Artikelen bij COM(2020)595 - Digitale operationele veerkracht voor de financiële sector

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

dossier COM(2020)595 - Digitale operationele veerkracht voor de financiële sector.
document COM(2020)595 NLEN
datum 24 september 2020


HOOFDSTUK I

Algemene bepalingen

Inhoudsopgave

Artikel 1 - Onderwerp

1. Deze verordening stelt met betrekking tot de beveiliging van netwerk- en informatiesystemen ter ondersteuning van bedrijfsprocessen van financiële entiteiten de volgende uniforme vereisten vast die nodig zijn om een hoog gemeenschappelijk niveau van digitale operationele veerkracht te bereiken:

(a)vereisten die van toepassing zijn op financiële entiteiten met betrekking tot:

–het risicobeheer op het gebied van informatie- en communicatietechnologie (ICT);

–de melding van ernstige ICT-gerelateerde incidenten aan de bevoegde autoriteiten;

–het testen van de digitale operationele veerkracht;

–de uitwisseling van informatie en inlichtingen met betrekking tot cyberdreigingen en -kwetsbaarheden;

–maatregelen voor een goed beheer van het risico inzake derde ICT-aanbieders door financiële entiteiten;

(b)vereisten met betrekking tot de contractuele regelingen tussen derde aanbieders van ICT-diensten en financiële entiteiten;

(c)het toezichtkader voor cruciale derde aanbieders van ICT-diensten bij het verlenen van diensten aan financiële entiteiten;

(d)regels inzake samenwerking tussen bevoegde autoriteiten en regels inzake toezicht en handhaving door bevoegde autoriteiten met betrekking tot alle aangelegenheden die onder deze verordening vallen.

2. Met betrekking tot de financiële entiteiten die overeenkomstig de nationale voorschriften tot omzetting van artikel 5 van Richtlijn (EU) 2016/1148 als aanbieders van essentiële diensten zijn aangewezen, wordt deze verordening voor de toepassing van artikel 1, lid 7, van die richtlijn beschouwd als een sectorspecifieke rechtshandeling van de Unie.

Artikel 2 - Personele werkingssfeer

1. Deze verordening is van toepassing op de volgende entiteiten:

(a)kredietinstellingen,

(b)betalingsinstellingen,

(c)instellingen voor elektronisch geld,

(d)beleggingsondernemingen,

(e)aanbieders van cryptoactivadiensten, emittenten van cryptoactivadiensten, emittenten van asset-referenced tokens en emittenten van significante asset-referenced tokens,

(f)centrale effectenbewaarinstellingen,

(g)centrale tegenpartijen,

(h)handelsplatformen,

(i)transactieregisters,

(j)beheerders van alternatieve beleggingsinstellingen,

(k)beheermaatschappijen,

(l)aanbieders van datarapporteringsdiensten,

(m)verzekerings- en herverzekeringsondernemingen,

(n)verzekeringstussenpersonen, herverzekeringstussenpersonen en nevenverzekeringstussenpersonen,

(o)instellingen voor bedrijfspensioenvoorziening,

(p)ratingbureaus,

(q)wettelijke auditors en auditkantoren,

(r)beheerders van cruciale benchmarks,

(s)aanbieders van crowdfundingdiensten,

(t)securitisatieregisters;

(u)derde aanbieders van ICT-diensten,

2. Voor de toepassing van deze verordening worden de in de punten a) tot en met t) bedoelde entiteiten “financiële entiteiten” genoemd.

Artikel 3 - Definities

Voor de toepassing van deze verordening wordt verstaan onder:

(1) “digitale operationele veerkracht”: het vermogen van een financiële entiteit om haar operationele integriteit uit technologisch oogpunt op te bouwen, te waarborgen en te evalueren, door direct of indirect via gebruik van diensten van derde ICT-aanbieders te voorzien in het volledige scala van ICT-gerelateerde capaciteiten die nodig zijn voor de beveiliging van de netwerk- en informatiesystemen waarvan een financiële entiteit gebruikmaakt, en die de permanente verlening van financiële diensten en de kwaliteit ervan ondersteunen;

(2) “netwerk- en informatiesysteem”: een netwerk- en informatiesysteem in de zin van artikel 4, punt 1), van Richtlijn (EU) 2016/1148;

(3) “beveiliging van netwerk- en informatiesystemen”: beveiliging van netwerk- en informatiesystemen in de zin van artikel 4, punt 2), van Richtlijn (EU) 2016/1148;

(4) “ICT-risico”: elke redelijkerwijs aan te wijzen omstandigheid met betrekking tot het gebruik van netwerk- en informatiesystemen – met inbegrip van verstoring, capaciteitsoverschrijding, uitval, ontwrichting, belemmering, verkeerd gebruik, verlies of ander soort kwaadwillige of niet-kwaadwillige gebeurtenis – die, indien zij zich voordoet, de beveiliging van het netwerk- en informatiesysteem, van technologisch geregelde instrumenten of processen, de exploitatie en het procesverloop, of de levering van de diensten in gevaar kan brengen, waarbij de integriteit of beschikbaarheid van gegevens, van de software of enig andere component van ICT-diensten en infrastructuren wordt aangetast of een inbreuk op de vertrouwelijkheid, een beschadiging van fysieke ICT-infrastructuur of andere nadelige effecten worden veroorzaakt;

(5) “informatiebestanddeel”: een reeks, al dan niet tastbare, gegevens die beschermenswaardig zijn;

(6) “ICT-gerelateerd incident”: een onvoorzien geïdentificeerd voorval in de netwerk- en informatiesystemen, dat al dan niet het gevolg is van kwaadwillige activiteiten, dat de beveiliging in gevaar brengt van netwerk- en informatiesystemen of van de informatie die deze systemen verwerken, opslaan of doorgeven, of nadelige gevolgen heeft voor de beschikbaarheid, vertrouwelijkheid, continuïteit of authenticiteit van de door de financiële entiteit verleende financiële diensten;

(7) “ernstig ICT-gerelateerd incident”: een ICT-gerelateerd incident met potentieel grote nadelige gevolgen voor de netwerk- en informatiesystemen die cruciale functies van de financiële entiteit ondersteunen;

(8) “cyberdreiging”: cyberdreiging in de zin van artikel 2, punt 8), van Verordening (EU) 2019/881 van het Europees Parlement en de Raad 42 ;

(9) “cyberaanval”: een kwaadwillig ICT-gerelateerd incident door middel van een door een dreigingsactor gepleegde poging om een actief te vernietigen, bloot te stellen, te veranderen, buiten werking te stellen, te stelen of er ongeoorloofde toegang toe te verkrijgen of er ongeoorloofd gebruik van te maken;

(10) “inlichtingen over dreigingen”: informatie die is geaggregeerd, getransformeerd, geanalyseerd, geïnterpreteerd of verrijkt om de noodzakelijke achtergrond voor besluitvorming te bieden en waarmee relevant en toereikend inzicht wordt verschaft om de gevolgen van een ICT-gerelateerd incident of van een cyberdreiging te beperken, met inbegrip van de technische details van een cyberaanval, de voor de aanval verantwoordelijke personen en hun werkwijze en motieven;

(11) “verdediging in de diepte”: een ICT-gerelateerde strategie waarin personen, processen en technologie worden geïntegreerd om uiteenlopende begrenzingen tussen verschillende lagen en dimensies van de entiteit in te stellen;

(12) “kwetsbaarheid”: een zwakte, gevoeligheid of tekortkoming in een actief, systeem, proces of controle die door een dreiging kan worden misbruikt;

(13) “dreigingsgestuurde penetratietest” (threat led penetration testing): een kader waarin de tactiek, de technieken en procedures van levensechte, als een reële cyberdreiging ervaren dreigingsactoren worden nagebootst en waarin een gecontroleerde, op maat gesneden, door inlichtingen gestuurde (red team) test van de cruciale reëel bestaande productiesystemen van de entiteit wordt voorgebracht;

(14) “ICT-risico van derde aanbieder”: een risico dat voor een financiële entiteit kan ontstaan met betrekking tot het gebruik van ICT-diensten die door derde aanbieders van ICT-diensten of door verdere onderaannemers daarvan worden geleverd;

(15) “derde aanbieder van ICT-diensten”: een onderneming die digitale en datadiensten aanbiedt, met inbegrip van aanbieders van cloudcomputingdiensten, software, gegevensanalysediensten, datacentra, maar met uitsluiting van aanbieders van hardwarecomponenten en ondernemingen waaraan krachtens het Unierecht vergunning is verleend om elektronischecommunicatiediensten te verlenen in de zin van artikel 2, punt 4), van Richtlijn (EU) 2018/1972 van het Europees Parlement en de Raad 43 ;

(16) “ICT-diensten”: digitale en gegevensdiensten die via de ICT-systemen aan een of meer interne of externe gebruikers worden verleend, met inbegrip van de verstrekking van gegevens, gegevensinvoer, gegevensopslag, gegevensverwerking en rapportagediensten, gegevensmonitoring en op gegevens gebaseerde bedrijfs- en beslissingsondersteunende diensten;

(17) “cruciale of belangrijke functie”: een functie waarvan de beëindiging of de gebrekkige of mislukte uitvoering wezenlijk afbreuk zou doen aan de permanente naleving door een financiële entiteit van de voorwaarden en verplichtingen uit hoofde van haar vergunning of haar andere verplichtingen uit hoofde van de toepasselijke wetgeving inzake financiële diensten, of aan haar financiële prestaties of aan de soliditeit of de continuïteit van haar diensten en activiteiten;

(18) “cruciale derde aanbieder van ICT-diensten”: een derde aanbieder van ICT-diensten die overeenkomstig artikel 29 is aangewezen en onderworpen is aan het toezichtkader bedoeld in de artikelen 30 tot en met 37;

(19) “in een derde land gevestigde derde aanbieder van ICT-diensten”: een derde aanbieder van ICT-diensten die een in een derde land gevestigde rechtspersoon is, geen bedrijf/aanwezigheid in de Unie heeft opgezet en een contractuele overeenkomst met een financiële entiteit heeft gesloten voor de levering van ICT-diensten;

(20) “in een derde land gevestigde ICT-subcontractant”: een ICT-subcontractant die een in een derde land gevestigde rechtspersoon is, geen bedrijf/aanwezigheid in de Unie heeft opgezet en een contractuele overeenkomst heeft gesloten met een derde aanbieder van ICT-diensten of met een in een derde land gevestigde derde aanbieder van ICT-diensten;

(21) “ICT-concentratierisico”: een blootstelling aan individuele of aan meerdere onderling verbonden cruciale derde aanbieders van ICT-diensten, waardoor een bepaalde mate van afhankelijkheid ten aanzien van deze aanbieders ontstaat, zodat de onbeschikbaarheid, het falen of een ander soort tekortkoming van deze laatste het vermogen van een financiële entiteit, en uiteindelijk van het financiële stelsel van de Unie in zijn geheel, om cruciale functies te vervullen of om andere soorten nadelige effecten, waaronder grote verliezen, op te vangen, in gevaar kan brengen;

(22) “leidinggevend orgaan”: een leidinggevend orgaan in de zin van artikel 4, lid 1, punt 36), van Richtlijn 2014/65/EU, artikel 3, lid 1, punt 7), van Richtlijn 2013/36/EU, artikel 2, lid 1, punt s), van Richtlijn 2009/65/EG, artikel 2, lid 1, punt 45), van Verordening (EU) nr. 909/2014, artikel 3, lid 1, punt 20), van Verordening (EU) 2016/1011 van het Europees Parlement en de Raad 44 , of artikel 3, lid 1, punt u), van Verordening (EU) 20xx/xx van het Europees Parlement en de Raad 45 [MICA] of de gelijkwaardige personen die de entiteit daadwerkelijk besturen of sleutelfuncties vervullen overeenkomstig de toepasselijke Unie- of nationale wetgeving;

(23) “kredietinstelling” : een kredietinstelling in de zin van artikel 4, lid 1, punt 1), van Verordening (EU) nr. 575/2013 van het Europees Parlement en de Raad 46 ;

(24) 'beleggingsonderneming': een beleggingsonderneming in de zin van artikel 4, lid 1, punt 1), van Richtlijn 2014/65/EU;

(25) “betalingsinstelling”: een betalingsinstelling in de zin van artikel 1, lid 1, punt d), van Richtlijn (EU) 2015/2366;

(26) “instelling voor elektronisch geld”: een instelling voor elektronisch geld in de zin van artikel 2, punt 1), van Richtlijn 2009/110/EG van het Europees Parlement en de Raad 47 ;

(27) 'centrale tegenpartij ': een centrale tegenpartij in de zin van artikel 2, punt 1), van Verordening (EU) nr. 648/2012;

(28) 'transactieregister': een transactieregister in de zin van artikel 2, punt 2), van Verordening (EU) nr. 648/2012;

(29) “centrale effectenbewaarinstelling”: een centrale effectenbewaarinstelling in de zin van artikel 2, lid 1, punt 1), van Verordening (EU) nr. 909/2014;

(30) “handelsplatform”: een handelsplatform in de zin van artikel 4, lid 1, punt 24), van Richtlijn 2014/65/EU;

(31) “beheerder van alternatieve beleggingsinstellingen”: een beheerder van alternatieve beleggingsinstellingen in de zin van artikel 4, lid 1, punt b), van Richtlijn 2011/61/EU;

(32) “beheermaatschappij” : een beheermaatschappij in de zin van artikel 2, lid 1, punt b), van Richtlijn 2009/65/EG;

(33) “aanbieder van datarapporteringsdiensten”: een aanbieder van datarapporteringsdiensten in de zin van artikel 4, lid 1, punt 63), van Richtlijn 2014/65/EU;

(34) “verzekeringsonderneming”: een verzekeringsonderneming in de zin van artikel 13, punt 1), van Richtlijn 2009/138/EG;

(35) “herverzekeringsonderneming”: een herverzekeringsonderneming in de zin van artikel 13, punt 4), van Richtlijn 2009/138/EG;

(36) 'verzekeringstussenpersoon': een verzekeringstussenpersoon in de zin van artikel 2, punt 3), van Richtlijn (EU) 2016/97;

(37) 'nevenverzekeringstussenpersoon': een nevenverzekeringstussenpersoon in de zin van artikel 2, punt 4), van Richtlijn (EU) 2016/97;

(38) 'herverzekeringstussenpersoon': een herverzekeringstussenpersoon in de zin van artikel 2, punt 5), van Richtlijn (EU) 2016/97;

(39) “instelling voor bedrijfspensioenvoorziening”: een instelling voor bedrijfspensioenvoorziening in de zin van artikel 6, punt 1), van Richtlijn 2016/2341;

(40) “ratingbureau”: een ratingbureau in de zin van artikel 3, lid 1, punt b), van Verordening (EG) nr. 1060/2009;

(41) “wettelijke auditor”: een wettelijke auditor in de zin van artikel 2, punt 2), van Richtlijn 2006/43/EG;

(42) 'auditkantoor': een auditkantoor in de zin van artikel 2, punt 3, van Richtlijn 2006/43/EG;

(43) “aanbieder van cryptoactivadiensten”: een aanbieder van cryptoactivadiensten in de zin van artikel 3, lid 1, punt n), van Verordening (EU) 202x/xx [PO: insert reference to MiCA Regulation];

(44) “emittent van cryptoactiva”: een emittent van cryptoactiva in de zin van artikel 3, lid 1, punt h), van [OJ: insert reference to MICA Regulation];

(45) “emittent van asset-referenced tokens”: een emittent van asset-referenced tokens in de zin van artikel 3, lid 1, punt i), van [OJ: insert reference to MICA Regulation];  

(46) “emittent van significante asset-referenced tokens”: een emittent van significante asset-referenced tokens in de zin van artikel 3, lid 1, punt j), van [OJ: insert reference to MICA Regulation];

(47) “beheerder van cruciale benchmarks”: een beheerder van cruciale benchmarks in de zin van artikel x, punt x), van Verordening 202x/xx [OJ: insert reference to Benchmark Regulation];

(48) “aanbieder van crowdfundingdiensten”: een aanbieder van crowdfundingdiensten in de zin van artikel x, punt x), van Verordening 202x/xx [OJ: insert reference to Crowdfunding Regulation];

(49) “securitisatieregister”: een securitisatieregister in de zin van artikel 2, punt 23), van Verordening (EU) 2017/2402;

(50) 'micro-onderneming': een micro-onderneming in de zin van artikel 2, lid 3, van de bijlage bij Aanbeveling 2003/361/EG.

HOOFDSTUK II

ICT-RISICOBEHEER

AFDELING I

Artikel 4 - Governance en organisatie

1. Financiële entiteiten beschikken over interne governance- en controlekaders die een doeltreffend en prudent beheer van alle ICT-risico’s waarborgen.

2. Het leidinggevend orgaan van een financiële entiteit bepaalt alle regelingen met betrekking tot het in artikel 5, lid 1, bedoelde kader voor ICT-risicobeheer, keurt deze goed, houdt toezicht op de tenuitvoerlegging ervan en legt ervoor verantwoording af.

Voor de toepassing van de eerste alinea is het leidinggevend orgaan belast met:

(a)de eindverantwoordelijkheid voor het beheer van de ICT-risico’s van de financiële entiteit;

(b)de vaststelling van duidelijke taken en verantwoordelijkheden voor alle ICT-gerelateerde functies;

(c)de bepaling van het passende risicotolerantieniveau voor het ICT-risico van de financiële entiteit, als bedoeld in artikel 5, lid 9, punt b);

(d)de goedkeuring van, het toezicht op en de periodieke evaluatie van de uitvoering van het beleid inzake ICT-bedrijfscontinuïteit en van het ICT-noodherstelplan van de financiële entiteit, als bedoeld in artikel 10, respectievelijk leden 1 en 3;

(e)de goedkeuring en de periodieke evaluatie van de ICT-auditplannen, ICT-audits en materiële wijzigingen daarvan;

(f)de toewijzing en de periodieke evaluatie van het passende budget om te voldoen aan de behoeften inzake digitale operationele veerkracht van de financiële entiteit met betrekking tot alle soorten middelen, waaronder opleiding inzake ICT-risico’s en -vaardigheden voor het betrokken personeel;

(g)de goedkeuring en de periodieke evaluatie van het beleid van de financiële entiteit inzake regelingen betreffende het gebruik van door derde aanbieders verleende ICT-diensten;

(h)het inwinnen van informatie over de regelingen met derde aanbieders van ICT-diensten inzake het gebruik van deze diensten, over elke relevante geplande materiële wijziging betreffende de derde aanbieders van ICT-diensten en over de potentiële effecten van deze veranderingen voor de cruciale of belangrijke functies die onder die regelingen vallen, inclusief door middel van een samenvatting van de risicoanalyse om het effect van deze wijzigingen te beoordelen;

(i)het inwinnen van informatie over ICT-gerelateerde incidenten en de gevolgen daarvan en de respons daarop, het herstel en de corrigerende maatregelen.

3. Andere financiële entiteiten dan micro-ondernemingen stellen een taak vast om de regelingen met derde aanbieders van ICT-diensten met betrekking tot het gebruik van deze diensten te monitoren, of wijzen een lid van het hoger leidinggevend personeel aan dat verantwoordelijk is voor het toezicht op de desbetreffende risicoblootstelling en de relevante documentatie.

4. De leden van het leidinggevend orgaan volgen regelmatig specifieke opleidingen teneinde voldoende kennis en vaardigheden te verwerven en te onderhouden om ICT-risico’s en de gevolgen daarvan voor de activiteiten van de financiële entiteit te begrijpen en te beoordelen.

AFDELING II

Artikel 5 - Kader voor ICT-risicobeheer

1. Financiële entiteiten beschikken over een solide, alomvattend en goed gedocumenteerd kader voor ICT-risicobeheer, dat hen in staat stelt ICT-risico’s snel, efficiënt en zo volledig mogelijk aan te pakken en een hoog niveau van digitale operationele veerkracht te waarborgen dat overeenstemt met hun zakelijke behoeften, omvang en complexiteit.

2. Het in lid 1 bedoelde kader voor ICT-risicobeheer omvat strategieën, beleidslijnen, procedures, ICT-protocollen en instrumenten die nodig zijn om alle relevante fysieke componenten en infrastructuren, met inbegrip van computerhardware, servers en alle relevante gebouwen, datacentra en als gevoelig aangewezen gebieden behoorlijk en doeltreffend te beschermen, teneinde te waarborgen dat al deze fysieke elementen adequaat worden beschermd tegen risico’s, met inbegrip van schade, ongeoorloofde toegang en ongeoorloofd gebruik.

3. Financiële entiteiten beperken de effecten van ICT-risico’s door passende strategieën, beleidslijnen, procedures, protocollen en instrumenten in te voeren zoals bepaald in het kader voor ICT-risicobeheer. Zij verstrekken volledige en geactualiseerde informatie over ICT-risico’s, zoals vereist door de bevoegde autoriteiten.

4. In het kader van het in lid 1 bedoelde kader voor ICT-risicobeheer voeren andere financiële entiteiten dan micro-ondernemingen een systeem voor beheer van informatiebeveiliging in dat gebaseerd is op erkende internationale normen en in overeenstemming is met de richtsnoeren voor toezicht, en zij herzien dit regelmatig.

5. Andere financiële entiteiten dan micro-ondernemingen garanderen een passende scheiding van ICT-beheerfuncties, controlefuncties en interne auditfuncties, overeenkomstig het model van de drie verdedigingslijnen of een model voor intern risicobeheer en -controle.

6. Het in lid 1 bedoelde kader voor ICT-risicobeheer wordt ten minste eenmaal per jaar gedocumenteerd en geëvalueerd, alsook wanneer zich ernstige ICT-gerelateerde incidenten voordoen en om de toezichtinstructies of -conclusies van relevante tests of auditprocessen op het gebied van digitale operationele veerkracht te monitoren. Het wordt voortdurend verbeterd op basis van de lessen die uit de uitvoering en de monitoring naar voren komen.

7. Het in lid 1 bedoelde kader voor ICT-risicobeheer wordt regelmatig gecontroleerd door ICT-auditors die over voldoende kennis, vaardigheden en deskundigheid op het gebied van ICT-risico’s beschikken. De frequentie en de focus van de ICT-audits moeten in verhouding staan tot de ICT-risico’s van de financiële entiteit.

8. Er wordt een formeel follow-upproces vastgesteld met regels voor de tijdige verificatie en remediëring van cruciale ICT-auditbevindingen, waarbij rekening wordt gehouden met de conclusies van de audit en terdege de aard, de omvang en de complexiteit van de diensten en activiteiten van de financiële entiteiten in aanmerking worden genomen.

9. Het in lid 1 bedoelde kader voor ICT-risicobeheer omvat een strategie voor digitale veerkracht waarin de wijze van tenuitvoerlegging van het kader wordt vastgesteld. Met dat doel worden hierin de methoden omschreven om ICT-risico’s aan te pakken en specifieke ICT-doelstellingen te bereiken, door:

(a)toe te lichten hoe het kader voor ICT-risicobeheer de bedrijfsstrategie en -doelstellingen van de financiële entiteit ondersteunt;

(b)het risicotolerantieniveau voor ICT-risico’s vast te stellen in overeenstemming met de risicobereidheid van de financiële entiteit, en de tolerantie ten aanzien van de effecten van ICT-storingen te analyseren;

(c)duidelijke doelstellingen te bepalen met betrekking tot informatiebeveiliging;

(d)de ICT-referentiearchitectuur toe te lichten alsmede eventuele wijzigingen daarin die noodzakelijk zijn om specifieke bedrijfsdoelstellingen te bereiken;

(e)de verschillende mechanismen te beschrijven die zijn ingesteld om effecten van ICT-gerelateerde incidenten op te sporen, te beveiligen en te voorkomen;

(f)nadere gegevens te verschaffen over het aantal gemelde ernstige ICT-gerelateerde incidenten en de doeltreffendheid van preventieve maatregelen;

(g)op het niveau van de entiteit een holistische multi-vendorstrategie inzake ICT te bepalen waarin de voornaamste afhankelijkheden ten aanzien van derde aanbieders van ICT-diensten worden aangegeven en de motivering met betrekking tot de mix van aanbestedingen bij derde aanbieders van ICT-diensten nader wordt toegelicht;

(h)tests te verrichten van de digitale operationele veerkracht;

(i)een communicatiestrategie uit te stippelen in het geval van ICT-gerelateerde incidenten.

10. Na goedkeuring door de bevoegde autoriteiten kunnen financiële entiteiten de verificatietaken inzake naleving van de vereisten op het gebied van ICT-risicobeheer delegeren aan intragroeps- of externe ondernemingen.

Artikel 6 - ICT-systemen, -protocollen en -instrumenten

1. Financiële entiteiten gebruiken en onderhouden geactualiseerde ICT-systemen, -protocollen en -instrumenten die aan de volgende voorwaarden voldoen:

(a)de systemen en instrumenten zijn afgestemd op de aard, de verscheidenheid, de complexiteit en de omvang van de verrichtingen ter ondersteuning van hun activiteiten;

(b)zij zijn betrouwbaar;

(c)zij hebben voldoende capaciteit voor een nauwkeurige verwerking van de gegevens die nodig zijn voor de uitvoering van activiteiten en de tijdige verlening van diensten, en om zo nodig volumepieken in orders, orderberichten of transacties op te vangen, onder meer wanneer nieuwe technologie wordt ingevoerd;

(d)zij zijn technologisch gezien voldoende veerkrachtig om indien nodig in gespannen marktomstandigheden of andere ongunstige situaties naar behoren te voorzien in bijkomende gegevensverwerking.

2. Wanneer financiële entiteiten gebruikmaken van internationaal erkende technische normen en in de sector geldende toonaangevende praktijken inzake informatiebeveiliging en interne ICT-controles, worden deze normen en praktijken gebruikt in overeenstemming met de toepasselijke aanbevelingen over de invoering daarvan.

Artikel 7 - Identificatie

1. In het kader van het in artikel 5, lid 1, bedoelde kader voor ICT-risicobeheer identificeren, classificeren en documenteren financiële entiteiten naar behoren alle ICT-gerelateerde bedrijfsfuncties, de informatieactiva die deze functies ondersteunen, en de configuraties en interconnecties van het ICT-systeem met interne en externe ICT-systemen. Financiële entiteiten evalueren indien nodig en ten minste eenmaal per jaar of de classificatie van de informatieactiva en van alle relevante documentatie adequaat is.

2. Financiële entiteiten identificeren permanent alle bronnen van ICT-risico’s, met name de wederzijdse risicoblootstelling ten aanzien van andere financiële entiteiten, en beoordelen de cyberdreigingen en ICT-kwetsbaarheden die relevant zijn voor hun ICT-gerelateerde bedrijfsfuncties en informatieactiva. Financiële entiteiten evalueren regelmatig en ten minste eenmaal per jaar de risicoscenario’s die op hen van invloed zijn.

3. Andere financiële entiteiten dan micro-ondernemingen verrichten een risicobeoordeling bij elke belangrijke wijziging in de netwerk- en informatiesysteeminfrastructuur en in de processen of procedures die van invloed zijn op hun functies, ondersteunende processen of informatieactiva.

4. Financiële entiteiten identificeren alle ICT-systeemrekeningen, met inbegrip van die welke zich op afgelegen locaties bevinden, de netwerkmiddelen en de hardware-uitrusting en inventariseren de fysieke uitrusting die zij cruciaal achten. Zij inventariseren de configuratie van de ICT-activa en de verbanden en onderlinge afhankelijkheden tussen de verschillende ICT-activa.

5. Financiële entiteiten identificeren en documenteren alle processen die afhankelijk zijn van derde aanbieders van ICT-diensten en identificeren interconnecties met derde aanbieders van ICT-diensten.

6. Voor de toepassing van de leden 1, 4 en 5 houden financiële entiteiten de desbetreffende inventarissen bij en actualiseren zij deze regelmatig.

7. Andere financiële entiteiten dan micro-ondernemingen verrichten regelmatig en ten minste eenmaal per jaar een specifieke ICT-risicobeoordeling op alle bestaande ICT-systemen, in het bijzonder voor en na de aansluiting van oude en nieuwe technologieën, toepassingen of systemen.

Artikel 8 - Bescherming en voorkoming

1. Om de ICT-systemen op passende wijze te beschermen en met het oog op de organisatie van responsmaatregelen monitoren en controleren financiële entiteiten voortdurend de werking van de ICT-systemen en -instrumenten en beperken zij de effecten van deze risico’s door de inzet van passende ICT-beveiligingsinstrumenten, -beleidslijnen en -procedures.

2. Financiële entiteiten zorgen voor het ontwerp, de aanbesteding en de uitvoering van ICT-beveiligingsstrategieën, -beleidslijnen, -procedures, -protocollen en -instrumenten die er met name op gericht zijn de veerkracht, continuïteit en beschikbaarheid van ICT-systemen te waarborgen alsmede hoge normen inzake beveiliging, vertrouwelijkheid en integriteit van gegevens, zowel in rusttoestand, bij gebruik als bij doorvoer, te handhaven.

3. Om de in lid 2 bedoelde doelstellingen te verwezenlijken, maken financiële entiteiten gebruik van geavanceerde ICT-technologieën en -processen die:

(a) de beveiliging van de middelen voor overdracht van informatie waarborgen;

(b)het risico beperken op aantasting of verlies van gegevens, ongeoorloofde toegang en technische gebreken die de bedrijfsactiviteit kunnen belemmeren;

(c) het lekken van informatie voorkomen;

(d)ervoor zorgen dat de gegevens worden beschermd tegen slecht bestuur of risico’s bij de verwerking, met inbegrip van ontoereikende registratie.

4. In het kader van het in artikel 5, lid 1, bedoelde kader voor ICT-risicobeheer zorgen financiële entiteiten voor het volgende:

(a)zij ontwikkelen en documenteren een beleid inzake informatiebeveiliging waarin regels worden vastgesteld om de vertrouwelijkheid, integriteit en beschikbaarheid van hun eigen ICT-middelen, -gegevens en -informatieactiva en die van hun klanten te beschermen;

(b)zij voeren op grond van een op risico’s gebaseerde aanpak een degelijk netwerk- en infrastructuurbeheer in met gebruik van passende technieken, methoden en protocollen, met inbegrip van de toepassing van geautomatiseerde mechanismen om in geval van cyberaanvallen de getroffen informatieactiva te isoleren;

(c)zij voeren een beleid waarbij de fysieke en virtuele toegang tot ICT-systemen en -gegevens wordt beperkt tot hetgeen alleen voor legitieme en goedgekeurde functies en activiteiten noodzakelijk is, en voeren met dat doel een reeks beleidslijnen, procedures en controles in om bevoorrechte toegang en een degelijk beheer daarvan te waarborgen;

(d)zij voeren beleidslijnen en protocollen in voor strenge authenticatiemechanismen die gebaseerd zijn op relevante normen en specifieke controlesystemen om toegang tot cryptografische sleutels te voorkomen, waarbij gegevens worden versleuteld uitgaande van de resultaten van goedgekeurde processen van gegevensclassificatie en risicobeoordeling;

(e)zij voeren beleidslijnen, procedures en controles in voor het beheer van veranderingen in ICT, met inbegrip van veranderingen in software, hardware, firmwarecomponenten, veranderingen in systemen of beveiliging, die gebaseerd zijn op een aanpak inzake risicobeoordeling en integrerend deel uitmaken van het algemene beheerproces met betrekking tot verandering in de financiële entiteit, teneinde te garanderen dat alle veranderingen in ICT-systemen op gecontroleerde wijze worden geregistreerd, getest, beoordeeld, goedgekeurd, ingevoerd en geverifieerd;

(f)zij beschikken over een passend en alomvattend beleid voor patches en updates.

Voor de toepassing van punt b) ontwerpen financiële entiteiten de netwerkaansluitinfrastructuur op zodanige wijze dat deze onmiddellijk kan worden afgekoppeld en dat compartimentering en segmentering daarmee worden verzekerd, teneinde besmetting te beperken en te voorkomen, met name voor onderling gekoppelde financiële processen.

Voor de toepassing van punt e) wordt het beheerproces inzake ICT-veranderingen goedgekeurd door passende beheerlijnen en worden specifieke protocollen ingesteld voor spoedveranderingen.

Artikel 9 - Detectie

1. Financiële entiteiten beschikken over mechanismen om overeenkomstig artikel 15 afwijkende activiteiten zo spoedig mogelijk te detecteren, met inbegrip van kwesties op het gebied van ICT-netwerkprestaties en ICT-gerelateerde incidenten, en om alle potentiële zwakke fysieke punten (“single points of failure”) te identificeren.

Alle in de eerste alinea bedoelde detectiemechanismen worden regelmatig getest overeenkomstig artikel 22.

2. De in lid 1 bedoelde detectiemechanismen maken meerdere controlelagen mogelijk, bepalen alarmmechanismen en criteria om processen voor detectie van en respons op ICT-gerelateerde incidenten in werking te stellen en voeren automatische waarschuwingsmechanismen in voor de betrokken personeelsleden die belast zijn met de respons op ICT-gerelateerde incidenten.

3. Financiële entiteiten zetten, rekening houdend met hun omvang, bedrijfs- en risicoprofiel, voldoende middelen en capaciteiten in om toezicht te houden op activiteiten van gebruikers alsmede het optreden van ICT-anomalieën en ICT-gerelateerde incidenten, met name cyberaanvallen.

4. De in artikel 2, lid 1, punt l), bedoelde financiële entiteiten beschikken daarnaast over systemen die transactiemeldingen doeltreffend op volledigheid kunnen controleren, omissies en aperte fouten kunnen opsporen en om hernieuwde transmissie van eventuele foutmeldingen kunnen verzoeken.

Artikel 10 - Respons en herstel

1. In het raam van het in artikel 5, lid 1, bedoelde kader voor ICT-risicobeheer en op basis van de in artikel 7 gestelde identificatievereisten voeren financiële entiteiten een specifiek en alomvattend beleid inzake ICT-bedrijfscontinuïteit als integrerend onderdeel van het beleid inzake operationele bedrijfscontinuïteit van de financiële entiteit.

2. Financiële entiteiten voeren het in lid 1 bedoelde beleid inzake ICT-bedrijfscontinuïteit uit via specifieke, aangepaste en gedocumenteerde regelingen, plannen, procedures en mechanismen die erop gericht zijn:

(a)alle ICT-gerelateerde incidenten te registreren;

(b)de continuïteit van de cruciale functies van de financiële entiteit te verzekeren;

(c)op een snelle, passende en doeltreffende wijze een respons en een oplossing te bieden voor alle ICT-gerelateerde incidenten, in het bijzonder maar niet beperkt tot cyberaanvallen, zodanig dat de schade wordt beperkt en prioriteit wordt verleend aan de hervatting van de activiteiten en aan herstelmaatregelen;

(d)onverwijld specifieke plannen in werking te stellen om inperkingsmaatregelen, -processen en -technologieën mogelijk te maken die aangepast zijn aan elk type ICT-gerelateerd incident en waarmee verdere schade kan worden voorkomen, alsmede op maat gesneden respons- en herstelprocedures in overeenstemming met artikel 11;

(e)de voorlopige effecten, schade en verliezen te ramen;

(f)maatregelen voor communicatie en crisisbeheersing op te stellen die garanderen dat aan alle betrokken interne personeelsleden en externe belanghebbenden geactualiseerde informatie wordt verstrekt overeenkomstig artikel 13 en aan de bevoegde autoriteiten wordt gemeld overeenkomstig artikel 17.

3. In het raam van het in artikel 5, lid 1, bedoelde kader voor ICT-risicobeheer voeren financiële entiteiten een bijbehorend ICT-noodherstelplan in dat in het geval van andere financiële entiteiten dan micro-ondernemingen aan onafhankelijke audits wordt onderworpen.

4. Financiële entiteiten voeren passende ICT-bedrijfscontinuïteitsplannen in, handhaven deze en zorgen voor periodieke tests, met name wat betreft cruciale of belangrijke functies die zijn uitbesteed of via contractuele regelingen met derde aanbieders van ICT-diensten zijn overeengekomen.

5. In het kader van hun alomvattend ICT-risicobeheer testen financiële entiteiten:

(g)ten minste jaarlijks en na substantiële wijzigingen in de ICT-systemen het beleid inzake ICT-bedrijfscontinuïteit en het ICT-noodherstelplan;

(h)de overeenkomstig artikel 13 opgestelde crisiscommunicatieplannen.

Voor de toepassing van punt a) nemen andere financiële entiteiten dan micro-ondernemingen in de testplannen scenario’s op van cyberaanvallen en omschakelingen tussen de primaire ICT-infrastructuur en de reservecapaciteit, backups en reservefaciliteiten die noodzakelijk zijn om te voldoen aan de in artikel 11 bedoelde verplichtingen.

Financiële entiteiten evalueren regelmatig hun ICT-bedrijfscontinuïteitsbeleid en hun ICT-noodherstelplan, rekening houdend met de resultaten van de overeenkomstig de eerste alinea uitgevoerde tests en de aanbevelingen die voortvloeien uit audits of toezichtbeoordelingen.

6. Andere financiële entiteiten dan micro-ondernemingen beschikken over een functie voor crisisbeheer die in geval van activering van het beleid inzake ICT-bedrijfscontinuïteit of van het ICT-noodherstelplan in overeenstemming met artikel 13 duidelijke procedures voor het beheer van interne en externe crisiscommunicatie bepaalt.

7. Financiële entiteiten houden registers bij van hun activiteiten vóór en tijdens storingen wanneer hun ICT-bedrijfscontinuïteitsbeleid of ICT-noodherstelplan wordt geactiveerd. Deze registers worden op eenvoudige wijze beschikbaar gesteld.

8. De in artikel 2, lid 1, punt f), bedoelde financiële entiteiten verstrekken de bevoegde autoriteiten afschriften van de resultaten van de ICT-bedrijfscontinuïteitstests of soortgelijke oefeningen die plaatsvinden tijdens de verslagperiode.

9. Andere financiële entiteiten dan micro-ondernemingen melden aan de bevoegde autoriteiten alle kosten en verliezen als gevolg van ICT-verstoringen en ICT-gerelateerde incidenten.

Artikel 11 - Backupbeleid en herstelmethoden

1. Teneinde het herstel van ICT-systemen te verzekeren met een minimale uitval en een beperkte verstoring, ontwikkelen financiële entiteiten als onderdeel van hun ICT-risicobeheerkader:

(a)een backupbeleid waarin nader wordt bepaald op welke gegevens de back-up en de minimale frequentie van de back-up worden toegepast, op basis van het cruciale karakter van de informatie of de gevoeligheid van de gegevens;

(b)herstelmethoden.

2. Backupsystemen starten onverwijld met de verwerking, tenzij de start van de verwerking de beveiliging van het netwerk en van de informatiesystemen of de integriteit of de vertrouwelijkheid van gegevens in gevaar zou brengen.

3. Wanneer financiële entiteiten backupgegevens herstellen met behulp van eigen systemen, maken zij gebruik van ICT-systemen met een andere werkconfiguratie dan de hoofdconfiguratie, die niet rechtstreeks aan deze laatste is gekoppeld en die tegen ongeoorloofde toegang of beschadiging van ICT is beveiligd.

Voor de in artikel 2, lid 1, punt g), bedoelde financiële entiteiten maken de herstelplannen het herstel van alle transacties mogelijk ten tijde van de verstoring om de centrale tegenpartij in staat te stellen haar activiteiten met zekerheid voort te zetten en de transactie af te wikkelen op de geplande datum.

4. Financiële entiteiten houden ICT-capaciteiten in reserve met middelen, capaciteiten en functionaliteiten die toereikend en adequaat zijn om te voorzien in de zakelijke behoeften.

5. De in artikel 2, lid 1, punt f), bedoelde financiële entiteiten handhaven ten minste één locatie voor secundaire verwerking, en zorgen ervoor dat hun derde aanbieders van ICT-diensten ten minste één locatie voor secundaire verwerking handhaven, met middelen, capaciteiten, functionaliteiten en personeelsvoorziening die toereikend en adequaat zijn om te voorzien in de zakelijke behoeften.

De secundaire verwerkingslocatie is:

(a)fysiek gevestigd op een bepaalde afstand van de primaire verwerkingslocatie om te verzekeren dat de locatie een ander risicoprofiel heeft en om te voorkomen dat deze wordt getroffen door de gebeurtenis die de primaire locatie heeft getroffen;

(b)in staat de continuïteit van cruciale diensten op dezelfde manier te waarborgen als de primaire locatie of het niveau van diensten te leveren dat noodzakelijk is om ervoor te zorgen dat de financiële entiteit haar cruciale activiteiten verricht binnen het kader van de hersteldoelstellingen;

(c)onmiddellijk toegankelijk voor het personeel van de financiële entiteit om de continuïteit van cruciale diensten te waarborgen ingeval de primaire verwerkingslocatie niet langer beschikbaar is.

6. Bij het bepalen van de doelstellingen inzake hersteltijd en herstelpunt voor elke functie houden financiële entiteiten rekening met het potentiële algemene effect op de marktefficiëntie. Deze tijdsdoelstellingen zorgen ervoor dat de overeengekomen niveaus in extreme scenario’s worden gehaald.

7. Bij herstel van een ICT-gerelateerd incident verrichten financiële entiteiten meerdere controles, waaronder afstemmingen, om ervoor te zorgen dat het hoogste niveau van gegevensintegriteit wordt bereikt. Deze controles worden ook verricht bij het reconstrueren van gegevens van externe belanghebbenden om te waarborgen dat alle gegevens consistent zijn tussen de systemen.

Artikel 12 - Scholing en ontwikkeling

1. Financiële entiteiten beschikken over capaciteiten en personele middelen die overeenstemmen met hun omvang, bedrijfs- en risicoprofiel, om informatie te verzamelen over kwetsbaarheden en cyberdreigingen, ICT-gerelateerde incidenten, met name cyberaanvallen, en om de mogelijke gevolgen ervan voor hun digitale operationele veerkracht te analyseren.

2. Financiële entiteiten verrichten ICT-gerelateerde post-incidentevaluaties na zware ICT-verstoringen van hun kernactiviteiten, analyseren daarbij de oorzaken van de verstoring en identificeren de verbeteringen die moeten worden aangebracht in de ICT-activiteiten of in het kader van het ICT-bedrijfscontinuïteitsbeleid als bedoeld in artikel 10.

Bij het invoeren van veranderingen delen andere financiële entiteiten dan micro-ondernemingen deze mee aan de bevoegde autoriteiten.

In de in de eerste alinea bedoelde ICT-gerelateerde post-incidentevaluaties wordt bepaald of de vastgestelde procedures zijn gevolgd en of de genomen maatregelen doeltreffend zijn geweest, onder meer met betrekking tot:

(a)de snelheid waarmee is gereageerd op veiligheidswaarschuwingen en de effecten en de ernst van ICT-gerelateerde incidenten is vastgesteld;

(b)de kwaliteit en de snelheid bij het verrichten van forensische analyses;

(c)de doeltreffendheid van incidentescalatie binnen de financiële entiteit;

(d)de doeltreffendheid van interne en externe communicatie.

3. In het ICT-risicobeoordelingsproces wordt voortdurend naar behoren rekening gehouden met lessen die voortspruiten uit de overeenkomstig de artikelen 23 en 24 uitgevoerde tests op de operationele digitale veerkracht en uit ICT-gerelateerde incidenten die zich in het reële leven hebben voorgedaan, met name cyberaanvallen, alsmede met problemen die zich voordoen bij de activering van bedrijfscontinuïteits- of herstelplannen, samen met relevante informatie die met tegenpartijen wordt uitgewisseld en tijdens toetsingen in het toezicht worden beoordeeld. Deze bevindingen geven aanleiding tot passende herzieningen van relevante onderdelen van het kader voor ICT-risicobeheer als bedoeld in artikel 5, lid 1.

4. Financiële entiteiten zien toe erop toe dat hun strategie voor digitale veerkracht als bedoeld in artikel 5, lid 9, op doeltreffende wijze wordt uitgevoerd. Zij inventariseren de ontwikkeling van ICT-risico’s in de tijd, analyseren de frequentie, de types, de omvang en de evolutie van ICT-gerelateerde incidenten, met name cyberaanvallen en de patronen daarvan, teneinde inzicht te krijgen in het niveau van blootstelling aan ICT-risico’s en de maturiteit en paraatheid van de financiële entiteit ten aanzien van deze risico’s te verhogen.

5. Het leidinggevend ICT-personeel brengt bij het leidinggevend orgaan ten minste jaarlijks verslag uit over de in lid 3 bedoelde bevindingen en doet aanbevelingen.

6. Financiële entiteiten ontwikkelen bewustmakingsprogramma’s op het gebied van ICT-beveiliging en opleidingen inzake digitale operationele veerkracht als verplichte modules in de opleidingsprogramma’s voor het personeel. Deze zijn van toepassing op alle werknemers en op het hoger leidinggevend personeel.

Financiële entiteiten houden voortdurend toezicht op relevante technologische ontwikkelingen, ook om inzicht te krijgen in de mogelijke effecten van de invoering van deze nieuwe technologieën op de ICT-beveiligingsvereisten en de digitale operationele veerkracht. Zij blijven op de hoogte van de meest recente processen voor ICT-risicobeheer, om bestaande of nieuwe vormen van cyberaanvallen doeltreffend aan te pakken.

Artikel 13 - Communicatie

1. Als onderdeel van het kader voor ICT-risicobeheer als bedoeld in artikel 5, lid 1, beschikken financiële entiteiten over communicatieplannen die het mogelijk maken ICT-gerelateerde incidenten of ernstige kwetsbaarheden op verantwoordelijke wijze bekend te maken aan cliënten en tegenpartijen en, in voorkomend geval, aan het publiek.

2. Als onderdeel van het kader voor ICT-risicobeheer als bedoeld in artikel 5, lid 1, voeren financiële entiteiten een communicatiebeleid in voor het personeel en externe belanghebbenden. In het communicatiebeleid voor het personeel wordt rekening gehouden met de noodzaak om een onderscheid te maken tussen personeel dat betrokken is bij het ICT-risicobeheer, met name respons en herstel, en personeel dat moet worden geïnformeerd.

3. Ten minste één persoon in de entiteit wordt belast met de uitvoering van de communicatiestrategie voor ICT-gerelateerde incidenten en vervult daartoe de rol van woordvoerder bij het publiek en de media.

Artikel 14 - Verdere harmonisatie van ICT-risicobeheersinstrumenten, -methoden, -processen en -beleidslijnen 

De Europese Bankautoriteit (EBA), de Europese Autoriteit voor effecten en markten (ESMA) en de Europese Autoriteit voor verzekeringen en bedrijfspensioenen (Eiopa) stellen, in overleg met het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa), ontwerpen van technische reguleringsnormen op met het doel:

(a)nadere elementen te specificeren die moeten worden opgenomen in de beleidslijnen, procedures, protocollen en instrumenten met betrekking tot ICT-beveiliging als bedoeld in artikel 8, lid 2, teneinde de veiligheid van netwerken te garanderen, passende waarborgen tegen inbreuken en misbruik van gegevens mogelijk te maken, de authenticiteit en de integriteit van gegevens, met inbegrip van cryptografische technieken, te beschermen en een nauwkeurige en snelle doorgifte van gegevens zonder ernstige verstoringen te waarborgen;

(b)te bepalen hoe in de beleidslijnen, procedures en instrumenten met betrekking tot ICT-beveiliging als bedoeld in artikel 8, lid 2, vanaf het begin (beveiliging door ontwerp) veiligheidscontroles in de systemen worden opgenomen, aanpassingen aan het veranderende landschap van veiligheidsdreigingen mogelijk worden gemaakt en in het gebruik van technologie voor verdediging in de diepte wordt voorzien;

(c)de passende technieken, methodes en protocollen als bedoeld in artikel 8, lid 4, punt b), nader te specificeren;

(d)verdere onderdelen van de controle van rechten voor toegangsbeheer als bedoeld in artikel 8, lid 4, punt c), en het daarmee verband houdende personeelsbeleid te ontwikkelen, waarin de toegangsrechten en de procedures voor het toekennen en intrekken van rechten nader worden gespecificeerd, en toezicht wordt uitgeoefend op afwijkend gedrag met betrekking tot ICT-risico’s via passende indicatoren, onder meer voor patronen en uren van netwerkgebruik, IT-activiteit en onbekende toestellen;

(e)de elementen als bedoeld in artikel 9, lid 1, om een snelle detectie van afwijkende activiteiten mogelijk te maken, verder te ontwikkelen alsmede de criteria als bedoeld in artikel 9, lid 2, om processen voor detectie van ICT-gerelateerde incidenten en respons daarop in werking te stellen;

(f)de onderdelen van het ICT-bedrijfscontinuïteitsbeleid als bedoeld in artikel 10, lid 1, verder te specificeren;

(g)het testen van de ICT-bedrijfscontinuïteitsplannen als bedoeld in artikel 10, lid 5, verder te specificeren om ervoor te zorgen dat naar behoren rekening wordt gehouden met scenario’s waarin de kwaliteit van voorziening van een cruciale of belangrijke functie tot op een onaanvaardbaar niveau verslechtert of deze functie uitvalt, en de potentiële effecten van de insolventie of andere gebreken van een relevante derde aanbieder van ICT-diensten en, indien van toepassing, de politieke risico’s in de rechtsgebieden van de respectieve aanbieders naar behoren in aanmerking worden genomen;

(h)de onderdelen van het ICT-noodherstelplan als bedoeld in artikel 10, lid 3, verder te specificeren.

De EBA, de ESMA en de Eiopa leggen deze ontwerpen van technische reguleringsnormen uiterlijk op [OJ: insert date 1 year after the date of entry into force] voor aan de Commissie. 

Aan de Commissie wordt de bevoegdheid gedelegeerd om de in de eerste alinea bedoelde technische reguleringsnormen vast te stellen overeenkomstig de artikelen 10 tot en met 14 van de Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 en (EU) nr. 1095/2010.

HOOFDSTUK III

ICT-GERELATEERDE INCIDENTEN

BEHEER, CLASSIFICATIE EN RAPPORTAGE

Artikel 15 - Beheerproces voor ICT-gerelateerde incidenten

1. Financiële entiteiten stellen een beheerproces voor ICT-gerelateerde incidenten vast en leggen dit ten uitvoer om ICT-gerelateerde incidenten te detecteren, te beheren en te melden, en voeren indicatoren voor vroegtijdige waarschuwing in als alarmmelding.

2. Financiële entiteiten stellen passende processen vast voor een consistente en geïntegreerde monitoring, behandeling en follow-up van ICT-gerelateerde incidenten, teneinde ervoor te zorgen dat onderliggende oorzaken worden opgespoord en weggenomen om dergelijke incidenten te voorkomen.

3. Het in lid 1 bedoelde beheerproces voor ICT-gerelateerde incidenten heeft tot doel:

(a)procedures vast te stellen om ICT-gerelateerde incidenten te identificeren, te detecteren, te categoriseren en te klasseren op basis van hun prioriteit en de ernst en het cruciale karakter van de getroffen diensten in overeenstemming met de in artikel 16, lid 1, bedoelde criteria;

(b)functies en verantwoordelijkheden toe te wijzen die voor verschillende incidenttypes en -scenario’s moeten worden geactiveerd;

(c)plannen op te stellen voor communicatie met personeel, externe belanghebbenden en media in overeenstemming met artikel 13, en voor mededeling aan cliënten, interne escalatieprocedures, met inbegrip van ICT-gerelateerde klachten van cliënten, alsmede voor verstrekking van informatie, indien noodzakelijk, aan financiële entiteiten die optreden als tegenpartijen;

(d)te verzekeren dat ernstige ICT-gerelateerde incidenten aan het desbetreffende hoger leidinggevend personeel worden gemeld, en het leidinggevend orgaan te informeren over ernstige ICT-gerelateerde incidenten met toelichting over de effecten, de respons en de ten gevolge van ICT-gerelateerde incidenten in te stellen bijkomende controles;

(e)responsprocedures voor ICT-gerelateerde incidenten in te stellen om de effecten daarvan te beperken en ervoor te zorgen dat de diensten tijdig operationeel en veilig worden.

Artikel 16 - Classificatie van ICT-gerelateerde incidenten

1. Financiële entiteiten classificeren ICT-gerelateerde incidenten en bepalen de effecten daarvan op basis van de volgende criteria:

(a)het aantal gebruikers of financiële tegenpartijen die door de verstoring ten gevolge van het ICT-gerelateerde incident zijn getroffen, en de vraag of het ICT-gerelateerde incident reputatieschade heeft veroorzaakt;

(b)de duur van het ICT-gerelateerde incident, waaronder de uitvaltijd van de dienst;

(c)de geografische spreiding van de gebieden die door het ICT-gerelateerde incident zijn getroffen, met name indien meer dan twee lidstaten zijn getroffen;

(d)de gegevensverliezen ten gevolge van het ICT-gerelateerde incident, zoals verlies aan integriteit, vertrouwelijkheid of beschikbaarheid;

(e)de ernst van de effecten van het ICT-gerelateerde incident op de ICT-systemen van de financiële entiteit;

(f)de mate waarin de getroffen diensten, waaronder de transacties en activiteiten van de financiële entiteit, als cruciaal kunnen worden aangemerkt;

(g)de economische effecten van het ICT-gerelateerde incident in absolute en relatieve termen.

2. De ETA’s stellen via het Gemengd Comité van de ETA’s (“Gemengd Comité”) en na overleg met de Europese Centrale Bank (ECB) en Enisa gemeenschappelijke ontwerpen van technische reguleringsnormen op waarin het volgende nader wordt gespecificeerd:

(a)de criteria vastgesteld in lid 1, met inbegrip van materialiteitsdrempels voor het bepalen van ernstige ICT-gerelateerde incidenten waarvoor de rapportageverplichting van artikel 17, lid 1, geldt;

(b)de door de bevoegde autoriteiten toe te passen criteria voor de beoordeling van de relevantie van ernstige ICT-gerelateerde incidenten voor de rechtsgebieden van andere lidstaten, en de nadere informatie van verslagen over ICT-gerelateerde incidenten die overeenkomstig artikel 17, punten 5) en 6), aan andere bevoegde autoriteiten moeten worden meegedeeld.

3. Bij het opstellen van de in lid 2 bedoelde gemeenschappelijke ontwerpen van technische reguleringsnormen houden de ETA’s rekening met internationale normen en specificaties die door Enisa zijn ontwikkeld en gepubliceerd, met inbegrip van, in voorkomend geval, specificaties voor andere economische sectoren.

De ETA’s leggen die gemeenschappelijke ontwerpen van technische reguleringsnormen uiterlijk op [PO: insert date 1 year after the date of entry into force] voor aan de Commissie. 

Aan de Commissie wordt de bevoegdheid gedelegeerd om deze verordening aan te vullen door de in lid 2 bedoelde technische reguleringsnormen overeenkomstig de artikelen 10 tot en met 14 van respectievelijk Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 en (EU) nr. 1095/2010 vast te stellen.

Artikel 17 - Rapportage van ernstige ICT-gerelateerde incidenten

1. Financiële entiteiten melden ernstige ICT-gerelateerde incidenten binnen de in lid 3 vastgestelde termijnen aan de relevante bevoegde autoriteit als bedoeld in artikel 41.

Voor de toepassing van de eerste alinea stellen financiële entiteiten, na het verzamelen en analyseren van alle relevante informatie, een incidentverslag op met gebruikmaking van het model als bedoeld in artikel 18, en dienen zij dit in bij de bevoegde autoriteit.

Het verslag bevat alle informatie die de bevoegde autoriteit nodig heeft om de draagwijdte van het ernstige ICT-gerelateerde incident te bepalen en mogelijke grensoverschrijdende effecten te beoordelen.

2. Wanneer een ernstig ICT-gerelateerd incident gevolgen heeft of kan hebben voor de financiële belangen van gebruikers van diensten en van cliënten, stellen financiële entiteiten hun gebruikers van diensten en hun cliënten onverwijld in kennis van het ernstige ICT-gerelateerde incident en melden zij hun zo spoedig mogelijk alle maatregelen die zijn genomen om de negatieve gevolgen van een dergelijk incident te beperken.

3. Financiële entiteiten melden aan de bevoegde autoriteit als bedoeld in artikel 41:

(a)een eerste kennisgeving, onverwijld maar uiterlijk aan het einde van de werkdag, of, in het geval van een ernstig ICT-gerelateerd incident dat zich later dan twee uur voor het einde van de werkdag heeft voorgedaan, uiterlijk vier uur na de aanvang van de volgende werkdag, of, indien er geen meldingskanalen beschikbaar zijn, zodra deze beschikbaar zijn;

(b)een tussentijds verslag, uiterlijk een week na de eerste kennisgeving als bedoeld in punt a), in voorkomend geval gevolgd door geactualiseerde kennisgevingen telkens wanneer een relevante actualisering van de status beschikbaar is, alsmede op specifiek verzoek van de bevoegde autoriteit;

(c)een eindverslag, wanneer de analyse van de onderliggende oorzaken is voltooid, ongeacht of er reeds beperkende maatregelen ten uitvoer zijn gelegd, en wanneer de werkelijke impactcijfers beschikbaar zijn in plaats van ramingen, maar niet later dan één maand na de verzending van het eerste verslag.

4. Financiële entiteiten mogen de rapportageverplichtingen uit hoofde van dit artikel alleen aan een derde aanbieder van diensten delegeren na goedkeuring van de delegatie door de relevante bevoegde autoriteit als bedoeld in artikel 41.

5. Na ontvangst van het in lid 1 bedoelde verslag verstrekt de bevoegde autoriteit onverwijld nadere bijzonderheden over het incident aan:

(a)de EBA, de ESMA of de Eiopa, naargelang van het geval;

(b)de ECB, indien nodig, in het geval van financiële entiteiten als bedoeld in artikel 2, lid 1, punten a), b) en c); en

(c)het centraal contactpunt aangewezen krachtens artikel 8 van Richtlijn (EU) 2016/1148.

6. De EBA, de ESMA of de Eiopa en de ECB beoordelen de relevantie van het ernstige ICT-gerelateerde incident voor andere betrokken overheidsinstanties en stellen hen daarvan zo spoedig mogelijk in kennis. De ECB stelt de leden van het Europees Stelsel van centrale banken in kennis van kwesties die van belang zijn voor het betalingssysteem. Op basis van die kennisgeving nemen de bevoegde autoriteiten, in voorkomend geval, alle nodige maatregelen om de onmiddellijke stabiliteit van het financiële systeem te beschermen.

Artikel 18 - Harmonisatie van inhoud en modellen van rapportage

1. De ETA’s ontwikkelen via het Gemengd Comité en na overleg met Enisa en de ECB:

(a)gemeenschappelijke ontwerpen van technische reguleringsnormen om:

(1) de inhoud van de rapportage voor ernstige ICT-gerelateerde incidenten vast te stellen;

(2) verder te specificeren onder welke voorwaarden financiële entiteiten, na voorafgaande goedkeuring door de bevoegde autoriteit, de in dit hoofdstuk vastgestelde rapportageverplichtingen aan een derde aanbieder van diensten mogen delegeren;

(b)gemeenschappelijke ontwerpen van technische uitvoeringsnormen tot vaststelling van de standaardformulieren, modellen en procedures voor het melden van ernstige ICT-gerelateerde incidenten door financiële entiteiten.

De ETA’s leggen de gemeenschappelijke ontwerpen van technische reguleringsnormen bedoeld in lid 1, punt a), en de gemeenschappelijke ontwerpen van technische uitvoeringsnormen bedoeld in lid 1, punt b), uiterlijk op xx 202x [PO: insert date 1 year after the date of entry into force] voor aan de Commissie.

Aan de Commissie wordt de bevoegdheid gedelegeerd om deze verordening aan te vullen door de in lid 1, punt a), bedoelde gemeenschappelijke technische reguleringsnormen overeenkomstig de artikelen 10 tot en met 14 van respectievelijk Verordeningen (EU) nr. 1093/2010, (EU) nr. 1095/2010 en (EU) nr. 1094/2010 vast te stellen.

Aan de Commissie wordt de bevoegdheid toegekend om de in lid 1, punt b), bedoelde gemeenschappelijke technische uitvoeringsnormen vast te stellen overeenkomstig artikel 15 van respectievelijk Verordeningen (EU) nr. 1093/2010, (EU) nr. 1095/2010 en (EU) nr. 1094/2010.

Artikel 19 - Centralisatie van meldingen van ernstige ICT-gerelateerde incidenten

1. De ETA’s stellen, via het Gemengd Comité en in overleg met de ECB en Enisa, een gezamenlijk verslag op waarin de haalbaarheid wordt beoordeeld van verdere centralisatie van incidentrapportage door middel van de oprichting van één EU-hub voor de melding van ernstige ICT-gerelateerde incidenten door financiële entiteiten. In het verslag wordt onderzocht op welke wijze de stroom van ICT-gerelateerde incidentrapportage kan worden vergemakkelijkt, de daarmee gepaard gaande kosten kunnen worden verlaagd en thematische analyses kunnen worden onderbouwd met het oog op een grotere convergentie van het toezicht.

2. Het in lid 1 bedoelde verslag bevat ten minste:

(a)de vereisten voor de oprichting van een dergelijke EU-hub;

(b)de voordelen, beperkingen en mogelijke risico’s;

(c)elementen van operationeel beheer;

(d)de voorwaarden voor het lidmaatschap;

(e)regels voor financiële entiteiten en nationale bevoegde autoriteiten om toegang tot EU-hub te verkrijgen;

(f)een voorlopige beoordeling van de financiële kosten voor de oprichting van het operationele platform ter ondersteuning van de EU-hub, met inbegrip van de vereiste deskundigheid.

3. De ETA’s leggen het verslag bedoeld in lid 1 uiterlijk op xx 202x [OJ: insert date 3 years after the date of entry into force] voor aan de Commissie, het Europees Parlement en de Raad.

Artikel 20 - Feedback van toezichthouders

1. Na ontvangst van een verslag als bedoeld in artikel 17, lid 1, bevestigt de bevoegde autoriteit de ontvangst van de melding en verstrekt zij zo spoedig mogelijk alle nodige feedback of richtsnoeren aan de financiële entiteit, met name om maatregelen op het niveau van de entiteit te bespreken of te onderzoeken hoe de nadelige effecten in alle sectoren zoveel mogelijk kunnen worden beperkt.

2. De ETA’s brengen jaarlijks via het Gemengd Comité een geanonimiseerd en geaggregeerd verslag uit over de meldingen van ICT-gerelateerde incidenten die zij van de bevoegde autoriteiten hebben ontvangen, met vermelding van ten minste het aantal ernstige ICT-gerelateerde incidenten, de aard ervan, de gevolgen voor de werking van financiële entiteiten of cliënten, de kosten en de genomen corrigerende maatregelen.

De ETA’s geven waarschuwingen af en stellen statistieken op hoog niveau op ter ondersteuning van ICT-dreigings- en kwetsbaarheidsbeoordelingen.

HOOFDSTUK IV

TESTEN VAN DIGITALE OPERATIONELE VEERKRACHT

Artikel 21 - Algemene vereisten voor uitvoering van tests van digitale operationele veerkracht

1. Voor de beoordeling van de paraatheid ten aanzien van ICT-gerelateerde incidenten, de omschrijving van zwakheden, gebreken of lacunes in de digitale operationele veerkracht en de snelle tenuitvoerlegging van corrigerende maatregelen zorgen financiële entiteiten, rekening houdend met hun omvang, bedrijfs- en risicoprofiel, voor het vaststellen, handhaven en evalueren van een degelijk en alomvattend programma voor het testen van de digitale operationele veerkracht als integrerend onderdeel van het kader voor ICT-risicobeheer als bedoeld in artikel 5.

2. Het testprogramma voor digitale operationele veerkracht omvat een reeks beoordelingen, tests, methodologieën, praktijken en instrumenten die overeenkomstig de bepalingen van de artikelen 22 en 23 moeten worden toegepast.

3. Financiële entiteiten volgen bij de uitvoering van het in lid 1 bedoelde testprogramma voor digitale operationele veerkracht een risicogebaseerde benadering, waarbij rekening wordt gehouden met het veranderende landschap van ICT-risico’s, eventuele specifieke risico’s waaraan de financiële entiteit wordt of kan worden blootgesteld, de cruciale aard van informatieactiva en verleende diensten, alsmede alle andere factoren die de financiële entiteit passend acht.

4. Financiële entiteiten zorgen ervoor dat de tests worden uitgevoerd door interne of externe onafhankelijke partijen.

5. Financiële entiteiten stellen procedures en beleidslijnen vast om alle problemen die tijdens de uitvoering van de tests zijn erkend, te prioriteren, te classificeren en te verhelpen, en stellen interne valideringsmethoden vast om na te gaan of alle vastgestelde zwakheden, gebreken of lacunes volledig worden aangepakt.

6. Financiële entiteiten testen ten minste eenmaal per jaar alle cruciale ICT-systemen en -toepassingen.

Artikel 22 - Testen van ICT-instrumenten en -systemen

1. Het testprogramma voor digitale operationele veerkracht bedoeld in artikel 21 voorziet in de uitvoering van een volledige reeks passende tests waaronder kwetsbaarheidsbeoordelingen en -scans, opensourceanalyses, netwerkbeveiligingsbeoordelingen, kloofanalyses, beoordelingen van fysieke beveiliging, vragenlijsten en scanningsoftwareoplossingen, beoordelingen van broncodes indien mogelijk, scenariogebaseerde tests, compatibiliteitstests, prestatietests, eind-tot-eindtests of penetratietests.

2. De in artikel 2, lid 1, punten f) en g), bedoelde financiële entiteiten verrichten kwetsbaarheidsbeoordelingen voordat nieuwe of bestaande diensten ter ondersteuning van cruciale functies, toepassingen en infrastructuurcomponenten van de financiële entiteit worden ingezet of opnieuw worden ingezet.

Artikel 23 - Geavanceerde tests van ICT-instrumenten, -systemen en -processen op basis van dreigingsgestuurde penetratietests

1. Overeenkomstig lid 4 aangewezen financiële entiteiten verrichten ten minste om de drie jaar geavanceerde tests door middel van dreigingsgestuurde penetratietests.

2. Dreigingsgestuurde penetratietests hebben ten minste betrekking op de cruciale functies en diensten van een financiële entiteit en worden uitgevoerd op systemen die prestaties in het reële leven verrichten ter ondersteuning van deze functies. De precieze omvang van dreigingsgestuurde penetratietests, op basis van de beoordeling van cruciale functies en diensten, wordt door financiële entiteiten vastgesteld en wordt door de bevoegde autoriteiten gevalideerd.

Voor de toepassing van de eerste alinea bepalen financiële entiteiten alle relevante onderliggende ICT-processen, -systemen en technologieën ter ondersteuning van cruciale functies en diensten, met inbegrip van uitbestede of met derde aanbieders van ICT-diensten contractueel overeengekomen functies en diensten.

Wanneer derde aanbieders van ICT-diensten binnen het toepassingsgebied van de dreigingsgestuurde penetratietests vallen, neemt de financiële entiteit de nodige maatregelen om de deelname van deze aanbieders te waarborgen.

Financiële entiteiten passen doeltreffende risicobeheercontroles toe om de risico’s van potentiële effecten op gegevens, schade aan activa en verstoring van cruciale diensten of activiteiten bij de financiële entiteit zelf, bij haar tegenpartijen of in de financiële sector te beperken.

Na afloop van de test, nadat overeenstemming is bereikt over verslagen en correctieplannen, verstrekken de financiële entiteit en de externe testers aan de bevoegde autoriteit de documenten waarmee wordt bevestigd dat de dreigingsgestuurde penetratietests in overeenstemming met de vereisten zijn verricht. De bevoegde autoriteiten valideren de documenten en geven een attest af.

3. Financiële entiteiten stellen overeenkomstig artikel 24 testers aan om dreigingsgestuurde penetratietests te verrichten.

De bevoegde autoriteiten bepalen welke financiële entiteiten op zodanige wijze dreigingsgestuurde penetratietests verrichten dat deze evenredig zijn met de omvang, de schaal, de activiteit en het algemene risicoprofiel van de financiële entiteit, op basis van een beoordeling van:

(a)effectgerelateerde factoren, met name het cruciale karakter van de diensten en de activiteiten van de financiële entiteit;

(b)mogelijke bezorgdheid over financiële stabiliteit, met inbegrip van het systemisch karakter van de financiële entiteit op nationaal of Unieniveau naargelang van het geval;

(c)het specifieke ICT-risicoprofiel, het niveau van maturiteit inzake ICT van de financiële entiteit of de technologische kenmerken die in het geding zijn.

4. De EBA, de ESMA en de Eiopa ontwikkelen, na raadpleging van de ECB en rekening houdend met de desbetreffende kaders in de Unie die van toepassing zijn op op inlichtingen gebaseerde penetratietests, ontwerpen van technische reguleringsnormen tot nadere bepaling van:

(a)de voor de toepassing van lid 3 van dit artikel gebruikte criteria;

(b)de voorschriften met betrekking tot:

(a)de toepassingssfeer van de dreigingsgestuurde penetratietests bedoeld in lid 2 van dit artikel;

(b)de te volgen testmethodologie en -aanpak voor elke specifieke fase van het testproces;

(c)de resultaten, de afsluitings- en de correctiefase van de tests;

(c)het soort samenwerking op het gebied van toezicht dat noodzakelijk is om dreigingsgestuurde penetratietests ten uitvoer te leggen in het geval van financiële entiteiten die in meer dan een lidstaat actief zijn, teneinde een passend niveau van betrokkenheid van toezichthouders en een flexibele tenuitvoerlegging mogelijk te maken rekening houdend met de specifieke kenmerken van financiële subsectoren of lokale financiële markten.

De ETA’s leggen die gemeenschappelijke ontwerpen van technische reguleringsnormen uiterlijk op [OJ: insert date 2 months before the date of entry into force] voor aan de Commissie. 

Aan de Commissie wordt de bevoegdheid gedelegeerd om deze verordening aan te vullen door de in de tweede alinea bedoelde technische reguleringsnormen vast te stellen overeenkomstig de artikelen 10 tot en met 14 van respectievelijk de Verordeningen (EU) nr. 1093/2010, (EU) nr. 1095/2010 en (EU) nr. 1094/2010.

Artikel 24 - Vereisten voor testers

1. Financiële entiteiten maken voor het uitvoeren van dreigingsgestuurde penetratietests alleen gebruik van testers die:

(a)in de hoogste mate geschikt en deugdzaam zijn;

(b)technische en organisatorische capaciteiten bezitten en blijk geven van specifieke deskundigheid op het gebied van inlichtingen over dreigingen, penetratietests of red-teamtests;

(c)door een accrediteringsinstantie in een lidstaat zijn gecertificeerd of formele gedragscodes of ethische kaders in acht nemen;

(d)in het geval van externe testers, een onafhankelijke waarborg of een auditverslag verstrekken met betrekking tot het deugdelijk beheer van risico’s die verbonden zijn aan de uitvoering van dreigingsgestuurde penetratietests, met inbegrip van de passende bescherming van de vertrouwelijke informatie van de financiële entiteit en herstel voor de bedrijfsrisio’s van de financiële entiteit;

(e)in het geval van externe testers, naar behoren volledig door de desbetreffende beroepsaansprakelijkheidsverzekeringen zijn gedekt, onder meer tegen het risico van fouten en nalatigheid.

2. Financiële entiteiten zorgen ervoor dat de overeenkomsten met externe testers een degelijk beheer van de resultaten van de dreigingsgestuurde penetratietests opleggen en dat de verwerking daarvan, met inbegrip van het genereren, ontwerpen, opslaan, aggregeren, rapporteren, communiceren of vernietigen van resultaten, geen risico’s voor de financiële entiteit meebrengt.

HOOFDSTUK V

BEHEER VAN ICT-RISICO VAN DERDE AANBIEDER

AFDELING I

Basisbeginselen voor een degelijk beheer van het ICT-risico van derde aanbieder

Artikel 25 - Algemene beginselen

Financiële entiteiten beheren het ICT-risico van derde aanbieders als integrerend onderdeel van het ICT-risico binnen hun kader voor ICT-risicobeheer en in overeenstemming met de volgende beginselen:

1. Financiële entiteiten die contractuele regelingen voor het gebruik van ICT-diensten voor hun bedrijfsactiviteiten hebben getroffen, blijven te allen tijde volledig verantwoordelijk voor de naleving en de verantwoording van alle verplichtingen uit hoofde van deze verordening en de toepasselijke wetgeving inzake financiële diensten.

2. Het beheer van het ICT-risico van derde aanbieders door financiële entiteiten wordt ten uitvoer gelegd aan de hand van het evenredigheidsbeginsel, rekening houdend met:

(a)de schaal, de complexiteit en het belang van ICT-gerelateerde afhankelijkheden,

(b)de risico’s die voortvloeien uit contractuele regelingen met derde aanbieders inzake het gebruik van ICT-diensten, rekening houdend met het cruciale karakter of het belang van de respectieve diensten, processen of functies en met de potentiële gevolgen voor de continuïteit en de kwaliteit van financiële diensten en activiteiten, op individueel en groepsniveau.

3. Als onderdeel van hun kader voor ICT-risicobeheer stellen financiële entiteiten een strategie inzake ICT-risico van derde aanbieders vast en herzien zij deze regelmatig, rekening houdend met de in artikel 5, lid 9, punt g), bedoelde multi-vendorstrategie. Die strategie omvat een beleid inzake het gebruik van door derde aanbieders verleende ICT-diensten en is van toepassing op individuele en, in voorkomend geval, op gesubconsolideerde en geconsolideerde basis. Het leidinggevend orgaan evalueert regelmatig de vastgestelde risico’s met betrekking tot de uitbesteding van cruciale of belangrijke functies.

4. Als onderdeel van hun kader voor ICT-risicobeheer handhaven en actualiseren financiële entiteiten op het niveau van de entiteit en op gesubconsolideerd en geconsolideerd niveau een informatieregister met betrekking tot alle contractuele regelingen over het gebruik van door derde aanbieders verleende ICT-diensten.

De in de eerste alinea bedoelde contractuele regelingen worden naar behoren gedocumenteerd, met een onderscheid tussen die welke van toepassing zijn op cruciale of belangrijke functies en die welke daarop niet van toepassing zijn.

Financiële entiteiten rapporteren ten minste jaarlijks aan de bevoegde autoriteiten over het aantal nieuwe regelingen inzake het gebruik van ICT-diensten, de categorieën van derde aanbieders van ICT-diensten, het soort contractuele regelingen en de diensten en functies die worden geleverd.

Financiële entiteiten stellen de bevoegde autoriteit op verzoek het volledige informatieregister of desgevraagd specifieke onderdelen daarvan ter beschikking, samen met alle informatie die noodzakelijk wordt geacht om doeltreffend toezicht op de financiële entiteit mogelijk te maken.

Financiële entiteiten stellen de bevoegde autoriteit tijdig in kennis van geplande aanbestedingen van cruciale of belangrijke functies en van het feit dat een functie cruciaal of belangrijk is geworden.

5. Vóór het sluiten van een contractuele regeling inzake het gebruik van ICT-diensten:

(a)beoordelen financiële entiteiten of de contractuele regeling betrekking heeft op een cruciale of belangrijke functie;

(b)beoordelen zij of aan de toezichtvoorwaarden voor het aangaan van het contract is voldaan;

(c)identificeren en beoordelen zij alle relevante risico’s met betrekking tot de contractuele regeling, met inbegrip van de mogelijkheid dat deze contractuele regelingen kunnen leiden tot een versterking van het ICT-concentratierisico;

(d)verrichten zij due-diligenceonderzoeken over toekomstige derde aanbieders van ICT-diensten en waarborgen zij gedurende de gehele selectie- en beoordelingsprocedure dat de derde aanbieder van ICT-diensten geschikt is;

(e)identificeren en beoordelen zij belangenconflicten die kunnen voortkomen uit de contractuele regeling.

6. Financiële entiteiten mogen alleen contractuele regelingen sluiten met derde aanbieders van ICT-diensten die voldoen aan strenge, passende en de meest recente normen op het gebied van informatiebeveiliging.

7. Bij het uitoefenen van toegangs-, inspectie- en auditrechten ten aanzien van de derde aanbieder van ICT-diensten bepalen financiële entiteiten op basis van een risicogebaseerde benadering vooraf de frequentie van de audits en inspecties en de te controleren gebieden, door algemeen aanvaarde auditnormen in acht te nemen in overeenstemming met de instructies van de toezichthouder inzake het gebruik en de integratie van deze controlenormen.

Voor contractuele regelingen die een hoog niveau van technologische complexiteit inhouden, verifieert de financiële entiteit of interne auditors, pools van auditors of externe accountants over passende vaardigheden en kennis beschikken om de desbetreffende audits en beoordelingen doeltreffend uit te voeren.

8. Financiële entiteiten zorgen ervoor dat contractuele regelingen inzake het gebruik van ICT-diensten ten minste in de volgende omstandigheden worden beëindigd:

(a)bij overtreding van de toepasselijke wetten, voorschriften of contractuele bepalingen door de derde aanbieder van ICT-diensten;

(b)in omstandigheden die in de loop van de monitoring van het ICT-risico van derde aanbieders worden vastgesteld, waarvan wordt aangenomen dat deze wijzigingen kunnen brengen in de uitvoering van de functies waarin de contractuele regeling voorziet, met inbegrip van materiële wijzigingen die de regeling of de situatie van de derde aanbieder van ICT-diensten nadelig beïnvloeden;

(c)bij klaarblijkelijke zwakheden van de derde aanbieder van ICT-diensten in zijn algemeen beheer van het ICT-risico en in het bijzonder in de manier waarop de veiligheid en integriteit van vertrouwelijke, persoonlijke of anderszins gevoelige gegevens of niet-persoonsgebonden informatie wordt gewaarborgd;

(d)in omstandigheden waarin de bevoegde autoriteit ten gevolge van de desbetreffende contractuele regeling niet langer doeltreffend toezicht op de financiële entiteit kan uitoefenen.

9. Financiële entiteiten voeren exitstrategieën in om rekening te houden met risico’s die zich op het niveau van de derde aanbieder van ICT-diensten kunnen voordoen, met name een mogelijk falen van deze aanbieder, een verslechtering van de kwaliteit van de geleverde functies, verstoring van de bedrijfsactiviteiten ten gevolge van ongeschikte of falende dienstverlening of materiële risico’s in verband met de passende en permanente inzet van de functie.

Financiële entiteiten zorgen ervoor dat zij de mogelijkheid hebben om contractuele regelingen te beëindigen:

(a)zonder verstoring van hun bedrijfsactiviteiten,

(b)zonder dat de naleving van de regelgevingsvereisten wordt beperkt,

(c)zonder dat afbreuk wordt gedaan aan de continuïteit en de kwaliteit van hun dienstverlening aan cliënten.

De exitstrategieën zijn alomvattend, gedocumenteerd en, indien nodig, voldoende getest.

Financiële entiteiten bepalen alternatieve oplossingen en ontwikkelen overgangsplannen die hen in staat stellen de contractueel geregelde functies en de desbetreffende gegevens van de derde aanbieder van ICT-diensten te verwijderen en deze veilig en integraal over te dragen aan alternatieve aanbieders of deze opnieuw in het eigen bedrijf te integreren.

Financiële entiteiten nemen passende noodmaatregelen om de bedrijfscontinuïteit te handhaven in alle omstandigheden als bedoeld in de eerste alinea.

10. De ETA’s ontwikkelen via het Gemengd Comité ontwerpen van technische uitvoeringsnormen tot vaststelling van standaardmodellen ten behoeve van het in lid 4 bedoelde informatieregister.

De ETA’s leggen die ontwerpen van technische uitvoeringsnormen uiterlijk op [OJ: insert date 1 year after the date of entry into force of this Regulation] voor aan de Commissie.  

Aan de Commissie wordt de bevoegdheid verleend om de in de eerste alinea bedoelde technische uitvoeringsnormen vast te stellen overeenkomstig artikel 15 van respectievelijk de Verordeningen (EU) nr. 1093/2010, (EU) nr. 1095/2010 en (EU) nr. 1094/2010.

11. De ETA’s ontwikkelen via het Gemengd Comité ontwerpen van reguleringsnormen tot nadere omschrijving van:

(a)de gedetailleerde inhoud van het in lid 3 bedoelde beleid met betrekking tot contractuele regelingen inzake het gebruik van door derde aanbieders verleende ICT-diensten, aan de hand van de voornaamste stadia van de levenscyclus van de desbetreffende regelingen inzake het gebruik van ICT-diensten;

(b)het soort informatie dat moet worden opgenomen in het in lid 4 bedoelde informatieregister.

De ETA’s leggen die ontwerpen van technische reguleringsnormen uiterlijk op [PO: insert date 1 year after the date of entry into force] voor aan de Commissie.  

Aan de Commissie wordt de bevoegdheid overgedragen om deze verordening aan te vullen door de in de tweede alinea bedoelde technische reguleringsnormen vast te stellen overeenkomstig de artikelen 10 tot en met 14 van respectievelijk de Verordeningen (EU) nr. 1093/2010, (EU) nr. 1095/2010 en (EU) nr. 1094/2010.

Artikel 26 - Voorlopige beoordeling van het ICT-concentratierisico en verdere onderaanbestedingsregelingen

1. Bij het identificeren en beoordelen van het in artikel 25, lid 5, punt c), bedoelde ICT-concentratierisico houden financiële entiteiten rekening met de vraag of het sluiten van een contractuele regeling inzake ICT-diensten zou leiden tot een van de volgende situaties waarin:

(a)zij een contract sluiten met een derde aanbieder van ICT-diensten die niet gemakkelijk substitueerbaar is; dan wel

(b)zij beschikken over meerdere contractuele regelingen met betrekking tot de verlening van ICT-diensten met dezelfde derde aanbieder van ICT-diensten of met nauw verbonden derde aanbieders van ICT-diensten.

Financiële entiteiten wegen de baten en kosten af van alternatieve oplossingen, zoals het gebruik van verschillende derde aanbieders van ICT-diensten, rekening houdend met de vraag of en hoe de voorgenomen oplossingen aansluiten bij de zakelijke behoeften en doelstellingen waarin hun strategie inzake digitale veerkracht voorziet.

2. Wanneer de contractuele regeling inzake het gebruik van ICT-diensten de mogelijkheid inhoudt dat een derde aanbieder van ICT-diensten een cruciale of belangrijke taak verder uitbesteedt aan andere derde aanbieders van ICT-diensten, wegen de financiële entiteiten de baten en risico’s af die uit een dergelijke mogelijke uitbesteding kunnen voortkomen, met name in het geval van een in een derde land gevestigde ICT-subcontractant.

Wanneer contractuele regelingen inzake het gebruik van ICT-diensten met een in een derde land gevestigde derde aanbieder van ICT-diensten worden gesloten, schenken financiële entiteiten ten minste aandacht aan de volgende factoren:

(a)de naleving van gegevensbescherming;

(b)de doeltreffende handhaving van de wet;

(c)bepalingen van insolventierecht die in geval van faillissement van de derde aanbieder van ICT-diensten van toepassing zouden zijn;

(d)beperkingen die zich met betrekking tot het dringende herstel van de gegevens van de financiële entiteit zouden kunnen voordoen.

Financiële entiteiten beoordelen of en hoe potentieel lange of complexe uitbestedingsketens van invloed kunnen zijn op hun vermogen om de contractueel overeengekomen functies volledig te monitoren en op het vermogen van de bevoegde autoriteit om in dat verband doeltreffend toezicht uit te oefenen op de financiële entiteit.

Artikel 27 - Belangrijke contractuele bepalingen

1. De rechten en plichten van de financiële entiteit en van de derde aanbieder van ICT-diensten worden duidelijk toegewezen en schriftelijk vastgesteld. Het volledige contract, dat de overeenkomsten inzake dienstverleningsniveau omvat, wordt opgenomen in één schriftelijk document dat voor de partijen beschikbaar is op papier of in een downloadbaar en toegankelijk formaat.

2. De contractuele regelingen inzake het gebruik van ICT-diensten bevatten ten minste het volgende:

(a)een duidelijke en volledige beschrijving van alle door de derde aanbieder van ICT-diensten te leveren functies en diensten, met vermelding of het uitbesteden van een cruciale of belangrijke functie, of van materiële onderdelen daarvan, is toegestaan en, zo ja, welke voorwaarden op die uitbesteding van toepassing zijn;

(b)de locaties waar de contractueel overeengekomen of uitbestede functies en diensten moeten worden geleverd en waar gegevens moeten worden verwerkt, met inbegrip van de opslaglocatie, en de verplichting voor de derde aanbieder van ICT-diensten om de financiële entiteit in kennis te stellen indien hij voornemens is van locatie te veranderen;

(c)bepalingen inzake toegankelijkheid, beschikbaarheid, integriteit, beveiliging en bescherming van persoonsgegevens en inzake het waarborgen van de toegang, het herstel en de teruggave in een gemakkelijk toegankelijk formaat van door de financiële entiteit verwerkte persoonsgegevens en niet-persoonsgebonden gegevens in geval van insolventie, afwikkeling of stopzetting van de bedrijfsactiviteiten van de derde aanbieder van ICT-diensten;

(d)beschrijvingen van het niveau van volledige dienstverlening, met inbegrip van actualiseringen en herzieningen daarvan, en nauwkeurige kwantitatieve en kwalitatieve prestatiedoelstellingen binnen de overeengekomen dienstverleningsniveaus, teneinde de financiële entiteit in staat te stellen een doeltreffende monitoring te verrichten en onverwijld passende corrigerende maatregelen te nemen wanneer de overeengekomen dienstverleningsniveaus niet worden gehaald;

(e)kennisgevingstermijnen en rapportageverplichtingen van de derde aanbieder van ICT-diensten ten aanzien van de financiële entiteit, met inbegrip van de kennisgeving van ontwikkelingen die materiële gevolgen kunnen hebben voor het vermogen van de derde aanbieder van ICT-diensten om cruciale of belangrijke functies doeltreffend uit te voeren in overeenstemming met de afgesproken dienstverleningsniveaus;

(f)de verplichting van de derde aanbieder van ICT-diensten om in geval van een ICT-incident zonder extra kosten of tegen een vooraf bepaalde kostprijs bijstand te verlenen;

(g)verplichtingen voor de derde aanbieder van ICT-diensten om bedrijfsnoodplannen in te voeren en te testen en te beschikken over ICT-beveiligingsmaatregelen, -instrumenten en -beleidslijnen waarmee de financiële entiteit op passende wijze kan zorgen voor een veilige dienstverlening in overeenstemming met haar regelgevingskader;

(h)het recht om de prestaties van de derde aanbieder van ICT-diensten permanent te monitoren, met inbegrip van:

i) het recht van toegang, inspectie en audit door de financiële entiteit of een daartoe aangestelde derde, en het recht om kopieën te maken van relevante documenten, waarbij de doeltreffende uitoefening van dit recht niet wordt belemmerd of beperkt door andere contractuele regelingen of ander uitvoeringsbeleid;

ii) het recht om andere garantieniveaus overeen te komen indien de rechten van andere cliënten worden aangetast;

iii) de verbintenis om tijdens de door de financiële entiteit ter plaatse uitgevoerde inspecties volledig mee te werken, alsmede bijzonderheden over het toepassingsgebied, het verloop en de frequentie van audits op afstand;

(i)de verplichting van de derde aanbieder van ICT-diensten om volledig samen te werken met de bevoegde autoriteiten en afwikkelingsautoriteiten van de financiële entiteit, met inbegrip van de door hen aangestelde personen;

(j)het recht van beëindiging en de bijbehorende minimale opzegtermijn voor de beëindiging van het contract, in overeenstemming met de verwachtingen van de bevoegde autoriteiten;

(k)exitstrategieën, met name de invoering van een verplichte passende overgangsperiode:

(a)waarin de derde aanbieder van ICT-diensten de levering van de respectieve functies of diensten zal blijven voortzetten, teneinde het risico op verstoring bij de financiële entiteit te beperken;

(b)waarin de financiële entiteit kan overstappen naar een andere derde aanbieder van ICT-diensten of kan veranderen naar gebruik van eigen diensten in overeenstemming met de complexiteit van de geleverde dienst.

3. Bij onderhandelingen over contractuele regelingen houden financiële entiteiten en derde aanbieders van ICT-diensten rekening met het gebruik van modelcontractbepalingen die voor specifieke diensten zijn ontwikkeld.

4. De ETA’s stellen via het Gemengd Comité ontwerpen van technische reguleringsnormen op tot nadere bepaling van de elementen die een financiële entiteit bij uitbesteding van cruciale of belangrijke functies moet vaststellen en beoordelen met het oog op een behoorlijke uitvoering van de bepalingen van lid 2, punt a).

De ETA’s leggen die ontwerpen van technische reguleringsnormen uiterlijk op [OJ: insert date 1 year after the date of entry into force] voor aan de Commissie. 

Aan de Commissie wordt de bevoegdheid gedelegeerd om deze verordening aan te vullen door de in de eerste alinea bedoelde technische reguleringsnormen vast te stellen overeenkomstig de artikelen 10 tot en met 14 van respectievelijk de Verordeningen (EU) nr. 1093/2010, (EU) nr. 1095/2010 en (EU) nr. 1094/2010.

AFDELING II

Toezichtkader voor cruciale derde aanbieders van ICT-diensten

Artikel 28 - Aanwijzing van cruciale derde aanbieders van ICT-diensten

1. De ETA’s zorgen via het Gemengd Comité en op aanbeveling van het overeenkomstig artikel 29, lid 1, opgerichte toezichtforum voor het volgende:

(a)zij wijzen de derde aanbieders van ICT-diensten aan die cruciaal zijn voor financiële entiteiten, rekening houdend met de in lid 2 gespecificeerde criteria;

(b)zij stellen de EBA, de ESMA of de Eiopa aan als leidende toezichthouder voor elke cruciale derde aanbieder van ICT-diensten, naargelang de totale waarde van de activa van financiële entiteiten die gebruikmaken van de diensten van de cruciale derde aanbieder van ICT-diensten en die onder respectievelijk Verordening (EU) nr. 1093/2010, (EU) nr. 1094/2010 of (EU) nr. 1095/2010 vallen, meer dan de helft vertegenwoordigt van de waarde van de totale activa van alle financiële entiteiten die gebruikmaken van de diensten van de cruciale derde aanbieder van ICT-diensten, zoals deze resulteert uit de geconsolideerde balansen, of uit de individuele balans wanneer de balansen niet geconsolideerd zijn, van deze financiële entiteiten.

2. De in lid 1, punt a), bedoelde aanwijzing is gebaseerd op alle volgende criteria:

(a)de systemische effecten op de stabiliteit, continuïteit of kwaliteit van de verlening van financiële diensten ingeval de betrokken derde aanbieder van ICT-diensten te maken zou krijgen met een grootschalige operationele verstoring van de dienstverlening, rekening houdend met het aantal financiële entiteiten waaraan de betrokken derde aanbieder ICT-diensten verleent;

(b)het systemische karakter of belang van de financiële entiteiten die afhankelijk zijn van de betrokken derde aanbieder van ICT-diensten, dat wordt beoordeeld aan de hand van de volgende criteria:

i) het aantal mondiaal systeemrelevante instellingen (MSI’s) of andere systeemrelevante instellingen (ASI’s) die afhankelijk zijn van de respectieve derde aanbieder van ICT-diensten;

ii) de onderlinge afhankelijkheid tussen de MSI’s of ASI’s als bedoeld in punt i) en andere financiële entiteiten, met inbegrip van situaties waarin de MSI’s of ASI’s diensten op het gebied van financiële infrastructuur verlenen aan andere financiële entiteiten;

(c)de afhankelijkheid van financiële entiteiten ten aanzien van de diensten die door de betrokken derde aanbieder van ICT-diensten worden verleend met betrekking tot cruciale of belangrijke functies van financiële entiteiten waarbij uiteindelijk dezelfde derde aanbieder van ICT-diensten betrokken is, ongeacht of financiële entiteiten direct of indirect via uitbestedingsregelingen van die diensten afhankelijk zijn;

(d)de graad van substitueerbaarheid van de derde aanbieder van ICT-diensten, rekening houdend met de volgende parameters:

i) het ontbreken van reële, zelfs gedeeltelijke, alternatieven als gevolg van het beperkte aantal derde aanbieders van ICT-diensten die actief zijn op een specifieke markt, of het marktaandeel van de betrokken derde aanbieder van ICT-diensten, of de technische complexiteit of geavanceerdheid die in het geding is, onder meer met betrekking tot eigendomstechnologie, of de specifieke kenmerken van de organisatie of activiteit van de derde aanbieder van ICT-diensten;

ii) moeilijkheden om de relevante gegevens en werklast geheel of gedeeltelijk te migreren van de desbetreffende derde aanbieder van ICT-diensten naar een andere, hetzij ten gevolge van hoge financiële kosten, de tijd of andere soorten middelen die het migratieproces kan meebrengen, of de hogere ICT-risico’s of andere operationele risico’s waaraan de financiële entiteit kan worden blootgesteld door een dergelijke migratie;

(e)het aantal lidstaten waarin de betrokken derde aanbieder ICT-diensten verleent;

(f)het aantal lidstaten waarin financiële entiteiten die gebruik maken van de desbetreffende derde aanbieder van ICT-diensten, actief zijn.

3. De Commissie is bevoegd overeenkomstig artikel 50 gedelegeerde handelingen vast te stellen ter aanvulling van de in lid 2 bedoelde criteria.

4. Het in lid 1, punt a), bedoelde aanwijzingsmechanisme wordt niet gebruikt totdat de Commissie een gedelegeerde handeling overeenkomstig lid 3 heeft vastgesteld.

5. Het in lid 1, punt a), bedoelde aanwijzingsmechanisme is niet van toepassing op derde aanbieders van ICT-diensten die onderworpen zijn aan toezichtkaders die zijn vastgesteld ter ondersteuning van de in artikel 127, lid 2, van het Verdrag betreffende de werking van de Europese Unie bedoelde taken.

6. De ETA’s stellen via het Gemengd Comité een lijst op van aanbieders van cruciale derde aanbieders van ICT-diensten op het niveau van de Unie, publiceren deze en actualiseren deze jaarlijks.

7. Voor de toepassing van lid 1, punt a), zenden de bevoegde autoriteiten de in artikel 25, lid 4, bedoelde verslagen jaarlijks en op geaggregeerde basis toe aan het overeenkomstig artikel 29 opgerichte toezichtforum. Het toezichtforum beoordeelt de afhankelijkheden van financiële entiteiten ten aanzien van derde aanbieders van ICT-diensten op basis van de informatie die het van de bevoegde autoriteiten ontvangt.

8. Derde aanbieders van ICT-diensten die niet in de lid 6 bedoelde lijst zijn opgenomen, kunnen verzoeken om opname in die lijst.

Voor de toepassing van de eerste alinea dient de derde aanbieder van ICT-diensten een met redenen omkleed verzoek in bij de EBA, de ESMA of de Eiopa, die via het Gemengd Comité besluit die derde aanbieder van ICT-diensten al dan niet in die lijst op te nemen in overeenstemming met lid 1, punt a).

Het in de tweede alinea bedoelde besluit wordt binnen zes maanden na ontvangst van het verzoek vastgesteld en ter kennis gebracht van de derde aanbieder van ICT-diensten.

9. Financiële entiteiten maken geen gebruik van een in een derde land gevestigde derde aanbieder van ICT-diensten die overeenkomstig lid 1, punt a), als cruciaal zou worden aangewezen indien hij in de Unie was gevestigd.

Artikel 29 - Structuur van het toezichtkader

1. Het Gemengd Comité richt overeenkomstig artikel 57 van Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 en (EU) nr. 1095/2010 het toezichtforum op als subcomité ter ondersteuning van de werkzaamheden van het Gemengd Comité en de leidende toezichthouder als bedoeld in artikel 28, lid 1, punt b), op het gebied van ICT-risico van derde aanbieder in alle financiële sectoren. Het toezichtforum stelt de ontwerpen van gemeenschappelijke standpunten en gemeenschappelijke handelingen van het Gemengd Comité op dat gebied op.

Het toezichtforum bespreekt regelmatig relevante ontwikkelingen inzake ICT-risico’s en -kwetsbaarheden en bevordert een consistente aanpak bij de monitoring van het ICT-risico van derde aanbieders op het niveau van de Unie.

2. Het toezichtforum verricht jaarlijks een collectieve beoordeling van de resultaten en bevindingen van de toezichtactiviteiten voor alle cruciale derde aanbieders van ICT-diensten en bevordert coördinatiemaatregelen om de digitale operationele veerkracht van financiële entiteiten te vergroten, beste praktijken voor de aanpak van het ICT-concentratierisico aan te moedigen en limiterende instrumenten voor sectoroverschrijdende risico-overdrachten te onderzoeken.

3. Het toezichtforum dient alomvattende benchmarks voor cruciale derde aanbieders van ICT-diensten in die door het Gemengd Comité als gemeenschappelijke standpunten van de ETA’s worden vastgesteld in overeenstemming met artikel 56, lid 1, van Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 en (EU) nr. 1095/2010.

4. Het toezichtforum is samengesteld uit de voorzitters van de ETA’s en één vertegenwoordiger op hoog niveau van het huidige personeel van de desbetreffende bevoegde autoriteit van elke lidstaat. De uitvoerend directeur van elke ETA en één vertegenwoordiger van de Europese Commissie, het ESRB, de ECB en Enisa nemen aan het toezichtforum deel als waarnemer.

5. Overeenkomstig artikel 16 van Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 en (EU) nr. 1095/2010 vaardigen de ETA’s voor de toepassing van deze afdeling richtsnoeren uit over de samenwerking tussen de ETA’s en de bevoegde autoriteiten inzake de nadere procedures en voorwaarden voor de uitvoering van taken door de bevoegde autoriteiten en de ETA’s en nadere details over de uitwisseling van informatie die de bevoegde autoriteiten nodig hebben ten behoeve van de follow-up van aanbevelingen van leidende toezichthouders aan cruciale derde aanbieders van ICT-diensten in overeenstemming met artikel 31, lid 1, punt d).

6. De in deze afdeling gestelde vereisten doen geen afbreuk aan de toepassing van Richtlijn (EU) 2016/1148 en van andere Unieregels inzake toezicht die van toepassing zijn op aanbieders van cloudcomputingdiensten.

7. De ETA’s dienen, via het Gemengd Comité en op basis van de voorbereidende werkzaamheden van het toezichtforum, bij het Europees Parlement, de Raad en de Commissie jaarlijks een verslag in over de toepassing van deze afdeling.

Artikel 30 - Taken van de leidende toezichthouder

1. De leidende toezichthouder beoordeelt of elke cruciale derde aanbieder van ICT-diensten over uitgebreide, deugdelijke en doeltreffende regels, procedures, mechanismen en regelingen beschikt voor het beheer van de ICT-risico’s die hij voor financiële entiteiten kan inhouden.

2. De in lid 1 bedoelde beoordeling heeft betrekking op:

(a)ICT-voorschriften om met name de veiligheid, beschikbaarheid, continuïteit, schaalbaarheid en kwaliteit van diensten die de cruciale derde aanbieder van ICT-diensten aan financiële entiteiten verleent, te garanderen alsmede het vermogen om te allen tijde hoge normen inzake beveiliging, vertrouwelijkheid en integriteit van gegevens te handhaven;

(b)de fysieke beveiliging die tot de ICT-beveiliging bijdraagt, inclusief de beveiliging van gebouwen, faciliteiten en datacentra;

(c)de processen inzake risicobeheer, met inbegrip van het beleid inzake ICT-risicobeheer, de ICT-bedrijfscontinuïteit en de ICT-noodherstelplannen;

(d)de governanceregelingen, met inbegrip van een organisatiestructuur met duidelijke, transparante en consistente regels inzake taakverdeling en verantwoording die een doeltreffend ICT-risicobeheer mogelijk maken;

(e)de opsporing, monitoring en snelle rapportage van ICT-gerelateerde incidenten aan de financiële entiteiten, het beheer en de oplossing van die incidenten, met name cyberaanvallen;

(f)de mechanismen voor overdracht van gegevens en applicaties en interoperabiliteit, die een doeltreffende uitoefening van het beëindigingsrecht door de financiële entiteiten verzekeren;

(g)het testen van ICT-systemen, -infrastructuur en -controles;

(h)de ICT-audits;

(i)het gebruik van relevante nationale en internationale normen die van toepassing zijn op het verlenen van ICT-diensten aan de financiële entiteiten.

3. Op basis van de in lid 1 bedoelde beoordeling stelt de leidende toezichthouder een duidelijk, gedetailleerd en met redenen omkleed individueel toezichtplan op voor elke cruciale derde aanbieder van ICT-diensten. Dat plan wordt jaarlijks aan de cruciale derde aanbieder van ICT-diensten meegedeeld.

4. Zodra de in lid 3 bedoelde jaarlijkse toezichtplannen zijn overeengekomen en aan de cruciale derde aanbieder van ICT-diensten zijn meegedeeld, kunnen de bevoegde autoriteiten maatregelen met betrekking tot cruciale derde aanbieders van ICT-diensten alleen nemen in overeenstemming met de leidende toezichthouder.

Artikel 31 - Bevoegdheden van de leidende toezichthouder

1. Voor de uitvoering van de in deze afdeling omschreven taken beschikt de leidende toezichthouder over de bevoegdheid om:

(a)alle relevante informatie en documentatie overeenkomstig artikel 32 op te vragen;

(b)algemene onderzoeken en inspecties te verrichten overeenkomstig de artikelen 33 en 34;

(c)na afloop van de toezichtactiviteiten te verzoeken om verslagen, met vermelding van de ondernomen acties of de corrigerende maatregelen die door de cruciale derde aanbieders van ICT-diensten zijn genomen met betrekking tot de in punt d) bedoelde aanbevelingen;

(d)aanbevelingen te doen met betrekking tot de in artikel 30, lid 2, bedoelde gebieden, met name over:

i) het gebruik van specifieke ICT-beveiligings- en kwaliteitsvereisten of -processen, met name met betrekking tot de uitrol van patches, updates, encryptie en andere beveiligingsmaatregelen die de leidende toezichthouder relevant acht om de ICT-beveiliging van diensten voor financiële entiteiten te waarborgen;

ii) het gebruik van voorwaarden, met inbegrip van de technische uitvoering ervan, voor het verlenen van ICT-diensten aan financiële entiteiten door derde aanbieders, die de toezichthouder relevant acht om het ontstaan van zwakke punten (“single points of failure”) of de uitbreiding daarvan te voorkomen, of om mogelijke systemische effecten in de hele financiële sector van de Unie te beperken in geval van ICT-concentratierisico;

iii) na onderzoek overeenkomstig de artikelen 32 en 33 van uitbestedingsregelingen, inclusief verdere onderaanbestedingsregelingen die de cruciale derde aanbieders van ICT-diensten voornemens zijn te sluiten met andere derde aanbieders van ICT-diensten of met in een derde land gevestigde subcontractanten, elke voorgenomen uitbesteding, waaronder verdere onderaanbestedingen, wanneer de leidende toezichthouder van oordeel is dat verdere onderaanbesteding risico’s voor de levering van diensten door de financiële entiteit of risico’s voor de financiële stabiliteit kan meebrengen;

iv) het stopzetten van verdere onderaanbestedingsregelingen, wanneer aan de volgende cumulatieve voorwaarden is voldaan:

–de beoogde subcontractant is een in een derde land gevestigde derde aanbieder van ICT-diensten of ICT-subcontractant;

–de onderaanbesteding heeft betrekking op een cruciale of belangrijke functie van de financiële entiteit.

2. De leidende toezichthouder overlegt met het toezichtforum vooraleer hij de in lid 1 bedoelde bevoegdheden uitoefent.

3. Cruciale derde aanbieders van ICT-diensten werken te goeder trouw samen met de leidende toezichthouder en ondersteunen hem bij de uitvoering van zijn taken.

4. De leidende toezichthouder kan een dwangsom opleggen om de cruciale derde aanbieder van ICT-diensten ertoe te dwingen lid 1, punten a), b) en c), na te komen.

5. De in lid 4 bedoelde dwangsom wordt dagelijks opgelegd tot aan de verplichtingen is voldaan, gedurende een termijn van ten hoogste zes maanden volgend op de kennisgeving aan de cruciale derde aanbieder van ICT-diensten.

6. Het bedrag van de dwangsom, berekend vanaf de datum die is vastgesteld in het besluit tot oplegging van de dwangsom, bedraagt 1 % van de wereldwijde gemiddelde dagomzet van de cruciale derde aanbieder van ICT-diensten in het voorafgaande boekjaar.

7. Dwangsommen hebben een administratief karakter en zijn afdwingbaar. De tenuitvoerlegging geschiedt volgens de bepalingen van burgerlijke rechtsvordering die van kracht zijn in de lidstaat op het grondgebied waar de inspecties worden verricht en de toegang wordt gevraagd. Klachten over de regelmatigheid van de tenuitvoerlegging behoren tot de bevoegdheid van de rechterlijke instanties van de betrokken lidstaat. De bedragen van dwangsommen worden toegewezen aan de algemene begroting van de Europese Unie.

8. De ETA’s maken alle opgelegde dwangsommen openbaar, tenzij die openbaarmaking de financiële markten ernstig in gevaar zou brengen of onevenredige schade zou toebrengen aan de betrokken partijen.

9. Alvorens een dwangsom op grond van lid 4 op te leggen, stelt de leidende toezichthouder de vertegenwoordigers van de cruciale derde aanbieder van ICT-diensten die aan de procedure is onderworpen, in de gelegenheid te worden gehoord over de bevindingen, en hij baseert zijn besluiten uitsluitend op bevindingen waarover de aan de procedure onderworpen cruciale derde aanbieder van ICT-diensten opmerkingen heeft kunnen maken. Het recht van verweer van de aan de procedure onderworpen personen wordt tijdens de procedure ten volle geëerbiedigd. Zij zijn gerechtigd toegang tot het dossier te krijgen, onder voorbehoud van het rechtmatige belang van andere personen bij de bescherming van hun zakengeheimen. Het recht van toegang tot het dossier is niet van toepassing op vertrouwelijke informatie of interne voorbereidende documenten van de leidende toezichthouder.

Artikel 32 - Verzoek om informatie

1. De leidende toezichthouder kan cruciale derde aanbieders van ICT-diensten verzoeken of bij besluit gelasten alle informatie die hij nodig heeft om zijn taken uit hoofde van deze verordening uit te voeren, te verstrekken, met inbegrip van alle relevante bedrijfs- of operationele documenten, contracten, beleidsdocumentatie, verslagen van ICT-beveiligingsaudits, verslagen van ICT-gerelateerde incidenten, alsmede alle informatie met betrekking tot partijen waaraan de cruciale derde aanbieder van ICT-diensten operationele functies of activiteiten heeft uitbesteed.

2. Bij het toezenden van een verzoek om informatie krachtens lid 1 neemt de leidende toezichthouder het volgende in acht:

(a)hij vermeldt dit artikel als rechtsgrondslag voor het verzoek;

(b)hij geeft het doel van het verzoek aan;

(c)hij vermeldt welke informatie wordt verlangd;

(d)hij bepaalt binnen welke termijn de informatie moet worden verstrekt;

(e)hij deelt de vertegenwoordiger van de voor informatie aangezochte cruciale derde aanbieder van ICT-diensten mee dat deze niet verplicht is de informatie te verstrekken maar dat, als vrijwillig op het verzoek wordt ingegaan, de verstrekte informatie niet onjuist en misleidend mag zijn.

3. Wanneer de leidende toezichthouder krachtens lid 1 informatieverstrekking gelast, neemt hij het volgende in acht:

(a)hij vermeldt dit artikel als rechtsgrondslag voor het besluit;

(b)hij geeft het doel van het besluit aan;

(c)hij vermeldt welke informatie wordt verlangd;

(d)hij bepaalt binnen welke termijn de informatie moet worden verstrekt;

(e)hij vermeldt welke dwangsom overeenkomstig artikel 31, lid 4, wordt opgelegd indien de gevraagde informatie niet volledig wordt overgelegd;

(f)hij vermeldt dat tegen het besluit bezwaar kan worden aangetekend bij de bezwaarcommissie van de ETA’s en dat bij het Hof van Justitie van de Europese Unie (“Hof van Justitie”) tegen het besluit in beroep kan worden gegaan overeenkomstig de artikelen 60 en 61 van respectievelijk Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 of (EU) nr. 1095/2010

4. De vertegenwoordigers van de cruciale derde aanbieders van ICT-diensten vertrekken de gevraagde informatie. Naar behoren gemachtigde advocaten kunnen namens hun cliënten de gevraagde informatie verstrekken. De cruciale derde aanbieder van ICT-diensten blijft volledig verantwoordelijk indien de verstrekte inlichtingen onvolledig, onjuist of misleidend zijn.

5. De leidende toezichthouder zendt onverwijld een afschrift van het besluit inzake informatieverstrekking aan de bevoegde autoriteiten van de financiële entiteiten die gebruikmaken van de ICT-diensten van cruciale derde aanbieders.

Artikel 33 - Algemene onderzoeken

1. Voor de uitvoering van zijn taken uit hoofde van deze verordening kan de leidende toezichthouder, ondersteund door het in artikel 34, lid 1, bedoelde onderzoeksteam, bij derde aanbieders van ICT-diensten de nodige onderzoeken verrichten.

2. De leidende toezichthouder is bevoegd om:

(a)registers, gegevens, procedures of alle ander voor de uitvoering van zijn taken relevant materiaal, te onderzoeken, ongeacht de drager waarop deze zijn opgeslagen;

(b)voor echt gewaarmerkte kopieën of uittreksels te maken of te verkrijgen van deze registers, gegevens, procedures en ander materiaal;

(c)vertegenwoordigers van derde aanbieders van ICT-diensten op te roepen en te verzoeken om mondelinge of schriftelijke toelichting bij feiten of documenten met betrekking tot het onderwerp en het doel van het onderzoek, en de antwoorden op te tekenen;

(d)alle andere natuurlijke personen of rechtspersonen te horen die daarin toestemmen, om informatie betreffende het onderwerp van een onderzoek te verzamelen;

(e)overzichten van telefoon- en dataverkeer op te vragen.

3. De functionarissen van de leidende toezichthouder en andere door hem ten behoeve van de in lid 1 bedoelde onderzoeken gemachtigde personen oefenen hun bevoegdheden uit na overlegging van een schriftelijke machtiging waarin het onderwerp en het doel van het onderzoek zijn vermeld.

In die machtiging worden eveneens de in artikel 31, lid 4, bedoelde dwangsommen vermeld wanneer de vereiste registers, gegevens, procedures of enig ander materiaal of de antwoorden op vragen aan vertegenwoordigers van derde aanbieders van ICT-diensten niet of onvolledig worden verstrekt.

4. De vertegenwoordigers van de derde aanbieders van ICT-diensten zijn verplicht zich aan het onderzoek te onderwerpen op basis van een besluit van de leidende toezichthouder. Het besluit vermeldt het onderwerp en het doel van het onderzoek, de dwangsommen die overeenkomstig artikel 31, lid 4, worden opgelegd, de krachtens de Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 en (EU) nr. 1095/2010 beschikbare rechtsmiddelen en het recht om bij het Hof van Justitie tegen het besluit in beroep te gaan.

5. De leidende toezichthouders stellen de bevoegde organen van de financiële entiteiten die gebruikmaken van de betrokken derde aanbieder van ICT-diensten, geruime tijd vooraf in kennis van het onderzoek en van de identiteit van de gemachtigde personen.

Artikel 34 - Inspecties ter plaatse

1. Voor de uitvoering van zijn taken uit hoofde van deze verordening kan de leidende toezichthouder, ondersteund door de in artikel 35, lid 1, bedoelde onderzoeksteams, alle nodige inspecties ter plaatse verrichten in alle bedrijfsruimten, terreinen of eigendommen van de derde aanbieders van ICT-diensten, zoals hoofdkantoren, operationele centra en secundaire locaties, alsmede off-site-inspecties verrichten.

2. De ambtenaren en andere personen die door de leidende toezichthouder gemachtigd zijn tot het verrichten van inspecties ter plaatse, kunnen deze bedrijfsruimten, terreinen of eigendommen betreden en beschikken over alle bevoegdheden om bedrijfsruimten, boeken en registers te verzegelen voor de duur van en voor zover nodig is voor het onderzoek.

Zij oefenen hun bevoegdheden uit na overlegging van een schriftelijke machtiging waarin het onderwerp en het doel van de inspectie worden vermeld alsmede de dwangsommen als bedoeld in artikel 31, lid 4, wanneer de vertegenwoordigers van de betrokken derde aanbieders van ICT-diensten zich niet aan de inspectie onderwerpen.

3. De leidende toezichthouders stellen de bevoegde autoriteiten van de financiële entiteiten die gebruikmaken van de betrokken derde aanbieder van ICT-diensten, geruime tijd voor de inspectie daarvan in kennis.

4. De inspecties hebben betrekking op het hele gamma van relevante ICT-systemen, -netwerken, -apparatuur, -informatie en -gegevens die worden gebruikt voor of bijdragen tot de verlening van diensten aan financiële entiteiten.

5. Vóór een geplande inspectie ter plaatse verleent de leidende toezichthouder de cruciale derde aanbieder van ICT-diensten een redelijke kennisgevingstermijn, tenzij dit niet mogelijk is vanwege een nood- of crisissituatie of zou leiden tot een situatie waarin de inspectie of audit niet langer doeltreffend zou zijn.

6. De cruciale derde aanbieder van ICT-diensten onderwerpt zich aan de inspecties ter plaatse die bij besluit van de leidende toezichthouder zijn gelast. Het besluit vermeldt het onderwerp en het doel van de inspectie, de datum waarop de inspectie zal aanvangen, de dwangsommen bedoeld in artikel 31, lid 4, de krachtens de Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 en (EU) nr. 1095/2010 beschikbare rechtsmiddelen en het recht om bij het Hof van Justitie tegen het besluit in beroep te gaan.

7. Wanneer de ambtenaren en andere personen die door de leidende toezichthouder daartoe gemachtigd zijn, vaststellen dat een cruciale derde aanbieder van ICT-diensten zich verzet tegen een krachtens dit artikel gelaste inspectie, stelt de leidende toezichthouder de cruciale derde aanbieder van ICT-diensten in kennis van de gevolgen van dit verzet, met inbegrip van de mogelijkheid voor de bevoegde autoriteiten van de desbetreffende financiële entiteiten om de contractuele regelingen met die cruciale derde aanbieder van ICT-diensten te beëindigen.

Artikel 35 - Doorlopend toezicht

1. Bij het uitvoeren van algemene onderzoeken of inspecties ter plaatse wordt de leidende toezichthouder bijgestaan door een gezamenlijk onderzoeksteam dat voor elke cruciale derde aanbieder van ICT-diensten wordt opgericht.

2. Het in lid 1 bedoelde gezamenlijke onderzoeksteam is samengesteld uit personeelsleden van de leidende toezichthouder en van de desbetreffende autoriteiten die bevoegd zijn voor het toezicht op de financiële entiteiten waaraan de cruciale derde aanbieder ICT-diensten verleent, die deelnemen aan de voorbereiding en uitvoering van de toezichtactiviteiten, met ten hoogste tien leden. Alle leden van het gezamenlijke onderzoeksteam beschikken over deskundigheid in ICT- en operationeel risico. Het gezamenlijke onderzoeksteam werkt onder de coördinatie van een aangewezen personeelslid van de ETA (“coördinator van de leidende toezichthouder”).

3. De ETA’s ontwikkelen via het Gemengd Comité gemeenschappelijke ontwerpen van technische reguleringsnormen tot nadere omschrijving van de aanwijzing van de leden van het gezamenlijke onderzoeksteam die van de desbetreffende bevoegde autoriteiten afkomstig zijn, alsmede van de taken en werkregelingen van het onderzoeksteam. De ETA’s leggen die ontwerpen van technische reguleringsnormen uiterlijk op [OJ: insert date 1 year after the date of entry into force] voor aan de Commissie.

Aan de Commissie wordt de bevoegdheid overgedragen om de in de eerste alinea bedoelde technische reguleringsnormen vast te stellen overeenkomstig de artikelen 10 tot en met 14 van respectievelijk de Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 en (EU) nr. 1095/2010.

4. Binnen drie maanden na de voltooiing van een onderzoek of een inspectie ter plaatse stelt de leidende toezichthouder, na raadpleging van het toezichtforum, aanbevelingen vast die overeenkomstig de in artikel 31 bedoelde bevoegdheden aan de cruciale derde aanbieder van ICT-diensten moeten worden gericht.

5. De in lid 4 bedoelde aanbevelingen worden onmiddellijk meegedeeld aan de cruciale derde aanbieder van ICT-diensten en aan de bevoegde autoriteiten van de financiële entiteiten waaraan hij diensten verleent.

Voor de uitvoering van de toezichtactiviteiten kunnen leidende toezichthouders rekening houden met relevante certificeringen van derden en interne of externe auditverslagen die door de cruciale derde aanbieder van ICT-diensten beschikbaar zijn gesteld.

Artikel 36 - Harmonisatie van de voorwaarden voor de uitoefening van het toezicht

1. De ETA’s stellen via het Gemengd Comité ontwerpen van technische reguleringsnormen op tot nadere omschrijving van:

(a)de door de cruciale derde aanbieder van ICT-diensten te verstrekken informatie bij het verzoek om een vrijwillige opt-in als bedoeld in artikel 28, lid 8;

(b)de inhoud en het formaat van de verslagen die voor de toepassing van artikel 31, lid 1, punt c), kunnen worden gevraagd;

(c)de presentatie van de informatie, met inbegrip van de structuur, formaten en methoden, die een cruciale aanbieder van ICT-diensten overeenkomstig artikel 31, lid 1, moet indienen, bekendmaken of rapporteren;

(d)de nadere gegevens over de beoordeling die de bevoegde autoriteiten overeenkomstig artikel 37, lid 2, verrichten van de door cruciale derde aanbieders van ICT-diensten op basis van de aanbevelingen van de leidende toezichthouder genomen maatregelen.

2. De ETA’s leggen die gemeenschappelijke ontwerpen van technische reguleringsnormen uiterlijk op 1 januari 20xx [OJ: insert date 1 year after the date of entry into force] voor aan de Commissie.

Aan de Commissie wordt de bevoegdheid overgedragen om deze verordening aan te vullen door de in de eerste alinea bedoelde technische reguleringsnormen vast te stellen overeenkomstig de procedure bedoeld in de artikelen 10 tot en met 14 van respectievelijk de Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 en (EU) nr. 1095/2010.

Artikel 37 - Follow-up door de bevoegde autoriteiten

1. Binnen 30 kalenderdagen na ontvangst van de aanbevelingen van de leidende toezichthouder overeenkomstig artikel 31, lid 1, punt d), delen cruciale derde aanbieders van ICT-diensten deze toezichthouder mee of zij voornemens zijn die aanbevelingen te volgen. De leidende toezichthouder deelt deze informatie onmiddellijk mee aan de bevoegde autoriteiten.

2. De bevoegde autoriteiten monitoren of de financiële entiteiten rekening houden met de risico’s vastgesteld in de aanbevelingen die de leidende toezichthouder overeenkomstig artikel 31, lid 1, punt d), aan cruciale derde aanbieders van ICT-diensten heeft gedaan.

3. De bevoegde autoriteiten kunnen financiële entiteiten overeenkomstig artikel 44 ertoe verplichten het gebruik of de uitrol van een door de cruciale derde aanbieder van ICT-diensten geleverde dienst geheel of gedeeltelijk op te schorten totdat de risico’s zijn verholpen die in de aanbevelingen aan de cruciale derde aanbieder van ICT-diensten zijn vastgesteld. Wanneer nodig kunnen zij financiële entiteiten ertoe verplichten de desbetreffende contractuele regelingen met de cruciale derde aanbieders van ICT-diensten geheel of gedeeltelijk te beëindigen.

4. Bij het vaststellen van de in lid 3 bedoelde besluiten kunnen de bevoegde autoriteiten rekening houden met het soort en de omvang van het risico dat de cruciale derde aanbieder van ICT-diensten niet heeft verholpen, alsook met de ernst van de niet-naleving, op basis van de volgende criteria:

(a)de ernst en de duur van de niet-naleving;

(b)de vraag of de niet-naleving ernstige zwakheden aan het licht heeft gebracht in de procedures, de beheersystemen, het risicobeheer en de interne controles van de cruciale derde aanbieder van ICT-diensten;

(c)de vraag of financiële delicten door de niet-naleving zijn vergemakkelijkt of veroorzaakt of op andere wijze daaraan kunnen worden toegeschreven;

(d)de vraag of de niet-naleving opzettelijk dan wel uit onachtzaamheid is gepleegd.

5. De bevoegde autoriteiten informeren de leidende toezichthouders regelmatig over de aanpak en de maatregelen die zij in het kader van hun toezichttaken ten aanzien van financiële entiteiten hebben gehanteerd, alsmede over de contractuele maatregelen die deze laatste hebben genomen wanneer cruciale derde aanbieders van ICT-diensten geheel of gedeeltelijk niet zijn ingegaan op de aanbevelingen van de leidende toezichthouders.

Artikel 38 - Toezichtvergoedingen

1. De ETA’s brengen cruciale derde aanbieders van ICT-diensten vergoedingen in rekening die de noodzakelijke uitgaven van de ETA’s met betrekking tot de uitvoering van toezichttaken uit hoofde van deze verordening volledig dekken, met inbegrip van de vergoeding voor eventuele kosten ten gevolge van activiteiten van bevoegde autoriteiten die overeenkomstig artikel 35 aan de toezichtactiviteiten deelnemen.

Het bedrag van een vergoeding die de cruciale derde aanbieder van ICT-diensten in rekening wordt gebracht, dekt alle administratieve kosten en staat in verhouding tot zijn omzet.

2. De Commissie is bevoegd om overeenkomstig artikel 50 een gedelegeerde handeling in aanvulling op deze verordening aan te nemen om het bedrag van de vergoedingen en de wijze van betaling daarvan vast te stellen.

Artikel 39 - Internationale samenwerking 

1. De EBA, de ESMA en de Eiopa kunnen overeenkomstig artikel 33 van respectievelijk Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 en (EU) nr. 1095/2010 administratieve regelingen sluiten met regelgevende en toezichthoudende autoriteiten van derde landen om de internationale samenwerking op het gebied van het ICT-risico van derde aanbieders te bevorderen in verschillende financiële sectoren, met name door de ontwikkeling van beste praktijken voor de evaluatie van ICT-risicobeheerpraktijken en -controles, risicobeperkende maatregelen en respons op incidenten.

2. De ETA’s dienen via het Gemengd Comité om de vijf jaar een gezamenlijk vertrouwelijk verslag in bij het Europees Parlement, de Raad en de Commissie, waarin de bevindingen van de desbetreffende besprekingen met de in lid 1 bedoelde autoriteiten van derde landen worden samengevat, met bijzondere aandacht voor de ontwikkeling van het ICT-risico van derde aanbieders en de gevolgen voor de financiële stabiliteit, de integriteit van de markt, de bescherming van beleggers of de werking van de eengemaakte markt.

HOOFDSTUK VI

REGELINGEN VOOR INFORMATIE-UITWISSELING

Artikel 40 - Regelingen voor uitwisseling van informatie en inlichtingen over cyberdreiging

1. Financiële entiteiten kunnen onderling informatie en inlichtingen over cyberdreiging uitwisselen, met inbegrip van indicators of compromise, tactieken, technieken en procedures, cyberbeveiligingswaarschuwingen en configuratie-instrumenten, voor zover deze uitwisseling van informatie en inlichtingen:

(a)tot doel heeft de digitale operationele veerkracht van financiële entiteiten te versterken, met name via bewustmaking met betrekking tot cyberdreigingen, beperking of belemmering van de mogelijkheid tot verdere verspreiding van cyberdreigingen, ondersteuning van het gamma aan defensieve capaciteiten van financiële entiteiten, dreigingsdetectietechnieken, risicobeperkende strategieën of respons- en herstelfasen;

(b)plaatsvindt binnen vertrouwensgemeenschappen van financiële entiteiten;

(c)ten uitvoer wordt gelegd via regelingen voor informatie-uitwisseling die de potentieel gevoelige aard van de gedeelde informatie beschermen en aan gedragsregels zijn onderworpen met volledige inachtneming van de vertrouwelijkheid van bedrijfsinformatie, de bescherming van persoonsgegevens 48 en de richtsnoeren inzake mededingingsbeleid 49 .

2. Voor de toepassing van lid 1, punt c), worden in de regelingen voor informatie-uitwisseling de voorwaarden voor deelname bepaald en, in voorkomend geval, nadere bepalingen vastgesteld inzake de betrokkenheid van overheidsinstanties en de hoedanigheid waarin deze instanties bij de regelingen voor informatie-uitwisseling kunnen worden betrokken, alsmede inzake operationele elementen, met inbegrip van het gebruik van specifieke IT-platforms.

3. Financiële entiteiten stellen de bevoegde autoriteiten in kennis van hun deelname aan de in lid 1 bedoelde regelingen voor informatie-uitwisseling, na validering van hun lidmaatschap of, in voorkomend geval, van de beëindiging van hun lidmaatschap, zodra deze beëindiging van kracht wordt.

HOOFDSTUK VII

BEVOEGDE AUTORITEITEN

Artikel 41 - Bevoegde autoriteiten

Onverminderd de bepalingen inzake het toezichtkader voor cruciale derde aanbieders van ICT-diensten als bedoeld in afdeling II van hoofdstuk V van deze verordening wordt de naleving van de in deze verordening vastgestelde verplichtingen in overeenstemming met de bij de respectieve rechtshandelingen verleende bevoegdheden gewaarborgd door de volgende bevoegde autoriteiten:

(a)voor kredietinstellingen, de bevoegde autoriteit aangewezen overeenkomstig artikel 4 van Richtlijn 2013/36/EU, onverminderd de specifieke taken die bij Verordening (EU) nr. 1024/2013 aan de ECB zijn opgedragen;

(b)voor betalingsdienstaanbieders, de bevoegde autoriteit aangewezen overeenkomstig artikel 22 van Verordening (EU) nr. 2015/2366;

(c)voor instellingen voor elektronisch geld, de bevoegde autoriteit aangewezen overeenkomstig artikel 37 van Richtlijn 2009/110/EG;

(d)voor beleggingsondernemingen, de bevoegde autoriteit aangewezen overeenkomstig artikel 4 van Richtlijn (EU) nr. 2019/2034;

(e)voor aanbieders van cryptoactivadiensten, emittenten van cryptoactiva, emittenten van asset-referenced tokens en emittenten van significante asset-referenced tokens, de bevoegde autoriteit aangewezen overeenkomstig artikel 3, lid 1, punt ee), eerste streepje, van [Regulation (EU) 20xx MiCA Regulation];

(f)voor centrale effectenbewaarinstellingen, de bevoegde autoriteit aangewezen overeenkomstig artikel 11 van Verordening (EU) nr. 909/2014;

(g)voor centrale tegenpartijen, de bevoegde autoriteit aangewezen overeenkomstig artikel 22 van Verordening (EU) nr. 648/2012;

(h)voor handelsplatformen en aanbieders van datarapporteringsdiensten, de bevoegde autoriteit aangewezen overeenkomstig artikel 67 van Richtlijn 2014/65/EG;

(i)voor transactieregisters, de bevoegde autoriteit aangewezen overeenkomstig artikel 55 van Verordening (EU) nr. 648/2012;

(j)voor beheerders van alternatieve beleggingsinstellingen, de bevoegde autoriteit aangewezen overeenkomstig artikel 44 van Richtlijn 2011/61/EG;

(k)voor beheermaatschappijen, de bevoegde autoriteit aangewezen overeenkomstig artikel 97 van Richtlijn 2009/65/EG;

(l)voor verzekerings- en herverzekeringsondernemingen, de bevoegde autoriteit aangewezen overeenkomstig artikel 30 van Richtlijn 2009/138/EG;

(m)voor verzekerings- of herverzekeringstussenpersonen, de bevoegde autoriteit aangewezen overeenkomstig artikel 12 van Richtlijn (EU) 2016/97;

(n)voor instellingen voor bedrijfspensioenvoorziening, de bevoegde autoriteit aangewezen overeenkomstig artikel 47 van Richtlijn (EU) 2016/2341;

(o)voor ratingbureaus, de bevoegde autoriteit aangewezen overeenkomstig artikel 21 van Verordening (EG) nr. 1060/2009;

(p)voor wettelijke auditors en auditkantoren, de bevoegde autoriteit aangewezen overeenkomstig artikel 3, lid 2, en artikel 32 van Richtlijn 2006/43/EG;

(q)voor beheerders van cruciale benchmarks, de bevoegde autoriteit aangewezen overeenkomstig de artikelen 40 en 41 van Verordening xx/202x; 

(r)voor aanbieders van crowdfundingdiensten, de bevoegde autoriteit aangewezen overeenkomstig artikel x van Verordening xx/202x;

(s)voor securitisatieregisters, de bevoegde autoriteit aangewezen overeenkomstig artikel 10 en artikel 14, lid 1, van Verordening (EU) nr. 2017/2402.

Artikel 42 - Samenwerking met structuren en autoriteiten ingesteld bij Richtlijn (EU) 2016/1148

1. Om samenwerking te bevorderen en uitwisseling op het gebied van toezicht mogelijk te maken tussen de krachtens deze verordening aangewezen bevoegde autoriteiten en de bij artikel 11 van Richtlijn (EU) 2016/1148 ingestelde samenwerkingsgroep, kunnen de ETA’s en de bevoegde autoriteiten verzoeken om te worden uitgenodigd voor de werkzaamheden van de samenwerkingsgroep.

2. De bevoegde autoriteiten kunnen indien noodzakelijk overleggen met het centraal contactpunt en de nationale Computer security incident response teams bedoeld in respectievelijk de artikelen 8 en 9 van Richtlijn (EU) 2016/1148.

Artikel 43 - Financiële sectoroverschrijdende oefeningen, communicatie en samenwerking

1. De ETA’s kunnen via het Gemengd Comité en in samenwerking met de bevoegde autoriteiten, de ECB en het ESRB mechanismen invoeren om de uitwisseling van doeltreffende praktijken tussen financiële sectoren mogelijk te maken met het oog op de verbetering van de situatiekennis en de aanwijzing van gemeenschappelijke cyberkwetsbaarheden en sectoroverschrijdende risico’s.

Zij kunnen crisisbeheer- en noodoefeningen met cyberaanvalsscenario’s ontwikkelen om communicatiekanalen te ontwikkelen en geleidelijk een doeltreffende gecoördineerde respons op EU-niveau mogelijk te maken in geval van een ernstig grensoverschrijdend ICT-gerelateerd incident of een daarmee verband houdende dreiging met een systemisch effect op de financiële sector van de Unie in zijn geheel.

Deze oefeningen kunnen indien noodzakelijk ook testen in welke mate de financiële sector afhankelijk is van andere economische sectoren.

2. De bevoegde autoriteiten, de EBA, de ESMA of de Eiopa en de ECB werken onderling nauw samen en wisselen informatie uit om hun taken overeenkomstig de artikelen 42 tot en met 48 uit te voeren. De bevoegde autoriteiten coördineren nauw hun toezicht teneinde inbreuken op deze verordening vast te stellen en te remediëren, goede praktijken te ontwikkelen en te bevorderen, samenwerking te faciliteren, een consistente interpretatie te bevorderen en in geval van meningsverschil rechtsgebiedoverschrijdende beoordelingen te verstrekken.

Artikel 44 - Administratieve sancties en remediërende maatregelen

1. De bevoegde autoriteiten hebben alle toezichts-, onderzoeks- en sanctiebevoegdheden die noodzakelijk zijn om hun taken uit hoofde van deze verordening te vervullen.

2. De in lid 1 bedoelde bevoegdheden omvatten ten minste de bevoegdheid om:

(a)toegang te verkrijgen tot documenten of gegevens, in enigerlei vorm, die de bevoegde autoriteit relevant acht voor de uitoefening van haar taken, en een afschrift hiervan te ontvangen of te maken;

(b)inspecties of onderzoeken ter plaatse te verrichten;

(c)corrigerende en remediërende maatregelen te eisen voor inbreuken op de voorschriften van deze verordening.

3. Onverminderd het recht om overeenkomstig artikel 46 strafrechtelijke sancties op te leggen stellen de lidstaten regels vast met het oog op de invoering van passende administratieve sancties en remediërende maatregelen voor inbreuken op deze verordening, en waarborgen zij de doeltreffende toepassing daarvan.

Deze sancties en maatregelen moeten doeltreffend, evenredig en afschrikkend zijn.

4. De lidstaten verlenen de bevoegde autoriteiten de bevoegdheid om in geval van inbreuk op deze verordening ten minste de volgende administratieve sancties of remediërende maatregelen toe te passen:

(a)het bevel waarbij de natuurlijke of rechtspersoon wordt gelast de gedraging te staken en af te zien van herhaling ervan;

(b)de eis dat praktijken of gedragingen die de bevoegde autoriteit strijdig acht met de bepalingen van deze verordening, tijdelijk of definitief worden gestaakt, en dat herhaling van die praktijk of gedraging wordt voorkomen;

(c)elk soort maatregel, onder meer van geldelijke aard, om te waarborgen dat financiële entiteiten aan de wettelijke vereisten blijven voldoen;

(d)de eis, voor zover bij nationaal recht toegestaan, dat bestaande overzichten van gegevensverkeer die in het bezit zijn van een telecommunicatie-exploitant, worden overgelegd, indien er een redelijk vermoeden van inbreuk op deze verordening bestaat en deze overzichten van belang kunnen zijn voor een onderzoek naar inbreuken op deze verordening; en

(e)publieke mededelingen, met inbegrip van publieke verklaringen waarbij de identiteit van de natuurlijke of rechtspersoon en de aard van de inbreuk worden bekendgemaakt.

5. Indien de bepalingen bedoeld in lid 2, punt c), en lid 4, van toepassing zijn op rechtspersonen, verlenen de lidstaten de desbetreffende autoriteiten de bevoegdheid om de administratieve sancties en remediërende maatregelen, met inachtneming van de voorwaarden waarin het nationale recht voorziet, toe te passen op leden van het leidinggevend orgaan en op andere personen die op grond van het nationale recht verantwoordelijk zijn voor de inbreuk.

6. De lidstaten zorgen ervoor dat het besluit waarbij administratieve sancties of remediërende maatregelen als bedoeld in lid 2, punt c), worden opgelegd, naar behoren gemotiveerd is en vatbaar is voor beroep.

Artikel 45 - Uitoefening van de bevoegdheid tot het opleggen van administratieve sancties en remediërende maatregelen

1. De bevoegde autoriteiten oefenen de bevoegdheden tot het opleggen van administratieve sancties en remediërende maatregelen als bedoeld in artikel 44 uit in overeenstemming met hun nationale rechtskader, naargelang van het geval:

(a)op rechtstreekse wijze;

(b)in samenwerking met andere autoriteiten;

(c)onder eigen verantwoordelijkheid door middel van delegatie aan andere autoriteiten;

(d)door middel van een verzoek tot de bevoegde rechterlijke instanties.

2. De bevoegde autoriteiten houden bij het bepalen van het type en de omvang van een op grond van artikel 44 opgelegde administratieve sanctie of remediërende maatregel rekening met de vraag in hoeverre de inbreuk opzettelijk is dan wel het resultaat van nalatigheid, en met andere relevante omstandigheden waaronder, in voorkomend geval:

(a)de materialiteit, de ernst en de duur van de inbreuk;

(b)de mate van verantwoordelijkheid van de voor de inbreuk verantwoordelijke natuurlijke of rechtspersoon;

(c)de financiële draagkracht van de verantwoordelijke natuurlijke of rechtspersoon;

(d)de omvang van de door de verantwoordelijke natuurlijke of rechtspersoon behaalde winsten of vermeden verliezen, voor zover deze kunnen worden bepaald;

(e)de verliezen voor derde partijen ten gevolge van de inbreuk, voor zover deze kunnen worden vastgesteld;

(f)de mate van medewerking van de verantwoordelijke natuurlijke of rechtspersoon met de bevoegde autoriteit, onverminderd de noodzaak om de terugbetaling van de door die persoon behaalde winsten of vermeden verliezen te garanderen;

(g)eerdere inbreuken van de verantwoordelijke natuurlijke of rechtspersoon.

Artikel 46 - Strafrechtelijke sancties

1. De lidstaten kunnen besluiten geen regels voor administratieve sancties of remediërende maatregelen vast te stellen met betrekking tot inbreuken waarop krachtens hun nationale recht strafrechtelijke sancties staan.

2. Indien de lidstaten ervoor hebben gekozen strafrechtelijke sancties te stellen op inbreuken op deze verordening, zorgen zij voor passende maatregelen waardoor de bevoegde autoriteiten over alle noodzakelijke bevoegdheden beschikken om met de gerechtelijke, met vervolging belaste of strafrechtelijke autoriteiten in hun rechtsgebied contacten te onderhouden met het oog op het inwinnen van specifieke informatie met betrekking tot strafrechtelijke onderzoeken of procedures ten aanzien van mogelijke inbreuken op deze verordening, en het verstrekken van deze informatie aan andere bevoegde autoriteiten en aan de EBA, de ESMA of de Eiopa, teneinde te voldoen aan hun verplichting tot samenwerking voor de toepassing van deze verordening.

Artikel 47 - Kennisgevingsverplichting

De lidstaten doen uiterlijk op [OJ: insert date 1 year after the date of entry into force] aan de Commissie, de ESMA, de EBA en de Eiopa kennisgeving van de wettelijke en bestuursrechtelijke bepalingen ter uitvoering van dit hoofdstuk, met inbegrip van de toepasselijke strafrechtelijke bepalingen. De lidstaten doen aan de Commissie, de ESMA, de EBA en de Eiopa onverwijld kennisgeving van latere wijzigingen daarvan.

Artikel 48 - Bekendmaking van administratieve sancties

1. De bevoegde autoriteiten maken op hun officiële website onverwijld alle niet voor beroep vatbare besluiten tot oplegging van een administratieve sanctie bekend, nadat de betrokken persoon van die sanctie in kennis is gesteld.

2. De in lid 1 bedoelde bekendmaking bevat informatie over het type en de aard van de inbreuk, de identiteit van de verantwoordelijke personen en de opgelegde sancties.

3. Wanneer de bevoegde autoriteit na een per geval uitgevoerde beoordeling van oordeel is dat de bekendmaking van de identiteit in het geval van rechtspersonen of van de identiteit en persoonsgegevens in het geval van natuurlijke personen onevenredig zou zijn, de stabiliteit van de financiële markten of het verloop van een lopend onderzoek in gevaar zou brengen, of, voor zover kan worden vastgesteld, de betrokken personen onevenredige schade zou berokkenen, kiest zij een van de volgende oplossingen met betrekking tot het besluit waarbij de administratieve sanctie wordt opgelegd:

(a)zij stelt de bekendmaking van het besluit uit totdat alle redenen voor niet-bekendmaking vervallen;

(b)zij zorgt voor een bekendmaking op basis van anonimiteit in overeenstemming met het nationale recht; of

(c)zij onthoudt zich van de bekendmaking wanneer de in punten a) en b) vermelde keuzemogelijkheden ontoereikend worden geacht om de afwezigheid van gevaar voor de stabiliteit van de financiële markten te garanderen of wanneer de bekendmaking niet evenredig zou zijn met de clementie van de opgelegde sanctie.

4. In het geval van een besluit tot bekendmaking van een administratieve sanctie op basis van anonimiteit als bedoeld in lid 3, punt b), kan de bekendmaking van de betrokken gegevens worden uitgesteld.

5. Wanneer een bevoegde autoriteit een besluit tot oplegging van een administratieve sanctie bekendmaakt dat vatbaar is voor beroep bij de betrokken gerechtelijke autoriteiten, maken de bevoegde autoriteiten deze informatie en in een later stadium verdere informatie over het resultaat van een dergelijk beroep onmiddellijk kenbaar op hun officiële website. Elke rechterlijke beslissing tot nietigverklaring van een besluit waarbij een administratieve sanctie wordt opgelegd, wordt eveneens bekendgemaakt.

6. De bevoegde autoriteiten zorgen ervoor dat een besluit als bedoeld in de leden 1 tot en met 4 gedurende een periode van ten minste vijf jaar na de bekendmaking ervan op hun officiële website blijft staan. In de bekendmaking opgenomen persoonsgegevens worden op de officiële website van de bevoegde autoriteit niet langer bewaard dan noodzakelijk is overeenkomstig de toepasselijke voorschriften inzake gegevensbescherming.

Artikel 49 - Beroepsgeheim

1. Alle uit hoofde van deze verordening ontvangen, uitgewisselde of doorgegeven vertrouwelijke informatie valt onder de in lid 2 neergelegde voorwaarden inzake het beroepsgeheim.

2. Het beroepsgeheim geldt voor alle personen die werkzaam zijn of zijn geweest bij de uit hoofde van deze verordening bevoegde autoriteiten, of voor elke autoriteit of onderneming op de markt, of natuurlijke of rechtspersoon aan wie de bevoegde autoriteit haar bevoegdheden heeft gedelegeerd, met inbegrip van de door deze autoriteiten aangestelde accountants en deskundigen.

3. Onder het beroepsgeheim vallende informatie mag aan geen enkele andere persoon of autoriteit worden verstrekt, tenzij op grond van Unierechtelijke of nationaalrechtelijke bepalingen.

4. Alle uitwisseling van informatie tussen de bevoegde autoriteiten uit hoofde van deze verordening die betrekking heeft op exploitatie- of bedrijfsomstandigheden en andere economische of persoonlijke zaken, wordt als vertrouwelijk beschouwd en valt onder de vereisten van het beroepsgeheim, tenzij de bevoegde autoriteit op het moment van de mededeling verklaart dat deze informatie kan worden bekendgemaakt of de bekendmaking ervan noodzakelijk is voor gerechtelijke procedures.

HOOFDSTUK VIII

GEDELEGEERDE HANDELINGEN

Artikel 50 - Uitoefening van de bevoegdheidsdelegatie

1. De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

2. De bevoegdheid om de in artikel 28, lid 3, en artikel 38, lid 2, bedoelde gedelegeerde handelingen vast te stellen wordt aan de Commissie verleend voor een termijn van vier jaar vanaf [PO: insert date 5 years after the date of entry into force of this Regulation].

3. Het Europees Parlement of de Raad kan de in artikel 28, lid 3, en artikel 38, lid 2, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

4. Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.

5. Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.

6. Een overeenkomstig artikel 28, lid 3, en artikel 38, lid 2, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn de Commissie hebben medegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee maanden verlengd.

HOOFDSTUK IX

OVERGANGS- EN SLOTBEPALINGEN

AFDELING I

Artikel 51 - Herzieningsclausule

Uiterlijk [PO: insert date 5 years after the date of entry into force of this Regulation] voert de Commissie, na raadpleging van de EBA, de ESMA, de Eiopa en het ESRB, naargelang van het geval, een evaluatie uit en dient zij bij het Europees Parlement en de Raad een verslag in, in voorkomend geval vergezeld van een wetgevingsvoorstel, met betrekking tot de criteria voor de aanwijzing van cruciale derde aanbieders van ICT-diensten in artikel 28, lid 2.


AFDELING II

WIJZIGINGEN

Artikel 52

Wijzigingen in Verordening (EG) nr. 1060/2009

In bijlage I bij Verordening (EG) nr. 1060/2009 wordt de eerste alinea van afdeling A, punt 4, vervangen door:

“Een ratingbureau beschikt over een goede administratieve en boekhoudkundige organisatie, adequate interne controleprocedures, effectieve risicobeoordelingsprocedures en effectieve controle- en beveiligingsvoorzieningen voor het beheer van ICT-systemen in overeenstemming met Verordening (EU) 2021/xx van het Europees Parlement en de Raad* [DORA].

* Verordening (EU) 2021/xx van het Europees Parlement en de Raad […] (PB L XX, DD.MM.YYYY, blz. X).”.

Artikel 53

Wijzigingen in Verordening (EU) nr. 648/2012

Verordening (EU) nr. 648/2012 wordt als volgt gewijzigd:

(1) Artikel 26 wordt als volgt gewijzigd:

(a)lid 3 wordt vervangen door:

“3. Een CTP beschikt over en werkt in het kader van een organisatiestructuur die de continuïteit en ordelijke werking bij het verrichten van haar diensten en activiteiten garandeert. Zij maakt gebruik van passende en evenredige systemen, middelen en procedures, met inbegrip van ICT-systemen die worden beheerd overeenkomstig Verordening (EU) 2021/xx van het Europees Parlement en de Raad * [DORA].

* Verordening (EU) 2021/xx van het Europees Parlement en de Raad […] (PB L XX, DD.MM.YYYY, blz. X).”;

(b) lid 6 wordt geschrapt.

(2) Artikel 34 wordt als volgt gewijzigd:

(a) lid 1 wordt vervangen door:

“1. Een CTP zorgt voor de vaststelling, toepassing en instandhouding van een passend bedrijfscontinuïteits- en noodherstelplan, dat ICT-continuïteits- en noodherstelplannen omvat die zijn opgezet in overeenstemming met Verordening (EU) 2021/xx [DORA], met als doel de functies van de CTP in stand te houden, de activiteiten tijdig te hervatten en de verplichtingen van de CTP na te komen.”;

(b)lid 3, eerste alinea, wordt vervangen door:

“Om een consistente toepassing van dit artikel te garanderen, stelt ESMA na overleg met de leden van het ESCB ontwerpen van technische reguleringsnormen op waarin de minimale inhoud en vereisten van het bedrijfscontinuïteitsbeleid en van het noodherstelplan, met uitsluiting van ICT-continuïteits- en noodherstelplannen, worden gespecificeerd.”.

(3) In artikel 56, lid 3, wordt de eerste alinea vervangen door:

“3. Om een consistente toepassing van dit artikel te garanderen, stelt ESMA ontwerpen van technische reguleringsnormen op tot bepaling van andere regels voor de in lid 1 vermelde registratieaanvraag dan die welke betrekking hebben op de vereisten inzake ICT-risicobeheer.”.

(4) In artikel 79 worden de leden 1 en 2 vervangen door:

“1. In een transactieregister worden bronnen van operationele risico's vastgesteld en tot een minimum beperkt via de ontwikkeling van passende systemen, controles en procedures, met inbegrip van ICT-systemen die worden beheerd in overeenstemming met Verordening (EU) 2021/xx [DORA].

2. Een transactieregister zorgt voor de opstelling, uitvoering en instandhouding van een passend bedrijfscontinuïteits- en noodherstelplan, met inbegrip van ICT-continuïteits- en noodherstelplannen die zijn opgezet in overeenstemming met Verordening (EU) 2021/xx [DORA], met als doel de functies van het transactieregister in stand te houden, de activiteiten tijdig te hervatten en de verplichtingen van het transactieregister na te komen.”.

(5) Artikel 80, lid 1, wordt geschrapt.

Artikel 54

Wijzigingen in Verordening (EU) nr. 909/2014

Artikel 45 van Verordening (EU) nr. 909/2014 wordt als volgt gewijzigd:

(1) Lid 1 wordt vervangen door:

“1. Een CSD identificeert bronnen van zowel intern als extern operationeel risico en beperkt de impact daarvan tot een minimum door het gebruik van passende IT-instrumenten, -controles en -procedures die worden opgezet en beheerd in overeenstemming met Verordening (EU) 2021/xx van het Europees Parlement en de Raad* [DORA], alsmede via andere relevante passende instrumenten, controles en procedures voor andere soorten operationele risico’s, inclusief voor alle effectenafwikkelingssystemen die zij exploiteert.

* Verordening (EU) 2021/xx van het Europees Parlement en de Raad […] (PB L XX, DD.MM.YYYY, blz. X).”.

(2) Lid 2 wordt geschrapt;

(3) De leden 3 en 4 worden vervangen door:

“3. Voor diensten die zij verricht en voor elk effectenafwikkelingssysteem dat zij exploiteert, draagt een CSD zorg voor het vaststellen, implementeren en aanhouden van een adequaat bedrijfscontinuïteitsbeleid en noodherstelplan, met inbegrip van ICT-continuïteits- en noodherstelplannen die zijn opgezet in overeenstemming met Verordening (EU) 2021/xx [DORA], om te zorgen voor het behoud van haar diensten, het tijdig herstel van de bedrijfsactiviteiten en de vervulling van de verplichtingen van de CSD bij gebeurtenissen die een significant risico op verstoring van transacties inhouden.

4. Het in lid 3 bedoelde plan maakt het mogelijk alle transacties en posities van deelnemers op het ogenblik van de verstoring te herstellen, zodat de deelnemers aan een CSD hun bedrijvigheid met zekerheid kunnen voortzetten en de afwikkeling op de geplande datum kunnen uitvoeren, onder meer door ervoor te zorgen dat kritieke IT-systemen na de verstoring weer operationeel worden, zoals bepaald in artikel 11, leden 5 en 7, van Verordening (EU) 2021/xx [DORA].”.

(4) In lid 6 wordt de eerste alinea vervangen door:

“Een CSD is belast met het identificeren, monitoren en beheersen van de risico’s die belangrijke deelnemers aan het effectenafwikkelingssysteem dat zij exploiteert alsook dienstverrichters en aanbieders van hulpprogramma’s en andere CSD’s of andere marktinfrastructuren voor haar bedrijfsactiviteiten kunnen inhouden. Zij verstrekt desgevraagd de bevoegde en de relevante autoriteiten informatie over eventuele geïdentificeerde risico’s. Zij stelt de bevoegde autoriteit en de relevante autoriteiten ook onverwijld in kennis van andere operationele incidenten ten gevolge van deze risico’s dan die welke betrekking hebben op ICT-risico’s.”.

(5) In lid 7 wordt de eerste alinea vervangen door:

“De ESMA ontwikkelt, in nauwe samenwerking met de leden van het ESCB, ontwerpen van technische reguleringsnormen tot nadere bepaling van de in de leden 1 tot en met 6 bedoelde operationele risico’s die geen ICT-risico’s zijn, en de methoden om die risico’s te testen, aan te pakken of te beperken, met inbegrip van het bedrijfscontinuïteitsbeleid en de noodherstelplannen bedoeld in de leden 3 en 4 en de methoden om die te beoordelen.”.

Artikel 55

Wijzigingen in Verordening (EU) nr. 600/2014

Verordening (EU) nr. 600/2014 wordt als volgt gewijzigd:

(1) Artikel 27 octies wordt als volgt gewijzigd:

(a)lid 4 wordt geschrapt;

(b)lid 8, punt c), wordt vervangen door:

(c)“c) de concrete organisatorische eisen die zijn vastgelegd in de leden 3 en 5.”.

(2) Artikel 27 novies wordt als volgt gewijzigd:

(a)lid 5 wordt geschrapt;

(b)in lid 8 wordt punt e), vervangen door:

“e) de concrete organisatorische eisen die zijn vastgelegd in lid 4.”.

(3) Artikel 27 decies wordt als volgt gewijzigd:

(a)lid 3 wordt geschrapt;

(b)in lid 5 wordt punt b) vervangen door:

“b) de concrete organisatorische eisen die zijn vastgelegd in de leden 2 en 4.”.

Artikel 56 - Inwerkingtreding en toepassing

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Zij is van toepassing met ingang van [PO: insert date - 12 months after the date of entry into force].

De artikelen 23 en 24 zijn evenwel van toepassing met ingang van [PO: insert date - 36 months after the date of entry into force of this Regulation].

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.