Overwegingen bij COM(2020)595 - Digitale operationele veerkracht voor de financiële sector - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2020)595 - Digitale operationele veerkracht voor de financiële sector. |
|---|---|
| document | COM(2020)595   |
| datum | 24 september 2020 |
(2) Het gebruik van ICT heeft in de afgelopen decennia een centrale rol gekregen in het geldwezen, zodat ICT nu van cruciaal belang is voor de werking van typische dagelijkse functies van alle financiële entiteiten. Digitalisering betreft bijvoorbeeld betalingen, die steeds minder met op contant geld en papier gebaseerde methoden en steeds vaker met behulp van digitale oplossingen plaatsvinden, alsook effectenclearing en -afwikkeling, elektronische en algoritmische handel, lenings- en financieringsverrichtingen, peer-to-peerfinanciering, kredietbeoordeling, het afsluiten van verzekeringen, schadebeheer en backofficeverrichtingen. Niet alleen is het geldwezen in de hele sector grotendeels digitaal geworden, maar digitalisering heeft ook gezorgd voor sterkere onderlinge verbanden en afhankelijkheden binnen de financiële sector en met derde aanbieders van infrastructuur en diensten.
(3) Het Europees Comité voor systeemrisico’s (ESRB) heeft in een in 2020 uitgebracht verslag over systemisch cyberrisico 27 bevestigd hoe de bestaande hoge mate van verwevenheid tussen financiële entiteiten, financiële markten en financiëlemarktinfrastructuren, en met name de onderlinge afhankelijkheid van hun ICT-systemen, een systeemkwetsbaarheid kan vormen, aangezien lokale cyberincidenten zich snel van elk van de ongeveer 22 000 financiële entiteiten van de Unie 28 zouden kunnen verspreiden naar het gehele financiële stelsel, niet gehinderd door geografische grenzen. Ernstige ICT-inbreuken die zich in het geldwezen voordoen, hebben niet alleen gevolgen voor afzonderlijke financiële entiteiten. Zij begunstigen ook de verspreiding van lokale kwetsbaarheden via de financiële transmissiekanalen en kunnen negatieve gevolgen voor de stabiliteit van het financiële stelsel van de Unie meebrengen, waardoor liquiditeitsruns en een algeheel verlies van vertrouwen in de financiële markten kunnen ontstaan.
(4) De laatste jaren hebben nationale, Europese en internationale beleidsmakers, toezichthouders en normalisatie-instellingen zich beziggehouden met ICT-risico’s en is geprobeerd de veerkracht te vergroten, normen vast te stellen en regelgevings- of toezichtwerkzaamheden te coördineren. Op internationaal niveau streven het Bazels Comité voor bankentoezicht, het Comité betalingen en marktinfrastructuur, de Raad voor financiële stabiliteit, het Financial Stability Institute en de G7 en G20 ernaar de bevoegde autoriteiten en marktdeelnemers in verschillende rechtsgebieden te voorzien van instrumenten om de veerkracht van hun financiële stelsels op te vijzelen.
(5) Ondanks gerichte nationale en Europese beleids- en wetgevingsinitiatieven blijven ICT-risico’s een uitdaging vormen voor de operationele veerkracht, prestaties en stabiliteit van het financiële stelsel van de Unie. De hervorming die volgde op de financiële crisis van 2008, heeft in de eerste plaats de financiële veerkracht van de financiële sector van de Unie versterkt en had als doel het concurrentievermogen en de stabiliteit van de Unie te waarborgen vanuit economisch, prudentieel en marktgedragsoogpunt. Hoewel ICT-beveiliging en digitale veerkracht deel uitmaken van operationeel risico, hebben zij in de regelgevingsagenda na de crisis minder aandacht gekregen en zijn ze alleen op sommige gebieden van het financiëledienstenbeleid en het regelgevingslandschap van de Unie ontwikkeld, of slechts in een paar lidstaten.
(6) Het FinTech-actieplan 29 van de Commissie van 2018 benadrukte dat het van het grootste belang is de financiële sector van de Unie weerbaarder te maken, ook vanuit operationeel oogpunt, om te zorgen voor de technologische veiligheid en goede werking ervan en voor een snel herstel van ICT-inbreuken en -incidenten, zodat uiteindelijk financiële diensten in de hele Unie doeltreffend en vlot kunnen worden verricht, ook in stresssituaties, terwijl het vertrouwen van consumenten en markten behouden blijft.
(7) In april 2019 hebben de Europese Bankautoriteit (EBA), de Europese Autoriteit voor effecten en markten (ESMA) en de Europese Autoriteit voor verzekeringen en bedrijfspensioenen (Eiopa) (samen “Europese toezichthoudende autoriteiten” of “ETA’s” genoemd) gezamenlijk twee technische adviezen uitgebracht waarin werd opgeroepen tot een samenhangende aanpak van ICT-risico’s in de financiële sector en werd aanbevolen om op evenredige wijze de digitale operationele veerkracht van de financiëledienstensector te versterken door middel van een sectorspecifiek initiatief van de Unie.
(8) De financiële sector van de Unie wordt gereglementeerd door een geharmoniseerd gemeenschappelijk rulebook en is onderworpen aan een Europees systeem van financieel toezicht. Niettemin zijn de bepalingen inzake digitale operationele veerkracht en ICT-beveiliging nog niet volledig of consistent geharmoniseerd, hoewel digitale operationele veerkracht cruciaal is voor de financiële stabiliteit en marktintegriteit in het digitale tijdperk, en niet minder belangrijk is dan bijvoorbeeld gemeenschappelijke prudentiële of marktgedragsnormen. Het gemeenschappelijk rulebook en het toezichtsysteem moeten daarom ook voor deze component worden ontwikkeld, door het mandaat te verruimen van de financiële toezichthouders die de financiële stabiliteit en de marktintegriteit moeten monitoren en beschermen.
(9) Verschillen in wetgeving en ongelijke nationale regelgevings- of toezichtsbenaderingen met betrekking tot ICT-risico leiden tot obstakels voor de eengemaakte markt voor financiële diensten die de vlotte uitoefening van de vrijheid van vestiging en het verlenen van diensten belemmeren voor financiële entiteiten met grensoverschrijdende aanwezigheid. De concurrentie tussen hetzelfde type financiële entiteiten in verschillende lidstaten kan ook worden verstoord. Met name op gebieden waar de harmonisatie op Unieniveau zeer beperkt is gebleven, zoals bij het testen van de digitale operationele veerkracht, of geheel ontbreekt, zoals bij het monitoren van ICT-risico’s van derde aanbieders, zouden verschillen als gevolg van geplande ontwikkelingen op nationaal niveau verdere belemmeringen voor de werking van de eengemaakte markt meebrengen, ten nadele van de marktdeelnemers en de financiële stabiliteit.
(10) Doordat ICT-risico tot nu toe slechts ten dele op Unieniveau is aangepakt, zijn op belangrijke gebieden – zoals het melden van ICT-gerelateerde incidenten en het testen van digitale operationele veerkracht – lacunes of overlappingen ontstaan, alsook inconsistenties als gevolg van uiteenlopende nationale regels of kosteninefficiënte toepassing van overlappende regels. Dit is met name nadelig voor een ICT-intensieve gebruiker als de financiële sector, aangezien technologische risico’s zich niet door grenzen laten tegenhouden en de financiële sector zijn diensten op brede grensoverschrijdende schaal binnen en buiten de Unie verleent.
Individuele financiële entiteiten die grensoverschrijdend actief zijn of over meerdere vergunningen beschikken (een financiële entiteit kan bijvoorbeeld vergunningen als bank, als beleggingsonderneming en als betalingsinstelling hebben die zijn afgegeven door verschillende bevoegde autoriteiten in een of meer lidstaten), hebben te maken met operationele uitdagingen wanneer zij zelf op samenhangende en kosteneffectieve manier ICT-risico's moeten aanpakken en de negatieve gevolgen van ICT-incidenten moeten beperken.
(11) Aangezien het gemeenschappelijk rulebook niet vergezeld ging van een uitgebreid kader voor ICT- of operationeel risico, is verdere harmonisatie van essentiële vereisten inzake digitale operationele veerkracht voor alle financiële entiteiten geboden. De capaciteiten en algehele veerkracht die financiële entiteiten op basis van dergelijke essentiële vereisten zouden ontwikkelen om operationele storingen te weerstaan, zouden helpen de stabiliteit en integriteit van de financiële markten van de Unie te behouden en aldus bijdragen tot het waarborgen van een hoog niveau van bescherming van beleggers en consumenten in de Unie. Aangezien deze verordening beoogt bij te dragen tot de vlotte werking van de eengemaakte markt, moet zij gebaseerd zijn op de bepalingen van artikel 114 VWEU, geïnterpreteerd in overeenstemming met de vaste rechtspraak van het Hof van Justitie van de Europese Unie.
(12) Deze verordening is in de eerste plaats gericht op het consolideren en verbeteren van de vereisten inzake ICT-risico, die tot dusver afzonderlijk zijn behandeld in verschillende verordeningen en richtlijnen. Hoewel de belangrijkste categorieën financiële risico’s (bv. kredietrisico, marktrisico, tegenpartijkredietrisico en liquiditeitsrisico, marktgedragrisico) in die rechtshandelingen van de Unie aan bod kwamen, was het ten tijde van de vaststelling ervan niet mogelijk alle componenten van operationele veerkracht te behandelen. In de vereisten inzake operationeel risico die in deze rechtshandelingen van de Unie verder zijn uitgewerkt, is vaak gekozen voor een traditionele kwantitatieve aanpak van risico’s (namelijk de vaststelling van een kapitaalvereiste om ICT-risico’s te dekken); er werden dus geen gerichte kwalitatieve vereisten vastgesteld om capaciteiten te versterken voor bescherming, opsporing, inperking, herstel en reparatie bij ICT-gerelateerde incidenten of voor rapportage en digitale tests. Die richtlijnen en verordeningen waren in de eerste plaats bedoeld om essentiële regels inzake prudentieel toezicht, marktintegriteit of marktgedrag vast te stellen.
Door middel van deze operatie, waarbij de regels inzake ICT-risico’s worden geconsolideerd en bijgewerkt, worden alle bepalingen met betrekking tot digitaal risico in de financiële sector voor de eerste keer op consistente wijze in één wetgevingshandeling samengebracht. Dit initiatief moet dus in sommige van die rechtshandelingen leemten opvullen of inconsistenties wegnemen, ook wat betreft de daarin gebruikte terminologie, en expliciet naar ICT-risico verwijzen door middel van gerichte regels inzake ICT-risicobeheercapaciteiten, rapportage en tests en monitoring van het derdenrisico.
(13) Financiële entiteiten moeten dezelfde benadering en dezelfde op beginselen gebaseerde regels volgen wanneer zij ICT-risico aanpakken. Consistentie draagt bij tot een groter vertrouwen in het financiële stelsel en tot het behoud van de stabiliteit ervan, met name in tijden van overmatig gebruik van ICT-systemen, -platforms en -infrastructuren waardoor het digitale risico stijgt.
De inachtneming van elementaire cyberhygiëne kan ook grote schade voor de economie voorkomen door de gevolgen en kosten van ICT-verstoringen tot een minimum te beperken.
(14) Het gebruik van een verordening helpt de complexiteit van de regelgeving te verminderen, bevordert de convergentie van het toezicht en vergroot de rechtszekerheid, maar draagt ook bij tot het beperken van de nalevingskosten, vooral voor financiële entiteiten die grensoverschrijdend actief zijn, en tot het verminderen van concurrentieverstoringen. Voor de vaststelling van een gemeenschappelijk kader voor de digitale operationele veerkracht van financiële entiteiten kan daarom het best een verordening worden gekozen om te zorgen voor een homogene en coherente toepassing van alle componenten van het ICT-risicobeheer door de financiële sectoren van de Unie.
(15) Naast de wetgeving inzake financiële diensten is Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad 30 het huidige algemene kader voor cyberbeveiliging op Unieniveau. In de zeven cruciale sectoren is die richtlijn ook van toepassing op drie soorten financiële entiteiten, namelijk kredietinstellingen, handelsplatformen en centrale tegenpartijen. Aangezien Richtlijn (EU) 2016/1148 voorziet in een mechanisme voor de identificatie op nationaal niveau van aanbieders van essentiële diensten, worden echter alleen bepaalde door de lidstaten geïdentificeerde kredietinstellingen, handelsplatformen en centrale tegenpartijen in de praktijk binnen het toepassingsgebied ervan gebracht zodat zij moeten voldoen aan de daarin vastgestelde vereisten inzake ICT-beveiliging en melding van incidenten.
(16) Aangezien deze verordening het niveau van harmonisatie op onderdelen van digitale veerkracht verhoogt door vereisten inzake ICT-risicobeheer en rapportage van ICT-gerelateerde incidenten in te voeren die strenger zijn dan die welke in de huidige Uniewetgeving inzake financiële diensten zijn opgenomen, is ook in vergelijking met de vereisten van Richtlijn (EU) 2016/1148 sprake van een grotere harmonisatie. Deze verordening is dus een lex specialis ten opzichte van Richtlijn (EU) 2016/1148.
Het is van cruciaal belang om een sterke relatie tussen de financiële sector en het horizontale cyberbeveiligingskader van de Unie te handhaven, aangezien dit zou zorgen voor samenhang met de reeds door de lidstaten ingevoerde cyberbeveiligingsstrategieën, en financiële toezichthouders zo kunnen worden gewezen op cyberincidenten die gevolgen hebben voor andere onder Richtlijn (EU) 2016/1148 vallende sectoren.
(17) Om een sectoroverschrijdend leerproces mogelijk te maken en daadwerkelijk gebruik te maken van de ervaringen van andere sectoren bij de aanpak van cyberdreigingen, moeten de in Richtlijn (EU) 2016/1148 bedoelde financiële entiteiten deel blijven uitmaken van het “ecosysteem” van die richtlijn (bv. de NIS-samenwerkingsgroep en CSIRT’s).
De ETA’s en nationale bevoegde autoriteiten moeten in staat zijn deel te nemen aan respectievelijk de strategische beleidsdiscussies en de technische werkzaamheden van de NIS-samenwerkingsgroep, en daarnaast moeten zij in staat zijn informatie uit te wisselen en te blijven samenwerken met de krachtens Richtlijn (EU) 2016/1148 aangewezen centrale contactpunten. De bevoegde autoriteiten in de zin van deze verordening moeten ook overleg plegen en samenwerken met de overeenkomstig artikel 9 van Richtlijn (EU) 2016/1148 aangewezen nationale CSIRT’s.
(18) Het is ook belangrijk te zorgen voor consistentie met de richtlijn betreffende Europese kritieke infrastructuur, die momenteel wordt herzien om kritieke infrastructuur beter te beschermen en weerbaarder te maken tegen niet-cybergerelateerde dreigingen, met mogelijke gevolgen voor de financiële sector 31 .
(19) Aanbieders van cloudcomputingdiensten zijn één van de categorieën digitaledienstverleners die onder Richtlijn (EU) 2016/1148 vallen. Als zodanig zijn zij onderworpen aan toezicht achteraf dat wordt verricht door de overeenkomstig die richtlijn aangewezen nationale autoriteiten en dat beperkt is tot de in die handeling vastgestelde vereisten inzake ICT-beveiliging en melding van incidenten. Aangezien het bij deze verordening vastgestelde toezichtkader van toepassing is op alle cruciale derde aanbieders van ICT-diensten, waaronder aanbieders van cloudcomputingdiensten, wanneer zij ICT-diensten aan financiële entiteiten verlenen, moet het als complementair aan het krachtens Richtlijn (EU) 2016/1148 verrichte toezicht worden beschouwd. Bovendien moet het bij deze verordening vastgestelde toezichtkader betrekking hebben op aanbieders van cloudcomputingdiensten, gezien het ontbreken van een horizontaal sectoragnostisch kader van de Unie tot oprichting van een autoriteit voor digitaal toezicht.
(20) Om ICT-risico’s volledig onder controle te houden, moeten financiële entiteiten beschikken over alomvattende capaciteiten die een krachtig en doeltreffend ICT-risicobeheer mogelijk maken, naast specifieke mechanismen en beleidsmaatregelen voor het melden van ICT-gerelateerde incidenten, het testen van ICT-systemen en het beheren van het ICT-risico van derde aanbieders. De lat voor de digitale operationele veerkracht van het financiële stelsel moet hoger worden gelegd, terwijl een evenredige toepassing van de vereisten mogelijk moet zijn voor financiële entiteiten die micro-ondernemingen zijn in de zin van Aanbeveling 2003/361/EG van de Commissie 32 .
(21) De drempels en taxonomieën voor de rapportage van ICT-gerelateerde incidenten variëren aanzienlijk op nationaal niveau. Hoewel via relevante werkzaamheden van het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) 33 en de NIS-samenwerkingsgroep overeenstemming kan worden bereikt voor de onder Richtlijn (EU) 2016/1148 vallende financiële entiteiten, kunnen voor de overige financiële entiteiten verschillende benaderingen inzake drempels en taxonomieën bestaan of ontstaan. Dit brengt vele vereisten mee waaraan financiële entiteiten moeten voldoen, vooral wanneer zij in verschillende rechtsgebieden van de Unie actief zijn en wanneer zij deel uitmaken van een financiële groep. Bovendien kunnen deze verschillen een belemmering vormen voor de totstandbrenging van verdere uniforme of gecentraliseerde mechanismen van de Unie die het rapportageproces versnellen en een snelle en vlotte uitwisseling van informatie tussen bevoegde autoriteiten ondersteunen, wat cruciaal is voor het aanpakken van ICT-risico’s in geval van grootschalige aanvallen met potentieel systemische gevolgen.
(22) Om de bevoegde autoriteiten in staat te stellen hun toezichthoudende rol te vervullen door een volledig overzicht te krijgen van de aard, de frequentie, het belang en de impact van ICT-gerelateerde incidenten en om de uitwisseling van informatie tussen relevante overheidsinstanties, waaronder rechtshandhavingsinstanties en afwikkelingsautoriteiten, te bevorderen, moeten regels worden vastgesteld teneinde de regeling voor het melden van ICT-gerelateerde incidenten aan te vullen met voorschriften die momenteel ontbreken in de wetgeving inzake financiële subsectoren, en moeten bestaande overlappingen en doublures worden weggenomen om de kosten te verlichten. Het is daarom essentieel de regeling voor het melden van ICT-gerelateerde incidenten te harmoniseren door voor te schrijven dat alle financiële entiteiten alleen aan hun bevoegde autoriteiten rapporteren. Daarnaast moeten de ETA’s de bevoegdheid krijgen elementen van de rapportage van ICT-gerelateerde incidenten verder uit te werken, zoals taxonomie, tijdschema’s, datasets, modellen en toepasselijke drempels.
(23) In sommige financiële subsectoren zijn vereisten voor het testen van de digitale operationele veerkracht ontwikkeld binnen verschillende ongecoördineerde nationale kaders waarin dezelfde kwesties op verschillende manieren worden aangepakt. Dit leidt tot dubbele kosten voor grensoverschrijdende financiële entiteiten en bemoeilijkt de wederzijdse erkenning van resultaten. Ongecoördineerd testen kan de eengemaakte markt dus segmenteren.
(24) Bovendien blijven, wanneer testen niet vereist is, kwetsbaarheden onontdekt, waardoor de financiële entiteit en uiteindelijk de stabiliteit en integriteit van de financiële sector meer risico lopen. Zonder optreden van de Unie zou het testen van de digitale operationele veerkracht fragmentarisch blijven en zou er geen sprake zijn van wederzijdse erkenning van testresultaten tussen verschillende rechtsgebieden. Aangezien het onwaarschijnlijk is dat andere financiële subsectoren dergelijke regelingen op betekenisvolle schaal zouden invoeren, zouden zij ook de potentiële voordelen missen, zoals het onthullen van kwetsbaarheden en risico’s, het testen van verdedigingscapaciteiten en bedrijfscontinuïteit en het groeiende vertrouwen van klanten, leveranciers en zakenpartners. Om dergelijke overlappingen, verschillen en leemten te verhelpen, moeten regels worden vastgesteld voor gecoördineerde tests door financiële entiteiten en bevoegde autoriteiten, zodat de wederzijdse erkenning van geavanceerde tests voor significante financiële entiteiten wordt vergemakkelijkt.
(25) Dat financiële entiteiten van ICT-diensten afhankelijk zijn, komt deels doordat zij zich moeten aanpassen aan een opkomende concurrerende digitale mondiale economie, hun bedrijfsefficiëntie moeten verbeteren en aan de vraag van de consument moeten voldoen. De aard en de omvang van die afhankelijkheid ontwikkelen zich de laatste jaren voortdurend, wat heeft geleid tot een daling van de kosten van financiële bemiddeling, en bedrijfsuitbreiding en schaalbaarheid bij de ontplooiing van financiële activiteiten mogelijk heeft gemaakt, terwijl een breed scala aan ICT-instrumenten wordt aangeboden om complexe interne processen te beheren.
(26) Dit grootschalige gebruik van ICT-diensten komt tot uiting in complexe contractuele regelingen, waarbij financiële entiteiten vaak moeilijkheden ondervinden om te onderhandelen over contractuele voorwaarden die zijn afgestemd op de prudentiële normen of andere regelgevingsvereisten waaraan zij onderworpen zijn. Het kan ook moeilijk zijn specifieke rechten af te dwingen, zoals toegangsrechten of auditrechten, wanneer deze laatste in de overeenkomsten zijn vastgelegd. Bovendien voorzien veel van dergelijke contracten niet in voldoende waarborgen om een volwaardige monitoring van onderaannemingsprocessen mogelijk te maken, zodat de financiële entiteit niet langer in staat is de hiermee gepaard gaande risico’s te beoordelen. Aangezien derde aanbieders van ICT-diensten vaak gestandaardiseerde diensten aan verschillende soorten klanten aanbieden, houden dergelijke contracten ook niet altijd voldoende rekening met de individuele of specifieke behoeften van actoren uit de financiële sector.
(27) Hoewel sommige wetgevingshandelingen van de Unie op het gebied van financiële diensten enkele algemene voorschriften inzake uitbesteding bevatten, is de monitoring van de contractuele dimensie niet volledig in de wetgeving van de Unie verankerd. Door het ontbreken van duidelijke en op maat gemaakte Unienormen voor contractuele regelingen met derde aanbieders van ICT-diensten wordt de externe bron van ICT-risico niet grondig aangepakt. Het is dan ook nodig bepaalde basisbeginselen vast te leggen die als leidraad moeten dienen voor het beheer van het ICT-risico van derde aanbieders door financiële entiteiten, alsook een reeks contractuele basisrechten met betrekking tot verschillende elementen van de uitvoering en beëindiging van contracten, teneinde bepaalde minimumwaarborgen vast te leggen ter ondersteuning van het vermogen van financiële entiteiten om alle risico’s die zich voordoen in verband met ICT-diensten van derden, doeltreffend te monitoren.
(28) Er is een gebrek aan homogeniteit en convergentie met betrekking tot ICT-risico van derde aanbieders en afhankelijkheid van derden op ICT-gebied. Ondanks enige inspanningen om het specifieke gebied van uitbesteding aan te pakken, zoals de aanbevelingen van 2017 over uitbesteding aan aanbieders van clouddiensten 34 , komt de kwestie van systeemrisico’s die kunnen voortvloeien uit de blootstelling van de financiële sector aan een beperkt aantal cruciale aanbieders van ICT-diensten, in de wetgeving van de Unie nauwelijks aan de orde. Dit wordt nog verergerd door het ontbreken van specifieke mandaten en instrumenten die de nationale toezichthouders in staat stellen een goed inzicht te verwerven in afhankelijkheden van derden op ICT-gebied en de uit een concentratie van dergelijke afhankelijkheden voortvloeiende risico’s adequaat te monitoren.
(29) Rekening houdend met de potentiële systeemrisico’s die de toegenomen uitbesteding en de concentratie van ICT bij derden meebrengen, en met de ontoereikendheid van nationale mechanismen waarmee financiële toezichthouders de gevolgen van ICT-risico’s bij cruciale derde aanbieders van ICT-diensten kunnen kwantificeren, kwalificeren en herstellen, moet een passend toezichtkader van de Unie tot stand worden gebracht om de activiteiten van voor financiële entiteiten cruciale derde aanbieders van ICT-diensten voortdurend te kunnen monitoren.
(30) Nu ICT-dreigingen steeds complexer en geavanceerder worden, zijn goede opsporings- en preventiemaatregelen in grote mate afhankelijk van regelmatige uitwisseling van informatie over bedreigingen en kwetsbaarheden tussen financiële entiteiten. Informatie-uitwisseling draagt bij tot een groter bewustzijn van cyberdreigingen, wat er op zijn beurt voor zorgt dat financiële entiteiten beter in staat zijn te voorkomen dat dreigingen werkelijkheid worden, en de gevolgen van ICT-gerelateerde incidenten kunnen beperken en efficiënter kunnen herstellen. Bij gebrek aan richtsnoeren op Unieniveau zijn er verschillende factoren die een dergelijke informatie-uitwisseling lijken te verhinderen, met name onzekerheid over de verenigbaarheid met de regels inzake gegevensbescherming, antitrust en aansprakelijkheid.
(31) Voorts leidt twijfel over het soort informatie dat met andere marktdeelnemers of niet-toezichthoudende autoriteiten (zoals Enisa voor analytische input of Europol voor rechtshandhavingsdoeleinden) mag worden uitgewisseld, ertoe dat nuttige informatie wordt achtergehouden. De omvang en de kwaliteit van informatie-uitwisseling blijven beperkt en gefragmenteerd, waarbij relevante uitwisselingen meestal lokaal plaatsvinden (via nationale initiatieven) zonder samenhangende Uniebrede regelingen voor informatie-uitwisseling die zijn toegesneden op de behoeften van een geïntegreerde financiële sector.
(32) Financiële entiteiten moeten derhalve worden aangemoedigd hun individuele kennis en praktische ervaring op strategisch, tactisch en operationeel niveau collectief te benutten om beter in staat te zijn cyberdreigingen adequaat te beoordelen, te monitoren, af te weren en aan te pakken. Op Unieniveau moeten dus mechanismen voor vrijwillige informatie-uitwisseling mogelijk worden gemaakt die, wanneer zij in vertrouwde omgevingen worden uitgevoerd, de financiële gemeenschap zouden helpen dreigingen te voorkomen en collectief aan te pakken door de verspreiding van ICT-risico’s snel te beperken en mogelijke besmetting via de financiële kanalen te verhinderen. Die mechanismen moeten worden uitgevoerd met volledige inachtneming van de toepasselijke mededingingsregels van de Unie 35 en op een wijze die de volledige naleving van de gegevensbeschermingsregels van de Unie garandeert, met name Verordening (EU) 2016/679 van het Europees Parlement en de Raad 36 , vooral in de context van de verwerking van persoonsgegevens die noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verwerkingsverantwoordelijke of van een derde, als bedoeld in artikel 6, lid 1, punt f), van die verordening.
(33) Ondanks de brede dekking waarin deze verordening voorziet, moet bij de toepassing van de regels inzake digitale operationele veerkracht rekening worden gehouden met aanzienlijke verschillen tussen financiële entiteiten qua omvang, bedrijfsprofiel of blootstelling aan digitaal risico. Als algemeen beginsel geldt dat financiële entiteiten, wanneer zij middelen en capaciteiten vrijmaken voor de uitvoering van het kader voor ICT-risicobeheer, hun ICT-gerelateerde behoeften naar behoren moeten afstemmen op hun omvang en bedrijfsprofiel, terwijl de bevoegde autoriteiten de daarbij gehanteerde benadering moeten blijven beoordelen en evalueren.
(34) Aangezien grotere financiële entiteiten doorgaans over meer middelen beschikken en die middelen snel kunnen inzetten om governancestructuren te ontwikkelen en diverse bedrijfsstrategieën op te zetten, moeten alleen financiële entiteiten die geen micro-ondernemingen in de zin van deze verordening zijn, verplicht zijn complexere governanceregelingen op te zetten. Dergelijke entiteiten zijn met name beter toegerust om specifieke beheersfuncties op te zetten voor het toezicht op regelingen met derde aanbieders van ICT-diensten of voor crisisbeheer, om hun ICT-risicobeheer te organiseren volgens het model van drie verdedigingslinies, of om een personeelsdocument op te stellen waarin het beleid inzake toegangsrechten uitvoerig wordt toegelicht.
Evenzo moet het alleen voor dergelijke financiële entiteiten verplicht worden diepgaande evaluaties uit te voeren na grote veranderingen in de infrastructuur en processen van het netwerk en het informatiesysteem, regelmatig risicoanalyses met betrekking tot hun bestaande ICT-systemen uit te voeren en in de testplannen voor bedrijfscontinuïteit en respons en herstel scenario’s op te nemen voor de omschakeling tussen de primaire ICT-infrastructuur en de reservefaciliteiten.
(35) Aangezien alleen die financiële entiteiten die voor geavanceerde tests op digitale veerkracht als significant worden beschouwd, verplicht moeten zijn om dreigingsgestuurde penetratietests uit te voeren, moeten bovendien de administratieve processen en de financiële kosten die de uitvoering van dergelijke tests meebrengt, worden afgewenteld op een klein percentage van de financiële entiteiten. Tot slot moet, om de regeldruk te verlichten, alleen aan andere financiële entiteiten dan micro-ondernemingen worden gevraagd om regelmatig aan de bevoegde autoriteiten verslag uit te brengen over alle kosten en verliezen als gevolg van ICT-verstoringen en over de resultaten van post-incidentenevaluaties na zware ICT-verstoringen.
(36) Om te zorgen voor volledige afstemming en algehele samenhang tussen de bedrijfsstrategieën van financiële entiteiten enerzijds en de uitvoering van ICT-risicobeheer anderzijds, moet het leidinggevend orgaan verplicht zijn een centrale en actieve rol te blijven spelen bij het sturen en aanpassen van het kader voor ICT-risicobeheer en de algemene strategie voor digitale veerkracht. De door het leidinggevend orgaan te volgen aanpak moet niet alleen gericht zijn op middelen om de veerkracht van de ICT-systemen te waarborgen, maar ook op personen en processen. Daarvoor dient een reeks beleidsmaatregelen die op elke bedrijfslaag en bij alle personeelsleden een sterk bewustzijn van cyberrisico’s bevorderen en de wil ondersteunen om op alle niveaus een strikte cyberhygiëne in acht te nemen.
De uiteindelijke verantwoordelijkheid van het leidinggevend orgaan voor het beheer van de ICT-risico’s van een financiële entiteit moet een overkoepelend beginsel van die alomvattende aanpak zijn, dat verder tot uiting komt in een voortdurende betrokkenheid van het leidinggevend orgaan bij de controle van de monitoring van het ICT-risicobeheer.
(37) Volledige verantwoordingsplicht van het leidinggevend orgaan betekent bovendien dat moet worden gezorgd voor voldoende ICT-investeringen en budget, zodat de financiële entiteit haar basisniveau van digitale operationele veerkracht kan bereiken.
(38) Deze verordening, die geïnspireerd is op relevante internationale, nationale en door de sector vastgestelde normen, richtsnoeren, aanbevelingen en benaderingen ten aanzien van het beheer van cyberrisico’s 37 , bevordert een reeks functies die de algemene structurering van het ICT-risicobeheer vergemakkelijken. Zolang de belangrijkste door financiële entiteiten gecreëerde capaciteiten voorzien in de behoeften in verband met de doelstellingen van de in deze verordening beschreven functies (identificatie, bescherming en voorkoming, detectie, respons en herstel, scholing en ontwikkeling en communicatie), staat het de financiële entiteiten vrij om anders opgezette of gecategoriseerde modellen voor ICT-risicobeheer te gebruiken.
(39) Om gelijke tred te houden met ontwikkelingen in het cyberdreigingslandschap, moeten financiële entiteiten geactualiseerde ICT-systemen in stand houden die betrouwbaar zijn en over voldoende capaciteit beschikken om niet alleen de gegevensverwerking te garanderen die nodig is in het kader van hun dienstverlening, maar om ook te zorgen voor technologische veerkracht, zodat zij adequaat kunnen inspelen op extra verwerkingsbehoeften die door gespannen marktomstandigheden of andere ongunstige situaties kunnen ontstaan. Deze verordening brengt geen normalisatie van specifieke ICT-systemen, -instrumenten of -technologieën mee maar vertrouwt op een passend gebruik door financiële entiteiten van Europese en internationaal erkende technische normen (bv. ISO) of beste praktijken in de sector, voor zover dit gebruik volledig strookt met specifieke instructies van de toezichthouder voor het gebruik en de integratie van internationale normen.
(40) Efficiënte bedrijfscontinuïteits- en herstelplannen zijn nodig om financiële entiteiten in staat te stellen snel een oplossing te vinden voor ICT-gerelateerde incidenten, met name cyberaanvallen, door de schade te beperken en prioriteit te geven aan de hervatting van activiteiten en aan herstelmaatregelen. Backupsystemen moeten onverwijld starten met de verwerking, maar hierdoor mogen in geen geval de integriteit en de beveiliging van het netwerk en van de informatiesystemen of de vertrouwelijkheid van gegevens in gevaar komen.
(41) Hoewel deze verordening financiële entiteiten toestaat op flexibele wijze hersteltijddoelstellingen vast te stellen en daarbij dus ten volle rekening kan worden gehouden met de aard en het cruciale karakter van de betrokken functie en met eventuele specifieke bedrijfsbehoeften, moet bij het vaststellen van dergelijke doelstellingen toch ook het mogelijke algemene effect op de marktefficiëntie worden geëvalueerd.
(42) De aanzienlijke gevolgen van cyberaanvallen worden versterkt wanneer zij zich voordoen in de financiële sector, die veel meer risico loopt het doelwit te worden van kwaadwilligen die rechtstreeks aan de bron op zoek zijn naar financieel gewin. Om dergelijke risico’s te beperken en te voorkomen dat ICT-systemen aan integriteit inboeten of onbeschikbaar worden en dat inbreuk wordt gemaakt op vertrouwelijke gegevens of fysieke ICT-infrastructuur wordt beschadigd, moet de rapportage van ernstige ICT-gerelateerde incidenten door financiële entiteiten aanzienlijk worden verbeterd.
De rapportage van ICT-gerelateerde incidenten moet voor alle financiële entiteiten worden geharmoniseerd door hen te verplichten alleen aan hun bevoegde autoriteiten te rapporteren. Hoewel deze rapportageverplichting voor alle financiële entiteiten zou gelden, zouden deze niet allemaal op dezelfde wijze worden getroffen, aangezien materialiteitsdrempels en termijnen zodanig moeten worden afgestemd dat alleen ernstige ICT-gerelateerde incidenten worden gemeld. Directe rapportage zou financiële toezichthouders toegang geven tot informatie over ICT-gerelateerde incidenten. Niettemin moeten financiële toezichthouders deze informatie doorgeven aan niet-financiële overheidsinstanties (voor NIS bevoegde autoriteiten, nationale gegevensbeschermingsautoriteiten en rechtshandhavingsinstanties voor incidenten van criminele aard). De informatie over ICT-gerelateerde incidenten moet onderling worden gedeeld: de financiële toezichthouders moeten de financiële entiteit alle nodige feedback of richtsnoeren geven, terwijl de ETA’s geanonimiseerde gegevens over dreigingen en kwetsbaarheden in verband met een gebeurtenis moeten delen met het oog op een bredere collectieve verdediging.
(43) Er moet verder worden nagedacht over mogelijke centralisatie van rapporten over ICT-gerelateerde incidenten in de vorm van een centrale EU-hub die ofwel de desbetreffende rapporten rechtstreeks ontvangt en de nationale bevoegde autoriteiten daarvan automatisch in kennis stelt, ofwel slechts de door de nationale bevoegde autoriteiten doorgezonden rapporten centraal bewaart en een coördinerende rol vervult. De ETA’s moeten ertoe worden verplicht om uiterlijk op een bepaalde datum in overleg met de ECB en het Enisa een gezamenlijk verslag op te stellen waarin wordt nagegaan of het haalbaar is een dergelijke centrale EU-hub op te richten.
(44) Om een robuuste digitale operationele veerkracht te bereiken, en in overeenstemming met internationale normen (bv. de fundamentele elementen van de G7 voor dreigingsgestuurde penetratietests), moeten financiële entiteiten hun ICT-systemen en personeel regelmatig testen met betrekking tot de doeltreffendheid van hun preventie-, detectie-, respons- en herstelcapaciteiten, om potentiële ICT-kwetsbaarheden aan het licht te brengen en aan te pakken. Om in te spelen op verschillen tussen en binnen de financiële subsectoren met betrekking tot de paraatheid van financiële entiteiten op het gebied van cyberbeveiliging, moeten de tests een breed scala aan instrumenten en acties omvatten, variërend van een beoordeling van de basisvereisten (bv. kwetsbaarheidsbeoordelingen en -scans, open-sourceanalyses, netwerkbeveiligingsbeoordelingen, kloofanalyses, fysieke beveiligingsonderzoeken, vragenlijsten en scanningsoftwareoplossingen, beoordelingen van broncodes indien mogelijk, scenariogebaseerde tests, compatibiliteitstests, prestatietests of eind-tot-eindtests) tot geavanceerdere tests (bv. dreigingsgestuurde penetratietests voor financiële entiteiten die vanuit ICT-perspectief volwassen genoeg zijn om zulke tests uit te voeren). Het testen van de digitale operationele veerkracht moet dus strenger zijn voor belangrijke financiële entiteiten (zoals grote kredietinstellingen, effectenbeurzen, centrale effectenbewaarinstellingen, centrale tegenpartijen, enz.). Tegelijkertijd moet het testen van digitale operationele veerkracht ook relevanter zijn voor sommige subsectoren die een cruciale systemische rol spelen (bv. betalingen, bankwezen, clearing en afwikkeling) en minder relevant voor andere subsectoren (bv. vermogensbeheerders, ratingbureaus enz.). Grensoverschrijdende financiële entiteiten die hun vrijheid van vestiging of dienstverrichting binnen de Unie uitoefenen, moeten in hun lidstaat van herkomst voldoen aan één reeks geavanceerde testvereisten (bv. dreigingsgestuurde penetratietests), en die test moet de ICT-infrastructuur omvatten in alle rechtsgebieden waar de grensoverschrijdende groep binnen de Unie actief is, zodat grensoverschrijdende groepen in slechts één rechtsgebied testkosten hoeven te maken.
(45) Om te zorgen voor een degelijke monitoring van het ICT-risico van derde aanbieders, moet een reeks op beginselen gebaseerde regels worden vastgesteld voor de monitoring door financiële entiteiten van risico’s die zich voordoen in de context van aan derde aanbieders van ICT-diensten uitbestede taken en, meer in het algemeen, in de context van ICT-afhankelijkheid van derden.
(46) Een financiële entiteit moet te allen tijde volledig verantwoordelijk blijven voor de naleving van de verplichtingen uit hoofde van deze verordening. Een evenredige monitoring van risico’s die zich voordoen op het niveau van de derde aanbieder van ICT-diensten, moet worden georganiseerd door terdege rekening te houden met de omvang, de complexiteit en het belang van ICT-gerelateerde afhankelijkheden, het cruciale karakter of het belang van de diensten, processen of functies die onder de contractuele regelingen vallen, en moet uiteindelijk gebaseerd zijn op een zorgvuldige beoordeling van de mogelijke impact op de continuïteit en kwaliteit van financiële diensten op individueel en groepsniveau, naargelang het geval.
(47) De uitvoering van deze monitoring moet een strategische benadering van het ICT-risico van derde aanbieders volgen, die wordt geformaliseerd doordat het leidinggevend orgaan van de financiële entiteit een specifieke strategie goedkeurt die is gebaseerd op een voortdurende screening van alle ICT-afhankelijkheden van derden. Om ervoor te zorgen dat toezichthouders zich beter bewust zijn van ICT-afhankelijkheden van derden, en om het bij deze verordening ingestelde toezichtkader verder te ondersteunen, moeten financiële toezichthouders regelmatig essentiële informatie uit de registers ontvangen en op ad-hocbasis uittreksels daarvan kunnen opvragen.
(48) Aan de formele sluiting van contractuele regelingen moet een grondige precontractuele analyse ten grondslag liggen, terwijl de beëindiging van contracten moet worden voorafgegaan door ten minste een reeks omstandigheden die tekortkomingen bij de derde aanbieder van ICT-diensten aantonen.
(49) Om de systeemeffecten van het risico van concentratie van ICT bij derden aan te pakken, moet de voorkeur worden gegeven aan een evenwichtige oplossing via een flexibele en geleidelijke aanpak, aangezien starre plafonds of strikte beperkingen de bedrijfsvoering en de contractuele vrijheid kunnen belemmeren. Financiële entiteiten moeten contractuele regelingen grondig beoordelen om na te gaan hoe groot de kans is dat een dergelijk risico zich zal voordoen, onder meer door middel van diepgaande analyses van onderaanbestedingsovereenkomsten, met name wanneer die worden gesloten met in een derde land gevestigde aanbieders van ICT-diensten. Om een billijk evenwicht te vinden tussen het behoud van de contractuele vrijheid en de waarborging van de financiële stabiliteit, wordt het op dit ogenblik niet wenselijk geacht te voorzien in strikte plafonds en beperkingen voor ICT-blootstellingen aan derden. De ETA die is aangewezen om toezicht te houden op elke cruciale derde aanbieder van ICT-diensten (“de leidende toezichthouder”), moet bij de uitoefening van toezichtstaken bijzondere aandacht besteden aan het verkrijgen van een volledig inzicht in de omvang van de onderlinge afhankelijkheden en het ontdekken van de specifieke gevallen waarin een hoge mate van concentratie van cruciale derde aanbieders van ICT-diensten in de Unie waarschijnlijk de stabiliteit en integriteit van het financiële stelsel van de Unie onder druk zal zetten, en zij moet, wanneer dat risico wordt vastgesteld, voorzien in een dialoog met cruciale derde aanbieders van ICT-diensten 38 .
(50) Om het vermogen van de derde aanbieder van ICT-diensten om veilig diensten aan de financiële entiteit te verlenen zonder nadelige gevolgen voor de veerkracht van deze entiteit, regelmatig te kunnen evalueren en monitoren, moet harmonisatie plaatsvinden van de belangrijkste contractuele elementen in de hele uitvoering van contracten met derde aanbieders van ICT-diensten. Die elementen hebben alleen betrekking op contractuele minimumaspecten die cruciaal worden geacht om een volledige monitoring door de financiële entiteit mogelijk te maken met het oog op de waarborging van haar digitale veerkracht die berust op de stabiliteit en veiligheid van de ICT-dienst.
(51) Contractuele regelingen moeten met name voorzien in een specificatie van volledige beschrijvingen van functies en diensten, van locaties waar dergelijke functies worden verstrekt en gegevens worden verwerkt, alsook in een indicatie van beschrijvingen van volledige dienstverlening vergezeld van kwantitatieve en kwalitatieve prestatiedoelen met overeengekomen dienstverleningsniveaus om doeltreffende monitoring door de financiële entiteit mogelijk te maken. In dezelfde geest moeten bepalingen inzake toegankelijkheid, beschikbaarheid, integriteit, beveiliging en bescherming van persoonsgegevens, alsook garanties voor toegang, herstel en teruggave in geval van insolventie, afwikkeling of stopzetting van de bedrijfsactiviteiten van de derde aanbieder van ICT-diensten worden beschouwd als essentiële elementen voor het vermogen van een financiële entiteit om te zorgen voor de monitoring van het derdenrisico.
(52) Om ervoor te zorgen dat financiële entiteiten de volledige controle behouden over alle ontwikkelingen die hun ICT-beveiliging in het gedrang kunnen brengen, moeten kennisgevingstermijnen en rapportageverplichtingen van de derde aanbieder van ICT-diensten worden opgenomen in geval van ontwikkelingen met mogelijke materiële impact op het vermogen van de derde aanbieder van ICT-diensten om cruciale of belangrijke functies doeltreffend uit te voeren, inclusief het verlenen van bijstand door laatstgenoemde in geval van een ICT-gerelateerd incident, zonder dat extra kosten worden aangerekend, of tegen vooraf vastgestelde kosten.
(53) Rechten van toegang, inspectie en audit door de financiële entiteit of een aangewezen derde zijn cruciale instrumenten voor de permanente monitoring door de financiële entiteit van de prestaties van de derde aanbieder van ICT-diensten, evenals de volledige medewerking van laatstgenoemde tijdens inspecties. Evenzo moet de bevoegde autoriteit van de financiële entiteit die rechten hebben om, na kennisgeving, de derde aanbieder van ICT-diensten te inspecteren en auditen, onder het voorbehoud van vertrouwelijkheid.
(54) Contractuele regelingen moeten voorzien in duidelijke beëindigingsrechten en bijbehorende minimale opzegtermijnen alsook specifieke exitstrategieën die met name verplichte overgangsperioden mogelijk maken waarin de derde aanbieders van ICT-diensten de relevante functies moeten blijven verrichten om het risico op verstoringen op het niveau van de financiële entiteit te beperken of de financiële entiteit in staat te stellen daadwerkelijk over te stappen naar andere derde aanbieders van ICT-diensten, of anders gebruik te maken van interne oplossingen, in overeenstemming met de complexiteit van de verleende dienst.
(55) Bovendien kan het vrijwillige gebruik van door de Commissie ontwikkelde modelcontractbepalingen voor cloudcomputingdiensten de financiële entiteiten en hun derde aanbieders van ICT-diensten meer zekerheid bieden door de rechtszekerheid over het gebruik van cloudcomputingdiensten door de financiële sector te vergroten, in volledige overeenstemming met de vereisten en verwachtingen van de regelgeving inzake financiële diensten. Deze werkzaamheden bouwen voort op maatregelen die al waren gepland in het FinTech-actieplan van 2018, waarin het voornemen van de Commissie werd aangekondigd om de ontwikkeling van modelcontractbepalingen voor de uitbesteding van cloudcomputingdiensten door financiële entiteiten aan te moedigen en te vergemakkelijken, waarbij gebruik wordt gemaakt van sectoroverschrijdende inspanningen van belanghebbenden op het gebied van cloudcomputingdiensten, die de Commissie met hulp van de financiële sector heeft vergemakkelijkt.
(56) Om de convergentie en efficiëntie met betrekking tot toezichtsbenaderingen van het ICT-risico van derde aanbieders voor de financiële sector te bevorderen, de digitale operationele veerkracht te versterken van financiële entiteiten die voor de uitvoering van operationele taken afhankelijk zijn van cruciale derde aanbieders van ICT-diensten, en zo bij te dragen aan het behoud van de stabiliteit van het financiële stelsel van de Unie en de integriteit van de eengemaakte markt voor financiële diensten, moeten cruciale derde aanbieders van ICT-diensten onderworpen zijn aan een toezichtkader van de Unie.
(57) Aangezien een speciale behandeling alleen gerechtvaardigd is voor cruciale derde aanbieders van ICT-diensten, moet een aanwijzingsmechanisme voor de toepassing van het toezichtkader van de Unie worden ingesteld om rekening te houden met de omvang en de aard van de afhankelijkheid van de financiële sector ten aanzien van dergelijke derde aanbieders van ICT-diensten, hetgeen zich vertaalt in een reeks kwantitatieve en kwalitatieve criteria met parameters om het cruciale karakter vast te stellen waarmee rekening wordt gehouden in het toezichtkader. Cruciale derde aanbieders van ICT-diensten die niet automatisch worden aangewezen op grond van de toepassing van bovengenoemde criteria, moeten de mogelijkheid hebben vrijwillig aan het toezichtkader deel te nemen, terwijl derde aanbieders van ICT-diensten die al onderworpen zijn aan toezichtmechanismen op Eurosysteemniveau ter ondersteuning van de in artikel 127, lid 2, van het Verdrag betreffende de werking van de Europese Unie bedoelde taken, moeten worden vrijgesteld.
(58) De vereiste dat als cruciaal aangemerkte derde aanbieders van ICT-diensten juridisch zijn opgericht in de Unie, houdt geen gegevenslokalisatie in, aangezien deze verordening geen verdere vereisten inzake gegevensopslag of -verwerking in de Unie bevat.
(59) Dit kader mag geen afbreuk doen aan de bevoegdheid van de lidstaten om eigen toezichttaken uit te voeren met betrekking tot derde aanbieders van ICT-diensten die niet cruciaal zijn in de zin van deze verordening maar op nationaal niveau belangrijk kunnen worden geacht.
(60) Om ten volle gebruik te maken van de huidige meerlagige institutionele architectuur op het gebied van financiële diensten, moet het Gemengd Comité van de ETA’s blijven zorgen voor sectoroverschrijdende coördinatie met betrekking tot alle kwesties in verband met ICT-risico, overeenkomstig zijn taken op het gebied van cyberbeveiliging, ondersteund door een nieuw subcomité (het toezichtforum), dat voorbereidende werkzaamheden verricht voor individuele besluiten ten aanzien van cruciale derde aanbieders van ICT-diensten en voor collectieve aanbevelingen, met name inzake het benchmarken van de toezichtprogramma’s van cruciale derde aanbieders van ICT-diensten, alsook het identificeren van beste praktijken voor de aanpak van kwesties in verband met het ICT-concentratierisico.
(61) Om ervoor te zorgen dat in de Unie op vergelijkbare wijze toezicht wordt gehouden op derde aanbieders van ICT-diensten die een cruciale rol vervullen voor de werking van de financiële sector, moet voor elke cruciale derde aanbieder van ICT-diensten een van de ETA’s als leidende toezichthouder worden aangewezen.
(62) Leidende toezichthouders moeten de nodige bevoegdheden hebben om onderzoeken, inspecties ter plaatse en elders met betrekking tot cruciale derde aanbieders van ICT-diensten te verrichten, toegang te krijgen tot alle relevante gebouwen en locaties en volledige en bijgewerkte informatie te verkrijgen, zodat zij in staat zijn daadwerkelijk inzicht te verwerven in het soort, de omvang en de impact van het ICT-risico van derde aanbieders voor financiële entiteiten en uiteindelijk voor het financiële stelsel van de Unie.
Om de systemische dimensie van ICT-risico’s in de financiële sector te onderkennen en aan te pakken, is het een voorwaarde dat de leiding over het toezicht aan de ETA’s wordt toevertrouwd. De voetafdruk in de Unie van cruciale derde aanbieders van ICT-diensten en de daaraan verbonden potentiële kwesties in verband met het ICT-concentratierisico vergen een collectieve aanpak op het niveau van de Unie. Wanneer een groot aantal bevoegde autoriteiten los van elkaar, met weinig of geen coördinatie, vele audits verricht en toegangsrechten uitoefent, zou geen volledig overzicht worden verkregen van het ICT-risico van derde aanbieders, maar zouden wel onnodige redundantie, lasten en complexiteit ontstaan voor de cruciale derde aanbieders van ICT-diensten die met al die verzoeken te maken krijgen.
(63) Daarnaast moeten leidende toezichthouders aanbevelingen kunnen doen over kwesties in verband met ICT-risico en voor passende oplossingen, waaronder de afwijzing van bepaalde contractuele regelingen die uiteindelijk van invloed zijn op de stabiliteit van de financiële entiteit of het financiële stelsel. Als onderdeel van hun taak op het gebied van prudentieel toezicht op financiële entiteiten moeten de nationale bevoegde autoriteiten nagaan of deze inhoudelijke aanbevelingen van de leidende toezichthouders in acht worden genomen.
(64) Het toezichtkader komt op generlei wijze, ook niet gedeeltelijk, in de plaats van het beheer door financiële entiteiten van het risico dat het gebruik van derde aanbieders van ICT-diensten meebrengt, inclusief de verplichting om hun contractuele regelingen met cruciale derde aanbieders van ICT-diensten doorlopend te monitoren. Het laat de volledige verantwoordelijkheid van de financiële entiteiten voor de naleving van alle vereisten van deze verordening en de desbetreffende wetgeving inzake financiële diensten onverlet. Om doublures en overlappingen te voorkomen, moeten de bevoegde autoriteiten afzien van individuele maatregelen om de risico’s van cruciale derde aanbieders van ICT-diensten te monitoren. Dergelijke maatregelen moeten van tevoren worden gecoördineerd en overeengekomen zijn in de context van het toezichtkader.
(65) Om convergentie op internationaal niveau te bevorderen inzake beste praktijken voor de evaluatie van het digitale risicobeheer van derde aanbieders van ICT-diensten, moeten de ETA’s worden aangemoedigd samenwerkingsovereenkomsten te sluiten met de relevante toezichthoudende en regelgevende bevoegde autoriteiten van derde landen om de ontwikkeling van beste praktijken voor het aanpakken van het ICT-risico van derde aanbieders te vergemakkelijken.
(66) Om de technische expertise van deskundigen van de bevoegde autoriteiten op het gebied van beheer van operationeel en ICT-risico ten volle te benutten, moeten de leidende toezichthouders gebruikmaken van nationale toezichtervaring en specifieke onderzoeksteams opzetten voor elke cruciale derde aanbieder van ICT-diensten. Daarbij worden multidisciplinaire teams samengebracht om de voorbereiding en de uitvoering van toezichtactiviteiten, inclusief inspecties ter plaatse bij cruciale derde aanbieders van ICT-diensten, alsook de benodigde follow-up daarvan te ondersteunen.
(67) De bevoegde autoriteiten moeten over alle nodige toezichts-, onderzoeks- en sanctiebevoegdheden beschikken om de toepassing van deze verordening te waarborgen. Administratieve sancties dienen in beginsel te worden bekendgemaakt. Aangezien financiële entiteiten en derde aanbieders van ICT-diensten kunnen zijn gevestigd in verschillende lidstaten en kunnen ressorteren onder het toezicht van verschillende sectorale bevoegde autoriteiten, moet middels wederzijdse uitwisseling van informatie en verlening van bijstand bij het toezicht worden gezorgd voor nauwe samenwerking tussen de relevante bevoegde autoriteiten, met inbegrip van de ECB met betrekking tot de specifieke taken die haar bij Verordening (EU) nr. 1024/2013 39 van de Raad zijn opgedragen, en voor overleg met de ETA’s.
(68) Om de criteria voor de aanwijzing van cruciale derde aanbieders van ICT-diensten verder te kwantificeren en te kwalificeren en de toezichtvergoedingen te harmoniseren, moet de bevoegdheid om handelingen vast te stellen overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie aan de Commissie worden overgedragen met het oog op: verdere specificatie van de systeemeffecten die het falen van een derde aanbieder van ICT-diensten kan hebben voor de financiële entiteiten die hij bedient, de aantallen mondiaal systeemrelevante instellingen (MSI’s) of andere systeemrelevante instellingen (ASI’s) die afhankelijk zijn van de respectieve derde aanbieder van ICT-diensten, het aantal op een specifieke markt actieve derde aanbieders van ICT-diensten, de kosten voor het migreren naar een andere derde aanbieder van ICT-diensten, het aantal lidstaten waar de betrokken derde aanbieder van ICT-diensten diensten verleent en waar financiële entiteiten actief zijn die de betrokken derde aanbieder van ICT-diensten gebruiken, alsook het bedrag van de toezichtvergoedingen en de wijze waarop zij moeten worden betaald.
Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadplegingen overgaat, onder meer op deskundigenniveau, en dat die raadplegingen gebeuren in overeenstemming met de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven 40 . Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen.
(69) Aangezien deze verordening, samen met Richtlijn (EU) 20xx/xx van het Europees Parlement en de Raad 41 een consolidatie inhoudt van de bepalingen inzake ICT-risicobeheer in verschillende verordeningen en richtlijnen van het acquis van de Unie op het gebied van financiële diensten, waaronder de Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014 en (EU) nr. 909/2014, moeten die verordeningen, om te zorgen voor volledige consistentie, worden gewijzigd om te verduidelijken dat de relevante bepalingen inzake ICT-risico in deze verordening zijn opgenomen.
Technische normen moeten zorgen voor een consequente harmonisatie van de in deze verordening neergelegde voorschriften. De ETA’s, als organen met hooggespecialiseerde expertise, moeten worden belast met de ontwikkeling van ontwerpen van technische reguleringsnormen die geen beleidskeuzen inhouden, met het oog op de voorlegging ervan aan de Commissie. Er moeten technische reguleringsnormen worden ontwikkeld op het gebied van ICT-risicobeheer, rapportage, tests en essentiële vereisten voor een degelijke monitoring van het ICT-risico van derde aanbieders.
(70) Het is van bijzonder belang dat de Commissie tijdens haar voorbereidend werk tot passende raadpleging overgaat, ook op deskundigenniveau. De Commissie en de ETA’s dienen ervoor te zorgen dat die normen en vereisten door alle financiële entiteiten kunnen worden toegepast op een wijze die in verhouding staat tot de aard, de omvang en de complexiteit van die entiteiten en hun activiteiten.
(71) Om de vergelijkbaarheid van meldingen van ernstige ICT-gerelateerde incidenten te vergemakkelijken en te zorgen voor transparantie over contractuele regelingen voor het gebruik van ICT-diensten van derde aanbieders, moeten de ETA’s de opdracht krijgen ontwerpen van technische uitvoeringsnormen te ontwikkelen waarin gestandaardiseerde templates, formulieren en procedures voor het melden van ernstige ICT-gerelateerde incidenten door financiële entiteiten worden vastgesteld, alsook gestandaardiseerde templates voor het informatieregister. Bij het uitwerken van die normen moeten de ETA’s rekening houden met de omvang en de complexiteit van financiële entiteiten, alsook met de aard en risicograad van hun activiteiten. De Commissie dient bevoegd te zijn die technische uitvoeringsnormen vast te stellen door middel van gedelegeerde handelingen krachtens artikel 291 VWEU en in overeenstemming met artikel 15 van respectievelijk de Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 en (EU) nr. 1095/2010. Aangezien al verdere vereisten zijn vastgesteld door middel van gedelegeerde en uitvoeringshandelingen op basis van technische regulerings- en uitvoeringsnormen in respectievelijk de Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014 en (EU) nr. 909/2014, is het passend de ETA’s, afzonderlijk of gezamenlijk via het Gemengd Comité, opdracht te geven bij de Commissie technische regulerings- en uitvoeringsnormen in te dienen met het oog op de vaststelling van gedelegeerde en uitvoeringshandelingen waarin de bestaande regels voor ICT-risicobeheer worden overgenomen en bijgewerkt.
(72) Deze operatie zal leiden tot latere wijziging van bestaande gedelegeerde en uitvoeringshandelingen op verschillende gebieden van de wetgeving inzake financiële diensten. Het toepassingsgebied van de artikelen over operationeel risico op grond waarvan bevoegdheidsdelegaties in die handelingen noodzakelijkerwijs tot de vaststelling van gedelegeerde en uitvoeringshandelingen hebben geleid, moet worden gewijzigd om alle bepalingen met betrekking tot de digitale operationele veerkracht die momenteel deel uitmaken van die verordeningen, in deze verordening over te nemen.
(73) Aangezien de doelstellingen van deze verordening, namelijk het bereiken van een hoog niveau van digitale operationele veerkracht voor alle financiële entiteiten, niet voldoende door de lidstaten kunnen worden verwezenlijkt omdat zulks de harmonisatie vereist van een veelheid van verschillende voorschriften die thans in sommige handelingen van de Unie of in de rechtsstelsels van de diverse lidstaten bestaan, maar, vanwege de omvang en de gevolgen ervan, beter door de Unie kunnen worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel, gaat deze verordening niet verder dan nodig is om deze doelstelling te verwezenlijken.