van en het toezicht op het ICT-risico aan een controlefunctie toe te wijzen en te zorgen voor passende onafhankelijkheid van die controlefunctie ter voorkoming van belangenconflicten; noch om het kader voor ICT-risicobeheer ten minste eenmaal per jaar te documenteren en te evalueren; noch om het kader voor ICT-risicobeheer regelmatig aan een interne audit te onderwerpen; noch om diepgaande analyses uit te voeren na grote veranderingen in hun infrastructuur en processen voor netwerk- en informatiesystemen; noch om regelmatig risicoanalyses uit te voeren voor legacy-ICT-systemen; noch om de uitvoering van de ICT-respons- en herstelplannen aan een onafhankelijke interne audit te onderwerpen; noch om over een crisisbeheersfunctie te beschikken, noch om de tests van bedrijfscontinuïteit en -respons en herstelplannen uit te breiden om rekening te houden met de scenario’s voor de overschakeling tussen primaire ICT-infrastructuur en de reservefaciliteiten; noch om bevoegde autoriteiten die hierom verzoeken een raming te verstrekken van de geaggregeerde jaarlijkse kosten en verliezen als gevolg van ernstige ICT-gerelateerde incidenten, noch om overbodige ICT-capaciteiten in stand te houden; noch om de nationale bevoegde autoriteiten in kennis te stellen van wijzigingen op basis van evaluaties naar aanleiding van ICT-gerelateerde incidenten; noch om voortdurend toezicht te houden op relevante technologische ontwikkelingen, noch om als integraal onderdeel van het kader voor ICT-risicobeheer waarin deze verordening voorziet een alomvattend programma voor het testen van digitale operationele weerbaarheid op te zetten, of om een strategie inzake ICT-risico’s van derden vast te stellen en regelmatig te evalueren. Daarnaast moet van micro-ondernemingen uitsluitend worden gevraagd op basis van hun risicoprofiel na te gaan of dergelijke overbodige ICT-capaciteiten behouden moeten worden. Voor micro-ondernemingen moet een flexibelere regeling worden ontworpen wat programma’s voor het testen van digitale operationele weerbaarheid betreft. Bij het bepalen van het type uit te voeren tests en de frequentie van die tests, moeten zij een goede afweging maken tussen de doelstelling een hoge digitale operationele weerbaarheid te handhaven, de beschikbare middelen en hun algehele risicoprofiel. Micro-ondernemingen en financiële entiteiten die onder het vereenvoudigde kader voor ICT-risicobeheer uit hoofde van deze verordening vallen, moeten worden vrijgesteld van de verplichting om ICT-instrumenten, -systemen en -processen aan geavanceerde tests op basis van dreigingsgestuurde penetratietests (threat led penetration testing — TLPT) te onderwerpen, aangezien alleen financiële entiteiten die de criteria van deze verordening vervullen verplicht moeten worden dergelijke tests uit te voeren. Gezien hun beperkte mogelijkheden moeten micro-ondernemingen met hun derde aanbieder van ICT-diensten kunnen overeenkomen de rechten van toegang, inspectie en audit van de financiële entiteit te delegeren aan een door de derde aanbieder aan te wijzen onafhankelijke derde partij, op voorwaarde dat de financiële entiteit te allen tijde alle relevante informatie en zekerheid met betrekking tot de prestaties van de derde aanbieder van ICT-diensten bij de respectieve onafhankelijke derde partij kan opvragen.

Aangezien alleen die financiële entiteiten die worden aangemerkt voor geavanceerde tests op digitale weerbaarheid verplicht moeten zijn om dreigingsgestuurde penetratietests uit te voeren, moeten de administratieve processen en de financiële kosten die de uitvoering van dergelijke tests meebrengt, gedragen worden door een klein percentage van de financiële entiteiten.

Om te zorgen voor volledige afstemming en algehele samenhang tussen de bedrijfsstrategieën van financiële entiteiten enerzijds en de uitvoering van ICT-risicobeheer anderzijds, moeten de leidinggevende organen van de financiële entiteit worden verplicht een centrale en actieve rol te blijven spelen bij het sturen en aanpassen van het kader voor ICT-risicobeheer en de algemene strategie voor digitale operationele weerbaarheid. De door de leidinggevende organen te volgen aanpak moet niet alleen gericht zijn op middelen ter waarborging van de weerbaarheid van de ICT-systemen, maar ook op personen en processen. Daarvoor dient een reeks beleidsmaatregelen die alle niveaus van de organisatie en bij alle personeelsleden een sterk bewustzijn van cyberrisico’s bevorderen en de wil ondersteunen om op alle niveaus een strikte cyberhygiëne in acht te nemen. Een overkoepelend beginsel van die alomvattende aanpak moet zijn dat het leidinggevend orgaan de uiteindelijke verantwoordelijkheid draagt voor het beheer van het ICT-risico van een financiële entiteit, vertaald in een voortdurende betrokkenheid van het leidinggevend orgaan bij de controle van de monitoring van het ICT-risicobeheer.

Het beginsel dat het leidinggevend orgaan de volledige en uiteindelijke verantwoordelijkheid draagt voor het beheer van het ICT-risico van de financiële entiteit, betekent bovendien dat moet worden gezorgd voor voldoende ICT-gerelateerde investeringen en een budget waarmee de financiële entiteit grote digitale operationele weerbaarheid kan verwezenlijken.

Deze verordening, die geïnspireerd is op relevante internationale, nationale en sectorale beste praktijken, normen, richtsnoeren, aanbevelingen en benaderingen ten aanzien van het beheer van het cyberrisico, bevordert een reeks beginselen die de algemene structurering van het ICT-risicobeheer ondersteunen. Dat betekent dat zolang de belangrijkste door financiële entiteiten gecreëerde capaciteiten de uiteenlopende functies in het ICT-risicobeheer (identificatie, bescherming en voorkoming, detectie, respons en herstel, scholing en ontwikkeling en communicatie) ten goede komen, het de financiële entiteiten vrij zou moeten staan om anders opgezette of gecategoriseerde modellen voor ICT-risicobeheer te gebruiken.

Om gelijke tred te houden met ontwikkelingen in het cyberdreigingslandschap, moeten financiële entiteiten geactualiseerde ICT-systemen in stand houden die betrouwbaar zijn en niet alleen de gegevensverwerking kunnen garanderen die nodig is voor hun dienstverlening, maar die ook voor voldoende technologische weerbaarheid zorgen, opdat zij adequaat kunnen inspelen op extra verwerkingsbehoeften als gevolg van gespannen marktomstandigheden of andere ongunstige situaties.

Er zijn efficiënte bedrijfscontinuïteits- en herstelplannen nodig om financiële entiteiten in staat te stellen ICT-gerelateerde incidenten snel op te lossen, met name cyberaanvallen, door overeenkomstig hun backupbeleid de schade te beperken en prioriteit te geven aan de hervatting van activiteiten en aan herstelmaatregelen. Een dergelijke hervatting mag echter op geen enkele wijze ten koste gaan van de integriteit en veiligheid van de netwerk- en informatiesystemen of de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van gegevens.

Hoewel deze verordening financiële entiteiten toestaat op flexibele wijze hun eigen hersteltijd- en herstelpuntdoelstellingen vast te stellen en daarbij derhalve ten volle rekening te houden met de aard en het kritieke karakter van de betrokken functies en met eventuele specifieke bedrijfsbehoeften, moeten zij bij deze verordening verplicht worden om bij het vaststellen van dergelijke doelstellingen toch ook het mogelijke algemene effect op de marktefficiëntie te evalueren.

Daders van cyberaanvallen zijn doorgaans op zoek naar financieel gewin rechtstreeks aan de bron, met alle verregaande gevolgen voor financiële entiteiten van dien. Om te voorkomen dat ICT-systemen aan integriteit inboeten of onbeschikbaar worden, en dus om inbreuken op gegevens en schade aan fysieke ICT-infrastructuur te voorkomen, moet de rapportage van ernstige ICT-gerelateerde incidenten door financiële entiteiten aanzienlijk worden verbeterd en gestroomlijnd. De rapportage van ICT-gerelateerde incidenten moet worden geharmoniseerd door alle financiële entiteiten te verplichten rechtstreeks aan hun desbetreffende bevoegde autoriteiten te rapporteren. Staat een financiële entiteit onder toezicht van meer dan één nationale bevoegde autoriteit, dan bepaalt de lidstaat aan welke ene daarvan de rapportage gericht moet worden. Kredietinstellingen die overeenkomstig artikel 6, lid 4, van Verordening (EU) nr. 1024/2013 van de Raad (19) als significant zijn geclassificeerd, moeten deze rapportage indienen bij de nationale bevoegde autoriteiten, die het verslag vervolgens aan de Europese Centrale Bank (ECB) toezenden.

De rechtstreekse rapportage moet het financiële toezichthouders mogelijk maken zich onmiddellijke toegang tot informatie over ernstige ICT-gerelateerde incidenten te verschaffen. Financiële toezichthouders moeten op hun beurt bijzonderheden over ernstige ICT-gerelateerde incidenten doorgeven aan publieke niet-financiële autoriteiten (bijvoorbeeld bevoegde autoriteiten en centrale contactpunten uit hoofde van Richtlijn (EU) 2022/2555, nationale gegevensbeschermingsautoriteiten en rechtshandhavingsautoriteiten voor ernstige ICT-gerelateerde incidenten van criminele aard), teneinde die autoriteiten bewuster van dergelijke incidenten te maken en, wat CSIRT’s betreft, om in voorkomend geval snelle bijstand aan financiële entiteiten te faciliteren. Voorts moeten de lidstaten financiële entiteiten kunnen verplichten dergelijke informatie zelf aan overheidsinstanties buiten het financiëledienstengebied te verstrekken. Dankzij die informatiestromen moeten financiële entiteiten snel hun voordeel kunnen doen met relevante technische input, advies over corrigerende maatregelen en daaropvolgende follow-up door deze overheidsinstanties. De informatie over ernstige ICT-gerelateerde incidenten moet onderling worden gedeeld: de financiële toezichthouders moeten de financiële entiteit alle nodige feedback of richtsnoeren geven, en de ETA’s moeten geanonimiseerde gegevens over cyberdreigingen en -kwetsbaarheden in verband met een incident delen, dit alles met het oog op een bredere collectieve verdediging.

Hoewel van alle financiële entiteiten moet worden vereist dat zij incidenten melden, wordt niet verwacht dat dit vereiste hen alle op dezelfde wijze treft. Relevante materialiteitsdrempels en rapportagetermijnen moeten immers naar behoren worden aangepast in het kader van gedelegeerde handelingen die gebaseerd zijn op de door de ETA’s te ontwikkelen technische reguleringsnormen, zodat alleen ernstige ICT-incidenten worden bestreken. Bovendien moet bij het vastleggen van termijnen voor rapportageverplichtingen rekening worden gehouden met de specifieke kenmerken van financiële entiteiten.

Deze verordening moet kredietinstellingen, betalingsinstellingen, dienstverleners van rekeninginformatie en instellingen voor elektronisch geld verplichten, alle betalingsgerelateerde operationele of beveiligingsincidenten — die voorheen werden gemeld uit hoofde van Richtlijn (EU) 2015/2366 — te rapporteren, ongeacht de ICT-aard van het incident.

De ETA’s moeten worden belast met het beoordelen van de haalbaarheid van en de voorwaarden voor een mogelijke centralisatie van rapporten over ICT-incidenten op Unieniveau. Een dergelijke centralisatie zou kunnen bestaan uit één EU-hub voor de melding van ernstige ICT-incidenten; deze ontvangt ofwel rechtstreeks rapporten en stelt de nationale bevoegde autoriteiten daarvan automatisch in kennis, ofwel ontvangt de hub slechts de relevante rapporten die hem door de nationale autoriteiten worden toegezonden, bewaart hij deze centraal en heeft hij zodoende een coördinerende rol. De ETA’s moeten belast worden met de opstelling, in overleg met de ECB en Enisa, van een gezamenlijk verslag waarin wordt nagegaan of het haalbaar is één EU-hub op te richten.

Om een hoog niveau van digitale operationele weerbaarheid te bereiken, en in overeenstemming met zowel de relevante internationale normen (bv. de fundamentele elementen van de G-7 voor dreigingsgestuurde penetratietests) als de in de Unie gebruikte kaders zoals Tiber-EU, moeten financiële entiteiten hun ICT-systemen en hun personeel dat ICT-taken heeft, regelmatig testen op de effectiviteit van hun preventie-, detectie-, respons- en herstelcapaciteiten, om zo potentiële ICT-kwetsbaarheden aan het licht te brengen en te verhelpen. Gelet op de verschillende niveaus van cyberbeveiligingsparaatheid die tussen en binnen de verschillende financiële subsectoren van financiële entiteiten bestaan, moeten de tests verschillende instrumenten en acties omvatten, variërend van de beoordeling van basisvereisten (bv. kwetsbaarheidsbeoordelingen en -scans, open-sourceanalyses, beoordelingen van netwerkbeveiliging, kloofanalyses, fysieke beveiligingsonderzoeken, vragenlijsten, oplossingen voor scanningsoftware, beoordelingen van broncodes indien mogelijk, op scenario’s gebaseerde tests, compatibiliteitstests, prestatietests en end-to-endtests) tot geavanceerdere tests door middel van dreigingsgestuurde penetratietests. Zulke geavanceerde tests zouden alleen vereist moeten zijn voor financiële entiteiten die in ICT-opzicht voldoende ontwikkeld zijn om deze tests redelijkerwijs uit te kunnen voeren. Het testen van de digitale operationele weerbaarheid dat uit hoofde van deze verordening vereist is, moet dus strenger zijn voor die financiële entiteiten die de criteria van deze verordening vervullen (bijvoorbeeld grote, systemische en in ICT-opzicht ontwikkelde kredietinstellingen, effectenbeurzen, centrale effectenbewaarinstellingen en centrale tegenpartijen) dan voor andere financiële entiteiten. Het testen van digitale operationele weerbaarheid door middel van dreigingsgestuurde penetratietests moet worden toegespitst op financiële entiteiten die actief zijn in subsectoren van de belangrijkste financiële diensten en die een systemische rol hebben (bijvoorbeeld betalingen, bankieren, en clearing en afwikkeling) en minder van toepassing zijn op andere subsectoren (bijvoorbeeld vermogensbeheerders en kredietbeoordelaars).

Financiële entiteiten die werkzaam zijn in activiteiten over de grenzen heen en gebruikmaken van de vrijheid van vestiging of dienstverrichting binnen de Unie, moeten in hun lidstaat van herkomst voldoen aan één reeks geavanceerde testvereisten (d.w.z. dreigingsgestuurde penetratietests). Deze tests moeten uitgevoerd worden in de ICT-infrastructuur in alle rechtsgebieden waar de grensoverschrijdende financiële groep binnen de Unie actief is. Dit moet ervoor zorgen dat deze groepen in slechts één rechtsgebied ICT-testkosten hoeven te maken.

Om gebruik te maken van de deskundigheid die sommige instanties reeds in huis hebben — met name in de uitvoering van het Tiber-EU-kader — moet deze verordening de lidstaten de mogelijkheid bieden één overheidsinstantie aan te wijzen als nationaal verantwoordelijke dienst voor alle dreigingsgestuurde penetratietests in de financiële sector, dan wel verschillende instanties die, indien er niet één enkele overheidsinstantie wordt aangewezen, de uitoefening van de met dreigingsgestuurde penetratietests verband houdende taken delegeren aan een andere bevoegde nationale financiële autoriteit.

Aangezien deze verordening niet vereist dat financiële entiteiten alle kritieke of belangrijke functies in één enkele dreigingsgestuurde penetratietest dekken, moeten financiële entiteiten vrijelijk kunnen bepalen welke en hoeveel kritieke of belangrijke functies in een dergelijke test worden opgenomen.

Gebundeld testen in de zin van deze Verordening (dat wil zeggen: verschillende financiële entiteiten nemen deel aan een dreigingsgestuurde penetratietest, en een derde aanbieder van ICT-diensten kan rechtstreeks contractuele overeenkomsten treffen met een externe tester) mag alleen worden toegestaan indien redelijkerwijs kan worden verwacht dat de kwaliteit of de beveiliging van de diensten die door de derde aanbieder van ICT-diensten worden geleverd aan klanten die buiten het toepassingsgebied van deze verordening vallende entiteiten zijn, of de vertrouwelijkheid van de gegevens met betrekking tot dergelijke diensten, negatief worden beïnvloed. Gebundeld testen moet ook onderworpen zijn aan waarborgen (leiding in handen van één aangewezen financiële entiteit, ijking van het aantal deelnemende financiële entiteiten) om zo voor de betrokken financiële entiteiten een rigoureuze testoefening te garanderen die voldoet aan de doelstellingen van de dreigingsgestuurde penetratie uit hoofde van deze verordening.

Om te kunnen gebruikmaken van interne middelen op bedrijfsniveau moet deze verordening het gebruik van interne testers voor een dreigingsgestuurde penetratie toestaan, op voorwaarde dat er toestemming van de toezichthouder is, er geen belangenconflicten zijn, en het gebruik van interne testers periodiek (dat wil zeggen: ten minste om de drie tests) wordt afgewisseld met het gebruik van externe testers; daarbij moet ook worden geëist dat de verstrekker van de inlichtingen over dreigingen in de dreigingsgestuurde penetratie altijd extern is ten opzichte van de geteste financiële entiteit. De verantwoordelijkheid voor de uitvoering van dreigingsgestuurde penetraties moet volledig bij de financiële entiteit blijven berusten. Attesten die door de autoriteiten worden verstrekt, mogen uitsluitend wederzijdse erkenning tot doel hebben en niet in de weg staan van eventuele vervolgmaatregelen die nodig zijn om het ICT-risico te verhelpen waaraan de financiële entiteit is blootgesteld. Dergelijke attesten mogen ook niet worden beschouwd als een goedkeuring door de toezichthouder van het vermogen van een financiële entiteit ICT-risico’s te beheersen en te beperken.

Voor een gedegen bewaking van het ICT-derdenrisico in de financiële sector moet een reeks op beginselen gebaseerde regels worden vastgelegd als leidraad voor financiële entiteiten bij de bewaking van risico’s die ontstaan in functies die zijn uitbesteed aan derde aanbieders van ICT-diensten. Dit geldt met name voor ICT-diensten die kritieke of belangrijke functies ondersteunen, alsmede meer in het algemeen voor alle vormen van afhankelijkheid van ICT-derden.

Gelet op de complexiteit van de verschillende bronnen van ICT-risico en de veelheid en diversiteit van verleners van technologische oplossingen die een soepele verlening van financiële diensten mogelijk maken, moet deze verordening dienovereenkomstig betrekking hebben op een veelheid van derde aanbieders van ICT-diensten, waaronder verleners van cloudcomputingdiensten, software, diensten voor data-analyse en verleners van datacentrumdiensten. Aangezien financiële entiteiten op effectieve en coherente wijze alle soorten risico’s moeten kennen en beheersen — ook bij ICT-diensten die binnen een financiële groep worden aanbesteed — moet het duidelijk zijn dat ook ondernemingen die deel uitmaken van een financiële groep en die hoofdzakelijk ICT-diensten verlenen aan hun moederonderneming, aan dochterondernemingen of aan bijkantoren van hun moederonderneming, alsmede financiële entiteiten die ICT-diensten verlenen aan andere financiële entiteiten, moeten worden beschouwd als derde aanbieders van ICT-diensten in de zin van deze verordening. Tot slot moeten, in het licht van de zich ontwikkelende markt voor betalingsdiensten die steeds afhankelijker worden van complexe technische oplossingen, en in het licht van opkomende betalingsdiensten en betalingsoplossingen, deelnemers in het geheel van betalingsdiensten die betalingsverwerkingsactiviteiten verrichten of betalingsinfrastructuren exploiteren, ook worden beschouwd als derde aanbieders van ICT-diensten in de zin van deze verordening; een uitzondering geldt voor centrale banken wanneer deze betalings- of effectenafwikkelingen verrichten, en overheidsinstanties wanneer deze ICT-diensten verlenen in het kader van de verrichting van overheidsfuncties.

Een financiële entiteit moet te allen tijde volledig verantwoordelijk blijven voor de naleving van haar in deze verordening vervatte verplichtingen. Financiële entiteiten moeten een evenredige benadering hanteren van de monitoring van de risico’s die zich voordoen op het niveau van derde aanbieders van ICT-diensten, en wel door terdege te letten op de aard, de omvang, de complexiteit en het belang van hun ICT-afhankelijkheden, alsook op het kritieke karakter of het belang van de diensten, processen of functies die onder de contractuele overeenkomsten vallen. Tot slot dient de monitoring gebaseerd te zijn op een zorgvuldige beoordeling van de mogelijke impact op de continuïteit en de kwaliteit van de financiële diensten die zij verlenen aan individuen en groepen, naargelang het geval.

De monitoring moet een strategische benadering volgen van het ICT-risico dat bestaat wanneer derde dienstverleners in de arm worden genomen. Deze benadering moet geformaliseerd worden doordat het leidinggevend orgaan van de financiële entiteit een specifieke strategie voor het ICT-risico van derde dienstverleners heeft die is gebaseerd op een continue screening van alle ICT-afhankelijkheden van derden. Om ervoor te zorgen dat toezichthouders zich beter bewust zijn van de afhankelijkheden van ICT-derden en om de werkzaamheden in verband met het bij deze verordening ingestelde oversightkader verder te ondersteunen, moeten alle financiële entiteiten worden verplicht een register bij te houden met informatie over alle contractuele overeenkomsten inzake het gebruik van ICT-diensten die door derde aanbieders van ICT-diensten worden geleverd. Financiële toezichthouders moeten het volledige register kunnen opvragen of om bepaalde delen daarvan kunnen verzoeken om zo essentiële informatie te kunnen verkrijgen waarmee zij een beter inzicht kunnen krijgen in de ICT-afhankelijkheden van financiële entiteiten.

Een grondige analyse voorafgaand aan het sluiten van contracten moet de basis vormen voor en voorafgaan aan de formele sluiting van contractuele overeenkomsten. De analyse moet zich met name richten op elementen als het kritieke karakter en het belang van de diensten waarop het beoogde ICT-contract betrekking heeft, de nodige goedkeuringen door de toezichthouder, eventuele andere voorwaarden, en het mogelijke concentratierisico van de contracten. Ook moet aandacht worden geschonken aan zorgvuldigheidseisen bij de selectie en beoordeling van derde aanbieders van ICT-diensten en aan mogelijke belangenconflicten. Bij contractuele overeenkomsten die kritieke of belangrijke functies betreffen, moeten financiële entiteiten letten op het gebruik door derde aanbieders van ICT-diensten van de meest actuele en hoogste normen voor informatiebeveiliging. De beëindiging van contractuele overeenkomsten zou in ieder geval het gevolg kunnen zijn van een reeks omstandigheden waaruit tekortkomingen op het niveau van de derde aanbieder van ICT-diensten blijken; met name valt te denken aan ernstige inbreuken op wetten of contractuele voorwaarden, omstandigheden waaruit een mogelijke wijziging van de uitvoering van de in de contractuele overeenkomsten voorziene functies blijkt, aanwijzingen dat er zwakke punten zijn bij de derde aanbieder van ICT-diensten in diens algemene ICT-risicobeheer, of omstandigheden die erop wijzen dat de relevante bevoegde autoriteit niet in staat is daadwerkelijk toezicht uit te oefenen op de financiële entiteit.

Om de systemische impact van het risico van concentratie van ICT-derden te beperken, wordt in deze verordening een evenwichtige aanpak bepleit door middel van een flexibele en geleidelijke aanpak van zulk concentratierisico. Het opleggen van onwrikbare risicoplafonds of strikte beperkingen zou immers de bedrijfsvoering kunnen belemmeren en de contractvrijheid kunnen beperken. Financiële entiteiten moeten de contractuele overeenkomsten die zij willen sluiten, grondig onderzoeken om na te gaan hoe groot de kans is dat een dergelijk risico zich zal voordoen, onder meer door overeenkomsten tot onderaanbesteding onder de loep te nemen, met name indien die worden gesloten met derde aanbieders van ICT-diensten die in een derde land zijn gevestigd. Ten behoeve van een billijk evenwicht tussen contractuele vrijheid en financiële stabiliteit wordt het op dit ogenblik niet wenselijk geacht te voorzien in regels betreffende strikte plafonds voor en beperkingen van ICT-blootstellingen aan derden. Een lead overseer die conform deze verordening wordt aangewezen, moet in het kader van het oversightkader bijzondere aandacht schenken aan kritieke derde aanbieders van ICT-diensten en dient een volledig beeld te krijgen van de omvang van onderlinge afhankelijkheden, specifieke gevallen aan het licht te brengen waarin een hoge mate van concentratie van kritieke derde aanbieders van ICT-diensten in de Unie waarschijnlijk de stabiliteit en integriteit van het financiële stelsel van de Unie onder druk zal zetten, en, wanneer zo’n specifiek risico wordt ontdekt, in dialoog treden met de betrokken kritieke derde aanbieders van ICT-diensten.

Om regelmatig het vermogen te evalueren en te monitoren van een derde aanbieder van ICT-diensten, veilig diensten aan een financiële entiteit te verlenen zonder nadelige gevolgen voor de digitale operationele weerbaarheid van een financiële entiteit, moeten een aantal belangrijke elementen in de contractuele overeenkomsten met derde aanbieders van ICT-diensten worden geharmoniseerd. Dergelijke harmonisatie moet minimumgebieden bestrijken die cruciaal zijn voor een volledige monitoring door de financiële entiteit van de risico’s die gepaard kunnen gaan met het in de arm nemen van derde aanbieders van ICT-diensten. Dit gelet op de noodzaak voor een financiële entiteit om haar digitale weerbaarheid veilig te stellen; een financiële entiteit is immers sterk afhankelijk van de stabiliteit, de functionaliteit, de beschikbaarheid en de veiligheid van de ICT-diensten die haar worden verleend.

Indien er opnieuw moet worden onderhandeld over contractuele overeenkomsten om deze af te stemmen op de vereisten van deze verordening, moeten financiële entiteiten en derde aanbieders van ICT-diensten ervoor zorgen dat de belangrijkste contractuele bepalingen die deze verordening voorschrijft, in de nieuwe overeenkomsten worden opgenomen.

De definitie van “kritieke of belangrijke functie” in deze verordening omvat de “kritieke functies” als bedoeld in artikel 2, lid 1, punt 35, van Richtlijn 2014/59/EU van het Europees Parlement en de Raad (20). Dienovereenkomstig worden functies die overeenkomstig Richtlijn 2014/59/EU als kritiek worden beschouwd, opgenomen in de definitie van kritieke functies in de zin van deze verordening.

Ongeacht het kritieke karakter of het belang van de door ICT-diensten ondersteunde functie, moeten contractuele overeenkomsten met name de volledige beschrijvingen bevatten van functies en diensten, van de locaties waar dergelijke functies worden geleverd en waar data worden verwerkt, alsmede een indicatie van de beschrijvingen van het dienstverleningsniveau. Andere cruciale elementen om de monitoring door de financiële entiteit van het ICT-risico van derde aanbieders mogelijk te maken, zijn: contractuele bepalingen waarin wordt gespecificeerd hoe derde aanbieders van ICT-diensten de toegankelijkheid, beschikbaarheid, integriteit, beveiliging en bescherming van persoonsgegevens verzekeren, bepalingen tot vaststelling van de relevante garanties inzake de toegang, het herstel en de teruggave in geval van insolventie, afwikkeling of stopzetting van de bedrijfsactiviteiten van de derde aanbieder van ICT-diensten. Ook belangrijk zijn contractuele bepalingen waarin van de derde aanbieder van ICT-diensten wordt verlangd dat deze assistentie biedt bij ICT-incidenten in verband met de diensten die hij verleent, en wel zonder extra kosten of tegen kosten die van tevoren zijn afgesproken, alsmede contractuele bepalingen waarin de derde aanbieder van ICT-diensten wordt verplicht volledig samen te werken met de bevoegde autoriteiten en de afwikkelingsautoriteiten van de financiële entiteit, en bepalingen inzake beëindigingsrechten en de bijbehorende minimumopzegtermijnen voor de beëindiging van de contractuele overeenkomsten, in overeenstemming met de verwachtingen van de bevoegde autoriteiten en de afwikkelingsautoriteiten.

Benevens dergelijke contractuele bepalingen, en om ervoor te zorgen dat financiële entiteiten de volledige controle behouden over alle ontwikkelingen op het niveau van derde partijen die hun ICT-beveiliging in het gedrang kunnen brengen, moeten de contracten voor de levering van ICT-diensten die kritieke of belangrijke functies ondersteunen, ook voorzien in het volgende: specificatie van de volledige beschrijvingen van het dienstenniveau, met precieze kwantitatieve en kwalitatieve prestatiedoelstellingen, opdat zonder onnodige vertraging corrigerende maatregelen kunnen worden getroffen indien de overeengekomen dienstenniveaus niet gehaald worden; de relevante kennisgevingsperioden en rapportageverplichtingen van de derde aanbieder van ICT-diensten in geval van ontwikkelingen met een potentiële materiële impact op het vermogen van de derde aanbieder van ICT-diensten om hun respectieve ICT-diensten daadwerkelijk te leveren; een verplichting voor de derde aanbieder van ICT-diensten om bedrijfsnoodplannen uit te voeren en te testen en te beschikken over ICT-beveiligingsmaatregelen, -instrumenten en -beleidsmaatregelen die een veilige dienstverlening mogelijk maken, en om deel te nemen aan en volledig mee te werken aan de TLPT die door de financiële entiteit wordt uitgevoerd.

Contracten voor het leveren van ICT-diensten ter ondersteuning van kritieke of belangrijke functies moeten tevens bepalingen bevatten inzake rechten van toegang, inspectie en audit door de financiële entiteit of een aangewezen derde, alsook het recht om kopieën te maken. Dit zijn cruciale instrumenten voor de permanente monitoring door de financiële entiteit van de prestaties van de derde aanbieder van ICT-diensten, evenals de volledige medewerking van de dienstverlener tijdens inspecties. Evenzo moet de autoriteit van de financiële entiteit het recht hebben om, na kennisgeving, de derde aanbieder van ICT-diensten te inspecteren en te auditen, onder het voorbehoud van de bescherming van vertrouwelijke informatie.

Dergelijke contractuele overeenkomsten moeten ook voorzien in specifieke exitstrategieën die met name verplichte overgangsperioden mogelijk maken waarin de derde aanbieder van ICT-diensten de relevante diensten moeten blijven verrichten om zo het risico op verstoringen bij de financiële entiteit te beperken, dan wel de financiële entiteit in staat te stellen daadwerkelijk over te stappen naar andere derde aanbieders van ICT-diensten, of anders over te gaan op interne oplossingen, een en ander in overeenstemming met de complexiteit van de verleende ICT-dienst. Bovendien moeten financiële entiteiten die binnen het toepassingsgebied van Richtlijn 2014/59/EU vallen, ervoor zorgen dat de relevante contracten voor ICT-diensten degelijk en volledig afdwingbaar zijn in geval van afwikkeling van die financiële entiteiten. Daarom moeten die financiële entiteiten erop toezien dat, in overeenstemming met de verwachtingen van de afwikkelingsautoriteiten, hun contracten voor ICT-diensten afwikkelingsbestendig zijn. Zolang zij aan hun betalingsverplichtingen blijven voldoen, moeten die financiële entiteiten er onder meer voor zorgen dat hun contracten voor ICT-diensten clausules bevatten voor niet-beëindiging, niet-opschorting en niet-wijziging op grond van herstructurering of afwikkeling.

Bovendien kan het vrijwillige gebruik van modelcontractbepalingen die door overheidsinstellingen of de instellingen van de Unie zijn ontwikkeld, en in het bijzonder het gebruik van door de Commissie ontwikkelde bepalingen inzake cloudcomputingdiensten, de financiële entiteiten en derde aanbieders van ICT-diensten meer zekerheid bieden doordat zij meer rechtszekerheid hebben over het gebruik van cloudcomputingdiensten in de financiële sector, in volledige overeenstemming met de vereisten en verwachtingen van het Unierecht inzake financiële diensten. De ontwikkeling van modelcontractbepalingen bouwt voort op maatregelen die al waren gepland in het FinTech-actieplan uit 2018. Daarin werd het voornemen van de Commissie aangekondigd om de ontwikkeling van modelcontractbepalingen voor de uitbesteding van cloudcomputingdiensten door financiële entiteiten aan te moedigen en te vergemakkelijken, waarbij gebruik wordt gemaakt van sectoroverschrijdende inspanningen van belanghebbenden op het gebied van cloudcomputingdiensten, die de Commissie met hulp van de financiële sector heeft vergemakkelijkt.

Om de convergentie en efficiëntie van de verschillende benaderingen voor toezicht op risico’s bij derde aanbieders van ICT-diensten in de financiële sector te bevorderen, alsmede om de digitale operationele weerbaarheid te versterken van financiële entiteiten die afhankelijk zijn van kritieke derde aanbieders van ICT-diensten voor het verlenen van ICT-diensten die het leveren van financiële diensten ondersteunen, en zo bij te dragen aan het behoud van de stabiliteit van het financiële stelsel van de Unie en de integriteit van de interne markt voor financiële diensten, moeten kritieke derde aanbieders van ICT-diensten onderworpen zijn aan een oversightkader van de Unie. Hoewel de oprichting van het oversightkader gerechtvaardigd is door de toegevoegde waarde van maatregelen op het niveau van de Unie en door de inherente rol en specifieke kenmerken van het gebruik van ICT-diensten bij de verlening van financiële diensten, moet tegelijkertijd in herinnering worden gebracht dat deze oplossing alleen geschikt lijkt in het kader van deze verordening, die specifiek betrekking heeft op digitale operationele weerbaarheid in de financiële sector. Dit oversightkader mag echter niet worden beschouwd als een nieuw model voor Unietoezicht op andere gebieden van financiële diensten en activiteiten.

Het oversightkader moet alleen van toepassing zijn op kritieke derde aanbieders van ICT-diensten. Daarom moet er een aanwijzingsregeling komen waarmee de omvang en de aard van de afhankelijkheid van de financiële sector van dergelijke derde aanbieders van ICT-diensten kan worden beoordeeld. Die regeling moet kwantitatieve en kwalitatieve criteria omvatten om de kritische parameters vast te stellen op basis waarvan entiteiten al dan niet onder het oversightkader vallen. Om de nauwkeurigheid van die beoordeling te waarborgen, en ongeacht de bedrijfsstructuur van de derde aanbieder van ICT-diensten, moet in deze criteria in het geval van een derde aanbieder van ICT-diensten die deel uitmaakt van een grotere groep, gekeken worden naar de gehele groepsstructuur van de derde aanbieder van ICT-diensten. Enerzijds moeten kritieke derde aanbieders van ICT-diensten die niet automatisch worden aangewezen op grond van de toepassing van die criteria, de mogelijkheid hebben om vrijwillig deel te nemen aan het oversightkader. Anderzijds moeten derde aanbieders van ICT-diensten die reeds onderworpen zijn aan oversightregelingen die de uitvoering van de taken van het Europees Stelsel van centrale banken als bedoeld in artikel 127, lid 2, VWEU, steunen, worden vrijgesteld.

Evenzo moeten financiële entiteiten die ICT-diensten verlenen aan andere financiële entiteiten, en die weliswaar behoren tot de categorie van derde aanbieders van ICT-diensten als bedoeld in deze verordening, ook van het oversightkader worden vrijgesteld. Zij zijn immers reeds onderworpen zijn aan toezichtsregelingen die zijn opgericht bij het desbetreffende Unierecht inzake financiële diensten. In voorkomend geval moeten de bevoegde autoriteiten bij hun toezichtactiviteiten letten op het ICT-risico voor financiële entiteiten dat uitgaat van financiële entiteiten die zelf ICT-diensten verlenen. Evenzo moet, gelet op de reeds bestaande regelingen voor risicobewaking op groepsniveau, dezelfde vrijstelling gelden voor derde aanbieders van ICT-diensten die hoofdzakelijk diensten verlenen aan entiteiten van hun eigen groep. Derde aanbieders van ICT-diensten die uitsluitend in één lidstaat ICT-diensten verlenen aan financiële entiteiten die ook uitsluitend in die lidstaat actief zijn, moeten ook van de aanwijzingsregeling worden vrijgesteld wegens het beperkte karakter van hun activiteiten en het ontbreken van gevolgen over de grenzen heen.

De digitale transformatie in de financiële dienstverlening heeft geleid tot een ongekende mate van gebruik van en afhankelijkheid van ICT-diensten. Aangezien het ondenkbaar is geworden dat financiële diensten worden verleend zonder gebruik te maken van cloudcomputingdiensten, softwareoplossingen en datadiensten, is het financiële ecosysteem van de Unie intrinsiek afhankelijk geworden van bepaalde ICT-diensten die door leveranciers van die diensten worden verleend. Sommige van die leveranciers die innovatoren zijn in de ontwikkeling en toepassing van op ICT gebaseerde technologieën, spelen een belangrijke rol bij de levering van financiële diensten of zijn geïntegreerd in de waardeketen van financiële diensten. Zo zijn zij kritiek geworden voor de stabiliteit en integriteit van het financiële stelsel van de Unie. Deze wijdverbreide afhankelijkheid van diensten van kritieke derde aanbieders van ICT-diensten, in combinatie met de onderlinge afhankelijkheid van de informatiesystemen van verschillende marktdeelnemers, creëert een rechtstreeks en potentieel ernstig risico voor het systeem van financiële diensten van de Unie en voor de continuïteit van de verlening van financiële diensten indien kritieke derde aanbieders van ICT-diensten zouden worden getroffen door operationele verstoringen of belangrijke cyberincidenten. Cyberincidenten kunnen zich bij uitstek veel sneller in het gehele financiële stelsel vermenigvuldigen en zich daarin in een aanzienlijk sneller tempo verspreiden dan andere soorten risico’s die in de financiële sector worden gemonitord. Ook kunnen cyberincidenten zich over meerdere sectoren en over geografische grenzen heen uitstrekken. Zij kunnen uitgroeien tot een systemische crisis waarin het vertrouwen in het financiële stelsel wordt uitgehold door de verstoring van functies die de reële economie ondersteunen, of door aanzienlijke financiële verliezen die een niveau kunnen bereiken waar het financiële stelsel niet tegen bestand is of waarvoor zware maatregelen ter schokabsorptie moeten worden genomen. Om dit soort scenario’s die de financiële stabiliteit en integriteit van de Unie in gevaar te brengen, te voorkomen, is het essentieel de praktijken inzake toezicht op ICT-risico’s bij derden in de financiële sector meer op één lijn te brengen, met name door middel van nieuwe regels die oversight van de Unie op kritieke derde aanbieders van ICT-diensten mogelijk maken.

Het oversightkader is grotendeels afhankelijk van de mate van samenwerking tussen de lead overseer en de kritieke derde aanbieder van ICT-diensten die aan financiële entiteiten diensten levert die van invloed zijn op de verlening van financiële diensten door deze entiteiten. Succesvol oversight is onder meer gebaseerd op het vermogen van de lead overseer, daadwerkelijk monitoringmissies en -inspecties uit te voeren om de regels, de controles en de processen die door kritieke derde aanbieders van ICT-diensten worden gebruikt, te beoordelen, alsook de potentiële cumulatieve impact van hun activiteiten op de financiële stabiliteit en de integriteit van het financiële stelsel te beoordelen. Tegelijkertijd is het cruciaal dat kritieke derde aanbieders van ICT-diensten de aanbevelingen van de lead overseer opvolgen en diens bevindingen op zorgwekkende punten ter harte nemen. Aangezien een gebrek aan medewerking van een kritieke derde aanbieder van ICT-diensten die diensten verleent welke van invloed zijn op de verlening van financiële diensten, zoals een weigering om toegang te verlenen tot zijn kantoren of informatie te verstrekken, uiteindelijk de lead overseer essentiële instrumenten voor de beoordeling van ICT-risico’s van derden zou ontnemen, alsook negatieve gevolgen zou kunnen hebben voor de financiële stabiliteit en de integriteit van het financiële stelsel, moet ook worden voorzien in een sanctieregeling die past bij een eventuele weigering om mee te werken.

Tegen deze achtergrond mag de noodzaak voor de lead overseer om dwangsommen op te leggen, waarmee kritieke derde aanbieders van ICT-diensten kunnen worden gedwongen te voldoen aan de transparantie- en toegangsverplichtingen van deze verordening, niet in gevaar komen door moeilijkheden bij de inning van deze dwangsommen wanneer het kritieke derde aanbieders van ICT-diensten betreft die in derde landen zijn gevestigd. Ten behoeve van de afdwingbaarheid van dergelijke sancties en om een snelle inzet mogelijk te maken van procedures waarbij de rechten van verdediging van kritieke derde aanbieders van ICT-diensten in het kader van de aanwijzingsregeling en de uitvaardiging van aanbevelingen worden gehandhaafd, moeten die kritieke derde aanbieders van ICT-diensten, die diensten aan financiële entiteiten verlenen welke van invloed zijn op de verlening van financiële diensten, worden verplicht een adequate zakelijke aanwezigheid in de Unie te hebben. Gezien de aard van het oversight en het ontbreken van vergelijkbare regelingen in andere rechtsgebieden, zijn er geen geschikte alternatieve mechanismen om deze doelstelling te waarborgen door middel van doeltreffende samenwerking met financiële toezichthouders in derde landen bij de monitoring van de impact van digitale operationele risico’s van systemische derde aanbieders van ICT-diensten die worden aangemerkt als kritieke derde aanbieders van ICT-diensten die in derde landen zijn gevestigd. Om ICT-diensten aan financiële entiteiten in de Unie te kunnen blijven verlenen, moet een in een derde land gevestigde derde aanbieder van ICT-diensten die overeenkomstig deze verordening als cruciaal is aangewezen, binnen twaalf maanden na aanwijzing al het nodige doen om ervoor te zorgen dat hij een aanwezigheid in de Unie heeft door een dochteronderneming op te richten, zoals gedefinieerd in het acquis van de Unie, namelijk in Richtlijn 2013/34/EU van het Europees Parlement en de Raad (21).

De eis om een dochteronderneming op te richten in de Unie mag de kritieke derde aanbieder van ICT-diensten niet beletten ICT-diensten en de daarmee verband houdende technische ondersteuning te verlenen vanuit faciliteiten en infrastructuur die zich buiten de Unie bevinden. Deze verordening legt geen verplichting tot datalokalisatie op, aangezien de verordening niet voorziet in opslag of verwerking van data binnen de Unie.

Kritieke derde aanbieders van ICT-diensten moeten in staat zijn overal ter wereld ICT-diensten aan te bieden, dus niet noodzakelijk of niet alleen vanuit bedrijfsruimten die zich in de Unie bevinden. Oversightactiviteiten moeten eerst worden uitgevoerd in bedrijfsruimten binnen de Unie en door interactie met in de Unie gevestigde entiteiten, met inbegrip van de dochterondernemingen die zijn opgericht door kritieke derde aanbieders van ICT-diensten op grond van deze verordening. Het is evenwel denkbaar dat dit soort acties in de Unie ontoereikend zijn om de lead overseer in staat te stellen zijn taken uit hoofde van deze verordening volledig en doeltreffend uit te voeren. De lead overseer moet daarom ook in derde landen toezicht kunnen uitoefenen. De uitoefening van zijn bevoegdheid tot oversight in derde landen moet de lead overseer in staat stellen de faciliteiten te onderzoeken van waaruit de ICT-diensten of de technische ondersteuningsdiensten daadwerkelijk door de kritieke derde aanbieder van ICT-diensten worden geleverd of beheerd; ook moet dit oversight de lead overseer een volledig en operationeel inzicht bieden in het ICT-risicobeheer van de kritieke derde aanbieder van ICT-diensten. De mogelijkheid voor de lead overseer om, in zijn hoedanigheid van agentschap van de Unie, bevoegdheden uit te oefenen buiten het grondgebied van de Unie moet naar behoren aan voorwaarden zijn gebonden, met name de toestemming van de betrokken kritieke derde aanbieder van ICT-diensten. Evenzo moeten de relevante autoriteiten van het derde land in kennis worden gesteld van de uitoefening van de activiteiten van de lead overseer op hun grondgebied en moeten zij daartegen geen bezwaar hebben gemaakt. Gelet op het belang van een efficiënte uitvoering van deze activiteiten, en onverminderd de bevoegdheden van de instellingen van de Unie en van de lidstaten op dit terrein, moeten de bevoegdheden van de lead overseer tevens ten volle worden verankerd in regelingen voor administratieve samenwerking met de betrokken autoriteiten van het derde land. Daarom moet deze verordening de ETA’s in staat stellen met de autoriteiten in derde landen regelingen voor administratieve samenwerking te treffen die voor het overige geen wettelijke verplichtingen voor de Unie of de lidstaten mogen creëren.

Om de communicatie met de lead overseer te vergemakkelijken en een passende vertegenwoordiging te waarborgen, moeten kritieke derde aanbieders van ICT-diensten die deel uitmaken van een groep, één rechtspersoon als hun coördinatiepunt aanwijzen.

Het oversightkader mag geen afbreuk doen aan de bevoegdheid van de lidstaten om hun eigen oversight- of monitoringtaken uit te voeren met betrekking tot derde aanbieders van ICT-diensten die niet als kritiek zijn aangewezen in de zin van deze verordening, maar die op nationaal niveau belangrijk worden geacht.

Om de meerlagige institutionele architectuur op het gebied van financiële diensten te benutten, moet het Gemengd Comité van de ETA’s blijven zorgen voor algehele sectoroverschrijdende coördinatie van alle aangelegenheden die verband houden met ICT-risico’s, in overeenstemming met de taken van het Comité op het gebied van cyberbeveiliging. Het Comité moet worden ondersteund door een nieuw subcomité (het oversightforum) dat voorbereidende werkzaamheden verricht voor zowel de afzonderlijke besluiten die gericht zijn tot kritieke derde aanbieders van ICT-diensten als voor het doen van collectieve aanbevelingen, met name in verband met het benchmarken van de oversightprogramma’s voor kritieke derde aanbieders van ICT-diensten en het in kaart brengen van beste praktijken voor het omgaan van ICT-concentratierisico’s.

Om ervoor te zorgen dat op het niveau van de Unie adequaat en doeltreffend toezicht wordt uitgeoefend op kritieke derde aanbieders van ICT-diensten, wordt in deze verordening bepaald dat ieder van de drie ETA’s kan worden aangewezen als lead overseer. De individuele toewijzing van een kritieke derde aanbieder van ICT-diensten aan een van de drie ETA’s moet gebaseerd zijn op een beoordeling van de dominerende positie van financiële entiteiten die actief zijn in de financiële sectoren waarvoor die ETA verantwoordelijk is. Deze benadering moet leiden tot een evenwichtige verdeling van taken en verantwoordelijkheden over de drie ETA’s die oversightfuncties hebben, en leiden tot een optimaal gebruik van personele middelen en technische expertise die in ieder van de drie ETA’s voorhanden zijn.

Lead overseers moeten de nodige bevoegdheden krijgen om onderzoeken te verrichten, inspecties ter plaatse en daarbuiten uit te voeren in de gebouwen en op de locaties van kritieke derde aanbieders van ICT-diensten, en volledige en actuele informatie te verkrijgen. Die bevoegdheden moeten de lead overseer in staat stellen een gedegen inzicht te krijgen in het soort, de omvang en de impact van het ICT-risico van derden voor financiële entiteiten en, uiteindelijk, voor het financiële stelsel van de Unie. De ETA’s moeten de leiding over het oversight krijgen. Dit is een voorwaarde voor een goed begrip van en een betere greep op de systemische dimensie van ICT-risico’s in de financiële sector. De impact van kritieke derde aanbieders van ICT-diensten op de financiële sector in de Unie en de mogelijke problemen als gevolg van het daaraan verbonden ICT-concentratierisico vragen om een gezamenlijke aanpak op het niveau van de Unie. De gelijktijdige en afzonderlijke uitvoering van meerdere audits en toegangsrechten door een reeks van bevoegde autoriteiten, zonder enige of slechts met weinig coördinatie, zou het de financiële toezichthouders onmogelijk maken een volledig en alomvattend overzicht te krijgen van het ICT-risico van derden in de Unie. Ook zou dit leiden tot redundantie, extra lasten en complexiteit voor kritieke derde aanbieders van ICT-diensten, die immers zouden worden onderworpen aan tal van verzoeken om monitoring en inspectie.

Gezien de aanzienlijke gevolgen voor de derde aanbieder van ICT-diensten die als kritiek wordt aangewezen, moet deze verordening ervoor zorgen dat de rechten van eenmaal aangewezen derde aanbieders van ICT-diensten gedurende de gehele tenuitvoerlegging van het oversightkader worden geëerbiedigd. Voordat een dienstverlener als kritiek wordt aangewezen, moet deze bijvoorbeeld het recht hebben een gemotiveerde verklaring in te dienen bij de lead overseer met alle informatie die relevant is voor de beoordeling in verband met de eventuele aanwijzing. Aangezien de lead overseer de bevoegdheid moet hebben om aanbevelingen over ICT-risico’s te doen en oplossingen daarvoor aan te dragen — waaronder de bevoegdheid zich te verzetten tegen contractueleovereenkomsten die uiteindelijk gevolgen zullen hebben voor de stabiliteit van de financiële entiteit of zelfs van het gehele financiële stelsel — moeten kritieke derde aanbieders van ICT-diensten ook de mogelijkheid krijgen om voorafgaand aan de definitieve opstelling van deze aanbevelingen uitleg te geven over de verwachte gevolgen van de in de aanbeveling opgenomen oplossingen voor klanten die entiteiten zijn welke buiten het toepassingsgebied van deze verordening vallen en om oplossingen te formuleren om risico’s te mitigeren. Kritieke derde aanbieders van ICT-diensten die het niet eens zijn met de aanbevelingen, moeten de gelegenheid hebben een gemotiveerde uitleg te geven van hun voornemen om de aanbevelingen niet te onderschrijven. Indien zulk een gemotiveerde toelichting niet wordt gegeven of ontoereikend wordt bevonden, moet de lead overseer een openbare kennisgeving van de niet-naleving doen.

In het kader van het prudentieel toezicht op financiële entiteiten moeten de bevoegde autoriteiten naar behoren nagaan of de aanbevelingen van de lead overseer inhoudelijk worden nageleefd. De bevoegde autoriteiten moeten van financiële entiteiten kunnen vereisen dat zij aanvullende maatregelen nemen om de in de aanbevelingen van de lead overseer genoemde risico’s te verhelpen, en dat zij te zijner tijd bericht doen uitgaan dat dit gebeurd is. Indien de lead overseer aanbevelingen richt tot kritieke derde aanbieders van ICT-diensten die onder toezicht staan uit hoofde van Richtlijn (EU) 2022/2555 , moeten de bevoegde autoriteiten op vrijwillige basis en alvorens aanvullende maatregelen te nemen de bevoegde autoriteiten uit hoofde van die richtlijn kunnen raadplegen om zo een gecoördineerde aanpak van de betrokken kritieke derde aanbieders van ICT-diensten te bevorderen.

Bij de uitoefening van het oversight moeten drie operationele beginselen gelden, die gericht zijn op: a) nauwe coördinatie tussen de ETA’s in hun rol van lead overseer, en wel via een gezamenlijk oversightnetwerk (joint oversight network — JON); b) consistentie met het kader dat is vastgelegd in Richtlijn (EU) 2022/2555 (door middel van een vrijwillige raadpleging van organen uit hoofde van die richtlijn om zo overlapping van maatregelen ten aanzien van kritieke derde aanbieders van ICT-diensten te voorkomen, en c) het toepassen van zorgvuldigheid om het potentiële risico te beperken van verstoring van diensten die door kritieke derde aanbieders van ICT-diensten worden verleend aan klanten die entiteiten zijn welke buiten het toepassingsgebied van deze verordening vallen.

Het oversightkader mag niet in de plaats komen van, noch op enigerlei wijze of ten enigen dele in de plaats treden van het vereiste voor financiële entiteiten om zelf de risico’s te beheren die voortvloeien uit het gebruik van derde aanbieders van ICT-diensten, óók hun verplichting om permanent de contractuele overeenkomsten te monitoren die zijn gesloten met kritieke derde aanbieders van ICT-diensten. Evenzo mag het oversightkader geen afbreuk doen aan de volledige verantwoordelijkheid van financiële entiteiten voor de naleving en de kwijting van alle wettelijke verplichtingen die zijn vastgelegd in deze verordening en in het desbetreffende recht inzake financiële diensten.

Om doublures en overlappingen te voorkomen, moeten de bevoegde autoriteiten ervan afzien, zelf maatregelen te nemen om de risico’s van de kritieke derde aanbieder van ICT-diensten te monitoren. Zij moeten in dit verband vertrouwen op de beoordeling van de lead overseer in kwestie. Alle maatregelen moeten in ieder geval van tevoren worden gecoördineerd en overeengekomen met de lead overseer, gelet op de uitoefening van diens taken in het oversightkader.

Om convergentie op internationaal niveau inzake het gebruik van beste praktijken bij de toetsing en monitoring van digitaal risicobeheer bij derde aanbieders van ICT-diensten te bevorderen, moeten de ETA’s worden aangemoedigd samenwerkingsregelingen te sluiten met toezichthoudende en regelgevende autoriteiten van derde landen die op dit terrein werkzaam zijn.

Om de specifieke vaardigheden, de technische expertise en de expertise van deskundigen op het gebied van operationele en ICT-risico’s binnen de bevoegde autoriteiten, de drie ETA’s, en, op vrijwillige basis, de uit hoofde van Richtlijn (EU) 2022/2555 bevoegde autoriteiten ten volle te benutten, moet de lead overseer gebruikmaken van nationale toezichtcapaciteiten en -kennis, en specifieke onderzoeksteams oprichten voor iedere kritieke derde aanbieder van ICT-diensten. Multidisciplinaire teams moeten worden samengebracht ter ondersteuning van de voorbereiding en de uitvoering van oversightactiviteiten, inclusief algemene onderzoeken en inspecties ter plaatse bij kritieke derde aanbieders van ICT-diensten, alsook ter ondersteuning van eventuele follow-up hiervan indien dit nodig is.

Hoewel het de bedoeling is dat de kosten van oversighttaken volledig worden gefinancierd uit vergoedingen die worden aangerekend aan kritieke derde aanbieders van ICT-diensten, zullen de ETA’s waarschijnlijk vóór de start van het oversightkader kosten maken voor de implementatie van specifieke ICT-systemen ter ondersteuning van het aanstaande oversight, aangezien deze specifieke systemen vooraf moeten worden ontwikkeld en uitgerold. Deze verordening voorziet daarom in een hybride financieringsmodel: het oversightkader moet volledig worden gefinancierd uit vergoedingen, terwijl de ontwikkeling van de ICT-systemen van de ETA’s moet worden gefinancierd uit bijdragen van de Unie en de bevoegde nationale autoriteiten.

De bevoegde autoriteiten moeten over alle toezicht-, onderzoeks- en sanctiebevoegdheden beschikken die vereist zijn willen zij de taken uit hoofde van deze verordening naar behoren kunnen uitvoeren. Zij moeten in beginsel de administratieve strafmaatregelen die zij opleggen, bekendmaken. Aangezien financiële entiteiten en derde aanbieders van ICT-diensten gevestigd kunnen zijn in verschillende lidstaten en kunnen ressorteren onder het toezicht van verschillende bevoegde autoriteiten, moet de toepassing van deze verordening vergemakkelijkt worden via, enerzijds, nauwe samenwerking tussen de relevante bevoegde autoriteiten, waaronder de ECB wat betreft de specifieke taken die de bank bij Verordening (EU) nr. 1024/2013 van de Raad zijn opgedragen, en, anderzijds, overleg met de ETA’s via wederzijdse uitwisseling van informatie en verlening van bijstand bij relevante toezichtactiviteiten.

Om de criteria voor de aanwijzing van derde aanbieders van ICT-diensten tot kritieke dienstverleners kwantitatief en kwalitatief aan te scherpen en om de oversightvergoedingen te harmoniseren, moet aan de Commissie de bevoegdheid worden gedelegeerd om overeenkomstig artikel 290 VWEU handelingen vast te stellen ter aanvulling van deze verordening, en wel door nader te specificeren welke systemische impact een storing of een operationele uitval van een derde aanbieder van ICT-diensten zou kunnen hebben voor de financiële entiteiten waaraan deze derde aanbieder ICT-diensten verleent, het aantal mondiaal systeemrelevante instellingen (MSI’s) of andere systeemrelevante instellingen (ASI’s) die afhankelijk zijn van de derde aanbieder van ICT-diensten in kwestie, het aantal derde aanbieders van ICT-diensten dat op een bepaalde markt actief is, de kosten van de migratie van data en de ICT-werkbelasting naar een andere derde aanbieder van ICT-diensten, alsook het bedrag van de oversightvergoedingen en de wijze waarop deze moeten worden betaald. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadplegingen overgaat, onder meer op deskundigenniveau, en dat deze raadplegingen plaatsvinden in overeenstemming met de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven (22). Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen moeten het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip ontvangen als de deskundigen van de lidstaten, en moeten hun deskundigen systematisch toegang hebben tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen.

Technische reguleringsnormen moeten een consistente harmonisatie van de in deze verordening neergelegde voorschriften bewerkstelligen. In hun rol van organen met hooggespecialiseerde expertise moeten de ETA’s ontwerpen van technische reguleringsnormen ontwikkelen die geen beleidskeuzen inhouden en die aan de Commissie moeten worden voorgelegd. Er moeten technische reguleringsnormen worden ontwikkeld op het gebied van ICT-risicobeheer, rapportage van ernstige ICT-incidenten, tests, en op het gebied van essentiële vereisten voor een degelijke monitoring van het ICT-risico van derde dienstverleners. De Commissie en de ETA’s dienen ervoor te zorgen dat deze normen en vereisten door alle financiële entiteiten kunnen worden toegepast op een wijze die in verhouding staat tot hun omvang en algehele risicoprofiel, alsook de aard, de omvang en de complexiteit van de entiteiten en hun activiteiten. De Commissie dient bevoegd te zijn deze technische uitvoeringsnormen vast te stellen bij gedelegeerde handeling, krachtens artikel 290 VWEU en in overeenstemming met artikel 10 tot en met 14 van de Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 en (EU) nr. 1095/2010.

Om de vergelijkbaarheid van meldingen van ernstige ICT-incidenten en van ernstige betalingsgerelateerde operationele of beveiligingsincidenten te vergemakkelijken en om te zorgen voor transparantie inzake contractuele overeenkomsten voor het gebruik van derde aanbieders van ICT-diensten moeten de ETA’s technische uitvoeringsnormen ontwikkelen waarin gestandaardiseerde templates, formulieren en procedures voor het melden van ernstige ICT-incidenten en van ernstige betalingsgerelateerde operationele of beveiligingsincidenten door financiële entiteiten worden vastgelegd, alsook gestandaardiseerde templates voor het informatieregister. Bij het ontwikkelen van deze normen moeten de ETA’s letten op de omvang en het algemene risicoprofiel van de financiële entiteit, alsook met de aard, de schaal en de complexiteit van haar diensten en activiteiten. De Commissie dient bevoegd te zijn bij uitvoeringshandeling deze technische uitvoeringsnormen vast te stellen, krachtens artikel 291 VWEU en in overeenstemming met artikel 15 van de Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 en (EU) nr. 1095/2010.

Aangezien verdere vereisten reeds zijn vastgesteld bij gedelegeerde en uitvoeringshandelingen op basis van technische regulerings- en uitvoeringsnormen in de Verordeningen (EG) nr. 1060/2009 (23), (EU) nr. 648/2012 (24), (EU) nr. 600/2014 (25) en (EU) nr. 909/2014 van het Europees Parlement en de Raad (26), is het passend de ETA’s, afzonderlijk of gezamenlijk via het Gemengd Comité, opdracht te geven bij de Commissie technische regulerings- of uitvoeringsnormen in te dienen met het oog op de vaststelling van gedelegeerde en uitvoeringshandelingen waarin de bestaande regels voor ICT-risicobeheer worden overgenomen en bijgewerkt.

Aangezien deze verordening, samen met Richtlijn (EU) 2022/2556 van het Europees Parlement en de Raad (27) , een consolidatie inhoudt van de bepalingen inzake ICT-risicobeheer in verschillende verordeningen en richtlijnen van het acquis van de Unie op het gebied van financiële diensten, onder meer de Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, en (EU) nr. 909/2014 en Verordening (EU) 2016/1011 van het Europees Parlement en de Raad (28), moeten deze verordeningen ten behoeve van volledige consistentie worden gewijzigd om te verduidelijken dat de relevante bepalingen inzake ICT-risico’s in de onderhavige verordening zijn opgenomen.

Bijgevolg moet de werkingssfeer van de relevante artikelen in verband met operationele risico’s, waarvoor in de Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 machtigingen zijn verleend om gedelegeerde handelingen en uitvoeringshandelingen vast te stellen, worden beperkt teneinde alle bepalingen betreffende de aspecten van digitale operationele weerbaarheid die thans deel uitmaken van genoemde verordeningen, over te nemen in de onderhavige verordening.

Het potentiële systemische cyberrisico bij het gebruik van ICT-infrastructuren die de exploitatie van betalingssystemen en de verrichting van activiteiten ter betalingsverwerking mogelijk maken, moet op het niveau van de Unie naar behoren worden aangepakt door middel van geharmoniseerde regels inzake digitale weerbaarheid. Daartoe moet de Commissie onverwijld beoordelen of het toepassingsgebied van deze verordening moet worden herzien en moet zij deze evaluatie afstemmen op de resultaten van de uitgebreide evaluatie waarin Richtlijn (EU) 2015/2366 voorziet. Talrijke grootschalige aanvallen in de afgelopen tien jaar tonen aan hoe betalingssystemen kwetsbaar zijn geworden voor cyberdreigingen. Betalingssystemen en activiteiten inzake betalingsverwerkingen vormen de belangrijkste schakel van de keten van betalingsdiensten en zijn sterk verweven met het algemene financiële stelsel, waardoor zij van cruciaal belang zijn geworden voor de werking van de financiële markten van de Unie. Cyberaanvallen op dergelijke systemen kunnen ernstige operationele bedrijfsverstoringen veroorzaken met rechtstreekse gevolgen voor belangrijke economische functies, zoals het faciliteren van betalingen, en met indirecte gevolgen voor de daaraan gerelateerde economische processen. Totdat op Unieniveau een geharmoniseerde regeling en het toezicht op exploitanten van betalingssystemen en verwerkingsentiteiten zijn ingevoerd, kunnen de lidstaten, met het oog op de toepassing van soortgelijke marktpraktijken, inspiratie putten uit de in deze verordening vastgestelde vereisten inzake digitale operationele weerbaarheid wanneer zij regels toepassen op exploitanten van betalingssystemen en op verwerkingsentiteiten die onder toezicht staan in hun eigen rechtsgebied.

Daar de doelstelling van deze verordening, te weten het bereiken van een hoog niveau van digitale operationele weerbaarheid voor gereguleerde financiële entiteiten, niet voldoende door de lidstaten kan worden verwezenlijkt, omdat zulks de harmonisatie vereist van een aantal verschillende voorschriften van Unie- en nationaal recht, maar vanwege de omvang en de gevolgen ervan beter door de Unie kan worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om die doelstelling te verwezenlijken.

Overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (29) is de Europese Toezichthouder voor gegevensbescherming geraadpleegd, en op 10 mei 2021 heeft hij een advies uitgebracht (30),

vereisten die van toepassing zijn op financiële entiteiten met betrekking tot:

vereisten met betrekking tot de contractuele overeenkomsten tussen derde aanbieders van ICT-diensten en financiële entiteiten;

regels voor de vaststelling en het beheren van het oversightkader voor kritieke derde aanbieders van ICT-diensten bij het verlenen van diensten aan financiële entiteiten;

regels inzake samenwerking tussen bevoegde autoriteiten en regels inzake toezicht en handhaving door bevoegde autoriteiten met betrekking tot alle aangelegenheden die onder deze verordening vallen.

kredietinstellingen;

betalingsinstellingen, met inbegrip van bij Richtlijn (EU) 2015/2366 vrijgestelde betalingsinstellingen;

aanbieders van rekeninginformatiediensten;

instellingen voor elektronisch geld, met inbegrip van krachtens Richtlijn 2009/110/EG vrijgestelde instellingen voor elektronisch geld;

beleggingsondernemingen;

aanbieders van cryptoactivadiensten met een vergunning op grond van een Verordening van het Europees Parlement en de Raad betreffende markten in cryptoactiva en tot wijziging van Verordeningen (EU) nr. 1093/2010 en (EU) nr. 1095/2010 en Richtlijnen 2013/36/EU en (EU) 2019/1937 (“de verordening betreffende markten in cryptoactiva”) en emittenten van asset-referenced tokens;

centrale effectenbewaarinstellingen;

centrale tegenpartijen;

handelsplatformen;

transactieregisters;

beheerders van alternatieve beleggingsinstellingen;

beheermaatschappijen;

aanbieders van datarapporteringsdiensten;

verzekerings- en herverzekeringsondernemingen;

verzekeringstussenpersonen, herverzekeringstussenpersonen en nevenverzekeringstussenpersonen;

instellingen voor bedrijfspensioenvoorziening;

ratingbureaus;

beheerders van kritieke benchmarks;

aanbieders van crowdfundingdiensten;

securitisatieregisters;

derde aanbieders van ICT-diensten.

beheerders van alternatieve beleggingsinstellingen, als bedoeld in artikel 3, lid 2, van Richtlijn 2011/61/EU;

verzekerings- en herverzekeringsondernemingen, als bedoeld in artikel 4 van Richtlijn 2009/138/EG;

instellingen voor bedrijfspensioenvoorzieningen die pensioenregelingen uitvoeren die samen niet meer dan 15 leden hebben;

bij de artikelen 2 en 3 van Richtlijn 2014/65/EU vrijgestelde natuurlijke of rechtspersonen;

verzekeringstussenpersonen, herverzekeringstussenpersonen en nevenverzekeringstussenpersonen die micro-ondernemingen, dan wel kleine of middelgrote ondernemingen zijn;

postcheque- en girodiensten als bedoeld in artikel 2, lid 5, punt 3), van Richtlijn 2013/36/EU.

“digitale operationele weerbaarheid”: het vermogen van een financiële entiteit om haar operationele integriteit en betrouwbaarheid op te bouwen, te waarborgen en te evalueren, door direct of indirect via gebruik van diensten die door derde aanbieders van ICT-diensten worden verleend te voorzien in het volledige scala van ICT-gerelateerde capaciteiten die nodig zijn voor de beveiliging van de netwerk- en informatiesystemen waarvan een financiële entiteit gebruikmaakt, en die de permanente verlening van financiële diensten en de kwaliteit ervan, onder meer gedurende storingen, ondersteunen;

“netwerk- en informatiesysteem”: een netwerk- en informatiesysteem in de zin van artikel 6, punt 1, van Richtlijn (EU) 2022/2555 ;

“legacy-ICT-systeem”: een ICT-systeem dat het einde van zijn levenscyclus (einde van de levensduur) heeft bereikt, dat om technologische of commerciële redenen niet geschikt is voor upgrades of reparaties, of dat niet langer wordt ondersteund door de leverancier of een derde aanbieder van ICT-diensten, maar dat nog steeds in gebruik is en de functies van de financiële entiteit ondersteunt;

“beveiliging van netwerk- en informatiesystemen”: beveiliging van netwerk- en informatiesystemen in de zin van artikel 6, punt 2, van Richtlijn (EU) 2022/2555 ;

“ICT-risico”: elke redelijkerwijs aan te wijzen omstandigheid met betrekking tot het gebruik van netwerk- en informatiesystemen die, indien zij zich voordoet, de beveiliging van het netwerk- en informatiesysteem, van technologieafhankelijke instrumenten of processen, van verrichtingen en processen, of van de levering van de diensten in gevaar kan brengen, door schadelijke effecten met zich mee te brengen in de digitale of fysieke omgeving;

“informatieactief”: een reeks, al dan niet tastbare, gegevens die beschermenswaardig zijn;

“ICT-actief”: een software- of hardwareactief in de netwerk- en informatiesystemen die door de financiële entiteit worden gebruikt;

“ICT-gerelateerd incident”: één gebeurtenis of een reeks gekoppelde gebeurtenissen die niet door de financiële entiteit zijn gepland en die de beveiliging van de netwerk- en informatiesystemen in gevaar brengen en een nadelig effect hebben op de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van gegevens of op de door de financiële entiteit verleende diensten;

“betalingsgerelateerd operationeel of beveiligingsincident”: één gebeurtenis of een reeks gekoppelde gebeurtenissen die niet door de in artikel 2, lid 1, punten a) tot en met d), bedoelde financiële entiteiten gepland zijn, die al dan niet ICT-gerelateerd zijn, en die een nadelig effect hebben op de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van betalingsgerelateerde gegevens, of op de door de financiële entiteit verleende betalingsgerelateerde diensten;

“ernstig ICT-gerelateerd incident”: een ICT-gerelateerd incident met grote nadelige gevolgen voor de netwerk- en informatiesystemen die kritieke of belangrijke functies van de financiële entiteit ondersteunen;

“ernstig betalingsgerelateerd operationeel of beveiligingsincident”: een betalingsgerelateerd operationeel of beveiligingsincident dat een groot negatief effect heeft op de verleende betalingsgerelateerde diensten;

“cyberdreiging”: cyberdreiging in de zin van artikel 2, punt 8), van Verordening (EU) 2019/881;

“significante cyberdreiging”: een cyberdreiging waarvan de technische kenmerken erop wijzen dat zij kan leiden tot een ernstig ICT-gerelateerd incident of een ernstig betalingsgerelateerd operationeel of beveiligingsincident;

“cyberaanval”: een kwaadwillig ICT-gerelateerd incident dat het gevolg is van een door een dreigingsactor gepleegde poging om een actief te vernietigen, bloot te stellen, te veranderen, buiten werking te stellen, te stelen of er ongeoorloofde toegang toe te verkrijgen of er ongeoorloofd gebruik van te maken;

“inlichtingen over dreigingen”: informatie die is geaggregeerd, getransformeerd, geanalyseerd, geïnterpreteerd of verrijkt om de noodzakelijke achtergrond voor besluitvorming te bieden en om relevant en toereikend inzicht te verschaffen om de gevolgen van een ICT-gerelateerd incident of van een cyberdreiging te beperken, met inbegrip van de technische details van een cyberaanval, de voor de aanval verantwoordelijke personen en hun werkwijze en motieven;

“kwetsbaarheid”: een zwakte, gevoeligheid of tekortkoming in een actief, systeem, proces of controle die kan worden misbruikt;

“dreigingsgestuurde penetratietest” (threat led penetration testing — TLPT): een kader waarin de tactiek, technieken en procedures van levensechte, als een reële cyberdreiging ervaren dreigingsactoren worden nagebootst en waarin een gecontroleerde, op maat gesneden, door inlichtingen gestuurde (red team) test van de kritieke reëel bestaande productiesystemen van de financiële entiteit wordt voorgebracht;

“ICT-risico van derde aanbieders”: een ICT-risico dat voor een financiële entiteit kan ontstaan met betrekking tot het gebruik van ICT-diensten die door derde aanbieders van ICT-diensten of door onderaannemers daarvan, onder meer via onderaanbestedingsovereenkomsten, worden verleend;

“derde aanbieder van ICT-diensten”: een onderneming die ICT-diensten verleent;

“aanbieder van ICT-diensten binnen een groep”: een onderneming die deel uitmaakt van een financiële groep en hoofdzakelijk ICT-diensten verleent aan financiële entiteiten binnen dezelfde groep of aan financiële entiteiten die tot hetzelfde institutionele protectiestelsel behoren, met inbegrip van hun moedermaatschappijen, dochterondernemingen, bijkantoren of andere entiteiten die gezamenlijk eigendom zijn of onder gezamenlijke zeggenschap staan;

“ICT-diensten”: digitale en gegevensdiensten die doorlopend via ICT-systemen aan een of meer interne of externe gebruikers worden verleend, waaronder hardware als dienst en hardwarediensten, met inbegrip van het verlenen van technische ondersteuning via software- of firmware-updates door de hardwareaanbieder, met uitzondering van traditionele analoge telefoondiensten;

“kritieke of belangrijke functie”: een functie waarvan de verstoring wezenlijk afbreuk zou doen aan de financiële prestaties van een financiële entiteit of aan de soliditeit of de continuïteit van haar diensten en activiteiten, of waarvan de beëindiging of gebrekkige of mislukte uitvoering wezenlijk afbreuk zou doen aan de permanente naleving door een financiële entiteit van de voorwaarden en verplichtingen uit hoofde van haar vergunning of haar andere verplichtingen uit hoofde van het toepasselijke recht inzake financiële diensten;

“kritieke derde aanbieder van ICT-diensten”: een derde aanbieder van ICT-diensten die overeenkomstig artikel 31 is aangewezen als cruciaal;

“in een derde land gevestigde derde aanbieder van ICT-diensten”: een derde aanbieder van ICT-diensten die een in een derde land gevestigde rechtspersoon is en die een contractuele overeenkomst met een financiële entiteit heeft gesloten voor de levering van ICT-diensten;

“dochteronderneming”: een dochteronderneming in de zin van artikel 2, punt 10), en artikel 22 van Richtlijn 2013/34/EU;

“groep”: een groep in de zin van artikel 2, punt 11), van Richtlijn 2013/34/EU;

“moederonderneming”: een moederonderneming in de zin van artikel 2, punt 9), en artikel 22 van Richtlijn 2013/34/EU;

“in een derde land gevestigde ICT-subcontractant”: een ICT-subcontractant die een in een derde land gevestigde rechtspersoon is en die een contractuele overeenkomst heeft gesloten met een derde aanbieder van ICT-diensten of met een in een derde land gevestigde derde aanbieder van ICT-diensten;

“ICT-concentratierisico”: een blootstelling aan individuele of aan meerdere onderling verbonden kritieke derde aanbieders van ICT-diensten, waardoor een bepaalde mate van afhankelijkheid ten aanzien van deze aanbieders ontstaat, zodat de onbeschikbaarheid, het falen of een ander soort tekortkoming van deze aanbieder het vermogen van een financiële entiteit om kritieke of belangrijke functies te vervullen in gevaar kan brengen, ertoe kan leiden dat zij andere soorten nadelige effecten, waaronder grote verliezen, ondervindt, of de financiële stabiliteit van de Unie in haar geheel in gevaar kan brengen;

“leidinggevend orgaan”: een leidinggevend orgaan in de zin van artikel 4, lid 1, punt 36), van Richtlijn 2014/65/EU, artikel 3, lid 1, punt 7), van Richtlijn 2013/36/EU, artikel 2, lid 1, punt s), van Richtlijn 2009/65/EG van het Europees Parlement en de Raad (31), artikel 2, lid 1, punt 45), van Verordening (EU) nr. 909/2014, artikel 3, lid 1, punt 20), van Verordening (EU) 2016/1011, en in de relevante bepaling van de verordening betreffende markten in cryptoactiva, of de gelijkwaardige personen die de entiteit daadwerkelijk besturen of sleutelfuncties vervullen overeenkomstig het toepasselijke Unie- of nationale recht;

“kredietinstelling”: een kredietinstelling in de zin van artikel 4, lid 1, punt 1, van Verordening (EU) nr. 575/2013 van het Europees Parlement en de Raad (32);

“bij Richtlijn 2013/36/EU vrijgestelde instelling”: een entiteit zoals vermeld in artikel 2, lid 5, punten 4) tot en met 23), van Richtlijn 2013/36/EU;

“beleggingsonderneming”: een beleggingsonderneming in de zin van artikel 4, lid 1, punt 1, van Richtlijn 2014/65/EU;

“kleine en niet-verweven beleggingsonderneming”: een beleggingsonderneming die voldoet aan de voorwaarden in artikel 12, lid 1, van Verordening (EU) 2019/2033 van het Europees Parlement en de Raad (33);

“betalingsinstelling”: een betalingsinstelling in de zin van artikel 4, punt 4), van Richtlijn (EU) 2015/2366;

“bij Richtlijn (EU) 2015/2366 vrijgestelde betalingsinstelling”: een betalingsinstelling die is vrijgesteld op grond van artikel 32, lid 1, van Richtlijn (EU) 2015/2366;

“aanbieder van rekeninginformatiediensten”: een aanbieder van rekeninginformatiediensten als bedoeld in artikel 33, lid 1, van Richtlijn (EU) 2015/2366;

“instelling voor elektronisch geld”: een instelling voor elektronisch geld in de zin van artikel 2, punt 1), van Richtlijn 2009/110/EG van het Europees Parlement en de Raad;

“bij Richtlijn 2009/110/EG vrijgestelde instelling voor elektronisch geld”: een instelling voor elektronisch geld waaraan een ontheffing is verleend als bedoeld in artikel 9, lid 1, van Richtlijn 2009/110/EG;

“centrale tegenpartij”: een centrale tegenpartij in de zin van artikel 2, punt 1), van Verordening (EU) nr. 648/2012;

“transactieregister”: een transactieregister in de zin van artikel 2, punt 2), van Verordening (EU) nr. 648/2012;

“centrale effectenbewaarinstelling”: een centrale effectenbewaarinstelling in de zin van artikel 2, lid 1, punt 1), van Verordening (EU) nr. 909/2014;

“handelsplatform” een handelsplatform in de zin van artikel 4, lid 1, punt 24, van Richtlijn 2014/65/EU;

“beheerder van alternatieve beleggingsinstellingen”: een beheerder van alternatieve beleggingsinstellingen in de zin van artikel 4, lid 1, punt b), van Richtlijn 2011/61/EU;

“beheermaatschappij”: een beheermaatschappij in de zin van artikel 2, lid 1, punt b), van Richtlijn 2009/65/EG;

“aanbieder van datarapporteringsdiensten”: een aanbieder van datarapporteringsdiensten in de zin van Verordening (EU) nr. 600/2014, als bedoeld in artikel 2, lid 1, punten 34 tot en met 36, van die verordening;

“verzekeringsonderneming”: een verzekeringsonderneming in de zin van artikel 13, punt 1, van Richtlijn 2009/138/EG;

“herverzekeringsonderneming”: een herverzekeringsonderneming in de zin van artikel 13, punt 4, van Richtlijn 2009/138/EG;

“verzekeringstussenpersoon”: een verzekeringstussenpersoon in de zin van artikel 2, lid 1, punt 3, van Richtlijn (EU) 2016/97 van het Europees Parlement en de Raad (34);

“nevenverzekeringstussenpersoon”: een nevenverzekeringstussenpersoon in de zin van artikel 2, lid 1, punt 4, van Richtlijn (EU) 2016/97;

“herverzekeringstussenpersoon”: een herverzekeringstussenpersoon in de zin van artikel 2, lid 1, punt 5, van Richtlijn (EU) 2016/97;

“instelling voor bedrijfspensioenvoorziening”: een instelling voor bedrijfspensioenvoorziening in de zin van artikel 6, punt 1), van Richtlijn (EU) 2016/2341;

“kleine instelling voor bedrijfspensioenvoorziening”: een instelling voor bedrijfspensioenvoorziening die pensioenregelingen uitvoert die samen minder dan 100 leden hebben;

“ratingbureau”: een ratingbureau in de zin van artikel 3, lid 1, punt b), van Verordening (EG) nr. 1060/2009;

“aanbieder van cryptoactivadiensten”: een aanbieder van cryptoactivadiensten in de zin van de relevante bepaling van de verordening betreffende markten in cryptoactiva;

“emittent van asset-referenced tokens”: een emittent van asset-referenced tokens in de zin van de relevante bepaling van de verordening betreffende markten in cryptoactiva;

“beheerder van kritieke benchmarks”: een beheerder van kritieke benchmarks in de zin van artikel 3, lid 1, punt 25), van Verordening (EU) 2016/1011;

“crowdfundingdienstverlener”: een crowdfundingdienstverlener in de zin van artikel 2, lid 1, punt e), van Verordening (EU) 2020/1503 van het Europees Parlement en de Raad (35);

“securitisatieregister”: een securitisatieregister in de zin van artikel 2, punt 23), van Verordening (EU) 2017/2402 van het Europees Parlement en de Raad (36);

“micro-onderneming”: een financiële entiteit die geen handelsplatform, centrale tegenpartij, transactieregister of centrale effectenbewaarinstelling is, en waar minder dan 10 personen werkzaam zijn en waarvan de jaaromzet en/of het jaarlijkse balanstotaal niet hoger liggen dan 2 miljoen EUR;

“lead overseer”: de overeenkomstig artikel 31, lid 1, punt b), van deze verordening aangewezen Europese toezichthoudende autoriteit;

“Gemengd Comité”: het in artikel 54 van de Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 en (EU) nr. 1095/2010 bedoelde comité;

“kleine onderneming”: een financiële entiteit met 10 of meer werknemers, maar minder dan 50 werknemers, en een jaaromzet en/of een jaarlijks balanstotaal van meer dan 2 miljoen EUR, maar van ten hoogste 10 miljoen EUR;

“middelgrote onderneming”: een financiële entiteit die geen kleine onderneming is, minder dan 250 personen in dienst heeft en een jaaromzet van ten hoogste 50 miljoen EUR en/of een jaarlijkse balans van ten hoogste 43 miljoen EUR heeft;

“overheidsinstantie”: een regerings- of andere overheidsinstantie, met inbegrip van nationale centrale banken.

de eindverantwoordelijkheid voor het beheer van het ICT-risico van de financiële entiteit;

de invoering van beleidslijnen die erop gericht zijn de handhaving van hoge normen inzake beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van gegevens te waarborgen;

de vaststelling van duidelijke taken en verantwoordelijkheden voor alle ICT-gerelateerde functies en van passende governanceregelingen om te zorgen voor doeltreffende en tijdige communicatie, samenwerking en coördinatie tussen die functies;

de algemene verantwoordelijkheid voor het vaststellen en goedkeuren van de strategie voor digitale operationele weerbaarheid als bedoeld in artikel 6, lid 8, met inbegrip van de bepaling van het passende risicotolerantieniveau voor het ICT-risico van de financiële entiteit, als bedoeld in artikel 6, lid 8, punt b);

de goedkeuring van, het toezicht op en de periodieke evaluatie van de uitvoering van het beleid inzake ICT-bedrijfscontinuïteit en van de ICT-respons- en herstelplannen van de financiële entiteit, als bedoeld in respectievelijk artikel 11, leden 1 en 3, die kunnen worden aangenomen als een specifiek afzonderlijk beleid en als integrerend onderdeel van het ruimere beleid inzake bedrijfscontinuïteit en het respons- en herstelplan van de financiële entiteit;

de goedkeuring en de periodieke evaluatie van de interne ICT-auditplannen en ICT-audits van de financiële entiteit en materiële wijzigingen daarvan;

de toewijzing en de periodieke evaluatie van het passende budget om te voldoen aan de behoeften inzake digitale operationele weerbaarheid van de financiële entiteit met betrekking tot alle soorten middelen, waaronder relevante bewustmakingsprogramma’s op het gebied van ICT-beveiliging en opleidingen inzake digitale operationele weerbaarheid zoals bedoeld in artikel 13, lid 6, en ICT-vaardigheden voor al het personeel;

de goedkeuring en de periodieke evaluatie van het beleid van de financiële entiteit inzake regelingen betreffende het gebruik van ICT-diensten die door derde aanbieders van ICT-diensten worden verleend;

het opzetten van meldingskanalen op bedrijfsniveau die het in staat stellen informatie in te winnen over:

toe te lichten hoe het kader voor ICT-risicobeheer de bedrijfsstrategie en -doelstellingen van de financiële entiteit ondersteunt;

het risicotolerantieniveau voor ICT-risico vast te stellen in overeenstemming met de risicobereidheid van de financiële entiteit, en de tolerantie ten aanzien van de effecten van ICT-storingen te analyseren;

duidelijke informatiebeveiligingsdoelstellingen vast te stellen, met inbegrip van kernprestatie-indicatoren en kernrisicomaatstaven;

de ICT-referentiearchitectuur toe te lichten alsmede eventuele wijzigingen daarin die noodzakelijk zijn om specifieke bedrijfsdoelstellingen te bereiken;

de verschillende mechanismen te beschrijven die zijn ingesteld om ICT-gerelateerde incidenten op te sporen, de effecten ervan te voorkomen en te voorzien in beveiliging tegen deze effecten;

de huidige situatie op het gebied van digitale operationele weerbaarheid aan te tonen op basis van het aantal gemelde ernstige ICT-gerelateerde incidenten en de doeltreffendheid van preventieve maatregelen;

tests te verrichten van de digitale operationele weerbaarheid, overeenkomstig hoofdstuk IV van deze verordening;

en een communicatiestrategie uit te stippelen in het geval van ICT-gerelateerde incidenten die overeenkomstig artikel 14 openbaar moeten worden gemaakt.

geschikt zijn gezien de omvang van de verrichtingen ter ondersteuning van hun activiteiten, in overeenstemming met het evenredigheidsbeginsel als bedoeld in artikel 4;

betrouwbaar zijn;

voldoende capaciteit hebben voor een nauwkeurige verwerking van de gegevens die nodig zijn voor de uitvoering van activiteiten en de tijdige verlening van diensten, en om zo nodig volumepieken in orders, orderberichten of transacties op te vangen, onder meer wanneer nieuwe technologie wordt ingevoerd;

technologisch gezien voldoende weerbaar zijn om indien nodig in gespannen marktomstandigheden of andere ongunstige situaties naar behoren te voorzien in bijkomende gegevensverwerking.

waarborgen de beveiliging van de middelen voor overdracht van gegevens;

beperken het risico op aantasting of verlies van gegevens, ongeoorloofde toegang en technische gebreken die de bedrijfsactiviteit kunnen belemmeren;

voorkomen een gebrek aan beschikbaarheid, de aantasting van de authenticiteit en integriteit, de inbreuken op de vertrouwelijkheid en het verlies van gegevens;

zorgen ervoor dat gegevens worden beschermd tegen risico’s bij het gegevensbeheer, met inbegrip van slecht bestuur, risico’s bij de verwerking en menselijke fouten.

zij ontwikkelen en documenteren een beleid inzake informatiebeveiliging waarin regels worden vastgesteld ter bescherming van de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van gegevens, informatie- en ICT-activa, inclusief die van hun klanten, in voorkomend geval;

zij voeren op grond van een op risico’s gebaseerde aanpak een degelijke structuur voor netwerk- en infrastructuurbeheer in met gebruik van passende technieken, methoden en protocollen, eventueel met toepassing van geautomatiseerde mechanismen om in geval van cyberaanvallen de getroffen informatieactiva te isoleren;

zij voeren een beleid waarbij de fysieke of logische toegang tot informatie- en ICT-activa wordt beperkt tot hetgeen alleen voor legitieme en goedgekeurde functies en activiteiten noodzakelijk is, en voeren daartoe een reeks beleidslijnen, procedures en controles in om toegangsrechten en een degelijk beheer daarvan te waarborgen;

zij voeren beleidslijnen en protocollen in voor strenge authenticatiemechanismen die gebaseerd zijn op relevante normen, specifieke controlesystemen en beschermingsmaatregelen voor cryptografische sleutels, waarbij gegevens worden versleuteld uitgaande van de resultaten van goedgekeurde processen van gegevensclassificatie en ICT-risicobeoordeling;

zij voeren gedocumenteerde beleidslijnen, procedures en controles in voor het beheer van veranderingen in ICT, met inbegrip van veranderingen in software, hardware, firmwarecomponenten, systemen of beveiligingsparameters, die uitgaan van een op risicobeoordeling gebaseerde aanpak en integrerend deel uitmaken van het algemene veranderingsbeheerproces van de financiële entiteit, teneinde te garanderen dat alle veranderingen in ICT-systemen op gecontroleerde wijze worden geregistreerd, getest, beoordeeld, goedgekeurd, ingevoerd en geverifieerd;

zij beschikken over een passend en alomvattend gedocumenteerd beleid voor patches en updates.

de continuïteit van de kritieke of belangrijke functies van de financiële entiteit te verzekeren;

op een snelle, passende en doeltreffende wijze een respons en een oplossing te bieden voor alle ICT-gerelateerde incidenten waarbij de schade wordt beperkt en prioriteit wordt verleend aan de hervatting van de activiteiten en aan herstelmaatregelen;

onverwijld specifieke plannen in werking te stellen om inperkingsmaatregelen, -processen en -technologieën mogelijk te maken die aangepast zijn aan elk type ICT-gerelateerd incident en waarmee verdere schade kan worden voorkomen, alsmede op maat gesneden respons- en herstelprocedures in overeenstemming met artikel 12;

de voorlopige effecten, schade en verliezen te ramen;

maatregelen voor communicatie en crisisbeheersing op te stellen die garanderen dat aan alle betrokken interne personeelsleden en externe belanghebbenden geactualiseerde informatie wordt verstrekt overeenkomstig artikel 14, en verslag uit te brengen aan de bevoegde autoriteiten overeenkomstig artikel 19.

ten minste jaarlijks en in geval van substantiële wijzigingen in ICT-systemen die kritieke of belangrijke functies ondersteunen, de ICT-bedrijfscontinuïteitsplannen en de ICT-respons- en herstelplannen met betrekking tot ICT-systemen die kritieke of belangrijke functies ondersteunen;

de overeenkomstig artikel 14 opgestelde crisiscommunicatieplannen.

back-upbeleid en -procedures waarin nader wordt bepaald op welke gegevens de back-up en de minimale frequentie van de back-up worden toegepast, op basis van het kritieke karakter van de informatie of het vertrouwelijkheidsniveau van de gegevens;

terugzettings- en herstelprocedures en -methoden.

fysiek gevestigd op een bepaalde afstand van de primaire verwerkingslocatie om te verzekeren dat de locatie een ander risicoprofiel heeft en om te voorkomen dat deze wordt getroffen door de gebeurtenis die de primaire locatie heeft getroffen;

in staat de continuïteit van kritieke of belangrijke functies op dezelfde manier te waarborgen als de primaire locatie of het niveau van diensten te leveren dat noodzakelijk is om ervoor te zorgen dat de financiële entiteit haar kritieke activiteiten verricht binnen het kader van de hersteldoelstellingen;

onmiddellijk toegankelijk voor het personeel van de financiële entiteit om de continuïteit van kritieke of belangrijke functies te waarborgen ingeval de primaire verwerkingslocatie niet langer beschikbaar is.

de snelheid waarmee is gereageerd op veiligheidswaarschuwingen en de effecten en de ernst van ICT-gerelateerde incidenten zijn vastgesteld;

de kwaliteit en de snelheid bij het verrichten van een forensische analyse, indien deze passend wordt geacht;

de doeltreffendheid van incidentescalatie binnen de financiële entiteit;

de doeltreffendheid van interne en externe communicatie.

nadere elementen te specificeren die moeten worden opgenomen in de beleidslijnen, procedures, protocollen en instrumenten met betrekking tot ICT-beveiliging als bedoeld in artikel 9, lid 2, teneinde de veiligheid van netwerken te garanderen, passende waarborgen tegen inbreuken en misbruik van gegevens mogelijk te maken, de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van gegevens, met inbegrip van cryptografische technieken, te beschermen en een nauwkeurige en snelle doorgifte van gegevens zonder ernstige verstoringen en onnodige vertragingen te waarborgen;

verdere onderdelen van de controle van rechten voor toegangsbeheer als bedoeld in artikel 9, lid 4, punt c), en het daarmee verband houdende personeelsbeleid te ontwikkelen, waarin de toegangsrechten en de procedures voor het toekennen en intrekken van rechten nader worden gespecificeerd, en toezicht wordt uitgeoefend op afwijkend gedrag met betrekking tot het ICT-risico via passende indicatoren, onder meer voor patronen en uren van netwerkgebruik, IT-activiteit en onbekende toestellen;

de mechanismen als bedoeld in artikel 10, lid 1, om een snelle detectie van afwijkende activiteiten mogelijk te maken, verder te ontwikkelen alsmede de criteria van artikel 10, lid 2, om processen voor detectie van ICT-gerelateerde incidenten en respons daarop in werking te stellen;

de onderdelen van het ICT-bedrijfscontinuïteitsbeleid als bedoeld in artikel 11, lid 1, verder te specificeren;

het testen van de ICT-bedrijfscontinuïteitsplannen als bedoeld in artikel 11, lid 6, verder te specificeren om ervoor te zorgen dat bij het testen naar behoren rekening wordt gehouden met scenario’s waarin de kwaliteit van voorziening van een kritieke of belangrijke functie tot op een onaanvaardbaar niveau verslechtert of deze functie uitvalt, en de potentiële effecten van de insolventie of andere gebreken van een relevante derde aanbieder van ICT-diensten en, indien van toepassing, de politieke risico’s in de rechtsgebieden van de respectieve aanbieders naar behoren in aanmerking worden genomen;

de onderdelen van de ICT-respons- en -herstelplannen als bedoeld in artikel 11, lid 3, verder te specificeren;

de inhoud en de vorm van het in artikel 6, lid 5, bedoelde evaluatieverslag van het kader voor ICT-risicobeheer verder te specificeren.

een degelijk en gedocumenteerd kader voor ICT-risicobeheer tot stand brengen en handhaven, waarin de mechanismen en maatregelen worden beschreven die gericht zijn op een snel, efficiënt en alomvattend beheer van het ICT-risico, met inbegrip van de bescherming van relevante fysieke componenten en infrastructuur;

voortdurend toezicht houden op de beveiliging en werking van alle ICT-systemen;

de gevolgen van ICT-risico’s tot een minimum beperken door solide, weerbare en geactualiseerde ICT-systemen, -protocollen en -instrumenten te gebruiken die geschikt zijn voor het ondersteunen van de prestaties van hun activiteiten en de verlening van diensten, en de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van gegevens in de netwerk- en informatiesystemen adequaat beschermen;

ervoor zorgen dat bronnen van ICT-risico’s en anomalieën in de netwerk- en informatiesystemen zo spoedig mogelijk worden geïdentificeerd en gedetecteerd en ICT-gerelateerde incidenten snel kunnen worden afgehandeld;

de belangrijkste afhankelijkheden ten aanzien van derde aanbieders van ICT-diensten in kaart brengen;

de continuïteit van kritieke of belangrijke functies waarborgen door middel van bedrijfscontinuïteitsplannen en respons- en herstelmaatregelen, die ten minste back-up- en herstelmaatregelen omvatten;

de in punt f) bedoelde plannen en maatregelen, alsmede de doeltreffendheid van de overeenkomstig de punten a) en c) uitgevoerde controles regelmatig testen;

in voorkomend geval de relevante operationele conclusies die voortvloeien uit de in punt g) bedoelde tests en uit de analyse na een incident opnemen in het ICT-risicobeoordelingsproces, en overeenkomstig de behoeften en het ICT-risicoprofiel bewustmakingsprogramma’s op het gebied van ICT-beveiliging en opleiding inzake digitale operationele weerbaarheid voor personeel en leidinggevenden ontwikkelen.

de elementen die moeten worden opgenomen in het in lid 1, tweede alinea, punt a), bedoelde kader voor ICT-risicobeheer verder te specificeren;

de elementen met betrekking tot systemen, protocollen en instrumenten om de effecten van het in lid 1, tweede alinea, punt c), bedoelde ICT-risico tot een minimum te beperken verder te specificeren, teneinde de veiligheid van netwerken te garanderen, passende waarborgen tegen inbreuken en misbruik van gegevens mogelijk te maken en de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van gegevens te beschermen;

de onderdelen van de in lid 1, tweede alinea, punt f), bedoelde ICT-bedrijfscontinuïteitsplannen verder te specificeren;

de regels voor het testen van bedrijfscontinuïteitsplannen verder te specificeren, de doeltreffendheid van de in lid 1, tweede alinea, punt g), bedoelde controles te waarborgen, en ervoor te zorgen dat bij dergelijke tests terdege rekening wordt gehouden met scenario’s waarin de kwaliteit van voorziening van een kritieke of belangrijke functie tot op een onaanvaardbaar niveau verslechtert of deze functie uitvalt;

de inhoud en de vorm van het in lid 2 bedoelde evaluatieverslag van het kader voor ICT-risicobeheer verder te specificeren.

indicatoren voor vroegtijdige waarschuwing in te voeren;

procedures vast te stellen om ICT-gerelateerde incidenten te identificeren, te detecteren, te categoriseren en te classificeren op basis van de prioriteit en de ernst ervan en op basis van het kritieke karakter van de getroffen diensten in overeenstemming met de criteria van artikel 18, lid 1;

functies en verantwoordelijkheden toe te wijzen die voor verschillende incidenttypes en -scenario’s moeten worden geactiveerd;

plannen op te stellen voor communicatie met personeel, externe belanghebbenden en media in overeenstemming met artikel 14, en voor mededeling aan cliënten, voor interne escalatieprocedures, met inbegrip van ICT-gerelateerde klachten van cliënten, alsmede voor verstrekking van informatie, indien noodzakelijk, aan financiële entiteiten die optreden als tegenpartijen;

te verzekeren dat ten minste ernstige ICT-gerelateerde incidenten aan het desbetreffende hoger leidinggevend personeel worden gemeld, en het leidinggevend orgaan te informeren over ten minste ernstige ICT-gerelateerde incidenten met toelichting bij de effecten, de respons en de in te stellen aanvullende controles ten gevolge van dergelijke ICT-gerelateerde incidenten;

responsprocedures voor ICT-gerelateerde incidenten in te stellen om de effecten daarvan te beperken en ervoor te zorgen dat de diensten tijdig operationeel en veilig worden.

het aantal en/of de relevantie van cliënten of financiële tegenpartijen en, indien van toepassing, de hoeveelheid of het aantal transacties die door het ICT-gerelateerde incident zijn getroffen, en de vraag of het ICT-gerelateerde incident reputatieschade heeft veroorzaakt;

de duur van het ICT-gerelateerde incident, waaronder de uitvaltijd van de dienst;

de geografische spreiding van de gebieden die door het ICT-gerelateerde incident zijn getroffen, met name indien meer dan twee lidstaten zijn getroffen;

de gegevensverliezen ten gevolge van het ICT-gerelateerde incident met betrekking tot beschikbaarheid, authenticiteit, integriteit or vertrouwelijkheid van gegevens;

de mate waarin de getroffen diensten, waaronder de transacties en verrichtingen van de financiële entiteit, als cruciaal kunnen worden aangemerkt;

de economische effecten, met name directe en indirecte kosten en verliezen, van het ICT-gerelateerde incident in absolute en relatieve termen.

de criteria vastgesteld in lid 1, met inbegrip van materialiteitsdrempels voor het bepalen van ernstige ICT-gerelateerde incidenten of, indien van toepassing, ernstige betalingsgerelateerde operationele of beveiligingsincidenten waarvoor de rapportageverplichting van artikel 19, lid 1, geldt;

de door de bevoegde autoriteiten toe te passen criteria voor de beoordeling van de relevantie van ernstige ICT-gerelateerde incidenten of, indien van toepassing, ernstige betalingsgerelateerde operationele of beveiligingsincidenten voor relevante bevoegde autoriteiten van andere lidstaten, en de nadere informatie van verslagen over ernstige ICT-gerelateerde incidenten of, indien van toepassing, ernstige betalingsgerelateerde operationele of beveiligingsincidenten die overeenkomstig artikel 19, leden 6 en 7, aan andere bevoegde autoriteiten moeten worden meegedeeld;

de criteria van lid 2 van dit artikel, met inbegrip van hoge materialiteitsdrempels voor het bepalen van significante cyberdreigingen.

een eerste kennisgeving;

een tussentijds verslag na de eerste kennisgeving als bedoeld in punt a), zodra de status van het oorspronkelijke incident ingrijpend is gewijzigd of de behandeling van het ernstige ICT-gerelateerde incident is gewijzigd op basis van beschikbare nieuwe informatie, in voorkomend geval gevolgd door geactualiseerde kennisgevingen telkens wanneer een relevante actualisering van de status beschikbaar is, alsmede op specifiek verzoek van de bevoegde autoriteit;

een eindverslag, wanneer de analyse van de onderliggende oorzaken is voltooid, ongeacht of er reeds beperkende maatregelen zijn uitgevoerd, en wanneer de werkelijke impactcijfers beschikbaar zijn in plaats van ramingen.

de EBA, de ESMA of de Eiopa;

de ECB, in het geval van financiële entiteiten als bedoeld in artikel 2, lid 1, punten a), b) en d):

de bevoegde autoriteiten, de centrale contactpunten of de CSIRT’s die overeenkomstig Richtlijn (EU) 2022/2555 zijn aangewezen of ingesteld;

de afwikkelingsautoriteiten, als bedoeld in artikel 3 van Richtlijn 2014/59/EU, en de Gemeenschappelijke Afwikkelingsraad (GAR) met betrekking tot de in artikel 7, lid 2, van Verordening (EU) nr. 806/2014 van het Europees Parlement en de Raad (37) bedoelde entiteiten, en met betrekking tot de in artikel 7, lid 4, punt b), en lid 5, van Verordening (EU) nr. 806/2014 bedoelde entiteiten en groepen, indien die bijzonderheden betrekking hebben op incidenten die een risico vormen voor het waarborgen van kritieke functies in de zin van artikel 2, lid 1, punt 35), van Richtlijn 2014/59/EU, en

andere relevante overheidsinstanties naar nationaal recht.

gemeenschappelijke ontwerpen van technische reguleringsnormen om:

Bij de ontwikkeling van die ontwerpen van technische reguleringsnormen houden de ETA’s rekening met de omvang en het algemene risicoprofiel van de financiële entiteit en met de aard, schaal en complexiteit van de diensten, activiteiten en verrichtingen ervan, met name om ervoor te zorgen dat voor de toepassing van deze alinea, punt a), ii), de uiterste termijnen zijn afgestemd op de eventuele specifieke kenmerken van de financiële sectoren, zonder dat afbreuk wordt gedaan aan een consistente aanpak van ICT-gerelateerde incidentrapportage op grond van deze verordening en Richtlijn (EU) 2022/2555. De ETA’s motiveren eventuele afwijkingen van de in het kader van die richtlijn gevolgde aanpak;

gemeenschappelijke ontwerpen van technische uitvoeringsnormen tot vaststelling van de standaardformulieren, modellen en procedures voor het rapporteren van ernstige ICT-gerelateerde incidenten en het melden van significante cyberdreigingen door financiële entiteiten.

de vereisten voor de oprichting van een unieke EU-hub;

de voordelen, beperkingen en risico’s, met inbegrip van de risico’s in verband met de hoge concentratie van gevoelige informatie;

de nodige capaciteit om interoperabiliteit met andere relevante rapportagesystemen te waarborgen;

elementen van operationeel beheer;

de voorwaarden voor het lidmaatschap;

technische regels voor financiële entiteiten en nationale bevoegde autoriteiten om toegang tot de unieke EU-hub te verkrijgen;

een voorlopige beoordeling van de financiële kosten voor de oprichting van het operationele platform ter ondersteuning van de unieke EU-hub, met inbegrip van de vereiste deskundigheid.

effectgerelateerde factoren, met name de mate waarin de diensten en de activiteiten van de financiële entiteit effecten hebben op de financiële sector;

mogelijke bezorgdheid over financiële stabiliteit, met inbegrip van het systemisch karakter van de financiële entiteit op Unieniveau of op nationaal niveau, indien van toepassing;

het specifieke ICT-risicoprofiel, het niveau van maturiteit inzake ICT van de financiële entiteit of de technologische kenmerken in het geding.

de voor de toepassing van lid 8, tweede alinea, gebruikte criteria;

de vereisten en normen inzake het inzetten van interne testers;

de vereisten met betrekking tot:

het soort samenwerking op het gebied van toezicht evenals andere relevante vormen van samenwerking die noodzakelijk zijn voor de uitvoering van TLPT en ter facilitering van wederzijdse erkenning van die tests, in het geval van financiële entiteiten die in meer dan een lidstaat actief zijn, teneinde een passend niveau van betrokkenheid van toezichthouders en een flexibele uitvoering mogelijk te maken rekening houdend met de specifieke kenmerken van financiële subsectoren of lokale financiële markten.

in de hoogste mate geschikt en deugdelijk zijn;

technische en organisatorische capaciteiten bezitten en blijk geven van specifieke deskundigheid op het gebied van inlichtingen over dreigingen, penetratietests en red-teamtests;

door een accrediteringsinstantie in een lidstaat zijn gecertificeerd of formele gedragscodes of ethische kaders hebben onderschreven;

een onafhankelijke waarborg of een auditverslag verstrekken met betrekking tot het deugdelijk beheer van risico’s die verbonden zijn aan de uitvoering van TLPT, met inbegrip van de gepaste bescherming van de vertrouwelijke informatie van de financiële entiteit en herstel voor de bedrijfsrisico’s van de financiële entiteit;

naar behoren en volledig door de desbetreffende beroepsaansprakelijkheidsverzekeringen zijn gedekt, onder meer tegen het risico van fouten en nalatigheid.

dergelijk inzetten van interne testers is goedgekeurd door de relevante bevoegde autoriteit of de overeenkomstig artikel 26, leden 9 en 10, aangewezen enige overheidsinstantie;

de relevante bevoegde autoriteit heeft geverifieerd dat de financiële entiteit voldoende middelen heeft ingezet en heeft ervoor gezorgd dat belangenconflicten gedurende de hele ontwerp- en uitvoeringsfase van de test worden voorkomen, en

de verstrekker van inlichtingen over dreigingen is extern ten opzichte van de financiële entiteit.

financiële entiteiten die contractuele overeenkomsten voor het gebruik van ICT-diensten voor hun bedrijfsactiviteiten hebben getroffen, blijven te allen tijde volledig verantwoordelijk voor de naleving en de verantwoording van alle verplichtingen uit hoofde van deze verordening en het toepasselijke recht inzake financiële diensten;

het beheer van het ICT-risico van derde aanbieders door financiële entiteiten wordt uitgevoerd aan de hand van het evenredigheidsbeginsel, rekening houdend met:

beoordelen financiële entiteiten of de contractuele overeenkomst betrekking heeft op het gebruik van ICT-diensten die een kritieke of belangrijke functie ondersteunen;

beoordelen zij of aan de toezichtvoorwaarden voor het sluiten van het contract is voldaan;

identificeren en beoordelen zij alle relevante risico’s met betrekking tot de contractuele overeenkomst, met inbegrip van de mogelijkheid dat deze contractuele overeenkomst kan leiden tot een versterking van het ICT-concentratierisico als bedoeld in artikel 29;

verrichten zij due-diligenceonderzoeken over toekomstige derde aanbieders van ICT-diensten en waarborgen zij gedurende de gehele selectie- en beoordelingsprocedure dat de derde aanbieder van ICT-diensten geschikt is;

identificeren en beoordelen zij belangenconflicten die kunnen voortkomen uit de contractuele overeenkomst.

bij ernstige overtreding van de toepasselijke wetten, voorschriften of contractuele voorwaarden door de derde aanbieder van ICT-diensten;

in omstandigheden die in de loop van de monitoring van het ICT-risico van derde aanbieders worden vastgesteld, waarvan wordt aangenomen dat deze wijzigingen kunnen brengen in de uitvoering van de functies waarin de contractuele overeenkomst voorziet, met inbegrip van materiële wijzigingen die de overeenkomst of de situatie van de derde aanbieder van ICT-diensten nadelig beïnvloeden;

bij klaarblijkelijke zwakheden van de derde aanbieder van ICT-diensten in verband met zijn algemeen beheer van het ICT-risico en in het bijzonder met de manier waarop hij zorgt voor de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van persoonlijke of anderszins gevoelige gegevens of niet-persoonsgebonden gegevens;

indien de bevoegde autoriteit niet langer doeltreffend toezicht kan uitoefenen op de financiële entiteit ten gevolge van de voorwaarden van of de omstandigheden in verband met de respectieve contractuele overeenkomst.

zonder verstoring van hun bedrijfsactiviteiten,

zonder dat de naleving van de regelgevingsvereisten wordt beperkt,

zonder dat afbreuk wordt gedaan aan de continuïteit en de kwaliteit van aan cliënten geleverde diensten.

zij een contract sluiten met een derde aanbieder van ICT-diensten die niet gemakkelijk substitueerbaar is, of

zij beschikken over meerdere contractuele overeenkomsten inzake de verlening van ICT-diensten die kritieke of belangrijke functies ondersteunen, met dezelfde derde aanbieder van ICT-diensten of met nauw verbonden derde aanbieders van ICT-diensten.

een duidelijke en volledige beschrijving van alle door de derde aanbieder van ICT-diensten te leveren functies en ICT-diensten, met vermelding of het uitbesteden van een ICT-dienst die een kritieke of belangrijke functie ondersteunt, of van materiële onderdelen daarvan, is toegestaan en indien dit het geval is, welke voorwaarden op die uitbesteding van toepassing zijn;

de locaties, met name de regio’s of landen, waar de contractueel overeengekomen of uitbestede functies en ICT-diensten moeten worden geleverd en waar gegevens moeten worden verwerkt, met inbegrip van de opslaglocatie, en de verplichting voor de derde aanbieder van ICT-diensten om de financiële entiteit vooraf in kennis te stellen indien hij voornemens is van locatie te veranderen;

bepalingen inzake beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid met betrekking tot de bescherming van gegevens, met inbegrip van persoonsgegevens;

bepalingen inzake het waarborgen van de toegang, het herstel en de teruggave in een gemakkelijk toegankelijk formaat van door de financiële entiteit verwerkte persoonsgegevens en niet-persoonsgebonden gegevens in geval van insolventie, afwikkeling of stopzetting van de bedrijfsactiviteiten van de derde aanbieder van ICT-diensten, of in geval van beëindiging van de contractuele overeenkomsten;

beschrijvingen van het dienstenniveau, met inbegrip van actualiseringen en herzieningen daarvan;

de verplichting van de derde aanbieder van ICT-diensten om de financiële entiteit zonder extra kosten, of tegen een vooraf bepaalde kostprijs, bijstand te verlenen wanneer zich een incident voordoet dat verband houdt met de aan de financiële entiteit geleverde ICT-dienst;

de verplichting van de derde aanbieder van ICT-diensten om volledige medewerking te verlenen aan de bevoegde autoriteiten en de afwikkelingsautoriteiten van de financiële entiteit, met inbegrip van de door hen aangestelde personen;

beëindigingsrechten en de bijbehorende minimumopzegtermijnen voor de beëindiging van de contractuele overeenkomsten, in overeenstemming met de verwachtingen van de bevoegde autoriteiten en de afwikkelingsautoriteiten;

de voorwaarden voor deelname van derde aanbieders van ICT-diensten aan bewustmakingsprogramma’s op het gebied van ICT-beveiliging en opleidingen inzake digitale operationele weerbaarheid van de financiële entiteiten, overeenkomstig artikel 13, lid 6.

beschrijvingen van het niveau van volledige dienstverlening, met inbegrip van actualiseringen en herzieningen daarvan met nauwkeurige kwantitatieve en kwalitatieve prestatiedoelstellingen binnen de overeengekomen dienstverleningsniveaus, teneinde de financiële entiteit in staat te stellen een doeltreffende monitoring van de ICT-diensten te verrichten en onverwijld passende corrigerende maatregelen te nemen wanneer de overeengekomen dienstverleningsniveaus niet worden gehaald;

kennisgevingstermijnen en rapportageverplichtingen van de derde aanbieder van ICT-diensten ten aanzien van de financiële entiteit, met inbegrip van de kennisgeving van ontwikkelingen die materiële gevolgen kunnen hebben voor het vermogen van de derde aanbieder om op doeltreffende wijze de ICT-diensten die kritieke of belangrijke functies ondersteunen te leveren in overeenstemming met de afgesproken dienstverleningsniveaus;

verplichtingen voor de derde aanbieder van ICT-diensten om bedrijfsnoodplannen in te voeren en te testen en te beschikken over ICT-beveiligingsmaatregelen, -instrumenten en -beleidslijnen waarmee de financiële entiteit kan zorgen voor een passend niveau van veiligheid bij het verlenen van diensten in overeenstemming met haar regelgevingskader;

de verplichting voor de derde aanbieder van ICT-diensten om deel te nemen aan en volledig mee te werken bij de TLPT van de financiële entiteit als bedoeld in de artikelen 26 en 27;

het recht om de prestaties van de derde aanbieder van ICT-diensten permanent te monitoren, hetgeen het volgende inhoudt:

exitstrategieën, met name de invoering van een verplichte passende overgangsperiode:

zij wijzen de derde aanbieders van ICT-diensten aan die cruciaal zijn voor financiële entiteiten, na een beoordeling die rekening houdt met de in lid 2 gespecificeerde criteria;

zij stellen voor iedere kritieke derde aanbieder van ICT-diensten als lead overseer de ETA aan die overeenkomstig Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 of (EU) nr. 1095/2010 verantwoordelijk is voor de financiële entiteiten die samen over het grootste aandeel van de totale activa beschikken ten opzichte van de waarde van de totale activa van alle financiële entiteiten die gebruikmaken van de diensten van de betrokken kritieke derde aanbieder van ICT-diensten, zoals resulteert uit de som van de individuele balansen van die financiële entiteiten.

de systemische effecten op de stabiliteit, continuïteit of kwaliteit van de verlening van financiële diensten ingeval de betrokken derde aanbieder van ICT-diensten te maken zou krijgen met een grootschalige operationele verstoring van de dienstverlening, rekening houdend met het aantal financiële entiteiten en de totale waarde van de activa van de financiële entiteiten waaraan de betrokken derde aanbieder ICT-diensten verleent;

het systemische karakter of belang van de financiële entiteiten die afhankelijk zijn van de betrokken derde aanbieder van ICT-diensten, dat wordt beoordeeld aan de hand van de volgende criteria:

de afhankelijkheid van financiële entiteiten ten aanzien van de diensten die door de betrokken derde aanbieder van ICT-diensten worden verleend met betrekking tot kritieke of belangrijke functies van financiële entiteiten waarbij uiteindelijk dezelfde derde aanbieder van ICT-diensten betrokken is, ongeacht of financiële entiteiten direct of indirect via uitbestedingsregelingen van die diensten afhankelijk zijn;

de graad van substitueerbaarheid van de derde aanbieder van ICT-diensten, rekening houdend met de volgende parameters:

financiële entiteiten die ICT-diensten verlenen aan andere financiële entiteiten;

derde aanbieders van ICT-diensten die onderworpen zijn aan oversightkaders die zijn vastgesteld ter ondersteuning van de in artikel 127, lid 2, van het Verdrag betreffende de werking van de Europese Unie bedoelde taken;

aanbieders van ICT-diensten binnen een groep;

derde aanbieders van ICT-diensten die uitsluitend in één lidstaat ICT-diensten verlenen aan financiële entiteiten die alleen in die lidstaat actief zijn.

de voorzitters van de ETA’s;

één vertegenwoordiger op hoog niveau van het huidige personeel van de in artikel 46 bedoelde bevoegde autoriteit van elke lidstaat;

de uitvoerend directeur van elke ETA en één vertegenwoordiger van de Commissie, het ESRB, de ECB en Enisa als waarnemers;

waar passend, één extra vertegenwoordiger van een in artikel 46 bedoelde bevoegde autoriteit van elke lidstaat als waarnemer;

indien van toepassing, één vertegenwoordiger van de overeenkomstig Richtlijn (EU) 2022/2555 aangewezen of ingestelde bevoegde autoriteiten die verantwoordelijk zijn voor het toezicht op een essentiële of belangrijke entiteit die onder die richtlijn valt en die is aangewezen als kritieke derde aanbieder van ICT-diensten, als waarnemer.

ICT-voorschriften om met name de veiligheid, beschikbaarheid, continuïteit, schaalbaarheid en kwaliteit van diensten die de kritieke derde aanbieder van ICT-diensten aan financiële entiteiten verleent, te garanderen alsook het vermogen om te allen tijde hoge normen inzake beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van gegevens te handhaven;

de fysieke beveiliging die tot de ICT-beveiliging bijdraagt, inclusief de beveiliging van gebouwen, faciliteiten en datacentra;

de processen inzake risicobeheer, met inbegrip van het beleid inzake ICT-risicobeheer, het ICT-bedrijfscontinuïteitsbeleid en de ICT-respons- en herstelplannen;

de governanceregelingen, met inbegrip van een organisatiestructuur met duidelijke, transparante en consistente regels inzake taakverdeling en verantwoording die doeltreffend ICT-risicobeheer mogelijk maken;

de opsporing, monitoring en snelle rapportage van materiële ICT-gerelateerde incidenten aan financiële entiteiten, het beheer en de oplossing van die incidenten, met name cyberaanvallen;

de mechanismen voor overdracht van gegevens en applicaties en interoperabiliteit, die een doeltreffende uitoefening van het beëindigingsrecht door de financiële entiteiten verzekeren;

het testen van ICT-systemen, -infrastructuur en -controles;

de ICT-audits;

het gebruik van relevante nationale en internationale normen die van toepassing zijn op het verlenen van ICT-diensten aan de financiële entiteiten.

alle relevante informatie en documentatie overeenkomstig artikel 37 op te vragen;

algemene onderzoeken en inspecties te verrichten overeenkomstig respectievelijk de artikelen 38 en 39;

na afloop van de oversightactiviteiten te verzoeken om verslagen met vermelding van de ondernomen acties of de corrigerende maatregelen die door de kritieke derde aanbieders van ICT-diensten zijn genomen met betrekking tot de in punt d) bedoelde aanbevelingen;

aanbevelingen uit te vaardigen met betrekking tot de in artikel 33, lid 3, bedoelde gebieden, met name over:

Voor de toepassing van punt iv) van dit punt zenden derde aanbieders van ICT-diensten de informatie inzake uitbesteding aan de lead overseer toe, en gebruiken daarbij het in artikel 41, lid 1, punt b), bedoelde model.

zorgt hij voor regelmatige coördinatie binnen het JON, en met name consistente benaderingen, voor zover nodig, met betrekking tot het oversight van kritieke derde aanbieders van ICT-diensten;

houdt hij terdege rekening met het bij Richtlijn (EU) 2022/2555 vastgestelde kader en raadpleegt indien nodig de relevante bevoegde autoriteiten die overeenkomstig die richtlijn zijn aangewezen of ingesteld, om overlappingen te voorkomen van technische en organisatorische maatregelen die op grond van die richtlijn van toepassing kunnen zijn op kritieke derde aanbieders van ICT-diensten;

beperkt hij zo veel mogelijk het risico van verstoring van diensten die kritieke derde aanbieders van ICT-diensten verlenen aan klanten die entiteiten zijn die buiten het toepassingsgebied van deze verordening vallen.

de ernst en de duur van niet-naleving;

de vraag of niet-naleving opzettelijk dan wel uit onachtzaamheid is gepleegd;

de mate van medewerking van de derde aanbieder van ICT-diensten met de lead overseer.

in artikel 35, lid 1, punt a), en

in artikel 35, lid 1, punt b), overeenkomstig artikel 38, lid 2, punten a), b), en d), en in artikel 39, lid 1, en lid 2, punt a).

de lead overseer is van mening dat een inspectie in een derde land noodzakelijk is om hem in staat te stellen zijn taken uit hoofde van deze verordening volledig en doeltreffend uit te voeren;

de inspectie in een derde land houdt rechtstreeks verband met het verlenen van ICT-diensten aan financiële entiteiten in de Unie;

de betrokken kritieke derde aanbieder van ICT-diensten stemt in met het uitvoeren van een inspectie in een derde land, en

de betrokken autoriteit van het derde land is door de lead overseer officieel in kennis gesteld en heeft geen bezwaar gemaakt.

de procedures voor de coördinatie van uit hoofde van deze verordening uitgevoerde oversightactiviteiten en elke overeenkomstige door de betrokken autoriteit van het derde land in kwestie uitgevoerde monitoring van het ICT-risico van derde aanbieders in de financiële sector, met inbegrip van details over het toezenden door de lead overseer en zijn team, van de toestemming van de betrokken autoriteit van het derde land in kwestie om algemene onderzoeken en inspecties ter plaatse uit te voeren, zoals bedoeld in lid 1, eerste alinea, op het grondgebied dat onder de jurisdictie van de betrokken autoriteit van het derde land valt;

het mechanisme voor het doorgeven van relevante informatie tussen de EBA, de ESMA of de Eiopa, en de betrokken autoriteit van het derde land in kwestie, met name in verband met informatie waar de lead overseer uit hoofde van artikel 37 om kan verzoeken;

de mechanismen voor snelle kennisgeving door de betrokken autoriteit van het derde land in kwestie aan de EBA, de ESMA of de Eiopa, van gevallen waarbij vermoed wordt dat een in een derde land gevestigde derde aanbieder van ICT-diensten die overeenkomstig artikel 31, lid 1, punt a), als cruciaal is aangewezen, de vereisten heeft overtreden die hij krachtens het toepasselijke recht van het derde land in kwestie moet naleven bij het verlenen van diensten aan financiële instellingen in dat derde land, evenals de toegepaste rechtsmiddelen en sancties;

het regelmatig doorgeven van updates over ontwikkelingen op het gebied van regelgeving en toezicht inzake de monitoring van het ICT-risico van derde aanbieders van financiële instellingen in het derde land in kwestie;

de details om indien nodig de deelname van een vertegenwoordiger van de betrokken autoriteit van het derde land aan de door de lead overseer en het aangewezen team uitgevoerde inspecties, mogelijk te maken.

oefent hij zijn bevoegdheden uit hoofde van artikel 35 uit op basis van alle feiten en documenten waarover hij beschikt;

documenteert hij en licht hij de gevolgen toe van zijn onvermogen om de in dit artikel bedoelde beoogde oversightactiviteiten uit te voeren.

hij vermeldt dit artikel als rechtsgrondslag voor het verzoek;

hij geeft het doel van het verzoek aan;

hij vermeldt welke informatie wordt verlangd;

hij bepaalt binnen welke termijn de informatie moet worden verstrekt;

hij deelt de vertegenwoordiger van de voor informatie aangezochte kritieke derde aanbieder van ICT-diensten mee dat deze niet verplicht is de informatie te verstrekken maar dat, in geval vrijwillig op het verzoek wordt ingegaan, de verstrekte informatie niet onjuist en misleidend mag zijn.

hij vermeldt dit artikel als rechtsgrondslag voor het besluit;

hij geeft het doel van het besluit aan;

hij vermeldt welke informatie wordt verlangd;

hij bepaalt binnen welke termijn de informatie moet worden verstrekt;

hij vermeldt welke dwangsom overeenkomstig artikel 35, lid 6, wordt opgelegd indien de gevraagde informatie niet volledig wordt overgelegd of wanneer deze informatie niet binnen de in punt d) van dit lid vermelde termijn wordt verstrekt;

hij vermeldt dat tegen het besluit bezwaar kan worden aangetekend bij de bezwaarcommissie van de ETA’s en dat bij het Hof van Justitie van de Europese Unie (“Hof van Justitie”) tegen het besluit in beroep kan worden gegaan overeenkomstig de artikelen 60 en 61 van Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 of (EU) nr. 1095/2010.

registers, data, procedures en alle overig voor de uitvoering van zijn taken relevant materiaal te onderzoeken, ongeacht de drager waarop dit materiaal opgeslagen;

voor eensluidend gewaarmerkte kopieën of uittreksels te maken of te verkrijgen van deze registers, data, gedocumenteerde procedures en enig ander materiaal;

vertegenwoordigers van kritieke derde aanbieder van ICT-diensten op te roepen en te verzoeken om mondelinge of schriftelijke toelichting te geven bij feiten of documenten die betrekking hebben op het onderwerp en het doel van het onderzoek, en de antwoorden op te tekenen;

alle andere dan onder punt c) genoemde natuurlijke personen of rechtspersonen te horen, voor zover die daarin toestemmen, om informatie over het onderwerp van een onderzoek te verzamelen;

overzichten van telefoon- en dataverkeer op te vragen.

zich toegang te verschaffen tot de eerder genoemde bedrijfsruimten, terreinen en eigendommen, en

bedrijfsruimten, boeken en bescheiden te verzegelen zolang en voor zover dit nodig is voor de inspectie.

de ETA’s;

de bevoegde autoriteiten die toezicht houden op de financiële entiteiten waaraan de kritieke derde aanbieder van ICT-diensten ICT-diensten verleent;

de in artikel 32, lid 4, punt e), bedoelde nationale bevoegde autoriteit (op vrijwillige basis);

één nationale bevoegde autoriteit van de lidstaat waar de kritieke derde aanbieder van ICT-diensten is gevestigd (op vrijwillige basis).

de door de derde aanbieder van ICT-diensten te verstrekken informatie bij diens vrijwillige verzoek om te worden aangewezen als kritieke ICT-dienstverlener als bedoeld in artikel 31, lid 11;

de inhoud, de structuur en het formaat van de informatie die overeenkomstig artikel 35, lid 1, door de kritieke derde aanbieder van ICT-diensten moet worden ingediend, openbaar gemaakt of gerapporteerd, met inbegrip van het model voor het verstrekken van informatie over onderaannemingsovereenkomsten;

de criteria voor het bepalen van de samenstelling van het gezamenlijke onderzoeksteam in verband met een evenwichtige participatie van functionarissen van de ETA’s en van de bevoegde autoriteiten, alsmede van hun aanwijzing, hun taken en hun werkafspraken.

de nadere gegevens van de beoordeling die de bevoegde autoriteiten overeenkomstig artikel 42, lid 3, hebben verricht van de maatregelen die door de kritieke derde aanbieder van ICT-diensten zijn genomen op basis van de aanbevelingen van de lead overseer.

de ernst en de duur van de niet-naleving;

de vraag of de niet-naleving ernstige zwakheden aan het licht heeft gebracht in de procedures, de beheersystemen, het risicobeheer en de interne controles van de kritieke derde aanbieder van ICT-diensten;

de vraag of door de niet-naleving een financieel delict is vergemakkelijkt of veroorzaakt of op andere wijze aan de niet-naleving kan worden toegeschreven;

de vraag of de niet-naleving opzettelijk is geweest of aan nalatigheid moet worden toegeschreven;

de vraag of het tijdelijk staken of beëindigen van de contractuele overeenkomsten een risico voor de continuïteit van de bedrijfsactiviteiten van de financiële entiteit betekent, niettegenstaande de inspanningen van de financiële entiteit om verstoring van haar dienstverlening te voorkomen;

indien van toepassing, het advies, indien hierom overeenkomstig lid 5 van dit artikel op vrijwillige basis is verzocht, van de overeenkomstig Richtlijn (EU) 2022/2555 aangewezen of ingestelde bevoegde autoriteiten die verantwoordelijk zijn voor het toezicht op een essentiële of belangrijke entiteit die onder die richtlijn valt en die is aangewezen als kritieke derde aanbieder van ICT-diensten.

bedoeld is om de digitale operationele weerbaarheid van de financiële entiteiten te versterken, met name via bewustmaking van cyberdreigingen, beperking of belemmering van de mogelijkheid tot verdere verspreiding van cyberdreigingen, ondersteuning van defensiecapaciteiten, technieken voor dreigingsdetectie, risicobeperkende strategieën en respons- en herstelfasen;

gebeurt binnen vertrouwensgemeenschappen van financiële entiteiten;

gedaan wordt via regelingen voor informatie-uitwisseling die de potentieel gevoelige aard van de gedeelde informatie beschermen en waarvoor gedragsregels gelden waarin de vertrouwelijkheid van bedrijfsinformatie, de bescherming van persoonsgegevens overeenkomstig Verordening (EU) 2016/679 en de richtsnoeren inzake mededingingsbeleid volledig worden gerespecteerd.

voor kredietinstellingen en voor instellingen die krachtens Richtlijn 2013/36/EU zijn vrijgesteld: de overeenkomstig artikel 4 van die richtlijn aangewezen bevoegde autoriteit, en voor kredietinstellingen die overeenkomstig artikel 6, lid 4, van Verordening (EU) nr. 1024/2013 als belangrijk zijn geclassificeerd: de ECB overeenkomstig de bij die verordening aan de ECB verleende bevoegdheden en taken;

voor betalingsinstellingen (waaronder betalingsinstellingen die krachtens Richtlijn (EU) 2015/2366 zijn vrijgesteld), instellingen voor elektronisch geld (waaronder zij die zijn vrijgesteld krachtens Richtlijn 2009/110/EG), en aanbieders van rekeninginformatiediensten als bedoeld in artikel 33, lid 1, van Richtlijn (EU) 2015/2366: de bevoegde autoriteit als aangewezen overeenkomstig artikel 22 van Richtlijn (EU) 2015/2366;

voor beleggingsondernemingen: de bevoegde autoriteit als aangewezen overeenkomstig artikel 4 van Richtlijn (EU) 2019/2034 van het Europees Parlement en de Raad (38);

voor aanbieders van cryptoactivadiensten met een vergunning op grond van de verordening betreffende markten in cryptoactiva en emittenten van asset-referenced tokens: de overeenkomstig de relevante bepaling van die verordening aangewezen bevoegde autoriteit;

voor centrale effectenbewaarinstellingen: de bevoegde autoriteit als aangewezen overeenkomstig artikel 11 van Verordening (EU) nr. 909/2014;

voor centrale tegenpartijen: de bevoegde autoriteit als aangewezen overeenkomstig artikel 22 van Verordening (EU) nr. 648/2012;

voor handelsplatformen en aanbieders van datarapporteringsdiensten: de bevoegde autoriteit als aangewezen overeenkomstig artikel 67 van Richtlijn 2014/65/EU, en de bevoegde autoriteit als gedefinieerd in artikel 2, lid 1, punt 18), van Verordening (EU) nr. 600/2014;

voor transactieregisters: de bevoegde autoriteit als aangewezen overeenkomstig artikel 22 van Verordening (EU) nr. 648/2012;

voor beheerders van alternatieve beleggingsinstellingen: de bevoegde autoriteit als aangewezen overeenkomstig artikel 44 van Richtlijn 2011/61/EU;

voor beheermaatschappijen: de bevoegde autoriteit als aangewezen overeenkomstig artikel 97 van Richtlijn 2009/65/EG;

voor verzekerings- en herverzekeringsmaatschappijen: de bevoegde autoriteit als aangewezen overeenkomstig artikel 30 van Richtlijn 2009/138/EG;

voor verzekerings-, herverzekerings- en nevenverzekeringstussenpersonen: de bevoegde autoriteit als aangewezen overeenkomstig artikel 12 van Richtlijn (EU) 2016/97;

voor instellingen voor bedrijfspensioenvoorziening: de bevoegde autoriteit als aangewezen overeenkomstig artikel 47 van Richtlijn (EU) 2016/2341;

voor kredietbeoordelingsbureaus: de bevoegde autoriteit als aangewezen overeenkomstig artikel 21 van Verordening (EG) nr. 1060/2009;

voor beheerders van kritieke benchmarks: de bevoegde autoriteit als aangewezen overeenkomstig de artikelen 40 en 41 van Verordening (EU) 2016/1011;

voor aanbieders van crowdfundingdiensten: de bevoegde autoriteit als aangewezen overeenkomstig artikel 29 van Verordening (EU) 2020/1503;

voor securitisatieregisters: de bevoegde autoriteit als aangewezen overeenkomstig artikel 10 en artikel 14, lid 1, van Verordening (EU) 2017/2402.

toegang te verkrijgen tot documenten en gegevens, in enigerlei vorm, die de bevoegde autoriteit relevant acht voor het verrichten van haar taken, en een kopie hiervan te ontvangen of te maken;

inspecties of onderzoeken ter plaatse uit te voeren, met inbegrip van, maar niet beperkt tot:

corrigerende maatregelen te eisen voor inbreuken op de voorschriften van deze verordening.

natuurlijke of rechtspersoon bij officieel besluit gelasten de gedraging die inbreuk maakt op deze verordening, te staken en deze gedraging niet te herhalen;

eisen dat praktijken of gedragingen die de bevoegde autoriteit strijdig acht met de bepalingen van deze verordening, tijdelijk of definitief worden gestaakt, en dat herhaling van deze praktijk of gedraging wordt voorkomen;

het nemen van iedere soort maatregel, onder meer van geldelijke aard, om ervoor te zorgen dat de financiële entiteit aan de wettelijke vereisten blijft voldoen;

eisen — voor zover dit bij nationaal recht is toegestaan — dat bestaande overzichten van dataverkeer die in het bezit zijn van een telecommunicatie-exploitant, worden overgelegd, indien er een redelijk vermoeden van inbreuk op deze verordening bestaat, en indien deze overzichten van belang kunnen zijn voor een onderzoek naar inbreuken op deze verordening, en

het doen uitgaan van openbare mededelingen, met inbegrip van openbare verklaringen, waarbij de identiteit van de natuurlijke of rechtspersoon die de inbreuk heeft begaan, en de aard van de inbreuk worden bekendgemaakt.

rechtstreeks;

in samenwerking met andere autoriteiten;

door middel van delegatie aan andere autoriteiten maar onder eigen verantwoordelijkheid, of

door middel van een verzoek tot de bevoegde rechterlijke instanties.

het relatieve belang, de ernst en de duur van de inbreuk;

de mate van verantwoordelijkheid van de natuurlijke of rechtspersoon die de inbreuk heeft gepleegd;

de financiële draagkracht van de verantwoordelijke natuurlijke of rechtspersoon;

de omvang van winsten die de verantwoordelijke natuurlijke of rechtspersoon heeft gemaakt of de verliezen die deze heeft vermeden, voor zover deze winsten of verliezen kunnen worden bepaald;

de verliezen voor derde partijen ten gevolge van de inbreuk, voor zover deze kunnen worden bepaald;

de mate van medewerking van de verantwoordelijke natuurlijke of rechtspersoon met de bevoegde autoriteit, onverminderd de noodzaak om de terugbetaling van de door deze natuurlijke of rechtspersoon behaalde winsten of vermeden verliezen zeker te stellen;

eventuele eerdere inbreuken van de verantwoordelijke natuurlijke of rechtspersoon.

zij stelt de bekendmaking van het besluit uit totdat alle redenen voor niet-bekendmaking zijn vervallen;

zij maakt het besluit bekend met inachtneming van anonimiteit, in overeenstemming met het nationaal recht, of

zij onthoudt zich van de bekendmaking indien de in punten a) en b) genoemde keuzemogelijkheden ontoereikend worden geacht om te garanderen dat er geen gevaar bestaat voor de stabiliteit van de financiële markten of indien de effecten van de bekendmaking niet in verhouding staan tot de clementie van de genomen strafmaatregel.

de criteria voor de aanwijzing van kritieke derde aanbieders van ICT-diensten overeenkomstig artikel 31, lid 2;

het vrijwillige karakter van het melden van significante cyberdreigingen als bedoeld in artikel 19;

de in artikel 31, lid 12, bedoelde regeling en de bevoegdheden van de lead overseer als bedoeld in artikel 35, lid 1, punt d), iv), eerste streepje, met het oog op de evaluatie van de doeltreffendheid van die bepalingen met betrekking tot het waarborgen van doeltreffend oversight van kritieke derde aanbieders van ICT-diensten die in een derde land zijn gevestigd, en van de noodzaak om een dochteronderneming in de Unie op te richten.

Voor de toepassing van de eerste alinea van dit punt omvat de evaluatie een analyse van de in artikel 31, lid 12, bedoelde regeling, met inbegrip van wat betreft de toegang van financiële entiteiten uit de Unie tot diensten uit derde landen en de beschikbaarheid van diensten op de markt van de Unie, en houdt zij rekening met verdere ontwikkelingen op de markten voor de onder deze verordening vallende diensten, de praktische ervaring van financiële entiteiten en financiële toezichthouders met betrekking tot de toepassing van en het toezicht op die regeling, en alle relevante ontwikkelingen op het gebied van regelgeving en toezicht die op internationaal niveau plaatsvinden.

de wenselijkheid om financiële entiteiten als bedoeld in artikel 2, lid 3, punt e), die gebruikmaken van geautomatiseerde verkoopsystemen, in het toepassingsgebied van deze verordening op te nemen in het licht van toekomstige marktontwikkelingen met betrekking tot het gebruik van dergelijke systemen;

de werking en doeltreffendheid van het JON bij het ondersteunen van de consistentie van het oversight en de efficiëntie van de uitwisseling van informatie binnen het toezichtkader.

in bijlage I, afdeling A, punt 4, wordt de eerste alinea vervangen door:

“Een ratingbureau beschikt over een goede administratieve en boekhoudkundige organisatie, adequate interne controleprocedures, effectieve risicobeoordelingsprocedures en effectieve controle- en beveiligingsvoorzieningen voor het beheer van ICT-systemen in overeenstemming met Verordening (EU) 2022/2554 van het Europees Parlement en de Raad (*1) .

(*1)  Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 (PB L 333 van 27.12.2022, blz. 1).”;"

in bijlage III wordt punt 12 vervangen door:

Artikel 26 wordt als volgt gewijzigd:

artikel 34 wordt als volgt gewijzigd:

in artikel 56, lid 3, wordt de eerste alinea vervangen door:

“3.   Om een consistente toepassing van dit artikel te garanderen, stelt ESMA ontwerpen van technische reguleringsnormen op tot bepaling van andere regels voor de in lid 1 vermelde registratieaanvraag dan die welke betrekking hebben op de vereisten inzake ICT-risicobeheer.”;

in artikel 79 worden de leden 1 en 2 vervangen door:

“1.   In een transactieregister worden bronnen van operationele risico’s vastgesteld en tot een minimum beperkt via de ontwikkeling van passende systemen, controles en procedures, met inbegrip van ICT-systemen die worden beheerd in overeenstemming met Verordening (EU) 2022/2554.

• 2. 

  Een transactieregister zorgt voor de opstelling, uitvoering en instandhouding van een passend bedrijfscontinuïteitsbeleid en noodherstelplan, met inbegrip van ICT-bedrijfscontinuïteitsbeleid en ICT-respons- en noodherstelplannen die zijn opgezet in overeenstemming met Verordening (EU) 2022/2554, met als doel de functies van het transactieregister in stand te houden, de activiteiten tijdig te hervatten en de verplichtingen van het transactieregister na te komen.”;

in artikel 80 wordt lid 1 geschrapt;

bijlage I, afdeling II, wordt als volgt gewijzigd:

bijlage III wordt als volgt gewijzigd:

lid 1 wordt vervangen door:

“1.   Een CSD identificeert bronnen van zowel intern als extern operationeel risico en beperkt de impact daarvan tot een minimum door het gebruik van passende IT-instrumenten, -controles en -procedures die worden opgezet en beheerd in overeenstemming met Verordening (EU) 2022/2554 van het Europees Parlement en de Raad (*3) , alsmede via andere relevante passende instrumenten, controles en procedures voor andere soorten operationele risico’s, inclusief voor alle effectenafwikkelingssystemen die zij exploiteert.

(*3)  Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 (PB L 333 van 27.12.2022, blz. 1).”;"

lid 2 wordt geschrapt;

de leden 3 en 4 worden vervangen door:

“3.   Voor diensten die zij verricht en voor elk effectenafwikkelingssysteem dat zij exploiteert, draagt een CSD zorg voor het vaststellen, implementeren en aanhouden van een adequaat bedrijfscontinuïteitsbeleid en noodherstelplan, met inbegrip van ICT-bedrijfscontinuïteitsbeleid en ICT-respons en -herstelplannen die zijn opgezet overeenkomstig Verordening (EU) 2022/2554 , om te zorgen voor het behoud van haar diensten, het tijdig herstel van de bedrijfsactiviteiten en de vervulling van de verplichtingen van de CSD bij gebeurtenissen die een significant risico op verstoring van transacties inhouden.

• 4. 

  Het in lid 3 bedoelde plan maakt het mogelijk alle transacties en posities van deelnemers op het ogenblik van de verstoring te herstellen, zodat de deelnemers aan een CSD hun bedrijvigheid met zekerheid kunnen voortzetten en de afwikkeling op de geplande datum kunnen uitvoeren, onder meer door ervoor te zorgen dat kritieke IT-systemen na de verstoring weer operationeel worden, zoals bepaald in artikel 12, leden 5 en 7, van Verordening (EU) 2022/2554.”;

lid 6 wordt vervangen door:

“6.   Een CSD is belast met het identificeren, monitoren en beheersen van de risico’s die belangrijke deelnemers aan het effectenafwikkelingssysteem dat zij exploiteert alsook dienstverrichters en aanbieders van hulpprogramma’s en andere CSD’s of andere marktinfrastructuren voor haar bedrijfsactiviteiten kunnen inhouden. Zij verstrekt desgevraagd de bevoegde en de relevante autoriteiten informatie over eventuele geïdentificeerde risico’s. Zij stelt de bevoegde autoriteit en de relevante autoriteiten ook onverwijld in kennis van andere operationele incidenten ten gevolge van deze risico’s dan die welke betrekking hebben op ICT-risico’s.”;

lid 7, eerste alinea, wordt vervangen door:

“7.   De ESMA ontwikkelt, in nauwe samenwerking met de leden van het ESCB, ontwerpen van technische reguleringsnormen tot nadere bepaling van de in de leden 1 en 6 bedoelde operationele risico’s die geen ICT-risico zijn, en de methoden om die risico’s te testen, aan te pakken of te beperken, met inbegrip van het bedrijfscontinuïteitsbeleid en de noodherstelplannen bedoeld in de leden 3 en 4 en de methoden om die te beoordelen.”.

artikel 27 octies wordt als volgt gewijzigd:

artikel 27 novies wordt als volgt gewijzigd:

artikel 27 decies wordt als volgt gewijzigd:

Een beheerder beschikt voor kritieke benchmarks over een goede administratieve en boekhoudkundige organisatie, adequate interne controleprocedures, effectieve risicobeoordelingsprocedures en effectieve controle- en beveiligingsvoorzieningen voor het beheer van ICT-systemen in overeenstemming met Verordening (EU) 2022/2554 van het Europees Parlement en de Raad (*5).