Baza je ažurirana 18.01.2025. 

zaključno sa NN 135/24

EU 2024/2679

Pristupanje sadržaju

Direktiva (EU) 2022/2556 Europskog parlamenta i Vijeća od 14. prosinca 2022. o izmjeni direktiva 2009/65/EZ, 2009/138/EZ, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 i (EU) 2016/2341 u pogledu digitalne operativne otpornosti za financijski sektor

Službeni link: 32022L2556 verzija: 27.12.2022. na snazi od 17.06.2023.

EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE,

uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegov članak 53. stavak 1. i članak 114.,

uzimajući u obzir prijedlog Europske komisije,

nakon prosljeđivanja nacrta zakonodavnog akta nacionalnim parlamentima,

uzimajući u obzir mišljenje Europske središnje banke (1),

uzimajući u obzir mišljenje Europskoga gospodarskog i socijalnog odbora (2),

u skladu s redovnim zakonodavnim postupkom (3),

budući da:

(1)

Unija se mora na primjeren i sveobuhvatan način nositi s digitalnim rizicima kojima su izloženi svi financijski subjekti, a koji proizlaze iz povećane primjene informacijske i komunikacijske tehnologije (IKT) pri pružanju i upotrebi financijskih usluga, te tako doprinijeti ostvarivanju potencijala digitalnih financija u smislu poticanja inovacija i promicanja tržišnog natjecanja u sigurnom digitalnom okruženju.

(2)

Financijski subjekti u svojem se svakodnevnom poslovanju u velikoj mjeri oslanjaju na primjenu digitalne tehnologije. Stoga je iznimno važno osigurati operativnu otpornost njihovih digitalnih operacija na IKT rizik. Ta potreba postaje sve važnija zbog rasta revolucionarnih tehnologija na tržištu, a posebno tehnologija kojima se omogućuje da se digitalni prikazi vrijednosti ili pravâ elektronički prenose i pohranjuju primjenom tehnologije distribuiranog zapisa ili slične tehnologije (kriptoimovina), te rasta usluga povezanih s tom imovinom.

 

(3)

Na razini Unije zahtjevi koji se odnose na upravljanje IKT rizikom u financijskom sektoru trenutačno su sadržani u direktivama 2009/65/EZ (4), 2009/138/EZ (5), 2011/61/EU (6), 2013/36/EU (7), 2014/59/EU (8), 2014/65/EU (9), (EU) 2015/2366 (10) i (EU) 2016/2341 (11) Europskog parlamenta i Vijeća.

Ti su zahtjevi različiti i ponekad nepotpuni. U nekim je slučajevima IKT rizik samo implicitno obuhvaćen kao dio operativnog rizika, a u drugima uopće nije obuhvaćen. Te probleme ispravlja se donošenjem Uredbe (EU) 2022/2554 Europskog parlamenta i Vijeća (12). Navedene bi direktive stoga trebalo izmijeniti kako bi se osigurala dosljednost s tom uredbom. Ovom se Direktivom donosi niz izmjena koje su potrebne radi pravne jasnoće i dosljednosti u vezi s raznim zahtjevima u pogledu digitalne operativne otpornosti koje primjenjuju financijski subjekti koji imaju odobrenje za rad i nad kojima se provodi nadzor u skladu s navedenim direktivama, a koji su potrebni pri obavljanju njihovih djelatnosti i pri pružanju usluga, čime se jamči neometano funkcioniranje unutarnjeg tržišta. Potrebno je osigurati prikladnost tih zahtjeva u odnosu na kretanja na tržištu, uz istodobno poticanje razmjernosti, posebno s obzirom na veličinu financijskih subjekata i posebne režime kojima oni podliježu, kako bi se smanjili troškovi osiguravanja usklađenosti.

(4)

U području bankarskih usluga, u Direktivi 2013/36/EU trenutačno su utvrđena samo opća pravila o internom upravljanju i odredbe o operativnom riziku koje sadržavaju zahtjeve u pogledu planova za nepredvidive situacije i planova kontinuiteta poslovanja koji implicitno služe kao osnova za nošenje s IKT rizikom. Međutim, kako bi se na eksplicitan i jasan način nosilo s IKT rizikom, zahtjeve u pogledu planova za nepredvidive situacije i planova kontinuiteta poslovanja trebalo bi izmijeniti tako da obuhvaćaju i planove kontinuiteta poslovanja i planove odgovora i oporavka koji se odnose na IKT rizik, u skladu sa zahtjevima utvrđenima u Uredbi (EU) 2022/2554. Osim toga, IKT rizik samo je implicitno uključen, kao dio operativnog rizika, u postupak nadzorne provjere i ocjene (SREP) koji provode nadležna tijela, a kriteriji za njegovu procjenu trenutačno su definirani u Smjernicama o procjeni rizika IKT-a u okviru postupka nadzorne provjere i ocjene (SREP) koje je izdalo europsko nadzorno tijelo (Europsko nadzorno tijelo za bankarstvo – EBA) osnovano Uredbom (EU) br. 1093/2010 Europskog parlamenta i Vijeća (13). Kako bi se pružila pravna jasnoća i osiguralo da tijela za nadzor banaka djelotvorno utvrđuju IKT rizik i prate upravljanje tim rizikom od strane financijskih subjekata u skladu s novim okvirom o digitalnoj operativnoj otpornosti, područje primjene SREP-a trebalo bi također izmijeniti kako bi se u njemu izričito upućivalo na zahtjeve utvrđene u Uredbi (EU) 2022/2554 i kako bi se osobito obuhvatili rizici koji su otkriveni izvješćima o značajnim IKT incidentima i rezultatima testiranja digitalne operativne otpornosti koje su financijski subjekti proveli u skladu s tom uredbom.

 

(5)

Digitalna operativna otpornost neophodna je za očuvanje ključnih funkcija i temeljnih linija poslovanja financijskog subjekta u slučaju njegove sanacije te time i za izbjegavanje narušavanja realnoga gospodarstva i financijskog sustava. Značajni operativni incidenti mogu narušiti kapacitet financijskog subjekta da nastavi s poslovanjem i ugroziti ciljeve sanacije. Određeni ugovorni aranžmani o upotrebi IKT usluga ključni su za osiguravanje operativnog kontinuiteta i pružanje potrebnih podataka u slučaju sanacije. Kako bi Direktiva 2014/59/EU bila usklađena s ciljevima okvira Unije za operativnu otpornost, trebalo bi je na odgovarajući način izmijeniti s ciljem osiguravanja da se informacije o operativnoj otpornosti uzmu u obzir u kontekstu planiranja sanacije i procjene mogućnosti sanacije financijskih subjekata.

(6)

U Direktivi 2014/65/EU utvrđuju se stroža pravila o IKT riziku za investicijska društva i mjesta trgovanja koja se bave algoritamskim trgovanjem. Manje detaljni zahtjevi primjenjuju se na usluge dostave podataka i na trgovinske repozitorije. Osim toga, Direktiva 2014/65/EU sadržava samo ograničena upućivanja na mjere nadzora i zaštite sustavâ za obradu podataka te na upotrebu odgovarajućih sustava, resursa i postupaka radi osiguravanja kontinuiteta i redovitosti poslovnih usluga. Nadalje, tu bi direktivu trebalo uskladiti s Uredbom (EU) 2022/2554 u pogledu kontinuiteta i redovitosti u pružanju investicijskih usluga i u obavljanju investicijskih aktivnosti, operativne otpornosti, kapaciteta sustavâ trgovanja te djelotvornosti mehanizama kontinuiteta poslovanja i upravljanja rizicima.

 

(7)

U Direktivi (EU) 2015/2366 utvrđena su posebna pravila o kontrolama sigurnosti i mjerama ublažavanja u području IKT-a za potrebe pribavljanja odobrenja za pružanje platnih usluga. Ta bi pravila o odobrenju trebalo izmijeniti radi njihova usklađivanja s Uredbom (EU) 2022/2554. Nadalje, kako bi se smanjilo administrativno opterećenje i izbjegli složenost i dvostruki zahtjevi u pogledu izvješćivanja, pravila o izvješćivanju o incidentima iz te direktive trebala bi se prestati primjenjivati na pružatelje platnih usluga koji su uređeni tom direktivom i koji podliježu i Uredbi (EU) 2022/2554, čime se omogućuje da se na te pružatelje platnih usluga primjenjuje jedinstven i potpuno usklađen mehanizam izvješćivanja o incidentima u pogledu svih operativnih incidenata ili sigurnosnih incidenata povezanih s plaćanjem, bez obzira na to jesu li takvi incidenti povezani s IKT-om.

(8)

Direktivama 2009/138/EZ i (EU) 2016/2341 djelomično je obuhvaćen IKT rizik u okviru njihovih općih odredaba o upravljanju i upravljanju rizicima, pri čemu se određeni zahtjevi trebaju utvrditi delegiranim aktima s posebnim upućivanjima na IKT rizik ili bez njih. Slično tome, na upravitelje alternativnih investicijskih fondova koji podliježu Direktivi 2011/61/EU i društva za upravljanje koja podliježu Direktivi 2009/65/EZ primjenjuju se tek vrlo općenita pravila. Te bi direktive stoga trebalo uskladiti sa zahtjevima utvrđenima u Uredbi (EU) 2022/2554 u pogledu upravljanja IKT sustavima i alatima.

 

(9)

U mnogim slučajevima daljnji zahtjevi u pogledu IKT rizika već su utvrđeni u delegiranim i provedbenim aktima koji su doneseni na temelju nacrta regulatornih tehničkih standarda i nacrta provedbenih tehničkih standarda koje je izradilo nadležno europsko nadzorno tijelo. Budući da odredbe Uredbe (EU) 2022/2554 sada čine pravni okvir za IKT rizik u financijskom sektoru, trebalo bi izmijeniti određena ovlaštenja za donošenje delegiranih i provedbenih akata u direktivama 2009/65/EZ, 2009/138/EZ, 2011/61/EU i 2014/65/EU kako bi se iz područja primjene tih ovlaštenja uklonile odredbe o IKT riziku.

(10)

Kako bi se osigurala dosljedna primjena novog okvira o digitalnoj operativnu otpornosti za financijski sektor, države članice trebale bi primjenjivati odredbe nacionalnog prava kojima se prenosi ova Direktiva od datuma početka primjene Uredbe (EU) 2022/2554.

 

(11)

Direktive 2009/65/EZ, 2009/138/EZ, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 i (EU) 2016/2341 donesene su na temelju članka 53. stavka 1. ili članka 114. Ugovora o funkcioniranju Europske unije (UFEU). Izmjene iz ove Direktive uključene su u jedan zakonodavni akt zbog međusobne povezanosti predmeta i ciljeva tih izmjena. Slijedom toga, ovu Direktivu trebalo bi donijeti i na temelju članka 53. stavka 1. i na temelju članka 114. UFEU-a.

(12)

S obzirom na to da ciljeve ove Direktive ne mogu dostatno ostvariti države članice jer podrazumijevaju usklađivanja zahtjeva koji su već sadržani u direktivama, nego se zbog opsega i učinaka djelovanja oni na bolji način mogu ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. Ugovora o Europskoj uniji. U skladu s načelom proporcionalnosti utvrđenim u tom članku, ova Direktiva ne prelazi ono što je potrebno za ostvarivanje tih ciljeva.

 

(13)

U skladu sa Zajedničkom političkom izjavom država članica i Komisije od 28. rujna 2011. o dokumentima s objašnjenjima (14), države članice obvezale su se da će u opravdanim slučajevima uz obavijest o svojim mjerama za prenošenje priložiti jedan ili više dokumenata u kojima se objašnjava veza između sastavnih dijelova direktive i odgovarajućih dijelova nacionalnih instrumenata za prenošenje. U pogledu ove Direktive, zakonodavac smatra opravdanim dostavljanje takvih dokumenata,

DONIJELI SU OVU DIREKTIVU:

Članak 1.

Izmjene Direktive 2009/65/EZ

Članak 12. Direktive 2009/65/EZ mijenja se kako slijedi:

1.

u stavku 1. drugom podstavku točka (a) zamjenjuje se sljedećim:

„(a)

da ima odgovarajuće administrativne i računovodstvene postupke, mjere nadzora i zaštite elektroničke obrade podataka, među ostalim i u pogledu mrežnih i informacijskih sustava koji su uspostavljeni i kojima se upravlja u skladu s Uredbom (EU) 2022/2554 Europskog parlamenta i Vijeća (*1), kao i adekvatne mehanizme unutarnjeg nadzora uključujući, posebice, pravila za osobne transakcije svojih zaposlenika ili za posjedovanje ili upravljanje ulaganjima u financijske instrumente u svrhu ulaganja za vlastiti račun, kojima se barem osigurava da se svaka transakcija koja uključuje UCITS može rekonstruirati prema svojem porijeklu, uključenim stranama, vrsti te vremenu i mjestu na kojem je izvršena, te da se imovina UCITS-a kojim upravlja društvo za upravljanje ulaže u skladu s pravilima fonda ili dokumentima o osnivanju i važećim zakonskim odredbama;

(*1)  Uredba (EU) 2022/2554 Europskog parlamenta i Vijeća od 14. prosinca 2022. o digitalnoj operativnoj otpornosti za financijski sektor i izmjeni uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014, (EU) br. 909/2014 i (EU) 2016/1011 (SL L 333, 27.12.2022., str. 1.).”;"

 

2.

stavak 3. zamjenjuje se sljedećim:

„3.   Ne dovodeći u pitanje članak 116., Komisija donosi, putem delegiranih akata u skladu s člankom 112.a, mjere kojima se utvrđuju:

(a)

postupci i mjere iz stavka 1. drugog podstavka točke (a), osim postupaka i mjera koji se odnose na mrežne i informacijske sustave;

 

(b)

strukture i organizacijski zahtjevi za svođenje sukoba interesa iz stavka 1. drugog podstavka točke (b) na najmanju moguću mjeru.”.

Članak 2.

Izmjene Direktive 2009/138/EZ

Direktiva 2009/138/EZ mijenja se kako slijedi:

1.

u članku 41. stavak 4. zamjenjuje se sljedećim:

„4.   Društva za osiguranje i društva za reosiguranje poduzimaju razumne mjere kako bi osigurala kontinuirano i redovito obavljanje svojih djelatnosti, uključujući izradu planova za nepredvidive situacije. U tu svrhu društva se koriste primjerenim i razmjernim sustavima, resursima i postupcima te osobito uspostavljaju mrežne i informacijske sustave i upravljaju njima u skladu s Uredbom (EU) 2022/2554 Europskog parlamenta i Vijeća (*2).

(*2)  Uredba (EU) 2022/2554 Europskog parlamenta i Vijeća od 14. prosinca 2022. o digitalnoj operativnoj otpornosti za financijski sektor i izmjeni uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014, (EU) br. 909/2014 i (EU) 2016/1011 (SL L 333, 27.12.2022., str. 1.).”;"

 

2.

u članku 50. stavku 1. točke (a) i (b) zamjenjuju se sljedećim:

„(a)

elemente sustava iz članka 41., članka 44., a posebno područja navedena u članku 44. stavku 2., te u člancima 46. i 47., osim elemenata koji se odnose na upravljanje rizikom informacijske i komunikacijske tehnologije;

 

(b)

funkcije iz članaka 44., 46., 47. i 48., osim funkcija koje se odnose na upravljanje rizikom informacijske i komunikacijske tehnologije.”.

Članak 3.

Izmjena Direktive 2011/61/EU

Članak 18. Direktive 2011/61/EU zamjenjuje se sljedećim:

„Članak 18.

Opća načela

1.   Države članice zahtijevaju da se UAIF-i u svakom trenutku koriste odgovarajućim i primjerenim ljudskim i tehničkim resursima koji su potrebni za pravilno upravljanje AIF-ima.

Nadležna tijela matične države članice UAIF-a, uzimajući u obzir i vrstu AIF-ova kojima upravlja UAIF, posebno zahtijevaju da UAIF ima odgovarajuće administrativne i računovodstvene postupke, mjere nadzora i zaštite elektroničke obrade podataka, među ostalim i u pogledu mrežnih i informacijskih sustava koji su uspostavljeni i kojima se upravlja u skladu s Uredbom (EU) 2022/2554 Europskog parlamenta i Vijeća (*3), kao i primjerene mehanizme unutarnje kontrole uključujući, posebno, pravila za osobne transakcije svojih zaposlenika ili za posjedovanje ili upravljanje ulaganjima u financijske instrumente u svrhu ulaganja za vlastiti račun, kojima se barem osigurava da se svaka transakcija koja uključuje AIF-e može rekonstruirati prema svojem porijeklu, uključenim stranama, vrsti te vremenu i mjestu na kojem je izvršena, te da se imovina AIF-ova kojima upravlja UAIF ulaže u skladu s pravilima AIF-a ili osnivačkim aktom i važećim zakonskim odredbama.

2.   Komisija putem delegiranih akata u skladu s člankom 56. te podložno uvjetima iz članaka 57. i 58. donosi mjere kojima se pobliže određuju postupci i mjere iz stavka 1. ovog članka, osim postupaka i mjera koji se odnose na mrežne i informacijske sustave.

Članak 4.

Izmjene Direktive 2013/36/EU

Direktiva 2013/36/EU mijenja se kako slijedi:

1.

u članku 65. stavku 3. točki (a) podtočka vi. zamjenjuje se sljedećim:

„vi.

trećih osoba kojima su subjekti iz podtočaka od i. do iv. eksternalizirali funkcije ili aktivnosti, uključujući treće strane pružatelje IKT usluga iz poglavlja V. Uredbe (EU) 2022/2554 Europskog parlamenta i Vijeća (*4);

(*4)  Uredba (EU) 2022/2554 Europskog parlamenta i Vijeća od 14. prosinca 2022. o digitalnoj operativnoj otpornosti za financijski sektor i izmjeni uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014, (EU) br. 909/2014 i (EU) 2016/1011 (SL L 333, 27.12.2022., str. 1.).”;"

 

2.

u članku 74. stavku 1. prvi podstavak zamjenjuje se sljedećim:

„Institucije moraju imati robusne sustave upravljanja koji uključuju jasnu organizacijsku strukturu s dobro definiranim, transparentnim i dosljednim linijama odgovornosti, učinkovitim procesima za utvrđivanje i praćenje rizika, upravljanje njima i izvješćivanje o rizicima kojima jesu ili bi mogle biti izložene, odgovarajuće mehanizme unutarnje kontrole, uključujući dobre administrativne i računovodstvene postupke, mrežne i informacijske sustave koji su uspostavljeni i kojima se upravlja u skladu s Uredbom (EU) 2022/2554 te politike i prakse u pogledu primitaka koje su dosljedne s dobrim i učinkovitim upravljanjem rizicima te ga promiču.”;

 

3.

u članku 85. stavak 2. zamjenjuje se sljedećim:

„2.   Nadležna tijela osiguravaju da institucije imaju odgovarajuće politike i planove za nepredvidive situacije i politike i planove kontinuiteta poslovanja, uključujući politike i planove kontinuiteta poslovanja u području IKT-a i planove odgovora i oporavka u području IKT-a za tehnologiju kojom se koriste za priopćavanje informacija, te da su ti planovi izrađeni i testirani i da se njima upravlja u skladu s člankom 11. Uredbe (EU) 2022/2554 kako bi institucije mogle nastaviti poslovati u slučaju ozbiljnog poremećaja poslovanja i ograničiti gubitke do kojih je došlo uslijed takvog poremećaja.”;

 

4.

u članku 97. stavku 1. dodaje se sljedeća točka:

„(d)

rizike otkrivene testiranjem digitalne operativne otpornosti u skladu s poglavljem IV. Uredbe (EU) 2022/2554.”.

Članak 5.

Izmjene Direktive 2014/59/EU

Direktiva 2014/59/EU mijenja se kako slijedi:

1.

članak 10. mijenja se kako slijedi:

(a)

u stavku 7. točka (c) zamjenjuje se sljedećim:

„(c)

prikaz načina na koji bi se ključne funkcije i temeljne linije poslovanja mogle pravno i ekonomski odvojiti od ostalih funkcija u mjeri u kojoj je to potrebno kako bi se osigurali kontinuitet i digitalna operativna otpornost u slučaju propasti institucije;”;

 

(b)

u stavku 7. točka (q) zamjenjuje se sljedećim:

„(q)

opis nužnih radnji i sustava za održavanje kontinuiranog funkcioniranja operativnih procesa institucije, uključujući mrežne i informacijske sustave iz Uredbe (EU) 2022/2554 Europskog parlamenta i Vijeća (*5);

(*5)  Uredba (EU) 2022/2554 Europskog parlamenta i Vijeća od 14. prosinca 2022. o digitalnoj operativnoj otpornosti za financijski sektor i izmjeni uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014, (EU) br. 909/2014 i (EU) 2016/1011 (SL L 333, 27.12.2022., str. 1.).”;"

 

(c)

u stavku 9. dodaje se sljedeći podstavak:

„U skladu s člankom 10. Uredbe (EU) br. 1093/2010 EBA preispituje i, prema potrebi, ažurira regulatorne tehničke standarde kako bi se, među ostalim, uzele u obzir odredbe poglavlja II. Uredbe (EU) 2022/2554.”;

 

2.

Prilog se mijenja kako slijedi:

(a)

u odjeljku A točka (16) zamjenjuje se sljedećim:

„(16)

mehanizme i mjere potrebne za održavanje kontinuiranog funkcioniranja operativnih procesa institucije, uključujući mrežne i informacijske sustave koji su uspostavljeni i kojima se upravlja u skladu s Uredbom (EU) 2022/2554;”;

 

(b)

odjeljak B mijenja se kako slijedi:

i.

točka (14) zamjenjuje se sljedećim:

„(14)

identificiranje vlasnika sustava navedenih pod točkom (13), uz njih povezanih sporazuma o razini usluga te svih softvera i sustava ili dozvola, uključujući raspored po pravnim osobama, ključnim aktivnostima i temeljnim linijama poslovanja institucije te identificiranje ključnih trećih strana pružatelja IKT usluga, kako su definirani u članku 3. točki 23. Uredbe (EU) 2022/2554;”;

 

ii.

umeće se sljedeća točka:

„(14.a)

rezultate testiranja digitalne operativne otpornosti institucija na temelju Uredbe (EU) 2022/2554;”;

 

(c)

odjeljak C mijenja se kako slijedi:

i.

točka (4) zamjenjuje se sljedećim:

„(4)

u kojoj su mjeri sporazumi o uslugama koje institucija održava, uključujući ugovorne aranžmane o upotrebi IKT usluga, otporni i u potpunosti izvršivi u slučaju sanacije institucije;”;

 

ii.

umeće se sljedeća točka:

„(4.a)

digitalna operativna otpornost mrežnih i informacijskih sustava kojima se podupiru ključne funkcije i temeljne linije poslovanja institucije, pri čemu se uzimaju u obzir izvješća o značajnim IKT incidentima i rezultati testiranja digitalne operativne otpornosti na temelju Uredbe (EU) 2022/2554;”.

Članak 6.

Izmjene Direktive 2014/65/EU

Direktiva 2014/65/EU mijenja se kako slijedi:

1.

članak 16. mijenja se kako slijedi:

(a)

stavak 4. zamjenjuje se sljedećim:

„4.   Investicijsko društvo poduzima odgovarajuće korake kako bi osiguralo kontinuitet i redovitost investicijskih usluga i aktivnosti. U tu svrhu investicijsko društvo koristi se primjerenim i razmjernim sustavima, među ostalim i sustavima informacijske i komunikacijske tehnologije (IKT) koji su uspostavljeni i kojima se upravlja u skladu s člankom 7. Uredbe (EU) 2022/2554 Europskog parlamenta i Vijeća (*6), te primjerenim i razmjernim resursima i postupcima.

(*6)  Uredba (EU) 2022/2554 Europskog parlamenta i Vijeća od 14. prosinca 2022. o digitalnoj operativnoj otpornosti za financijski sektor i izmjeni uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014, (EU) br. 909/2014 i (EU) 2016/1011 (SL L 333, 27.12.2022., str. 1..).”;"

 

(b)

u stavku 5. drugi i treći podstavak zamjenjuju se sljedećim:

„Investicijsko društvo dužno je imati dobre administrativne i računovodstvene postupke, mehanizme unutarnje kontrole i djelotvorne postupke procjene rizika.

Ne dovodeći u pitanje sposobnost nadležnih tijela da zatraže pristup komunikaciji u skladu s ovom Direktivom i Uredbom (EU) br. 600/2014, investicijsko društvo dužno je imati dobre sigurnosne mehanizme da bi se, u skladu sa zahtjevima utvrđenima u Uredbi (EU) 2022/2554, zajamčili sigurnost i autentifikacija sredstava za prijenos informacija, na najmanju moguću mjeru smanjio rizik od oštećenja podataka i neovlaštenog pristupa i spriječilo odavanje informacija, održavajući pritom u svakom trenutku povjerljivosti podataka.”;

 

2.

članak 17. mijenja se kako slijedi:

(a)

stavak 1. zamjenjuje se sljedećim:

„1.   Investicijsko društvo koje se bavi algoritamskim trgovanjem uspostavlja djelotvorne sustave i kontrole rizika primjerene svojem poslovanju kako bi osiguralo da njegovi sustavi za trgovanje budu otporni i imaju dovoljno kapaciteta u skladu sa zahtjevima utvrđenima u poglavlju II. Uredbe (EU) 2022/2554, da podliježu odgovarajućim pragovima i ograničenjima trgovanja te da sprečavaju slanje neispravnih naloga ili drugo funkcioniranje sustava na način kojim bi se moglo stvoriti neuredno tržište ili mu doprinijeti.

Takvo društvo također uspostavlja djelotvorne sustave i kontrole rizika kako bi osiguralo da se sustavi za trgovanje ne upotrebljavaju u svrhu koja je suprotna Uredbi (EU) br. 596/2014 ili pravilima mjesta trgovanja s kojim je povezano.

Investicijsko društvo uspostavlja djelotvorne mehanizme kontinuiteta poslovanja kako bi se nosilo sa svakim prekidom u svojim sustavima za trgovanje, uključujući politike i planove kontinuiteta poslovanja u području IKT-a i planove odgovora i oporavka u području IKT-a uspostavljene u skladu s člankom 11. Uredbe (EU) 2022/2554, i osigurava da njegovi sustavi budu u potpunosti testirani i da ih se pravilno prati kako bi se osiguralo da ispunjavaju opće zahtjeve utvrđene u ovom stavku i posebne zahtjeve utvrđene u poglavljima II. i IV. Uredbe (EU) 2022/2554.”;

 

(b)

u stavku 7. točka (a) zamjenjuje se sljedećim:

„(a)

pojedinosti organizacijskih zahtjeva utvrđenih u stavcima od 1. do 6., osim onih koji se odnose na upravljanje IKT rizikom, koje treba uvesti za investicijska društva koja pružaju razne investicijske usluge, investicijske aktivnosti, pomoćne usluge ili kombinaciju istih, pri čemu se u okviru pojedinosti u vezi s organizacijskim zahtjevima utvrđenima u stavku 5. utvrđuju posebni zahtjevi za izravan pristup tržištu i sponzorirani pristup tako da se osigura da kontrole koje se primjenjuju na sponzorirani pristup budu najmanje istovjetne onima koje se primjenjuju na izravan pristup tržištu;”;

 

3.

u članku 47. stavak 1. mijenja se kako slijedi:

(a)

točka (b) zamjenjuje se sljedećim:

„(b)

bude primjereno opremljeno za upravljanje rizicima kojima je izloženo, uključujući upravljanje IKT rizikom u skladu s poglavljem II. Uredbe (EU) 2022/2554, kako bi provodilo odgovarajuće mehanizme i sustave za utvrđivanje značajnih rizika za njegovo poslovanje i uspostavilo djelotvorne mjere za ublažavanje tih rizika;”;

 

(b)

točka (c) briše se;

 

4.

članak 48. mijenja se kako slijedi:

(a)

stavak 1. zamjenjuje se sljedećim:

„1.   Države članice zahtijevaju da uređeno tržište uspostavi i održava svoju operativnu otpornost u skladu sa zahtjevima utvrđenima u poglavlju II. Uredbe (EU) 2022/2554 kako bi se osiguralo da njegovi sustavi za trgovanje budu otporni, da imaju dovoljno kapaciteta za obradu velikog broja naloga i poruka, da mogu osigurati uredno trgovanje u uvjetima tržišnog stresa, da budu u potpunosti testirani kako bi se osiguralo da su takvi uvjeti ispunjeni i da podliježu djelotvornim mehanizmima kontinuiteta poslovanja, među ostalim i politici i planovima kontinuiteta poslovanja u području IKT-a i planovima odgovora i oporavka u području IKT-a uspostavljenima u skladu s člankom 11. Uredbe (EU) 2022/2554, kako bi se osigurao kontinuitet njegovih usluga u slučaju prekida u njegovim sustavima za trgovanje.”;

 

(b)

stavak 6. zamjenjuje se sljedećim:

„6.   Države članice zahtijevaju da uređeno tržište ima uspostavljene djelotvorne sustave, postupke i mjere, uključujući zahtjev da članovi ili sudionici provode odgovarajuća testiranja algoritama i omoguće okruženje kojim se olakšavaju takva testiranja u skladu sa zahtjevima utvrđenima u poglavljima II. i IV. Uredbe (EU) 2022/2554 kako bi osiguralo da sustavi za algoritamsko trgovanje ne mogu stvoriti neuredne uvjete trgovanja na tržištu niti im doprinijeti i kako bi se upravljalo neurednim uvjetima trgovanja koji se pojave zbog takvih sustava za algoritamsko trgovanje, uključujući sustave kojima se ograničava omjer neizvršenih naloga i transakcija koje član ili sudionik može unijeti u sustav, kako bi se mogao usporiti tijek naloga ako postoji rizik dosezanja maksimalnog kapaciteta sustava te ograničiti i izvršiti minimalni pomak cijene koji je dopušten na tržištu.”;

 

(c)

stavak 12. mijenja se kako slijedi:

i.

točka (a) zamjenjuje se sljedećim:

„(a)

zahtjeva koji osiguravaju da su sustavi za trgovanje uređenih tržišta otporni i da imaju odgovarajući kapacitet, osim zahtjeva koji se odnose na digitalnu operativnu otpornost;”;

 

ii.

točka (g) zamjenjuje se sljedećim:

„(g)

zahtjeva koji osiguravaju odgovarajuće testiranje algoritama, osim testiranja digitalne operativne otpornosti, kako bi se osiguralo da sustavi za algoritamsko trgovanje, uključujući visokofrekventno algoritamsko trgovanje, ne mogu stvoriti neuredne uvjete trgovanja na tržištu niti im doprinijeti.”.

Članak 7.

Izmjene Direktive (EU) 2015/2366

Direktiva (EU) 2015/2366 mijenja se kako slijedi:

1.

u članku 3. točka (j) zamjenjuje se sljedećim:

„(j)

usluge koje pružaju pružatelji tehničkih usluga koje podupiru pružanje platnih usluga, a da ni u kojem trenutku oni ne ulaze u posjed novčanih sredstava koja se prenose, uključujući obradu i pohranu podataka, usluge zaštite povjerenja i privatnosti, autentifikacije podataka i identiteta, pružanje informacijske i komunikacijske tehnologije (IKT) i pružanje komunikacijske mreže te osiguravanje i održavanje terminala i uređaja koji se upotrebljavaju za platne usluge, s izuzećem usluga iniciranja plaćanja i usluga pružanja informacija o računu;”;

 

2.

članak 5. stavak 1. mijenja se kako slijedi:

(a)

prvi podstavak mijenja se kako slijedi:

i.

točka (e) zamjenjuje se sljedećim:

„(e)

opis sustava upravljanja podnositelja zahtjeva te mehanizama unutarnje kontrole, uključujući administrativne i računovodstvene postupke te postupke upravljanja rizikom, kao i aranžmana za upotrebu IKT usluga u skladu s Uredbom (EU) 2022/2554 Europskog parlamenta i Vijeća (*7), iz kojih je vidljivo da su navedeni sustavi upravljanja i mehanizmi unutarnje kontrole razmjerni, primjereni, pouzdani i dostatni;

(*7)  Uredba (EU) 2022/2554 Europskog parlamenta i Vijeća od 14. prosinca 2022. o digitalnoj operativnoj otpornosti za financijski sektor i izmjeni uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014, (EU) br. 909/2014 i (EU) 2016/1011 (SL L 333, 27.12.2022. str. 1.,).”;"

 

ii.

točka (f) zamjenjuje se sljedećim:

„(f)

opis postupaka uspostavljenih za praćenje, rješavanje i postupanje nakon sigurnosnih incidenata ili pritužbi klijenata povezanih sa sigurnosti, uključujući mehanizam za izvješćivanje o incidentima kojim se uzimaju u obzir obveze institucije za platni promet u pogledu obavješćivanja utvrđene u poglavlju III. Uredbe (EU) 2022/2554;”;

 

iii.

točka (h) zamjenjuje se sljedećim:

„(h)

opis mehanizama kontinuiteta poslovanja, uključujući jasnu identifikaciju ključnih radnji, djelotvornu politiku i planove kontinuiteta poslovanja u području IKT-a i planove odgovora i oporavka u području IKT-a, te postupak za redovito testiranje i preispitivanje prikladnosti i učinkovitosti takvih planova u skladu s Uredbom (EU) 2022/2554;”;

 

(b)

treći podstavak zamjenjuje se sljedećim:

„U okviru kontrole sigurnosti i mjera ublažavanja iz prvog podstavka točke (j) navodi se na koji se način njima osigurava visoka razina digitalne operativne otpornosti u skladu s poglavljem II. Uredbe (EU) 2022/2554, posebno u vezi s tehničkom sigurnosti i zaštitom podataka, među ostalim i za softver i IKT sustave koje upotrebljavaju podnositelj zahtjeva ili društva kojima on eksternalizira svoje cjelokupne operacije ili dio svojih operacija. Te mjere uključuju i sigurnosne mjere utvrđene u članku 95. stavku 1. ove Direktive. Tim mjerama uzimaju se u obzir smjernice EBA-e o sigurnosnim mjerama kako su navedene u članku 95. stavku 3. ove Direktive kada se donesu.”;

 

3.

u članku 19. stavku 6. drugi podstavak zamjenjuje se sljedećim:

„Eksternalizacija važnih operativnih funkcija, među ostalim i IKT sustava, ne smije se provesti na način kojim se narušavaju kvaliteta unutarnjih kontrola institucije za platni promet i sposobnost nadležnih tijela da nadziru i prate ispunjava li institucija za platni promet sve obveze utvrđene ovom Direktivom.”;

 

4.

u članku 95. stavku 1. dodaje se sljedeći podstavak:

„Prvim podstavkom ne dovodi se u pitanje primjena poglavlja II. Uredbe (EU) 2022/2554 na:

(a)

pružatelje platnih usluga iz članka 1. stavka 1. točaka (a), (b) i (d) ove Direktive;

 

(b)

pružatelje usluga pružanja informacija o računu iz članka 33. stavka 1. ove Direktive;

 

(c)

institucije za platni promet izuzete na temelju članka 32. stavka 1. ove Direktive; i

 

(d)

institucije za elektronički novac na koje se primjenjuje izuzeće iz članka 9. stavka 1. Direktive 2009/110/EZ.”;

 

5.

u članku 96. dodaje se sljedeći stavak:

„7.   Države članice osiguravaju da se stavci od 1. do 5. ovog članka ne primjenjuju na:

(a)

pružatelje platnih usluga iz članka 1. stavka 1. točaka (a), (b) i (d) ove Direktive;

 

(b)

pružatelje usluga pružanja informacija o računu iz članka 33. stavka 1. ove Direktive;

 

(c)

institucije za platni promet izuzete na temelju članka 32. stavka 1. ove Direktive; i

 

(d)

institucije za elektronički novac na koje se primjenjuje izuzeće iz članka 9. stavka 1. Direktive 2009/110/EZ.”;

 

6.

u članku 98. stavak 5. zamjenjuje se sljedećim:

„5.   U skladu s člankom 10. Uredbe (EU) br. 1093/2010 EBA preispituje i, prema potrebi, redovito ažurira regulatorne tehničke standarde kako bi se, među ostalim, uzeli u obzir inovacije i tehnološki razvoj te odredbe poglavlja II. Uredbe (EU) 2022/2554.”.

Članak 8.

Izmjena Direktive (EU) 2016/2341

Članak 21. stavak 5. Direktive (EU) 2016/2341 zamjenjuje se sljedećim:

„5.   Države članice osiguravaju da institucije za strukovno mirovinsko osiguranje poduzimaju razumne mjere u svrhu kontinuiranog i redovitog obavljanja svojih djelatnosti, uključujući razvoj planova za slučaj nepredviđenih okolnosti. S tim ciljem institucije za strukovno mirovinsko osiguranje upotrebljavaju primjerene i razmjerne sustave, resurse i postupke te osobito uspostavljaju mrežne i informacijske sustave i upravljaju njima u skladu s Uredbom (EU) 2022/2554 Europskog parlamenta i Vijeća (*8), ako je to primjenjivo.

Članak 9.

Prenošenje

1.   Države članice do 17. siječnja 2025. donose i objavljuju mjere potrebne radi usklađivanja s ovom Direktivom. One o tome odmah obavješćuju Komisiju.

One primjenjuju te mjere od 17. siječnja 2025.

Kada države članice donose te mjere, one sadržavaju upućivanje na ovu Direktivu ili se na nju upućuje prilikom njihove službene objave. Načine tog upućivanja određuju države članice.

2.   Države članice Komisiji dostavljaju tekst glavnih mjera nacionalnog prava koje donesu u području na koje se odnosi ova Direktiva.

Članak 10.

Stupanje na snagu

Ova Direktiva stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Članak 11.

Adresati

Ova je Direktiva upućena državama članicama.

Sastavljeno u Strasbourgu 14. prosinca 2022.

Za Europski parlament

Predsjednica

R. METSOLA

Za Vijeće

Predsjednik

M. BEK

(1)   SL C 343, 26.8.2021., str. 1.

(2)   SL C 155, 30.4.2021., str. 38.

(3)  Stajalište Europskog parlamenta od 10. studenoga 2022. (još nije objavljeno u Službenom listu) i Odluka Vijeća od 28. studenoga 2022.

(4)  Direktiva 2009/65/EZ Europskog parlamenta i Vijeća od 13. srpnja 2009. o usklađivanju zakona i drugih propisa u odnosu na subjekte za zajednička ulaganja u prenosive vrijednosne papire (UCITS) (SL L 302, 17.11.2009., str. 32.).

(5)  Direktiva 2009/138/EZ Europskog parlamenta i Vijeća od 25. studenoga 2009. o osnivanju i obavljanju djelatnosti osiguranja i reosiguranja (Solventnost II) (SL L 335, 17.12.2009., str. 1.).

(6)  Direktiva 2011/61/EU Europskog parlamenta i Vijeća od 8. lipnja 2011. o upraviteljima alternativnih investicijskih fondova i o izmjeni direktiva 2003/41/EZ i 2009/65/EZ te uredbi (EZ) br. 1060/2009 i (EU) br. 1095/2010 (SL L 174, 1.7.2011., str. 1.).

(7)  Direktiva 2013/36/EU Europskog parlamenta i Vijeća od 26. lipnja 2013. o pristupanju djelatnosti kreditnih institucija i bonitetnom nadzoru nad kreditnim institucijama, izmjeni Direktive 2002/87/EZ te stavljanju izvan snage direktiva 2006/48/EZ i 2006/49/EZ (SL L 176, 27.6.2013., str. 338.).

(8)  Direktiva 2014/59/EU Europskog parlamenta i Vijeća od 15. svibnja 2014. o uspostavi okvira za oporavak i sanaciju kreditnih institucija i investicijskih društava te o izmjeni Direktive Vijeća 82/891/EEZ i direktiva 2001/24/EZ, 2002/47/EZ, 2004/25/EZ, 2005/56/EZ, 2007/36/EZ, 2011/35/EU, 2012/30/EU i 2013/36/EU te uredbi (EU) br. 1093/2010 i (EU) br. 648/2012 Europskog parlamenta i Vijeća (SL L 173, 12.6.2014., str. 190.).

(9)  Direktiva 2014/65/EU Europskog parlamenta i Vijeća od 15. svibnja 2014. o tržištu financijskih instrumenata i izmjeni Direktive 2002/92/EZ i Direktive 2011/61/EU (SL L 173, 12.6.2014., str. 349.).

(10)  Direktiva (EU) 2015/2366 Europskog parlamenta i Vijeća od 25. studenoga 2015. o platnim uslugama na unutarnjem tržištu, o izmjeni direktiva 2002/65/EZ, 2009/110/EZ i 2013/36/EU te Uredbe (EU) br. 1093/2010 i o stavljanju izvan snage Direktive 2007/64/EZ (SL L 337, 23.12.2015., str. 35.).

(11)  Direktiva (EU) 2016/2341 Europskog parlamenta i Vijeća od 14. prosinca 2016. o djelatnostima i nadzoru institucija za strukovno mirovinsko osiguranje (SL L 354, 23.12.2016., str. 37.).

(12)  Uredba (EU) 2022/2554 Europskog parlamenta i Vijeća od 14. prosinca 2022. o digitalnoj operativnoj otpornosti za financijski sektor i izmjeni uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014, (EU) br. 909/2014 i (EU) 2016/1011 (vidjeti stranicu 1. ovoga Službenog lista).

(13)  Uredba (EU) br. 1093/2010 Europskog parlamenta i Vijeća od 24. studenoga 2010. o osnivanju europskog nadzornog tijela (Europskog nadzornog tijela za bankarstvo), kojom se izmjenjuje Odluka br. 716/2009/EZ i stavlja izvan snage Odluka Komisije 2009/78/EZ (SL L 331, 15.12.2010., str. 12.).

(14)   SL C 369, 17.12.2011., str. 14.

 

 

Za pristup ovom sadržaju morate biti prijavljeni te imati aktivnu pretplatu