Директива (ЕС) 2022/2556 Европейского парламента и Совета от 14 декабря 2022 года, вносящая поправки в Директивы 2009/65/EC, 2009/138/EC, 2011/61/EU, 2013/36/EU, 2014/59/EU , 2014/65/EU, (EU) 2015/2366 и (EU) 2016/2341 в отношении цифровой операционной устойчивости финансового сектора (текст имеет отношение к ЕЭЗ)

27.12.2022

В

Официальный журнал Европейского Союза

Л 333/153

ДИРЕКТИВА (ЕС) 2022/2556 ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА

от 14 декабря 2022 г.

вносящие поправки в Директивы 2009/65/EC, 2009/138/EC, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 и (EU) 2016/ 2341 в отношении цифровой операционной устойчивости финансового сектора.

(Текст, имеющий отношение к ЕЭЗ)

ЕВРОПЕЙСКИЙ ПАРЛАМЕНТ И СОВЕТ ЕВРОПЕЙСКОГО СОЮЗА,

Принимая во внимание Договор о функционировании Европейского Союза и, в частности, его статьи 53(1) и 114,

Принимая во внимание предложение Европейской комиссии,

После передачи проекта законодательного акта национальным парламентам,

Принимая во внимание мнение Европейского центрального банка (1),

Принимая во внимание мнение Европейского экономического и социального комитета (2),

Действуя в соответствии с обычной законодательной процедурой (3),

Тогда как:

(1)

Союзу необходимо адекватно и всесторонне устранять цифровые риски для всех финансовых организаций, возникающие в результате более широкого использования информационных и коммуникационных технологий (ИКТ) при предоставлении и потреблении финансовых услуг, тем самым способствуя реализации потенциала цифровых финансов с точки зрения стимулирования инноваций и развития конкуренции в безопасной цифровой среде.

(2)

Финансовые организации в значительной степени зависят от использования цифровых технологий в своей повседневной деятельности. Поэтому крайне важно обеспечить операционную устойчивость своих цифровых операций к рискам, связанным с ИКТ. Эта потребность стала еще более насущной в связи с ростом революционных технологий на рынке, в частности технологий, позволяющих передавать и хранить цифровые представления стоимости или прав в электронном виде, используя распределенный реестр или аналогичную технологию (криптоактивы), а также услуги, связанные с этими активами.

(3)

На уровне Союза требования, связанные с управлением рисками ИКТ в финансовом секторе, в настоящее время предусмотрены в Директивах 2009/65/EC (4), 2009/138/EC (5), 2011/61/EU (6), 2013/36/ЕС (7), 2014/59/ЕС (8), 2014/65/ЕС (9), (ЕС) 2015/2366 (10) и (ЕС) 2016/2341 (11) Европейского парламента и Совета.

Эти требования разнообразны и иногда неполны. В некоторых случаях риск ИКТ рассматривался лишь косвенно как часть операционного риска, а в других случаях он не учитывался вообще. Эти проблемы устраняются принятием Регламента (ЕС) 2022/2554 Европейского парламента и Совета (12). Поэтому в эти Директивы следует внести поправки, чтобы обеспечить их соответствие этому Регламенту. Настоящая Директива вводит ряд поправок, которые необходимы для внесения юридической ясности и последовательности в отношении применения финансовыми организациями, уполномоченными и контролируемыми в соответствии с этими Директивами, различных требований цифровой операционной устойчивости, которые необходимы для осуществления их деятельности и в предоставлении услуг, гарантируя тем самым бесперебойное функционирование внутреннего рынка. Необходимо обеспечить адекватность этих требований по отношению к развитию рынка, одновременно поощряя пропорциональность, в частности, в отношении размера финансовых организаций и конкретных режимов, которым они подчиняются, с целью снижения затрат на соблюдение требований.

(4)

В области банковских услуг Директива 2013/36/ЕС в настоящее время устанавливает только общие правила внутреннего управления и положения об операционном риске, содержащие требования к планам действий в чрезвычайных ситуациях и непрерывности бизнеса, которые косвенно служат основой для устранения рисков ИКТ. Однако для того, чтобы четко и четко решать риски ИКТ, требования к планам действий в чрезвычайных ситуациях и непрерывности бизнеса следует внести поправки, включив в них также планы обеспечения непрерывности бизнеса, а также планы реагирования и восстановления, касающиеся рисков ИКТ, в соответствии с требованиями, изложенными в Регламенте (ЕС). 2022/2554. Более того, риск ИКТ лишь косвенно включается как часть операционного риска в процесс надзорного анализа и оценки (SREP), выполняемый компетентными органами, а критерии его оценки в настоящее время определены в Руководстве по оценке рисков ИКТ в рамках надзорного надзора и Процесс оценки (SREP), выпущенный Европейским надзорным органом (Европейское банковское управление) (EBA), установленный Регламентом (ЕС) № 1093/2010 Европейского парламента и Совета (13). Чтобы обеспечить юридическую ясность и гарантировать, что органы банковского надзора эффективно выявляют риски ИКТ и контролируют управление ими финансовыми организациями в соответствии с новой структурой цифровой операционной устойчивости, в сферу действия SREP также следует внести поправки, включив в них прямую ссылку на требования изложенных в Регламенте (ЕС) 2022/2554, и, в частности, для покрытия рисков, выявленных в отчетах о крупных инцидентах, связанных с ИКТ, и в результатах тестирования цифровой операционной устойчивости, проводимого финансовыми организациями в соответствии с этим Регламентом.

(5)

Цифровая операционная устойчивость необходима для сохранения важнейших функций и основных направлений деятельности финансовой организации в случае ее санации и, таким образом, для предотвращения сбоев в реальной экономике и финансовой системе. Крупные операционные инциденты могут ограничить способность финансового учреждения продолжать свою деятельность и поставить под угрозу цели урегулирования. Определенные договорные соглашения об использовании услуг ИКТ необходимы для обеспечения непрерывности работы и предоставления необходимых данных в случае разрешения конфликта. Чтобы соответствовать целям структуры Союза по обеспечению эксплуатационной устойчивости, в Директиву 2014/59/ЕС следует внести соответствующие поправки, чтобы гарантировать, что информация, касающаяся эксплуатационной устойчивости, принимается во внимание в контексте планирования ликвидации последствий и оценка платежеспособности финансовых организаций.

(6)

Директива 2014/65/EU устанавливает более строгие правила рисков в сфере ИКТ для инвестиционных компаний и торговых площадок, занимающихся алгоритмической торговлей. Менее подробные требования применяются к службам предоставления данных и торговым хранилищам. Кроме того, Директива 2014/65/ЕС содержит лишь ограниченные ссылки на меры контроля и защиты систем обработки информации, а также на использование соответствующих систем, ресурсов и процедур для обеспечения непрерывности и регулярности бизнес-услуг. Кроме того, эта Директива должна быть приведена в соответствие с Регламентом (ЕС) 2022/2554 в отношении непрерывности и регулярности предоставления инвестиционных услуг и осуществления инвестиционной деятельности, операционной устойчивости, мощности торговых систем и эффективности механизмов обеспечения непрерывности бизнеса. и управление рисками.

(7)

Директива (ЕС) 2015/2366 устанавливает конкретные правила контроля безопасности ИКТ и элементов смягчения последствий для целей получения разрешения на предоставление платежных услуг. В эти правила авторизации следует внести поправки, чтобы привести их в соответствие с Регламентом (ЕС) 2022/2554. Кроме того, чтобы уменьшить административное бремя и избежать сложности и дублирования требований к отчетности, правила сообщения о происшествиях в этой Директиве должны перестать применяться к поставщикам платежных услуг, которые регулируются этой Директивой, а также подпадают под действие Регламента (ЕС) 2022/2554. , что позволяет этим поставщикам платежных услуг воспользоваться единым, полностью гармонизированным механизмом отчетности об инцидентах в отношении всех инцидентов, связанных с операционными операциями или безопасностью платежей, независимо от того, связаны ли такие инциденты с ИКТ.

(8)

Директивы 2009/138/EC и (ЕС) 2016/2341 частично отражают риски ИКТ в своих общих положениях по управлению и управлению рисками, оставляя определенные требования уточняться посредством делегированных актов с конкретными ссылками на риски ИКТ или без них. Аналогичным образом, только очень общие правила применяются к менеджерам альтернативных инвестиционных фондов, подпадающих под действие Директивы 2011/61/ЕС, и управляющим компаниям, подпадающим под действие Директивы 2009/65/EC. Таким образом, эти Директивы должны быть приведены в соответствие с требованиями, изложенными в Регламенте (ЕС) 2022/2554 в отношении управления системами и инструментами ИКТ.

(9)

Во многих случаях дополнительные требования к рискам ИКТ уже изложены в делегированных и реализующих актах, принятых на основе проектов нормативных технических стандартов и проектов реализующих технических стандартов, разработанных компетентным Европейским надзорным органом. Поскольку положения Регламента (ЕС) 2022/2554 отныне составляют правовую основу для рисков ИКТ в финансовом секторе, определенные полномочия по принятию делегированных и имплементационных актов в Директивах 2009/65/EC, 2009/138/EC, 2011/61/ В ЕС и 2014/65/ЕС следует внести поправки, чтобы исключить положения о рисках ИКТ из сферы действия этих полномочий.

(10)

Чтобы обеспечить последовательное внедрение новой структуры цифровой операционной устойчивости финансового сектора, государства-члены должны применять положения национального законодательства, транспонирующие настоящую Директиву, с даты применения Регламента (ЕС) 2022/2554.

(11)

Директивы 2009/65/ЕС, 2009/138/ЕС, 2011/61/ЕС, 2013/36/ЕС, 2014/59/ЕС, 2014/65/ЕС, (ЕС) 2015/2366 и (ЕС) 2016/2341 были приняты на основании статьи 53(1) или статьи 114 Договора о функционировании Европейского Союза (TFEU) или того и другого. Изменения в настоящую Директиву включены в единый законодательный акт ввиду взаимосвязанности предмета и целей изменений. Следовательно, настоящая Директива должна быть принята на основании как статьи 53(1), так и статьи 114 ДФЕС.

(12)

Поскольку цели настоящей Директивы не могут быть в достаточной степени достигнуты государствами-членами, поскольку они влекут за собой гармонизацию требований, уже содержащихся в Директивах, но могут, скорее, из-за масштаба и последствий действия, быть лучше достигнуты на уровне Союза, Союз может принять меры в соответствии с принципом субсидиарности, изложенным в статье 5 Договора о Европейском Союзе. В соответствии с принципом пропорциональности, изложенным в этой статье, настоящая Директива не выходит за рамки того, что необходимо для достижения этих целей.

(13)

В соответствии с Совместной политической декларацией государств-членов ЕС и Комиссии о пояснительных документах от 28 сентября 2011 г. (14) государства-члены обязались в обоснованных случаях сопровождать уведомление о своих мерах по транспозиции одним или несколькими документами, разъясняющими взаимосвязь между компоненты директивы и соответствующие части национальных инструментов транспонирования. Применительно к настоящей Директиве законодатель считает обоснованной передачу таких документов,

ПРИНЯЛИ НАСТОЯЩУЮ ДИРЕКТИВУ:

Статья 1

Поправки к Директиве 2009/65/EC

В статью 12 Директивы 2009/65/EC внесены следующие поправки:

(1)

в абзаце втором пункта 1 пункт (а) заменен следующим:

'(а)

имеет надежные административные и бухгалтерские процедуры, механизмы контроля и защиты для электронной обработки данных, в том числе в отношении сетевых и информационных систем, которые созданы и управляются в соответствии с Регламентом (ЕС) 2022/2554 Европейского парламента и Совета (* 1), а также адекватные механизмы внутреннего контроля, включая, в частности, правила для личных операций своих сотрудников или для владения или управления инвестициями в финансовые инструменты с целью инвестирования за свой счет и обеспечения, по крайней мере, того, чтобы каждый сделка с участием UCITS может быть реконструирована в зависимости от ее происхождения, сторон, ее характера, а также времени и места, в которых она была совершена, а также того, что активы UCITS, находящиеся под управлением управляющей компании, инвестируются в соответствии с правилами фонда или учредительные документы и действующие правовые положения;

(*1)  Регламент (ЕС) 2022/2554 Европейского парламента и Совета от 14 декабря 2022 г. о цифровой операционной устойчивости финансового сектора и внесении изменений в Регламенты (ЕС) № 1060/2009, (ЕС) № 648/2012, (ЕС) № 600/2014, (ЕС) № 909/2014 и (ЕС) 2016/1011 (ОЖ L333, 27.12.2022, стр. 1).';"

(2)

пункт 3 заменен следующим:

'3. Без ущерба для статьи 116 Комиссия принимает посредством делегированных актов в соответствии со статьей 112a меры, определяющие:

(а)

процедуры и меры, указанные в пункте (а) второго подабзаца пункта 1, кроме процедур и мер, касающихся сетевых и информационных систем;

(б)

структуры и организационные требования для минимизации конфликта интересов, указанного в пункте (b) второго подабзаца пункта 1.».

Статья 2

Поправки к Директиве 2009/138/EC

В Директиву 2009/138/EC внесены следующие поправки:

(1)

в статье 41 абзац 4 заменен следующим:

'4. Страховые и перестраховочные организации должны принимать разумные меры для обеспечения непрерывности и регулярности своей деятельности, включая разработку планов действий в чрезвычайных ситуациях. С этой целью предприятия должны использовать соответствующие и соразмерные системы, ресурсы и процедуры и, в частности, создавать и управлять сетями и информационными системами в соответствии с Регламентом (ЕС) 2022/2554 Европейского парламента и Совета ( *2).

(*2)  Регламент (ЕС) 2022/2554 Европейского парламента и Совета от 14 декабря 2022 года о цифровой операционной устойчивости финансового сектора и внесении изменений в Регламенты (ЕС) № 1060/2009, (ЕС) № 648/2012, (ЕС) № 600/2014, (ЕС) № 909/2014 и (ЕС) 2016/1011 (ОЖ L333, 27.12.2022, стр. 1).';"

(2)

в статье 50(1) пункты (a) и (b) заменены следующими:

'(а)

элементы систем, упомянутых в статье 41, статье 44, в частности области, перечисленные в статье 44(2), а также статьях 46 и 47, кроме элементов, касающихся управления рисками в сфере информационных и коммуникационных технологий;

(б)

функции, указанные в статьях 44, 46, 47 и 48, кроме функций, связанных с управлением рисками в области информационных и коммуникационных технологий.».

Статья 3

Поправка к Директиве 2011/61/ЕС

Статья 18 Директивы 2011/61/ЕС заменена следующей:

«Статья 18

Общие принципы

1.   Государства-члены должны требовать, чтобы AIFM всегда использовали адекватные и соответствующие человеческие и технические ресурсы, необходимые для надлежащего управления AIF.

В частности, компетентные органы государства-члена происхождения AIFM, принимая во внимание также характер AIF, управляемых AIFM, должны требовать, чтобы AIFM имел надежные административные и бухгалтерские процедуры, механизмы контроля и защиты для электронной обработки данных, в том числе в отношении сетевых и информационных систем, которые созданы и управляются в соответствии с Регламентом (ЕС) 2022/2554 Европейского парламента и Совета (*3), а также адекватных механизмов внутреннего контроля, включая, в частности, правила для личных сделок своих сотрудников или для владения или управления инвестициями с целью инвестирования за свой счет и обеспечения, по крайней мере, того, чтобы каждая сделка с участием AIF могла быть реконструирована в соответствии с ее происхождением, сторонами, ее характером , а также время и место, в которых оно было совершено, и что активы AIF, управляемые AIFM, инвестируются в соответствии с правилами или учредительными документами AIF, а также действующими правовыми положениями.

2.   Комиссия посредством делегированных актов в соответствии со статьей 56 и с учетом условий статей 57 и 58 принимает меры, определяющие процедуры и меры, указанные в пункте 1 настоящей статьи, кроме процедур и мер, касающихся сети и информационные системы.

Статья 4

Поправки к Директиве 2013/36/ЕС

В Директиву 2013/36/EU внесены следующие поправки:

(1)

в статье 65(3) пункт (a)(vi) заменен следующим:

'(vi)

третьи стороны, которым организации, упомянутые в пунктах (i) – (iv), передали на аутсорсинг функции или деятельность, включая сторонних поставщиков услуг ИКТ, упомянутых в Главе V Регламента (ЕС) 2022/2554 Европейского Парламента и Совет (*4);

(*4)  Регламент (ЕС) 2022/2554 Европейского парламента и Совета от 14 декабря 2022 года о цифровой операционной устойчивости финансового сектора и внесении изменений в Регламент (ЕС) № 1060/2009, (ЕС) № 648/2012, (ЕС) № 600/2014, (ЕС) № 909/2014 и (ЕС) 2016/1011 (ОЖ L333, 27.12.2022, стр. 1).';"

(2)

в статье 74(1) первый абзац заменен следующим:

«Учреждения должны иметь надежные механизмы управления, которые включают в себя четкую организационную структуру с четко определенными, прозрачными и последовательными линиями ответственности, эффективные процессы для выявления, управления, мониторинга и отчетности о рисках, которым они подвергаются или могут подвергаться, адекватные механизмы внутреннего контроля. , включая надежные процедуры администрирования и бухгалтерского учета, сетевые и информационные системы, которые созданы и управляются в соответствии с Регламентом (ЕС) 2022/2554, а также политику и практику вознаграждения, которые соответствуют и способствуют разумному и эффективному управлению рисками.';

(3)

в статье 85 абзац 2 заменен следующим:

'2. Компетентные органы должны гарантировать, что учреждения имеют адекватные политики и планы на случай непредвиденных обстоятельств и обеспечения непрерывности бизнеса, включая политики и планы обеспечения непрерывности бизнеса в сфере ИКТ, а также планы реагирования и восстановления ИКТ для технологий, которые они используют для передачи информации, и что эти планы разрабатываются, управляются и проверяются. в соответствии со статьей 11 Регламента (ЕС) 2022/2554, чтобы позволить учреждениям продолжать работу в случае серьезного сбоя в бизнесе и ограничить убытки, понесенные в результате такого сбоя.';

(4)

в статью 97(1) добавлен следующий пункт:

'(г)

риски, выявленные в ходе тестирования цифровой операционной устойчивости в соответствии с Главой IV Регламента (ЕС) 2022/2554.».

Статья 5

Поправки к Директиве 2014/59/ЕС

В Директиву 2014/59/ЕС внесены следующие поправки:

(1)

В статью 10 внесены следующие изменения:

(а)

в пункте 7 пункт (в) заменен следующим:

'(с)

демонстрация того, как критически важные функции и основные направления деятельности могут быть юридически и экономически отделены, насколько это необходимо, от других функций, чтобы обеспечить непрерывность и цифровую операционную устойчивость в случае сбоя учреждения;»;

(б)

в пункте 7 пункт (ц) заменен следующим:

'(q)

описание основных операций и систем для поддержания непрерывного функционирования операционных процессов учреждения, включая сетевые и информационные системы, как указано в Регламенте (ЕС) 2022/2554 Европейского парламента и Совета (*5);

(*5)  Регламент (ЕС) 2022/2554 Европейского парламента и Совета от 14 декабря 2022 г. о цифровой операционной устойчивости финансового сектора и внесении изменений в Регламенты (ЕС) № 1060/2009, (ЕС) № 648/2012, (ЕС) № 600/2014, (ЕС) № 909/2014 и (ЕС) 2016/1011 (ОЖ L333, 27.12.2022, стр. 1).';"

(с)

пункт 9 дополнить абзацем следующего содержания:

«В соответствии со статьей 10 Регламента (ЕС) № 1093/2010, EBA должно пересмотреть и, при необходимости, обновить нормативные технические стандарты, чтобы, среди прочего, принять во внимание положения Главы II Регламента (ЕС) 2022. /2554.';

(2)

в Приложение вносятся следующие изменения:

(а)

в разделе А пункт (16) заменен следующим:

'(16)

механизмы и меры, необходимые для поддержания непрерывного функционирования операционных процессов учреждения, включая сетевые и информационные системы, которые создаются и управляются в соответствии с Регламентом (ЕС) 2022/2554;’;

(б)

В раздел Б внесены следующие изменения:

(я)

пункт (14) заменяется следующим:

'(14)

идентификация владельцев систем, указанных в пункте (13), связанных с ними соглашений об уровне обслуживания, а также любого программного обеспечения, систем или лицензий, включая сопоставление с их юридическими лицами, критическими операциями и основными направлениями деятельности, а также идентификация сторонние поставщики критически важных ИКТ-услуг, как это определено в пункте (23) статьи 3 Регламента (ЕС) 2022/2554;';

(ii)

вставлен следующий пункт:

'(14а)

результаты тестирования цифровой операционной устойчивости учреждений в соответствии с Регламентом (ЕС) 2022/2554;»;

(с)

В раздел С внесены следующие изменения:

(я)

пункт (4) заменен следующим:

'(4)

степень, в которой соглашения об оказании услуг, включая договорные соглашения об использовании услуг ИКТ, которые поддерживает учреждение, являются надежными и полностью осуществимыми в случае санации учреждения;»;

(ii)

вставлен следующий пункт:

4а

цифровая операционная устойчивость сети и информационных систем, поддерживающих критически важные функции и основные направления деятельности учреждения, с учетом отчетов о крупных инцидентах, связанных с ИКТ, и результатов тестирования цифровой операционной устойчивости в соответствии с Регламентом (ЕС) 2022/2554;

Статья 6

Поправки к Директиве 2014/65/ЕС

В Директиву 2014/65/ЕС внесены следующие поправки:

(1)

В статью 16 внесены следующие изменения:

(а)

пункт 4 заменен следующим:

'4. Инвестиционная фирма должна принимать разумные меры для обеспечения непрерывности и регулярности оказания инвестиционных услуг и деятельности. С этой целью инвестиционная фирма должна использовать соответствующие и соразмерные системы, включая системы информационных и коммуникационных технологий («ИКТ»), которые создаются и управляются в соответствии со статьей 7 Регламента (ЕС) 2022/2554 Европейского парламента и Совет (*6), а также соответствующие и соразмерные ресурсы и процедуры.

(*6)  Регламент (ЕС) 2022/2554 Европейского парламента и Совета от 14 декабря 2022 г. о цифровой операционной устойчивости финансового сектора и внесении изменений в Регламенты (ЕС) № 1060/2009, (ЕС) № 648/2012, (ЕС) № 600/2014, (ЕС) № 909/2014 и (ЕС) 2016/1011 (ОЖ L333, 27.12.2022, стр. 1).';"

(б)

в пункте 5 абзацы второй и третий заменить следующим:

«Инвестиционная фирма должна иметь надежные административные и бухгалтерские процедуры, механизмы внутреннего контроля и эффективные процедуры оценки рисков.

Без ущерба для возможности компетентных органов требовать доступ к коммуникациям в соответствии с настоящей Директивой и Регламентом (ЕС) № 600/2014, инвестиционная фирма должна иметь надежные механизмы безопасности для обеспечения в соответствии с требованиями, изложенными в Регламенте. (ЕС) 2022/2554, безопасность и аутентификация средств передачи информации, чтобы свести к минимуму риск повреждения данных и несанкционированного доступа, а также предотвратить утечку информации, тем самым постоянно сохраняя конфиденциальность данных.';

(2)

В статью 17 внесены следующие изменения:

(а)

пункт 1 заменен следующим:

'1. Инвестиционная фирма, которая занимается алгоритмической торговлей, должна иметь эффективные системы и средства контроля рисков, подходящие для бизнеса, которым она управляет, чтобы гарантировать, что ее торговые системы устойчивы и имеют достаточную мощность в соответствии с требованиями, изложенными в Главе II Регламента (ЕС). 2022/2554, подлежат соответствующим торговым порогам и ограничениям и предотвращают отправку ошибочных приказов или иное функционирование систем, которое может создать или способствовать беспорядку на рынке.

Такая фирма также должна иметь эффективные системы и средства контроля рисков, чтобы гарантировать, что торговые системы не могут использоваться для каких-либо целей, противоречащих Регламенту (ЕС) № 596/2014 или правилам торговой площадки, к которой она подключена.

Инвестиционная фирма должна иметь эффективные механизмы обеспечения непрерывности бизнеса для устранения любых сбоев в своих торговых системах, включая политику и планы обеспечения непрерывности бизнеса в сфере ИКТ, а также планы реагирования и восстановления ИКТ, установленные в соответствии со статьей 11 Регламента (ЕС) 2022/2554, и должен обеспечить полное тестирование и надлежащий мониторинг своих систем, чтобы гарантировать, что они соответствуют общим требованиям, изложенным в этом параграфе, и любым конкретным требованиям, изложенным в Главах II и IV Регламента (ЕС) 2022/2554.';

(б)

в пункте 7 пункт (а) заменен следующим:

'(а)

подробные сведения об организационных требованиях, изложенных в пунктах 1–6, кроме тех, которые связаны с управлением рисками в сфере ИКТ, которые должны предъявляться к инвестиционным фирмам, предоставляющим различные инвестиционные услуги, инвестиционную деятельность, вспомогательные услуги или их комбинации, при этом спецификации в отношении организационные требования, изложенные в параграфе 5, должны устанавливать конкретные требования к прямому доступу к рынку и к спонсируемому доступу таким образом, чтобы гарантировать, что меры контроля, применяемые к спонсируемому доступу, по меньшей мере эквивалентны тем, которые применяются к прямому доступу к рынку;';

(3)

в статью 47 пункт 1 изложить в следующей редакции:

(а)

пункт (б) заменяется следующим:

'(б)

быть адекватно оснащенным для управления рисками, которым он подвергается, в том числе для управления рисками ИКТ в соответствии с Главой II Регламента (ЕС) 2022/2554, для внедрения соответствующих механизмов и систем для выявления значительных рисков для его работы, а также для того, чтобы принять эффективные меры по смягчению этих рисков;';

(б)

пункт (в) исключен;

(4)

В статью 48 внесены следующие изменения:

(а)

пункт 1 заменен следующим:

'1. Государства-члены должны требовать от регулируемого рынка создания и поддержания своей операционной устойчивости в соответствии с требованиями, изложенными в Главе II Регламента (ЕС) 2022/2554, чтобы гарантировать, что его торговые системы устойчивы, имеют достаточную мощность для обработки пиковых заказов и сообщений. объемов, способны обеспечить упорядоченную торговлю в условиях серьезного рыночного стресса, полностью проверены на предмет соблюдения таких условий и на них распространяются эффективные механизмы обеспечения непрерывности бизнеса, включая политику и планы обеспечения непрерывности бизнеса в сфере ИКТ, а также планы реагирования и восстановления в области ИКТ, установленные в соответствии с Статья 11 Регламента (ЕС) 2022/2554, призванная обеспечить непрерывность оказания услуг в случае сбоя в торговых системах.';

(б)

пункт 6 заменен следующим:

'6. Государства-члены должны требовать от регулируемого рынка наличия эффективных систем, процедур и механизмов, в том числе требовать от членов или участников проведения соответствующего тестирования алгоритмов и предоставления условий для облегчения такого тестирования в соответствии с требованиями, изложенными в главах II и IV Регламент (ЕС) 2022/2554, гарантирующий, что алгоритмические торговые системы не могут создавать или способствовать беспорядочным торговым условиям на рынке, а также управлять любыми беспорядочными торговыми условиями, которые действительно возникают в результате таких алгоритмических торговых систем, включая системы для ограничения доли неисполненных ордеров. к транзакциям, которые могут быть введены в систему участником или участником, иметь возможность замедлить поток ордеров, если существует риск превышения пропускной способности системы, а также ограничить и обеспечить соблюдение минимального размера тика, который может быть исполнен на магазин.';

(с)

пункт 12 изложить в следующей редакции:

(я)

пункт (а) заменяется следующим:

'(а)

требования по обеспечению устойчивости и достаточной мощности торговых систем регулируемых рынков, за исключением требований, связанных с цифровой операционной устойчивостью;»;

(ii)

пункт (g) заменяется следующим:

'(г)

требования по обеспечению надлежащего тестирования алгоритмов, кроме тестирования цифровой операционной устойчивости, чтобы гарантировать, что алгоритмические торговые системы, включая высокочастотные алгоритмические торговые системы, не могут создавать или способствовать беспорядочным торговым условиям на рынке».

Статья 7

Поправки к Директиве (ЕС) 2015/2366

В Директиву (ЕС) 2015/2366 внесены следующие поправки:

(1)

в статье 3 пункт (j) заменен следующим:

'(к)

услуги, предоставляемые поставщиками технических услуг, которые поддерживают предоставление платежных услуг без их вступления в любое время во владение переводимыми средствами, включая обработку и хранение данных, услуги по защите доверия и конфиденциальности, аутентификацию данных и объектов, информацию и предоставление коммуникационных технологий (ИКТ) и сетей связи, предоставление и обслуживание терминалов и устройств, используемых для платежных услуг, за исключением услуг по инициированию платежей и информационных услуг по счетам;';

(2)

В статью 5(1) вносятся следующие изменения:

(а)

абзац первый изложить в следующей редакции:

(я)

пункт (д) заменяется следующим:

'(е)

описание механизмов управления и механизмов внутреннего контроля заявителя, включая административные процедуры, процедуры управления рисками и бухгалтерского учета, а также механизмы использования услуг ИКТ в соответствии с Регламентом (ЕС) 2022/2554 Европейского парламента и Совета (* 7), который демонстрирует, что эти механизмы управления и механизмы внутреннего контроля являются соразмерными, уместными, надежными и адекватными;

(*7)  Регламент (ЕС) 2022/2554 Европейского парламента и Совета от 14 декабря 2022 года о цифровой операционной устойчивости финансового сектора и внесении изменений в Регламенты (ЕС) № 1060/2009, (ЕС) № 648/2012, (ЕС) № 600/2014, (ЕС) № 909/2014 и (ЕС) 2016/1011 (ОЖ L333, 27.12.2022, стр. 1).';"

(ii)

пункт (f) заменяется следующим:

'(ф)

описание существующей процедуры мониторинга, обработки и отслеживания инцидентов безопасности и жалоб клиентов, связанных с безопасностью, включая механизм сообщения об инцидентах, который учитывает обязательства платежного учреждения по уведомлению, изложенные в Главе III Регламента (ЕС) 2022. /2554;';

(iii)

пункт (h) заменяется следующим:

'(час)

описание механизмов обеспечения непрерывности бизнеса, включая четкое определение важнейших операций, эффективную политику и планы обеспечения непрерывности бизнеса в сфере ИКТ, а также планы реагирования и восстановления ИКТ, а также процедуру регулярного тестирования и проверки адекватности и эффективности таких планов в соответствии с Регламентом (ЕС). 2022/2554;';

(б)

абзац третий заменить следующим:

«Меры по контролю безопасности и смягчению последствий, упомянутые в пункте (j) первого подпараграфа, должны указывать, как они обеспечивают высокий уровень цифровой операционной устойчивости в соответствии с Главой II Регламента (ЕС) 2022/2554, в частности в отношении технических безопасность и защита данных, в том числе программного обеспечения и систем ИКТ, используемых заявителем или предприятиями, которым он передает на аутсорсинг всю или часть своих операций. Эти меры также должны включать меры безопасности, изложенные в Статье 95(1) настоящей Директивы. Эти меры должны учитывать рекомендации EBA по мерам безопасности, указанные в статье 95(3) настоящей Директивы, если таковые имеются.»;

(3)

в статье 19(6) второй подабзац заменен следующим:

«Аутсорсинг важных операционных функций, включая системы ИКТ, не должен осуществляться таким образом, чтобы существенно ухудшить качество внутреннего контроля платежной организации и способность компетентных органов контролировать и отслеживать соблюдение платежной организацией всех обязательств. изложенные в настоящей Директиве.';

(4)

в статью 95(1) добавлен следующий подпункт:

«Первый подпункт не наносит ущерба применению Главы II Регламента (ЕС) 2022/2554 к:

(а)

поставщики платежных услуг, указанные в пунктах (a), (b) и (d) статьи 1(1) настоящей Директивы;

(б)

поставщики услуг по предоставлению информации об учетных записях, упомянутые в статье 33(1) настоящей Директивы;

(с)

платежные учреждения, освобожденные от налога в соответствии со статьей 32(1) настоящей Директивы; и

(г)

организации, занимающиеся электронными деньгами, пользующиеся правом отказа, как указано в статье 9(1) Директивы 2009/110/EC.’;

(5)

в статью 96 добавлен абзац следующего содержания:

'7. Государства-члены должны обеспечить, чтобы параграфы 1–5 настоящей статьи не применялись к:

(а)

поставщики платежных услуг, указанные в пунктах (a), (b) и (d) статьи 1(1) настоящей Директивы;

(б)

поставщики услуг по предоставлению информации об учетных записях, упомянутые в статье 33(1) настоящей Директивы;

(с)

платежные учреждения, освобожденные от налога в соответствии со статьей 32(1) настоящей Директивы; и

(г)

организации, занимающиеся электронными деньгами, пользующиеся правом отказа, как указано в статье 9(1) Директивы 2009/110/EC.’;

(6)

в статье 98 абзац 5 заменен следующим:

'5. В соответствии со статьей 10 Регламента (ЕС) № 1093/2010, EBA должно регулярно пересматривать и, при необходимости, обновлять нормативные технические стандарты, чтобы, среди прочего, учитывать инновации и технологические разработки, а также положения Главы II Регламента (ЕС) 2022/2554.'.

Статья 8

Поправка к Директиве (ЕС) 2016/2341

Статья 21(5) Директивы (ЕС) 2016/2341 заменена следующей:

'5. Государства-члены должны гарантировать, что IORPs предпримут разумные шаги для обеспечения непрерывности и регулярности своей деятельности, включая разработку планов действий в чрезвычайных ситуациях. С этой целью IORP должны использовать соответствующие и пропорциональные системы, ресурсы и процедуры и, в частности, создавать и управлять сетями и информационными системами в соответствии с Регламентом (ЕС) 2022/2554 Европейского парламента и Совета (* 8), где это применимо.

Статья 9

Транспонирование

1.   К 17 января 2025 года государства-члены должны принять и опубликовать меры, необходимые для соблюдения настоящей Директивы. Они должны немедленно проинформировать об этом Комиссию.

Они должны применить эти меры с 17 января 2025 года.

Когда государства-члены ЕС принимают такие меры, они должны содержать ссылку на настоящую Директиву или сопровождаться такой ссылкой в ​​случае их официальной публикации. Методы такой ссылки устанавливаются государствами-членами.

2.   Государства-члены должны сообщить Комиссии текст основных мер национального законодательства, которые они принимают в области, охватываемой настоящей Директивой.

Статья 10

Вступление в силу

Настоящая Директива вступает в силу на двадцатый день после ее публикации в Официальном журнале Европейского Союза.

Статья 11

Адресаты

Данная Директива адресована государствам-членам.

Совершено в Страсбурге 14 декабря 2022 г.

За Европейский Парламент

Президент

Р. МЕТСОЛА

Для Совета

Президент

М. БЕК

(1) OJ C 343, 26 августа 2021 г., стр. 2021. 1.

(2) OJ C 155, 30 апреля 2021 г., стр. 38.

(3)  Позиция Европейского парламента от 10 ноября 2022 г. (ещё не опубликованная в Официальном журнале) и решение Совета от 28 ноября 2022 г.

(4)  Директива 2009/65/EC Европейского парламента и Совета от 13 июля 2009 года о координации законов, постановлений и административных положений, касающихся предприятий по коллективному инвестированию в переводные ценные бумаги (UCITS) (OJ L 302, 17.11. 2009, стр. 32).

(5)  Директива 2009/138/EC Европейского парламента и Совета от 25 ноября 2009 г. о начале и осуществлении деятельности по страхованию и перестрахованию (платежеспособность II) (OJ L 335, 17.12.2009, стр. 1).

(6) Директива 2011/61/ЕС Европейского парламента и Совета от 8 июня 2011 г. об управляющих альтернативными инвестиционными фондами и внесение поправок в Директивы 2003/41/EC и 2009/65/EC и Регламент (ЕС) № 1060/2009 и (ЕС) № 1095/2010 (ОЖ L 174, 01.07.2011, стр. 1).

(7)  Директива 2013/36/ЕС Европейского парламента и Совета от 26 июня 2013 г. о доступе к деятельности кредитных учреждений и пруденциальном надзоре за кредитными учреждениями, вносящая поправки в Директиву 2002/87/ЕС и отменяющая Директивы 2006/48 /EC и 2006/49/EC (ОЖ L 176, 27 июня 2013 г., стр. 338).

(8)  Директива 2014/59/ЕС Европейского парламента и Совета от 15 мая 2014 г., устанавливающая рамки для восстановления и санации кредитных учреждений и инвестиционных компаний и вносящая поправки в Директиву Совета 82/891/EEC и Директивы 2001/24 /EC, 2002/47/EC, 2004/25/EC, 2005/56/EC, 2007/36/EC, 2011/35/ЕС, 2012/30/ЕС и 2013/36/ЕС, а также правила (ЕС) № 1093/2010 и (ЕС) № 648/2012 Европейского Парламента и Совета (ОЖ L 173, 12.6.2014, стр. 190).

(9)  Директива 2014/65/ЕС Европейского парламента и Совета от 15 мая 2014 г. о рынках финансовых инструментов и внесение поправок в Директиву 2002/92/EC и Директиву 2011/61/EU (OJ L 173, 12.6.2014, стр. 349).

(10) Директива (ЕС) 2015/2366 Европейского парламента и Совета от 25 ноября 2015 года о платежных услугах на внутреннем рынке, вносящая поправки в Директивы 2002/65/EC, 2009/110/EC и 2013/36/EU и Регламент (ЕС) № 1093/2010 и отменяющий Директиву 2007/64/EC (OJ L 337, 23 декабря 2015 г., стр. 35).

(11) Директива (ЕС) 2016/2341 Европейского парламента и Совета от 14 декабря 2016 г. о деятельности и надзоре за учреждениями профессионального пенсионного обеспечения (IORPs) (OJ L 354, 23 декабря 2016 г., стр. 37).

(12) Регламент (ЕС) 2022/2554 Европейского парламента и Совета от 14 декабря 2022 года о цифровой операционной устойчивости финансового сектора и внесении изменений в Регламент (ЕС) № 1060/2009, (ЕС) № 648/2012, ( ЕС) № 600/2014, (ЕС) № 909/2014 и (ЕС) 2016/1011 (см. стр. 1 настоящего официального журнала).

(13) Регламент (ЕС) № 1093/2010 Европейского парламента и Совета от 24 ноября 2010 г. о создании Европейского надзорного органа (Европейского банковского управления), вносящий поправки в Решение № 716/2009/EC и отменяющий Решение Комиссии 2009/78/ ЕС (ОЖ L 331, 15.12.2010, стр. 12).

(14) OJ C 369, 17.12.2011, с. 14.

Вершина