Richtlijn 2022/2556 - Wijziging van de Richtlijnen 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 en (EU) 2016/2341 wat betreft digitale operationele weerbaarheid voor de financiële sector - Hoofdinhoud

NL

Publicatieblad van de Europese Unie

L 333/153

De Unie moet zorgen voor een passende en alomvattende aanpak van de digitale risico's voor alle financiële entiteiten die voortvloeien uit een toegenomen gebruik van informatie- en communicatietechnologie (ICT) bij de verstrekking en het verbruik van financiële diensten, en daarbij bijdragen aan de verwezenlijking van het potentieel van digitale financiering, door innovatie te stimuleren en mededinging in een veilige digitale omgeving te bevorderen.

Financiële entiteiten zijn sterk afhankelijk van het gebruik van digitale technologieën in hun dagelijkse activiteiten. Het is daarom van het grootste belang dat de operationele weerbaarheid van hun digitale operaties tegen ICT-risico's gewaarborgd blijft. Dit is des te belangrijker vanwege de groei van baanbrekende technologieën in de markt, met name technologieën waardoor het mogelijk wordt digitale weergaven van waarde of rechten elektronisch over te dragen en te bewaren met behulp van distributed ledger of soortgelijke technologie (cryptoactiva), en de groei van diensten die met die activa verband houden.

Vereisten betreffende het beheer van het ICT-risico in de financiële sector zijn op het niveau van de Unie momenteel vastgelegd in de Richtlijnen 2009/65/EG (4), 2009/138/EG (5), 2011/61/EU (6), 2013/36/EU (7), 2014/59/EU (8), 2014/65/EU (9), (EU) 2015/2366 (10) en (EU) 2016/2341 (11) van het Europees Parlement en de Raad. Die vereisten zijn erg uiteenlopend en soms onvolledig.

In een aantal gevallen is het ICT-risico slechts impliciet aangepakt als onderdeel van het operationele risico, en in andere gevallen zelfs helemaal niet. Die problemen worden verholpen door de vaststelling van Verordening (EU) 2022/2554 van het Europees Parlement en de Raad (12). De voornoemde richtlijnen moeten derhalve worden gewijzigd om ze in overeenstemming te brengen met die verordening. Deze richtlijn bevat een reeks wijzigingen die noodzakelijk zijn om te zorgen voor juridische duidelijkheid en consistentie indien financiële entiteiten waaraan vergunningen werden verleend en waarop toezicht wordt uitgeoefend overeenkomstig die richtlijnen, diverse vereisten inzake digitale operationele weerbaarheid toepassen die nodig zijn voor de uitoefening hun activiteiten en voor de verrichting van diensten, zodat de goede werking van de interne markt wordt gewaarborgd. Er moet voor worden gezorgd dat die vereisten aansluiten bij de marktontwikkelingen en tegelijkertijd de proportionaliteit aanmoedigen, met name wat betreft de omvang van de financiële entiteiten en de specifieke regelgeving waaraan zij onderworpen zijn, met als doel de nalevingskosten te verminderen.

Op het gebied van bankdiensten bevat Richtlijn 2013/36/EU momenteel enkel algemene interne governanceregels en operationeelrisicobepalingen met vereisten voor nood- en bedrijfscontinuïteitsplannen, die impliciet als basis dienen voor ICT-risicobeheer. Om het ICT-risico echter expliciet en duidelijk aan te pakken, moeten...