Член 2

Определяне на финансовите субекти, от които се изисква да извършват тестване за проникване

1.Органите в областта на тестването за проникване преценяват дали от даден финансов субект се изисква да извършва тестване за проникване, като вземат предвид въздействието на тези финансови субекти, системния им характер и техния рисков профил в областта на ИКТ, въз основа на всички изброени по-долу критерии:

а) фактори, свързани с въздействието, и фактори, свързани със системния характер:

i) размера на финансовия субект, определен въз основа на това дали финансовият субект предоставя финансови услуги в една или повече държави членки и чрез сравняване на дейностите на финансовия субект с тези на други финансови субекти, предоставящи подобни услуги;

ii) степента и естеството на взаимосвързаност на финансовия субект с други финансови субекти от финансовия сектор в една или повече държави членки;

iii)

критичната значимост или важността на услугите, които финансовият субект предоставя на финансовия сектор;

iv) степента, в която могат да бъдат заменени услугите, които предоставя финансовият субект;

v) сложността на бизнес модела на финансовия субект и свързаните с него услуги и процеси;

vi) дали финансовият субект е част от група със системен характер на равнището на Съюза или на национално равнище във финансовия сектор и използва общи системи на ИКТ;

б) рискови фактори, свързани с ИКТ:

i) рисковия профил на финансовия субект;

ii) картината на заплахите за финансовия субект;

iii)

степента на зависимост на критичните или важните функции или на поддържащите ги функции на финансовия субект от системите и процесите на ИКТ;

iv) сложността на архитектурата на ИКТ на финансовия субект;

v) услугите и функциите на ИКТ, поддържани от трети страни доставчици на услуги в областта на ИКТ, както и броя и вида на договорните споразумения с трети страни доставчици на услуги в областта на ИКТ или вътрешногрупови доставчици на услуги в областта на ИКТ;

vi) резултатите от всички надзорни прегледи, свързани с оценката на степента на развитост на ИКТ на финансовия субект;

vii)

степента на развитост на плановете за непрекъснатост на дейността на ИКТ и плановете за реакция и възстановяване на ИКТ;

viii)

степента на развитост на мерките за откриване на инциденти във връзка с оперативната сигурност на ИКТ и смекчаване на последиците за тях, включително способността за:

1) постоянно наблюдение на инфраструктурата на ИКТ на финансовия субект;

2) откриване на събития, свързани с ИКТ, в реално време;

3) анализиране на събитията, посочени в подточка 2;

4) своевременно и ефективно реагиране на събитията, посочени в подточка 2;

ix) дали финансовият субект е част от група, действаща във финансовия сектор на равнището на Съюза или на национално равнище, която използва общи системи на ИКТ.

За целите на буква а), точка i) органът в областта на тестването за проникване, когато е възможно, взема предвид:

а) позицията на финансовия субект по отношение на пазарния му дял на равнището на Съюза и на национално равнище;

б) обхвата на дейностите, предлагани от финансовия субект;

в) пазарния дял на услугите, предоставяни от финансовия субект, или на дейностите, извършвани на равнището на Съюза и на национално равнище.

за целите на буква а), точка v) органът в областта на тестването за проникване, когато е възможно, взема предвид:

а) дали финансовият субект прилага повече от един бизнес модел;

б) степента на взаимосвързаност на различните работни процеси и свързаните с тях услуги.

2.Органите в областта на тестването за проникване изискват от всички изброени по-долу финансови субекти да извършват тестване за проникване, освен ако посочената в параграф 1 оценка по отношение на даден финансов субект показва, че неговото въздействие, опасенията за финансовата стабилност, свързани с този финансов субект, или неговият рисков профил в областта на ИКТ не оправдават извършването на тестване за проникване:

а) кредитни институции, които отговарят на някое от следните условия:

i) те са определени като глобални системно значими институции (Г-СЗИ) в съответствие с член 131 от Директива 2013/36/ЕС на Европейския парламент и на Съвета ;

ii) те са определени като други системно значими институции (Д-СЗИ) в съответствие с член 131 от Директива 2013/36/ЕС;

iii)

те са част от Г-СЗИ или Д-СЗИ;

б) платежни институции, чиито платежни операции, както са определени в член 4, точка 5 от Директива (ЕС) 2015/2366 на Европейския парламент и на Съвета , са надхвърлили обща стойност от 150 милиарда евро през всяка от двете календарни години, предхождащи оценката от страна на органа в областта на тестването за проникване;

в) институции за електронни пари, чиито платежни операции, както са определени в член 4, точка 5 от Директива (ЕС) 2015/2366, са надхвърлили обща стойност от 150 милиарда евро, или чиито електронни пари в обращение са надхвърлили обща стойност от 40 милиарда евро през всяка от двете календарни години, предхождащи оценката на органа в областта на тестването за проникване;

г) централни депозитари на ценни книжа;

д) централни контрагенти;

е) места за търговия с електронна система за търговия, които отговарят на някой от следните критерии:

i) мястото за търговия има най-голям пазарен дял по отношение на оборота на национално равнище през всяка от двете календарни години, предхождащи оценката от органа в областта на тестването за проникване, в някоя от следните области:

1) прехвърлими ценни книжа съгласно определението в член 4, параграф 1, точка 44, буква а) от Директива 2014/65/ЕС на Европейския парламент и на Съвета ;

2) прехвърлими ценни книжа съгласно определеното в член 4, параграф 1, точка 44, буква б) от Директива 2014/65/ЕС;

3) деривати съгласно определението в член 2, параграф 1, точка 29 от Регламент (ЕС) № 600/2014 на Европейския парламент и на Съвета (10);

4) структурирани финансови продукти съгласно определението в член 2, параграф 1, точка 28 от Регламент (ЕС) № 600/2014;

5) „квоти за емисии“, както са посочени в раздел В, точка 11 от приложение I към Директива 2014/65/ЕС;

ii) мястото за търговия има пазарен дял по отношение на оборота на равнището на Съюза, който надхвърля 5 % през всяка от двете календарни години, предхождащи оценката на органа в областта на тестването за проникване, в някоя от следните области:

1) акции в дружества и други ценни книжа, еквивалентни на акции в дружества, съдружия или други субекти, както и депозитарни разписки във връзка с акции;

2) облигации или други форми на секюритизиран дълг, включително депозитарни разписки във връзка с тези ценни книжа;

3) деривати, както са определени в член 2, параграф 1, точка 29 от Регламент (ЕС) № 600/2014;

4) структурирани финансови продукти съгласно определението в член 2, параграф 1, точка 28 от Регламент (ЕС) 600/2014;

5) квоти за емисии, както са посочени в раздел В, точка 11 от приложение I към Директива 2014/65/ЕС;

ж) застрахователни и презастрахователни предприятия, които отговарят на всички изброени по-долу критерии:

i) имат брутна записана премия (БЗП), която надхвърля 1 500 000 000 EUR;

ii) имат технически резерви, които надхвърлят 10 000 000 000 EUR;

iii)

застрахователни предприятия, които извършват само животозастрахователни дейности или извършват както животозастрахователни, така и общозастрахователни дейности, и които имат общи активи, надвишаващи 3,5 % от сумата на общите активи, оценени в съответствие с член 75 от Директива 2009/138/ЕО на Европейския парламент и на Съвета (11), на застрахователните и презастрахователните предприятия, установени в държавата членка.

За целите на буква е), точка ii), когато мястото за търговия е част от група, която използва общи системи на ИКТ или един и същ вътрешногрупов доставчик на услуги в областта на ИКТ, се взема предвид оборотът на договорите за ценни книжа и деривати на всички места за търговия, принадлежащи към същата група и установени в Съюза.

За целите на буква ж) органите в областта на тестването за проникване определят подгрупа от всички застрахователни и презастрахователни предприятия, като прилагат критериите, посочени в буква ж), точки i), ii) и iii). От застрахователните и презастрахователните предприятия, включени в тази подгрупа, се изисква да извършват тестване за проникване, когато отговарят и на някой от следните критерии:

а) брутна записана премия (БЗП), която надхвърля 3 000 000 000 EUR;

б) технически резерви, които надхвърлят 30 000 000 000 EUR;

в) общи активи, които надхвърлят 10 % от сумата на общите активи, оценени в съответствие с член 75 от Директива 2009/138/ЕО, на застрахователните и презастрахователните предприятия, установени в държавата членка.

3.Когато повече от един финансов субект, принадлежащ към една и съща група и използващ общи системи на ИКТ, или когато повече от един финансов субект, използващ същия вътрешногрупов доставчик на услуги в областта на ИКТ, отговаря на критериите, посочени в параграф 2, органите в областта на тестването за проникване на тези финансови субекти преценяват, в съответствие с член 16, параграф 2, дали изискването за извършване на тестване за проникване на индивидуална основа е приложимо за тези финансови субекти.

Когато органът в областта на тестването за проникване на предприятието майка на група от финансови субекти, посочени в първа алинея, е различен от органите в областта на тестването за проникване на финансовите субекти от групата, органите в областта на тестването за проникване на финансовите субекти, принадлежащи към тази група, се консултират с посочения орган относно целесъобразността на тестването за проникване на индивидуална основа.