(1) Съюзът трябва да предприеме подходящи и всеобхватни мерки за противодействие на цифровите рискове за всички финансови субекти от засиленото използване на информационни и комуникационни технологии (ИКТ) при предоставянето и потреблението на финансови услуги, като по този начин допринесе за реализирането на потенциала на цифровите финансови услуги от гледна точка на стимулиране на иновациите и насърчаване на конкуренцията в сигурна цифрова среда.

(2) Финансовите субекти разчитат изключително много на използването на цифрови технологии в ежедневната си дейност. Поради това е извънредно важно да се осигури оперативната устойчивост на цифровите им операции срещу риск в областта на ИКТ. Необходимостта от това стана още по-неотложна поради нарастването на революционните технологии на пазара, и по-специално технологиите, даващи възможност за електронно прехвърляне и съхраняване на цифрово представени стойност или права, чрез използване на технологията на децентрализирания регистър или подобна технология („криптоактиви“), и поради нарастването на услугите, свързани с тези активи.

(3) На равнището на Съюза изискванията по отношение на управлението на риска в областта на ИКТ във финансовия сектор понастоящем са предвидени в директиви 2009/65/EО (4), 2009/138/EО (5), 2011/61/EС (6), 2013/36/ЕС (7), 2014/59/ЕС (8), 2014/65/EС (9), (ЕС) 2015/2366 (10) и (ЕС) 2016/2341 (11) на Европейския парламент и на Съвета. Тези изисквания са разнообразни и понякога непълни. В някои случаи мерки по отношение на риска в областта на ИКТ са предвидени само косвено като част от мерките за операционния риск, а в други случаи въобще не са предвидени мерки. Тези проблеми са отстранени с приемането на Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета (12). Поради това посочените директиви следва да бъдат изменени, за да се осигури съгласуваност с посочения регламент. С настоящата директива се въвежда набор от изменения, които са необходими за внасянето на правна яснота и последователност във връзка с прилагането от финансовите субекти, които се лицензират и които подлежат на надзор в съответствие с посочените директиви, на различни изисквания за оперативната устойчивост на цифровите технологии, необходими за осъществяването на дейностите им и за предоставянето на услуги, като по този начин се осигурява безпрепятственото функциониране на вътрешния пазар. Необходимо е да се гарантира адекватността на тези изисквания спрямо развитието на пазара, като същевременно се насърчава пропорционалността, по-специално по отношение на размера на финансовите субекти и специфичните режими, които се прилагат за тях, с цел намаляване на разходите за привеждане в съответствие.

(4) В областта на банковите услуги понастоящем с Директива 2013/36/ЕС се установяват само общи правила за вътрешното управление и разпоредби за операционния риск, съдържащи изисквания за планове за действие при извънредни ситуации и за непрекъснатост на дейността, които косвено служат като основа за предприемането на мерки за противодействие на риска в областта на ИКТ. Въпреки това, за да се осигурят изрични и ясни мерки за противодействие на риска в областта на ИКТ, изискванията за плановете за действие при извънредни ситуации и за непрекъснатост на дейността следва да бъдат изменени така че да включват и планове за непрекъснатост на дейността и планове за реакция и възстановяване във връзка с риска в областта на ИКТ, в съответствие с изискванията на Регламент (EС) 2022/2554. Освен това рискът в областта на ИКТ е включен само по подразбиране, като част от операционния риск, в процеса на надзорен преглед и оценка (ПНПО), извършван от компетентните органи, като критериите за неговата оценка понастоящем са определени в „Насоки за оценка на риска в областта на информационните и комуникационните технологии (ИКТ) в рамките на процеса на надзорен преглед и оценка (ПНПО)“, публикувани от Европейския надзорен орган (Европейски банков орган) (ЕБО), създаден с Регламент (ЕС) № 1093/2010 на Европейския парламент и на Съвета (13). За да се осигури правна яснота и да се гарантира, че банковите надзорни органи ефективно идентифицират риска в областта на ИКТ и наблюдават управлението му от финансовите субекти в съответствие с новата рамка за оперативна устойчивост на цифровите технологии, обхватът на ПНПО следва също да бъде изменен по такъв начин, че изрично да включва изискванията, определени в Регламент (ЕС) 2022/2554, и да обхваща по-специално рисковете, разкривани чрез докладите за съществените инциденти с ИКТ и чрез резултатите от тестването на оперативната устойчивост на цифровите технологии, извършвано от финансовите субекти в съответствие с посочения регламент.

(5) Оперативната устойчивост на цифровите технологии е съществена за опазването на критичните функции и основните направления на дейността на финансовия субект в случай на преструктурирането му и по този начин за избягване на сътресения в реалната икономика и финансовата система. Съществените операционни инциденти могат да възпрепятстват способността на финансовия субект да продължи да функционира и да застрашат целите на преструктурирането. Някои договорни споразумения за използване на услуги в областта на ИКТ са от съществено значение за осигуряване на непрекъснатост на операциите и за предоставянето на необходимите данни в случай на преструктуриране. За да бъде приведена в съответствие с целите на рамката на Съюза за оперативна устойчивост, Директива 2014/59/ЕС следва да бъде съответно изменена, за да се гарантира, че информацията, свързана с оперативната устойчивост, се взема предвид в контекста на планирането на преструктурирането и оценката на възможността за преструктуриране на финансовите субекти.

(6) Директива 2014/65/ЕС установява по-строги правила във връзка с риска в областта на ИКТ, които се прилагат за инвестиционните посредници и местата на търговия, извършващи алгоритмична търговия. По отношение на услугите за докладване на данни и регистрите на трансакции се прилагат не толкова подробни изисквания. Освен това Директива 2014/65/ЕС съдържа само ограничен брой позовавания на контролни и защитни механизми за системи за обработка на информацията и за използването на подходящи системи, ресурси и процедури за осигуряване на непрекъснатост на дейността и редовно изпълнение на инвестиционните услуги. В допълнение, посочената директива следва да бъде съобразена с Регламент (EС) 2022/2554 по отношение на непрекъснатостта и редовността при предоставянето на инвестиционните услуги и изпълнението на инвестиционните дейности, оперативната устойчивост, капацитета на системите за търговия и ефективността на мерките за осигуряване на непрекъснатост на дейността и на управлението на риска.

(7) С Директива (ЕС) 2015/2366 се установяват особени разпоредби относно контрола на сигурността и елементите за смекчаване на въздействието във връзка с ИКТ за целите на получаването на лиценз за предоставяне на платежни услуги. Посочените правила за лиценз следва да бъдат изменени, за да бъдат съобразени с Регламент (EС) 2022/2554. Освен това, за да се намали административната тежест и да се избегнат сложността и дублиращите се изисквания за докладване, правилата за докладване на инциденти в посочената директива следва да престанат да се прилагат спрямо доставчиците на платежни услуги, които са регулирани от посочената директива и същевременно попадат в обхвата на Регламент (ЕС) 2022/2554, което ще позволи на тези доставчици на платежни услуги да се ползват от единен, напълно хармонизиран механизъм за докладване на инциденти за всички операционни или свързани със сигурността инциденти, свързани с плащания, независимо дали тези инциденти са свързани с ИКТ.

(8) Директиви 2009/138/ЕО и (ЕС) 2016/2341 частично обхващат риска в областта на ИКТ в своите общи разпоредби за управлението на предприятието и управлението на риска, като се предвижда някои изисквания да бъдат определени чрез делегирани актове със или без изрично упоменаване на риска в областта на ИКТ. По подобен начин по отношение на лицата, управляващи алтернативни инвестиционни фондове, които попадат в обхвата на Директива 2011/61/ЕС, и управляващите дружества, попадащи в обхвата на Директива 2009/65/ЕО, се прилагат само съвсем общи разпоредби. Поради това посочените директиви следва да бъдат съобразени с изискванията, установени в Регламент (EС) 2022/2554 по отношение на управлението на системите и инструментите на ИКТ.

(9) В много случаи вече са въведени допълнителни изисквания във връзка с риска в областта на ИКТ, като те са установени в делегирани актове и актове за изпълнение, приети въз основа на проекти на регулаторни технически стандарти и проекти на технически стандарти за изпълнение, разработени от компетентния Европейски надзорен орган. Тъй като разпоредбите на Регламент (EС) 2022/2554 занапред ще представляват правната рамка, отнасяща се до риска в областта на ИКТ във финансовия сектор, някои правомощия за приемане на делегирани актове и на актове за изменение, съдържащи се в директиви 2009/65/EО, 2009/138/EО, 2011/61/EС и 2014/65/EС, следва да бъдат изменени, така че разпоредбите относно риска в областта на ИКТ да останат извън обхвата на посочените правомощия.

(10) За да се осигури последователно прилагане на новата рамка за оперативната устойчивост на цифровите технологии във финансовия сектор, държавите членки следва да прилагат разпоредбите от националното право, с които се транспонира настоящата директива, от датата на прилагане на Регламент (ЕС) 2022/2554.

(11) Директиви 2009/65/EО, 2009/138/EО, 2011/61/EС, 2013/36/EС, 2014/59/ЕС, 2014/65/EС, (EС) 2015/2366 и (EС) 2016/2341 са приети на основание член 53, параграф 1 или член 114 от Договора за функционирането на Европейския съюз (ДФЕС), или на основание и на двете посочени разпоредби. Измененията, предвидени в настоящата директива, са включени в един-единствен законодателен акт поради взаимосвързаността на предмета и целите на тези изменения. Поради това настоящата директива следва да бъде приета на основание едновременно на член 53, параграф 1 и член 114 от ДФЕС.

(12) Доколкото целите на настоящата директива не могат да бъдат постигнати в достатъчна степен от държавите членки, тъй като са свързани с хармонизация на вече съдържащи се в директиви изисквания, а поради обхвата и последиците на действието могат да бъдат по-добре постигнати на равнището на Съюза, Съюзът може да приеме мерки в съответствие с принципа на субсидиарност, уреден в член 5 от Договора за Европейския съюз. В съответствие с принципа на пропорционалност, уреден в същия член, настоящата директива не надхвърля необходимото за постигане на тези цели.

(13) Съгласно Съвместната политическа декларация на държавите членки и на Комисията относно обяснителните документи от 28 септември 2011 г. (14) държавите членки са поели ангажимент в обосновани случаи да прилагат към съобщението за своите мерки за транспониране един или повече документи, обясняващи връзката между елементите на дадена директива и съответстващите им части от националните инструменти за транспониране. По отношение на настоящата директива законодателят смята, че предоставянето на тези документи е обосновано,

Член 1

Изменение на Директива 2009/65/ЕО

Член 12 от Директива 2009/65/ЕО се изменя, както следва:

1) В параграф 1, втора алинея буква а) се заменя със следното:

„а) да разполага с надеждни административни и счетоводни процедури, контролни и защитни механизми за електронната обработка на данни, включително по отношение на мрежовите и информационните системи, въведени и управлявани в съответствие с Регламент (EС) 2022/2554 на Европейския парламент и на Съвета (*1), както и подходящи механизми за вътрешен контрол, включващи по-специално правила, които се отнасят до личните сделки на неговите служители или до притежанието или управлението на инвестиции във финансови инструменти с цел инвестиране за собствена сметка, като се гарантира най-малко, че всяка сделка с участието на ПКИПЦК може да бъде възстановена в зависимост от нейния произход, страните по нея, нейното естество и времето и мястото на осъществяването ѝ, както и че активите на ПКИПЦК, управлявани от управляващото дружество, се инвестират в съответствие с фондовите правила или учредителните документи и с действащите нормативни разпоредби;

2) Параграф 3 се заменя със следното:

„3.Без да се засяга член 116, Комисията приема чрез делегирани актове в съответствие с член 112а мерки, с които се определят:

a) процедурите и механизмите, посочени в параграф 1, втора алинея, буква а), различни от процедурите и механизмите, отнасящи се до мрежовите и информационните системи;

б) структурите и организационните изисквания за свеждане до минимум на конфликтите на интереси, посочени в параграф 1, втора алинея, буква б).“.

Член 2

Изменения на Директива 2009/138/ЕО

Директива 2009/138/ЕО се изменя, както следва:

1) В член 41 параграф 4 се заменя със следното:

„4.Застрахователните и презастрахователните предприятия предприемат разумни мерки, за да осигурят непрекъснатостта и редовността на изпълнението на своите дейности, включително разработване на планове за действие при извънредни ситуации. За тази цел предприятията използват подходящи и адекватни системи, ресурси и процедури и по-специално въвеждат и управляват мрежови и информационни системи в съответствие с Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета (*2).

2) В член 50, параграф 1 букви а) и б) се заменят със следното:

„а) елементите на системите, посочени в член 41, член 44, и по-специално областите, изброени в член 44, параграф 2, и членове 46 и 47, различни от елементите, отнасящи се до управлението на риска в областта на информационните и комуникационните технологии;

б) функциите, посочени в членове 44, 46, 47 и 48, различни от функциите, отнасящи се до управлението на риска в областта на информационните и комуникационните технологии.“.

Член 3

Изменение на Директива 2011/61/ЕС

Член 18 от Директива 2011/61/ЕС се заменя със следното:

1.Държавите членки изискват от ЛУАИФ да използват във всеки един момент достатъчни и подходящи човешки и технически ресурси, необходими за доброто управление на АИФ.

По-специално, компетентните органи на държавата членка по произход на ЛУАИФ, като отчитат също така естеството на управляваните от него АИФ, изискват от ЛУАИФ да разполага с надеждни административни и счетоводни процедури, контролни и защитни механизми за електронната обработка на данни, включително по отношение на мрежовите и информационните системи, въведени и управлявани в съответствие с Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета (*3), както и подходящи механизми за вътрешен контрол, които включват по-специално правила относно личните сделки на служителите му или притежанието или управлението на инвестиции с цел инвестиране за собствена сметка, и които гарантират най-малкото, че всяка сделка с участието на АИФ може да бъде възстановена в зависимост от произхода ѝ, страните по нея, нейното естество и времето и мястото на осъществяването ѝ, както и че активите на АИФ, управлявани от ЛУАИФ, се инвестират в съответствие с устава или учредителните документи на АИФ и с действащите нормативни разпоредби.

2.Комисията приема, чрез делегирани актове в съответствие с член 56 и при условията на членове 57 и 58, мерки за определяне на процедурите и механизмите, посочени в параграф 1 от настоящия член, различни от процедурите и механизмите, отнасящи се до мрежовите и информационните системи.

Член 4

Изменения на Директива 2013/36/ЕС

Директива 2013/36/ЕС се изменя, както следва:

1) В член 65, параграф 3, буква а) подточка vi) се заменя със следното:

„vi)

трети страни, на които субектите, посочени в подточки i)—iv), са възложили функции или дейности, включително трети страни доставчици на услуги в областта на ИКТ, посочени в глава V от Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета (*4);

2) В член 74, параграф 1, първата алинея се заменя със следното:

„Институциите разполагат с надеждни правила за управление, включващи ясна организационна структура с точно определени, прозрачни и последователни нива на отговорност, ефективни процеси за установяване, управление, наблюдение и докладване на рисковете, на които са изложени или могат да бъдат изложени, адекватни механизми за вътрешен контрол, включващи разумни административни и счетоводни процедури, мрежови и информационни системи, създадени и управлявани в съответствие с Регламент (ЕС) 2022/2554, и политики и практики за възнагражденията, които са съобразени с разумното и ефективно управление на риска и го насърчават.“

3) В член 85 параграф 2 се заменя със следното:

„2.Компетентните органи предприемат мерки, за да гарантират, че институциите разполагат с подходящи политики и планове за действие при извънредни ситуации и за непрекъснатост на дейността, включително политики и планове за непрекъснатост на дейността на ИКТ и планове за реакция и възстановяване на ИКТ за технологията, която използват за съобщаването на информация, както и че тези планове се въвеждат, управляват и тестват в съответствие с член 11 от Регламент (EС) 2022/2554, така че институциите да могат да продължат работата си в случай на сериозно смущение в дейността и да ограничат загубите вследствие на такова смущение.“

4) В член 97, параграф 1 се добавя следната буква:

„г) рисковете, установени при тестването на оперативната устойчивост на цифровите технологии в съответствие с глава IV от Регламент (ЕС) 2022/2554.“.

Член 5

Изменения на Директива 2014/59/ЕС

Директива 2014/59/ЕС се изменя, както следва:

1) Член 10 се изменя, както следва:

a) в параграф 7 буква в) се заменя със следното:

„в) онагледяване на начина, по който критичните функции и основните направления на дейността могат да бъдат правно и икономически отделени от другите функции, доколкото е необходимо, така че да се осигурят непрекъснатост на дейността и оперативна устойчивост на цифровите технологии в случай на неизпълнение на задължения от страна на институцията;“;

б) в параграф 7 буква р) се заменя със следното:

„р) описание на основните операции и системи за поддържане на непрекъснатото функциониране на операционните процеси на институцията, включително на мрежовите и информационните системи, посочени в Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета (*5);

в) в параграф 9 се добавя следната алинея:

„В съответствие с член 10 от Регламент (ЕС) № 1093/2010 ЕБО извършва преглед и — ако е целесъобразно — актуализира регулаторните технически стандарти с цел, наред с другото, да вземе предвид разпоредбите на глава II от Регламент (EС) 2022/2554.“

2) Приложението се изменя, както следва:

a) в раздел A точка 16 се заменя със следното:

„16)

механизми и мерки, необходими за поддържане на непрекъснатото функциониране на операционните процеси на институцията, включително мрежовите и информационните системи, въведени и управлявани в съответствие с Регламент (ЕС) 2022/2554;“;

б) раздел Б се изменя, както следва:

i) точка 14 се заменя със следното:

„14)

идентификация на собствениците на системите, посочени в точка 13, свързаните с тях споразумения за нивото на обслужване и всякакви софтуер, системи или лицензи, включително картографиране на техните правни субекти, критични операции и основни направления на дейността, както и идентифициране на третите страни критични доставчици на услуги в областта на ИКТ по смисъла на член 3, точка 23 от Регламент (ЕС) 2022/2554;“;

ii) вмъква се следната точка:

„14a)

резултатите от тестването на оперативната устойчивост на цифровите технологии на институциите съгласно Регламент (ЕС) 2022/2554;“;

в) раздел В се изменя, както следва:

i) точка 4 се заменя със следното:

„4) степента, в която споразуменията за предоставяне на услуги, включително договорните споразумения за използване на услуги в областта на ИКТ, които институцията е сключила, са стабилни и напълно приложими в случай на преструктуриране на институцията;“;

ii) вмъква се следната точка:

„4a)

оперативната устойчивост на цифровите технологии на мрежовите и информационните системи, които поддържат критични функции и основните направления на дейността на институцията, като се вземат предвид докладите за съществени инциденти с ИКТ и резултатите от тестването на оперативната устойчивост на цифровите технологии съгласно Регламент (ЕС) 2022/2554;“.

Член 6

Изменения на Директива 2014/65/ЕС

Директива 2014/65/ЕС се изменя, както следва:

1) Член 16 се изменя, както следва:

a) параграф 4 се заменя със следното:

„4.Инвестиционният посредник предприема разумни мерки за осигуряване на непрекъснатостта и редовността на изпълнението на инвестиционните услуги и дейности. За тази цел инвестиционният посредник използва подходящи и съразмерни системи, включително системи на информационните и комуникационните технологии (ИКТ), въведени и управлявани в съответствие с член 7 от Регламент (EС) 2022/2554 на Европейския парламент и на Съвета (*6), както и подходящи и адекватни средства и процедури.

б) в параграф 5 втората и третата алинея се заменят със следното:

„Инвестиционният посредник разполага с надеждни административни и счетоводни процедури, механизми за вътрешен контрол и ефективни процедури за оценка на риска.

Без да се засяга способността на компетентните органи да изискват достъп до комуникациите в съответствие с настоящата директива и Регламент (ЕС) № 600/2014, инвестиционният посредник разполага с надеждни механизми за сигурност, с които съгласно изискванията на Регламент (EС) 2022/2554 да гарантира сигурността и удостоверяването на автентичността на средствата за предаване на информацията, да сведе до минимум риска от увреждане на данните и от непозволен достъп и да предотврати изтичането на информация, запазвайки по този начин поверителността на данните по всяко време.“

2) Член 17 се изменя, както следва:

a) параграф 1 се заменя със следното:

„1.Инвестиционният посредник, който извършва алгоритмична търговия, разполага с ефективни системи и механизми за контрол на риска, подходящи за дейността му, за да гарантира, че системите му за търговия са устойчиви и имат достатъчен капацитет в съответствие с изискванията по глава II от Регламент (EС) 2022/2554, че в тях са заложени подходящи прагове и ограничения за търговията и че не допускат предаване на грешни нареждания или действие на системите по друг начин, който може да причини или да допринесе за смущения във функционирането на пазара.

Такъв посредник разполага също така с ефективни системи и механизми за контрол на риска, за да гарантира, че системите за търговия не могат да бъдат използвани за цели, които противоречат на Регламент (ЕС) № 596/2014 или на правилата на мястото на търговия, с което е свързан.

Инвестиционният посредник разполага с ефективни правила за осигуряване на непрекъснатост на дейността в случай на евентуален отказ на системите му за търговия, включително политика и планове за непрекъснатост на дейността на ИКТ и планове за реакция и възстановяване на ИКТ, съставени в съответствие с член 11 от Регламент (EС) 2022/2554, и гарантира, че системите му са подложени на пълни изпитвания и се наблюдават по подходящ начин, за да се осигури спазването на общите изисквания, предвидени в настоящия параграф, както и на особените изисквания, предвидени в глави II и IV от Регламент (EС) 2022/2554.“;

б) в параграф 7 буква а) се заменя със следното:

„а) подробностите за организационните изисквания, предвидени в параграфи 1—6, различни от отнасящите се до управлението на риска в областта на ИКТ, които трябва да се наложат на инвестиционните посредници, предоставящи различни инвестиционни услуги, инвестиционни дейности, допълнителни услуги или съчетания от тях, като спецификациите във връзка с организационните изисквания по параграф 5 определят особени изисквания за пряк достъп до пазара и за спонсориран достъп по такъв начин, че да гарантират, че механизмите за контрол, които се прилагат към спонсорирания достъп, са поне равностойни на тези, които се прилагат по отношение на прекия достъп до пазара;“

3) В член 47 параграф 1 се изменя, както следва:

a) буква б) се заменя със следното:

„б) да бъде оборудван по подходящ начин, за да се справя с рисковете, на които е изложен, включително да управлява риска в областта на ИКТ в съответствие с глава II от Регламент (EС) 2022/2554, да прилага подходящи за целта механизми и системи за идентифицирането на значителни рискове за неговото функциониране и да въведе ефективни мерки за смекчаването на тези рискове;“;

б) буква в) се заличава.

4) Член 48 се изменя, както следва:

a) параграф 1 се заменя със следното:

„1.Държавите членки изискват всеки регулиран пазар да изгради и поддържа своята оперативна устойчивост в съответствие с изискванията по глава II от Регламент (EС) 2022/2554, за да гарантира, че системите му за търговия са устойчиви, имат достатъчен капацитет да обработват обемите от нареждания за търговия и съобщения при върхово натоварване, могат да осигурят търговия по установения ред в условия на голямо напрежение на пазара, преминали са цялостно тестване, за да се гарантира, че отговарят на тези условия, и прилагат ефективни правила за непрекъснатост на дейността, включително политика и планове за непрекъснатост на дейността на ИКТ и планове за реакция и възстановяване на ИКТ, съставени в съответствие с член 11 от Регламент (ЕС) 2022/2554, за да се гарантира непрекъснатото предоставяне на услугите на регулирания пазар при евентуален отказ на системите му за търговия.“;

б) параграф 6 се заменя със следното:

„6.Държавите членки изискват всеки регулиран пазар да разполага с ефективни системи, процедури и правила, включително съдържащи изисквания членовете или участниците да извършват подходящо изпитване на алгоритмите и създаващи среда за улесняване на такова изпитване в съответствие с изискванията по глави II и IV от Регламент (EС) 2022/2554, за да гарантира, че алгоритмичните системи за търговия не могат да създадат условия или да допринесат за извършване на търговия на пазара в нарушение на установения ред, и за да управлява всички условия за извършване на търговия в нарушение на установения ред, произтичащи от тези алгоритмични системи за търговия, включително като се предвидят системи за ограничаване на съотношението между неизпълнените нареждания и сделките, които член или участник може да въведе в системата, да може да забавя потока от нареждания за търговия, ако съществува риск капацитетът на системата да бъде достигнат, и да ограничава и принудително да прилага минималната стъпка на котиране, която може да се изпълнява на пазара.“;

в) параграф 12 се изменя, както следва:

i) буква а) се заменя със следното:

„а) изискванията, с които се гарантира, че системите за търговия на регулираните пазари са устойчиви и имат подходящ капацитет, с изключение на изискванията във връзка с оперативната устойчивост на цифровите технологии;“;

ii) буква ж) се заменя със следното:

„ж) изискванията, с които се осигурява подходящо изпитване на алгоритмите, различно от изпитването във връзка с оперативната устойчивост на цифровите технологии, за да се гарантира, че алгоритмичните системи за търговия, включително системите за високочестотна алгоритмична търговия, не могат да създадат условия или да допринесат за извършването на търговия в нарушение на установения ред.“.

Член 7

Изменения на Директива (ЕС) 2015/2366

Директива (ЕС) 2015/2366 се изменя, както следва:

1) В член 3, буква й) се заменя със следното:

„й) услугите, предоставяни от доставчици на технически услуги, подпомагащи предоставянето на платежни услуги, без да влизат в нито един момент във владение на средствата по превода, включително обработката и съхранението на данни, доверителните услуги и услугите за защита на личния живот, установяването на автентичността на данни и автентификацията на субекти, предоставянето на информационни и комуникационни технологии (ИКТ) и на съобщителни мрежи, предоставянето и поддръжката на терминали и устройства, използвани за платежни услуги, с изключение на услугите по иницииране на плащане и услугите по предоставяне на информация за сметка;“

2) Член 5, параграф 1 се изменя, както следва:

a) първата алинея се изменя, както следва:

i) буква д) се заменя със следното:

„д) описание на управленската рамка и механизмите за вътрешен контрол на заявителя, включително на административните процедури, процедурите за управление на риска и счетоводните процедури, както и на механизмите за използване на услуги за ИКТ в съответствие с Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета (*7), което показва, че управленската рамка и механизмите за вътрешен контрол са пропорционални, подходящи, надеждни и достатъчни;

ii) буква е) се заменя със следното:

„е) описание на въведената процедура, чрез която се наблюдават, обработват и проследяват свързани със сигурността инциденти и свързани със сигурността жалби на клиенти, и която включва механизъм за докладване на инциденти, съобразен със задълженията на платежната институция за уведомяване, установени в глава III от Регламент (ЕС) 2022/2554;“;

iii)

буква з) се заменя със следното:

„з) описание на мерките за осигуряване на непрекъснатост на дейността, включително ясно идентифициране на операциите от критично значение, ефективни политика и планове за непрекъснатост на дейността на ИКТ и планове за реакция и възстановяване на ИКТ, както и процедура за редовно изпитване и преглед на адекватността и ефикасността на тези планове в съответствие с Регламент (ЕС) 2022/2554“;

б) третата алинея се заменя със следното:

„По отношение на посочените в първа алинея, буква й) мерки за контрол на сигурността и мерки за смекчаване на въздействието от рисковете се обяснява по какъв начин те осигуряват висока степен на оперативна устойчивост на цифровите технологии в съответствие с глава II от Регламент (EС) 2022/2554, по-специално във връзка с техническата сигурност и защитата на данните, включително за софтуера и системите на ИКТ, използвани от заявителя или от предприятията, на които той възлага на подизпълнители всички или част от дейностите си. Посочените мерки включват и мерките за сигурност, предвидени в член 95, параграф 1 от настоящата директива. При посочените мерки се вземат под внимание предвидените в член 95, параграф 3 от настоящата директива насоки на ЕБО за мерките за сигурност, когато има такива.“

3) В член 19, параграф 6 втората алинея се заменя със следното:

„Възлагането на подизпълнители на изпълнението на важни оперативни функции, включително системи на ИКТ, не може да се извършва по начин, който съществено засяга качеството на вътрешния контрол на платежната институция и възможността на компетентните органи да наблюдават и проследяват впоследствие изпълнението от платежната институция на всички предвидени в настоящата директива задължения.“

4) В член 95, параграф 1 се добавя следната алинея:

„Първа алинея не засяга прилагането на глава II от Регламент (ЕС) 2022/2554 по отношение на:

а) доставчиците на платежни услуги, посочени в член 1, параграф 1, букви а), б) и г) от настоящата директива;

б) доставчиците на услуги по предоставяне на информация за сметка, посочени в член 33, параграф 1 от настоящата директива;

в) платежните институции, освободени съгласно член 32, параграф 1 от настоящата директива; и

г) и институциите за електронни пари, освободени от изисквания, както е посочено в член 9, параграф 1 от Директива 2009/110/ЕО;“

5) В член 96 се добавя следният параграф:

„7.Държавите членки гарантират, че параграфи 1—5 от настоящия член не се прилагат за:

а) доставчиците на платежни услуги, посочени в член 1, параграф 1, букви а), б) и г) от настоящата директива;

б) доставчиците на услуги по предоставяне на информация за сметка, посочени в член 33, параграф 1 от настоящата директива;

в) платежните институции, освободени съгласно член 32, параграф 1 от настоящата директива; и

г) институциите за електронни пари, за които е предвидено освобождаване съгласно член 9, параграф 1 от Директива 2009/110/ЕО.“

6) В член 98 параграф 5 се заменя със следното:

„5.В съответствие с член 10 от Регламент (ЕС) № 1093/2010 ЕБО редовно извършва преглед и — ако е целесъобразно — актуализира регулаторните технически стандарти с цел, наред с другото, да вземе предвид нововъведенията и развитието на технологиите, както и разпоредбите на глава II от Регламент (EС) 2022/2554 “.

Член 8

Изменение на Директива (ЕС) 2016/2341

Член 21, параграф 5 от Директива (ЕС) 2016/2341 се заменя със следното:

„5.Държавите членки гарантират, че ИППО предприемат разумни мерки, за да осигурят непрекъснатостта и редовността на изпълнението на своите дейности, включително разработване на планове за действие при извънредни ситуации. За тази цел ИППО използват подходящи и съразмерни системи, ресурси и процедури, и по-специално въвеждат и управляват мрежови и информационни системи в съответствие с Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета (*8), когато е приложимо.

Член 9

Транспониране

1.Държавите членки приемат и публикуват не по-късно от 17 януари 2025 г. мерките, необходими, за да се съобразят с настоящата директива. Те незабавно информират Комисията за това.

Те прилагат тези мерки от 17 януари 2025 г.

Когато държавите членки приемат тези мерки, в тях се съдържа позоваване на настоящата директива или то се извършва при официалното им публикуване. Условията и редът на позоваване се определят от държавите членки.

2.Държавите членки съобщават на Комисията текста на основните разпоредби от националното законодателство, които приемат в областта, уредена с настоящата директива.

Член 10

Влизане в сила

Настоящата директива влиза в сила на двадесетия ден след публикуването ѝ в Официален вестник на Европейския съюз.

Член 11

Адресати

Адресати на настоящата директива са държавите членки.