(1) В цифровата ера информационните и комуникационните технологии (ИКТ) са в основата на сложни системи, използвани в ежедневните дейности. ИКТ поддържат работата на икономиките ни в ключови сектори, включително финансовия сектор, и подобряват функционирането на вътрешния пазар. От друга страна, засилената цифровизация и взаимосвързаност засилват риска в областта на ИКТ, което прави обществото като цяло и финансовата система по-специално по-уязвими на киберзаплахи или смущения на ИКТ. Въпреки че повсеместното използване на системите на ИКТ и високата степен на цифровизация и свързаност са днес основни характеристики на дейностите на финансовите субекти на Съюза, предприемането на мерки по отношение на устойчивостта на използваните от тях цифрови технологии и интегрирането на тази устойчивост в по-широките им оперативни рамки все още предстои.
(2) През изминалите десетилетия използването на ИКТ придоби до такава степен ключова роля в предоставянето на финансови услуги, че днес се е превърнало в критично важен елемент за осъществяването на обичайните ежедневни функции на всички финансови субекти. Цифровизацията понастоящем обхваща например плащанията, които все повече преминават от методи, базирани на плащане в брой и използване на хартиен носител, към използването на цифрови решения, както и клиринг и сетълмент на ценни книжа, електронна и алгоритмична търговия, операции по кредитиране и финансиране, партньорско финансиране, присъждане на кредитен рейтинг, уреждане на застрахователни претенции и вътрешни за дружествата операции. Застрахователният сектор също претърпя сериозни промени вследствие на използването на ИКТ — от появата на застрахователни посредници, които предлагат своите услуги онлайн като работят със застрахователни технологии (InsurTech), до извършването на цифрова застрахователна дейност. Целият финансов сектор не само се цифровизира в голяма степен, но цифровизацията доведе и до задълбочаване на взаимните връзки и зависимости както в рамките на самия финансов сектор, така и с доставчици на инфраструктура и услуги, които са трети страни.
(3) В свой доклад от 2020 г., посветен на системния киберриск Европейският съвет за системен риск (ЕССР) отново подчерта, че наблюдаваната тясна взаимосвързаност между финансовите субекти, финансовите пазари и инфраструктурите на финансовите пазари, и в частност — взаимозависимостта на техните системи на ИКТ, би могла да представлява системна уязвимост, тъй като локализираните киберинциденти биха могли бързо, невъзпрепятствани от географските граници, да се разпространят от всеки от приблизително 22 000-те финансови субекта в Съюза в цялата финансова система. Сериозните пробиви в ИКТ във финансовия сектор не засягат само финансови субекти, взети изолирано едни от други. Те също така улесняват разпространението на локализирани уязвимости по финансовите трансмисионни канали и потенциално са източник на неблагоприятни последици за стабилността на финансовата система на Съюза, например генериране на загуби на ликвидност и общо намаляване на доверието и увереността във финансовите пазари.
(4) През последните години отговорните за политиките кадри, регулаторните органи и органите по стандартизация на международно, съюзно и национално равнище се заеха с риска в областта на ИКТ в опит да се повиши устойчивостта на цифровите технологии, да се установят стандарти и да се координира регулаторната или надзорната дейност. На международно равнище Базелският комитет по банков надзор, Комитетът по плащанията и пазарните инфраструктури, Съветът за финансова стабилност, Институтът за финансова стабилност и Г-7 и Г-20 се стремят да предоставят на компетентните органи и пазарните участници от различни юрисдикции инструменти за засилване на устойчивостта на техните финансови системи. Работата в тази насока се ръководи също от необходимостта за надлежно отчитане на риска в областта на ИКТ в контекста на една силно взаимосвързана глобална финансова система и за стремеж към по-голяма съгласуваност на съответните най-добри практики.
(5) Въпреки целевите политики и законодателни инициативи на национално равнище и на равнището на Съюза, рискът в областта на ИКТ продължава да поражда предизвикателства за оперативната устойчивост, функционирането и стабилността на финансовата система на Съюза. Реформите, последвали финансовата криза от 2008 г., най-вече засилиха финансовата устойчивост на финансовия сектор на Съюза и бяха насочени към запазване на конкурентоспособността и стабилността на Съюза от икономическа и пруденциална гледна точка и от гледна точка на поведението на пазара. Въпреки че сигурността на ИКТ и устойчивостта на цифровите технологии са част от операционния риск, в следкризисната регулаторна програма им беше обърнато по-малко внимание и те претърпяха развитие само в някои области на политиката и регулаторната среда на финансовите услуги на Съюза или само в няколко държави членки.
(6) В своето съобщение от 8 март 2018 г., озаглавено „План за действие в областта на финансовите технологии — за по-конкурентоспособен и иновативен европейски финансов сектор“ Комисията подчерта, че осигуряването на по-голяма устойчивост на финансовия сектор на Съюза е от първостепенно значение, включително в оперативен аспект, за да се гарантират технологичната му сигурност и доброто функциониране, бързото му възстановяване след пробиви и инциденти с ИКТ, което в крайна сметка да позволи ефективно и безпрепятствено предоставяне на финансови услуги в целия Съюз, включително в ситуации на стрес, като същевременно се запазят доверието и увереността на потребителите и пазара.
(7) През април 2019 г. Европейският надзорен орган (Европейски банков орган — ЕБО), създаден с Регламент (ЕС) № 1093/2010 на Европейския парламент и на Съвета (4), Европейският надзорен орган (Европейски орган за застраховане и професионално пенсионно осигуряване — ЕОЗППО), създаден с Регламент (ЕС) № 1094/2010 на Европейския парламент и на Съвета (5), и Европейският надзорен орган (Европейски орган за ценни книжа и пазари — ЕОЦКП), създаден с Регламент (ЕС) № 1095/2010 на Европейския парламент и на Съвета (6) (заедно известни като „Европейски надзорни органи“ или „ЕНО“), съвместно публикуваха техническо становище, в което призоваха за възприемането на съгласуван подход към риска в областта на ИКТ във финансовия сектор и препоръчаха да се засили по пропорционален начин оперативната устойчивост на цифровите технологии в сектора на финансовите услуги чрез секторно насочена инициатива на Съюза.
(8) Финансовият сектор на Съюза се регулира от единна нормативна уредба и се управлява от Европейска система за финансов надзор. Въпреки това разпоредбите относно оперативната устойчивост на цифровите технологии и сигурността на ИКТ все още не са хармонизирани изцяло или последователно, независимо от факта, че оперативната устойчивост на цифровите технологии е от ключово значение за гарантиране на финансовата стабилност и интегритета на пазара в цифровата ера, като е не по-малко важна например от общите пруденциални стандарти или стандартите за пазарно поведение. Поради това единната нормативна уредба и надзорната система следва да бъдат развити така, че да обхванат и оперативната устойчивост на цифровите технологии чрез укрепване на мандатите на компетентните органи, което да им позволи да упражняват надзор върху управлението на риска в областта на ИКТ във финансовия сектор с цел да се защитят интегритетът и ефикасността на вътрешния пазар и да се подпомогне безпроблемното му функциониране.
(9) Нормативните несъответствия и различията в националните регулаторни или надзорни подходи по отношение на риска в областта на ИКТ създават пречки за функционирането на вътрешния пазар на финансови услуги, като възпрепятстват безпроблемното упражняване на свободата на установяване и предоставянето на услуги от финансовите субекти с трансгранична дейност. Конкуренцията между един и същ вид финансови субекти с дейност в различни държави членки би могла също да бъде нарушена. Това важи по-специално за области, в които хармонизацията на равнището на Съюза е съвсем ограничена, например тестване на оперативната устойчивост на цифровите технологии, или в които хармонизация изобщо не съществува, например наблюдението на риска в областта на ИКТ, пораждан от трета страна. Различията в резултат на планирани национални мерки биха могли допълнително да затруднят функционирането на вътрешния пазар в ущърб на пазарните участници и финансовата стабилност.
(10) Към настоящия момент, поради частичния подход на равнището на Съюза по отношение на разпоредбите, свързани с риска в областта на ИКТ, има празноти или препокривания във важни области, например при докладването на инциденти с ИКТ и тестването на оперативната устойчивост на цифровите технологии, както и непоследователност, която се дължи на въвеждане на разнопосочни национални правила или икономически неефективно прилагане на припокриващи се правила. Особено потърпевши от това са интензивно ползващите ИКТ, например финансовият сектор, тъй като технологичните рискове нямат граници, а финансовият сектор разгръща услугите си в широк международен мащаб в рамките на Съюза и извън него. Отделните финансови субекти с трансгранична дейност или с няколко лиценза (например даден финансов субект може да има лиценз за банка, за инвестиционен посредник и за платежна институция, като всеки от тях е издаден от различен компетентен орган в една или няколко държави членки) се сблъскват с оперативни предизвикателства, когато желаят самостоятелно и по последователен икономически ефективен начин да управляват риска в областта на ИКТ и да ограничават неблагоприятното въздействие на инцидентите с ИКТ.
(11) Единната нормативна уредба не е придружена от всеобхватна уредба на риска в областта на ИКТ или на операционния риск, поради което е необходимо допълнително хармонизиране на ключовите изисквания за всички финансови субекти във връзка с оперативната устойчивост на цифровите технологии. Развиването на капацитета на ИКТ и на общата устойчивост от финансовите субекти въз основа на тези ключови изисквания с цел да се преодоляват оперативните неизправности, ще допринесе за запазването на стабилността и интегритета на финансовите пазари на Съюза и оттам — за осигуряването на висока степен на защита на инвеститорите и потребителите в Съюза. Тъй като целта на настоящия регламент е да допринесе за гладкото функциониране на вътрешния пазар, той следва да се основава на разпоредбите на член 114 от Договора за функционирането на Европейския съюз (ДФЕС) съгласно тълкуванието на този член в съдебната практика на Съда на Европейския съюз (наричан по-нататък „Съда“).
(12) Целта на настоящия регламент е да се консолидират и подобрят изискванията във връзка с риска в областта на ИКТ като част от изискванията за операционния риск, които към настоящия момент се разглеждат отделно в различни правни актове на Съюза. Макар че тези актове обхващат основните категории финансов риск (напр. кредитен риск, пазарен риск, кредитен риск и ликвиден риск от контрагента, риск във връзка с пазарното поведение), към момента на приемането им в тях не са включени всеобхватно всички компоненти на оперативната устойчивост. При доразвиването на нормите за операционния риск в правните актове на Съюза често беше предпочитан традиционният количествен подход по отношение на риска (а именно определяне на капиталово изискване за покриване на риска в областта на ИКТ) вместо целенасочени норми за качество във връзка с капацитета за защита, установяване, ограничаване, възстановяване на информацията и възобновяване на обичайното функциониране при инциденти, засягащи ИКТ, или за капацитета за докладване и цифрово тестване. С тези актове се целеше най-вече включване и актуализиране на основните правила за пруденциален надзор, интегритет на пазара или пазарно поведение. Посредством консолидирането и актуализирането на различните правила за риска в областта на ИКТ, всички разпоредби, посветени на цифровия риск във финансовия сектор, следва за първи път да бъдат последователно обединени в един единствен законодателен акт. Следователно с настоящия регламент се запълват празнотите или се отстраняват несъответствията в някои от предходните правни актове, включително по отношение на използваната в тях терминология, и изрично се прави позоваване на риска в областта на ИКТ чрез целенасочени правила за капацитета за управление на риска в областта на ИКТ, докладването на инциденти, тестването на оперативната устойчивост и наблюдението на риска в областта на ИКТ, пораждан от трети лица. Настоящият регламент следва също да повиши осведомеността относно риска в областта на ИКТ и да отчита факта, че инцидентите с ИКТ и липсата на оперативна устойчивост могат да застрашат стабилността на финансовите субекти.
(13) В мерките си във връзка с риска в областта на ИКТ финансовите субекти следва да спазват един и същ подход и принципни правила, като отчитат размера и цялостния си рисков профил, както и естеството, мащабите и сложността на своите услуги, дейности и операции. Съгласуваността допринася за засилване на доверието във финансовата система и за съхраняване на нейната стабилност, особено във времена на голяма зависимост от системите, платформите и инфраструктурите на ИКТ, която повишава риска при цифровите технологии. Спазването на елементарна киберхигиена би следвало също така да спести необходимостта от налагане на значителни разходи върху икономиката посредством свеждане до минимум на въздействието на смущенията на ИКТ и свързаните с тях разходи.
(14) Приемането на регламент спомага за намаляване на нормативната сложност, насърчава сближаването на надзорните практики, повишава правната сигурност, като освен това допринася за ограничаване на разходите за спазване на изискванията — особено за финансовите субекти с трансгранична дейност, и за намаляване на нарушаването на конкуренцията. Ето защо изборът на регламент за създаване на обща рамка за оперативната устойчивост на цифровите технологии при финансовите субекти, е най-добрият начин за осигуряване на еднообразно и съгласувано прилагане от страна на финансовия сектор на Съюза на всички компоненти на управлението на риска в областта на ИКТ.
(15) Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета (7) беше първата хоризонтална рамка в областта на киберсигурността, приета на равнището на Съюза, която се прилага освен това към три вида финансови субекти, а именно кредитни институции, места за търговия и централни контрагенти. Въпреки това, тъй като в Директива (ЕС) 2016/1148 е предвиден механизъм за определяне на национално равнище на операторите на основни услуги, само конкретни кредитни институции, места за търговия и централни контрагенти, които са били определени от държавите членки, са били включени на практика в нейния обхват и съответно подлежат на предвидените в нея изисквания за сигурност на ИКТ и за уведомяване за инцидентите с ИКТ. С Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета (8) се установява единен критерий за определяне на субектите, попадащи в нейния обхват (правило за размера на предприятието), като същевременно трите вида финансови субекти остават в приложното ѝ поле.
(16) Въпреки това, тъй като с настоящия регламент се повишава нивото на хармонизация на различните аспекти, свързани с устойчивостта на цифровите технологии, като се въвеждат изисквания относно управлението на риска в областта на ИКТ и докладването на инциденти с ИКТ, които са по-строги от предвидените в действащото право на Съюза в областта на финансовите услуги, това по-високо ниво представлява по-тясна хармонизация и в сравнение с изискванията, предвидени в Директива (ЕС) 2022/2555. Следователно настоящият регламент представлява lex specialis по отношение на Директива (ЕС) 2022/2555. Същевременно е изключително важно да се запази силна връзка между финансовия сектор и хоризонталната рамка на Съюза в областта на киберсигурността, установена понастоящем в Директива (ЕС) 2022/2555, за да се осигури съгласуваност с приетите от държавите членки стратегии за киберсигурност и да се даде възможност органите за финансов надзор да бъдат информирани за инциденти с киберсигурността, засягащи други сектори, попадащи в обхвата на посочената директива.
(17) В съответствие с член 4, параграф 2 от Договора за Европейския съюз и без да се засяга съдебният контрол, упражняван от Съда, настоящият регламент не следва да засяга отговорността на държавите членки по отношение на основните държавни функции, свързани с обществената сигурност, отбраната и гарантирането на националната сигурност, например по отношение на предоставянето на информация, което би било в противоречие с гарантирането на националната сигурност.
(18) За да се осигури възможност за междусекторно прехвърляне на знанията и ефективно използване на придобития в други сектори опит при преодоляването на киберзаплахи, финансовите субекти, посочени в Директива (ЕС) 2022/2555, следва да останат част от „екосистемата“ на посочената директива (напр. групата за сътрудничество и екипите за реагиране при инциденти с компютърната сигурност (ЕРИКС). ЕНО и националните компетентни органи следва да могат да участват в обсъжданията на стратегическата политика и в техническата работа на групата за сътрудничество съгласно посочената директива, както и да обменят информация и да поддържат по-тясно сътрудничество с единните звена за контакт, определени или установени в съответствие с посочената директива. Компетентните органи съгласно настоящия регламент следва също така да провеждат консултации и да си сътрудничат с ЕРИКС. Наред с това, компетентните органи следва да могат да искат технически становища от компетентните органи, определени или установени в съответствие с Директива (ЕС) 2022/2555, и да установяват договорености за сътрудничество с оглед на осигуряването на ефективни и гарантиращи бърза реакция координационни механизми.
(19) Като се имат предвид силните взаимовръзки между устойчивостта на цифровите технологии и физическата устойчивост на финансовите субекти, е необходимо в настоящия регламент и в Директива (ЕС) 2022/2557 на Европейския парламент и на Съвета (9) да се възприеме съгласуван подход по отношение на устойчивостта на критичните субекти. Като се има предвид, че физическата устойчивост на финансовите субекти е изчерпателно регламентирана чрез задълженията за управление и докладване на риска в областта на ИКТ, предвидени в настоящия регламент, задълженията, установени в глави III и IV от Директива (ЕС) 2022/2557, не следва да се прилагат за финансовите субекти, попадащи в обхвата на посочената директива.
(20) Доставчиците на компютърни услуги „в облак“ са сред категориите цифрови инфраструктури, обхванати от Директива (ЕС) 2022/2555. Създадената с настоящия регламент надзорна рамка на Съюза (наричана по-нататък „надзорната рамка“) се прилага спрямо всички трети страни критични доставчици на услуги в областта на ИКТ включително доставчиците на компютърни услуги „в облак“, които предоставят услуги в областта на ИКТ на финансови субекти, и следва да се счита за допълваща надзора, осъществяван съгласно Директива (ЕС) 2022/2555. Наред с това, надзорната рамка, създадена с настоящия регламент, следва да обхваща доставчиците на компютърни услуги „в облак“, докато няма хоризонтална рамка на Съюза, с която се създава орган за надзор на цифровите услуги.
(21) С цел да се поддържа пълен контрол върху риска в областта на ИКТ, финансовите субекти трябва да разполагат с всеобхватен капацитет, който да позволява стабилно и ефективно управление на риска в областта на ИКТ, както и със специални механизми и политики за справяне с всички инциденти с ИКТ и за докладване на съществените инциденти с ИКТ. Аналогично, финансовите субекти следва да разполагат с политики за тестване на системите, контролите и процесите на ИКТ, както и за управление на риска в областта на ИКТ, пораждан от трета страна. Базовите стандарти за оперативната устойчивост на цифровите технологии на финансовите субекти следва да бъдат повишени, като същевременно се осигури възможност за съизмеримо прилагане на изискванията спрямо определени финансови субекти, по-специално микропредприятия, както и спрямо финансови субекти, за които се прилага опростена рамка за управление на риска в областта на ИКТ. За да се улесни упражняването на ефикасен надзор над институциите за професионално пенсионно осигуряване, който е пропорционален и отразява необходимостта от намаляване на административната тежест за компетентните органи, съответните национални надзорни договорености по отношение на такива финансови субекти следва да отчитат техния размер и цялостен рисков профил, както и естеството, мащаба и сложността на техните услуги, дейности и операции, дори когато са превишени съответните прагове, установени в член 5 от Директива (ЕС) 2016/2341 на Европейския парламент и на Съвета (10). По-специално, надзорните дейности следва да се съсредоточат главно върху необходимостта от преодоляване на сериозните рискове, свързани с управлението на риска в областта на ИКТ на конкретен субект. Компетентните органи следва също да поддържат строг, но пропорционален подход по отношение на надзора над институциите за професионално пенсионно осигуряване, които в съответствие с член 31 от Директива (ЕС) 2016/2341 възлагат на външни доставчици на услуги значителна част от основната си дейност, например управление на активи, актюерски изчисления, счетоводство и управление на данни.
(22) Националните прагове и таксономии за докладване на инцидентите с ИКТ варират значително. Макар чрез съответната работа на Агенцията на Европейския съюз за киберсигурност (ENISA), създадена с Регламент (ЕС) 2019/881 на Европейския парламент и на Съвета, (11) и на групата за сътрудничество съгласно Директива (ЕС) 2022/2555 да е възможно да бъдат постигнати допирни точки, по отношение на останалите финансови субекти все още има или могат да възникнат различни подходи към определянето на праговете и използването на таксономиите. В резултат на тези различия са налице множество изисквания, които финансовите субекти трябва да спазват, особено когато извършват дейност в няколко държави членки или са част от финансова група. Освен това такива различия имат потенциал да възпрепятстват създаването на допълнителни единни или централизирани механизми на Съюза, които да ускоряват процеса на докладване и да подпомагат бързия и безпрепятствен обмен на информация между компетентните органи, което е от решаващо значение за противодействие на риска в областта на ИКТ в случай на мащабни атаки с потенциално системни последствия.
(23) За да се намалят административната тежест и евентуалното дублиране на задължения за докладване за някои финансови субекти, изискването за докладване на инциденти съгласно Директива (ЕС) 2015/2366 на Европейския парламент и на Съвета (12) следва да престане да се прилага по отношение на доставчиците на платежни услуги, които попадат в обхвата на настоящия регламент. Следователно кредитните институции, институциите за електронни пари, платежните институции и доставчиците на услуги по предоставяне на информация за сметка, пoсочени в член 33, параграф 1 от посочената директива, следва от датата на прилагане на настоящия регламент да докладват съгласно настоящия регламент всички операционни или свързани със сигурността инциденти, свързани с плащания, които досега са били докладвани съгласно посочената директива, независимо дали тези инциденти са свързани с ИКТ.
(24) С цел да се осигури възможност на компетентните органи да упражняват надзорни функции, придобивайки пълна представа за естеството, честотата, значимостта и въздействието на инцидентите с ИКТ, както и за да се подобри обменът на информация между съответните публични органи, включително правоприлагащите органи и органите за преструктуриране, в настоящия регламент следва да се предвиди стриктен режим за докладване на инциденти с ИКТ, така че чрез съответните изисквания да се запълнят празнотите, които понастоящем съществуват в законодателството в областта на финансовите услуги, и да се премахнат съществуващите припокривания и дублирания, за да се намалят разходите. От първостепенно значение е да се хармонизира режимът за докладване на инциденти с ИКТ, като се въведат изисквания всички финансови субекти да докладват на компетентните си органи чрез единна рационализирана рамка, както е посочено в настоящия регламент. Освен това на ЕНО следва да бъде предоставено правомощието да доуточняват съответните елементи на рамката за докладване на инциденти с ИКТ, напр. таксономия, времеви рамки, набори от данни, образци и приложими прагове. За да се осигури пълно съответствие с Директива (ЕС) 2022/2555, на финансовите субекти следва да бъде разрешено на доброволна основа да уведомяват съответния компетентен орган за значителни киберзаплахи, когато считат, че киберзаплахата засяга финансовата система, ползвателите на услуги или клиентите.
(25) В някои финансови подсектори бяха разработени изисквания за тестване на оперативната устойчивост на цифровите технологии, установяващи рамки, които невинаги са напълно съгласувани. Това води до потенциално дублиране на разходите за трансграничните финансови субекти и усложнява взаимното признаване на резултатите от тестването на оперативната устойчивост на цифровите технологии, което от своя страна може да предизвика фрагментиране на вътрешния пазар.
(26) Наред с това, когато не се изисква тестване на ИКТ, уязвимите места остават неразкрити и водят до излагане на финансовия субект на риск в областта на ИКТ, като в крайна сметка създават по-висок риск за стабилността и интегритета на финансовия сектор. Без намеса от страна на Съюза тестването на оперативната устойчивост на цифровите технологии ще продължи да бъде непоследователно и без установена система за взаимно признаване на тестовите резултати за ИКТ в отделните юрисдикции. Освен това, предвид слабата вероятност другите финансови подсектори да възприемат схеми за тестване в значим мащаб, те биха пропуснали потенциалните ползи на една рамка за тестване, що се отнася до разкриването на уязвимите места и рисковете, свързани с ИКТ, и на тестването на капацитета за защита и за непрекъснатост на дейността, което допринася за повишаване на доверието на потребителите, доставчиците и търговските партньори. С цел да се отстранят тези припокривания, различия и празноти, е необходимо да се установят правила за координиран режим на тестване, с което ще се улесни взаимното признаване на обстойните тестове, провеждани от финансовите субекти, отговарящи на критериите, определени в настоящия регламент.
(27) Фактът, че финансовите субекти са зависими от използването на услуги в областта на ИКТ, се дължи отчасти на необходимостта да се адаптират към нововъзникващата конкурентна цифрова глобална икономика, да повишат ефикасността на дейността си и да удовлетворят потребителското търсене. В последните години естеството и обхватът на тази зависимост се променят непрекъснато, което доведе до намаляване на разходите за финансово посредничество, позволи разширяването и разрастването на финансовите дейности и същевременно предложи богат инструментариум, основан на ИКТ, за управление на сложните вътрешни процеси.
(28) За широкото използване на услугите в областта на ИКТ свидетелстват сложните договорни споразумения, в чиито рамки финансовите субекти често срещат затруднения при договарянето на условия, които са съобразени с пруденциалните стандарти или други регулаторни изисквания, приложими към тях, или при ефективното упражняване на специфични права, например права за достъп или одит, дори когато последните са заложени в договорните им споразумения. Освен това, много от тези договорни споразумения не предвиждат достатъчно гаранции, които да позволят цялостното наблюдение на процесите на възлагане на дейности на подизпълнители, което лишава финансовите субекти от способността да оценяват свързаните рискове. В допълнение, поради факта, че третите страни доставчици на услуги в областта на ИКТ често предоставят стандартизирани услуги на различни видове клиенти, подобни договорни споразумения не винаги обслужват адекватно индивидуалните или специфичните нужди на участниците от финансовия сектор.
(29) Въпреки че правото на Съюза в областта на финансовите услуги съдържа някои общи правила относно възлагането на дейности на външни изпълнители, упражняването на наблюдение върху договорното измерение не е напълно установено в правото на Съюза. Поради липсата на ясни и специално пригодени стандарти на Съюза, които да се прилагат за договорните споразумения, сключени с трети страни доставчици на услуги в областта на ИКТ, не се предприемат изчерпателни мерки за отстраняване на външния източник на риск в областта на ИКТ. Поради това е необходимо да се определят някои основни принципи, които да ръководят финансовите субекти при управлението на риска в областта на ИКТ, пораждан от трети страни, като тези принципи са особено важни, когато финансовите субекти прибягват до трети страни доставчици на услуги в областта на ИКТ, за да поддържат изпълняваните от тях критични или важни функции. Тези принципи следва да бъдат придружени от набор от основни договорни права във връзка с някои елементи при изпълнението и прекратяването на договорните споразумения, за да се осигурят определени минимални гаранции с цел укрепване на способността на финансовите субекти ефективно да следят всеки риск в областта на ИКТ, който възниква на равнището на трети страни доставчици на услуги. Тези принципи допълват секторното право, приложимо към възлагането на дейности на външни изпълнители.
(30) Понастоящем се наблюдава известна липса на хомогенност и сближаване по отношение на наблюдението на риска в областта на ИКТ, пораждан от трети страни, и на зависимостта от трети страни доставчици на услуги в областта на ИКТ. Въпреки усилията за регламентиране на възлагането на дейности на външни изпълнители, например Насоките на ЕБО за възлагане на дейности на външни изпълнители от 2019 г. и Насоките на ЕОЦКП относно възлагането на дейности на доставчици на компютърни услуги „в облак“ от 2021 г., по-широкият въпрос за противодействие на системния риск, който може да възникне от експозицията на финансовия сектор към ограничен брой трети страни критични доставчици на услуги в областта на ИКТ не е застъпен в достатъчна степен в законодателството на Съюза. Липсата на правила на равнището на Съюза се утежнява от липсата на национални правила относно правомощията и инструментите, които да позволят на органите за финансов надзор да разберат добре зависимостите от трети страни доставчици на услуги в областта на ИКТ и адекватно да следят рисковете, произтичащи от концентрацията на зависимости от трети страни доставчици на услуги в областта на ИКТ.
(31) Предвид потенциалния системен риск, породен от разрастващата се практика на възлагане на дейности на външни изпълнители и от концентрацията на трети страни доставчици на услуги в областта на ИКТ, и в контекста на недостатъчните национални механизми, които да предоставят на органите за финансов надзор адекватни инструменти за количествено и качествено определяне и противодействие на последиците от риска в областта на ИКТ, възникващ при трети страни критични доставчици на услуги в областта на ИКТ, е необходимо да бъде създадена подходяща надзорна рамка, която да позволява непрекъснато наблюдение на дейностите на третите страни доставчици на услуги в областта на ИКТ, които са критични доставчици на услуги в областта на ИКТ за финансовите субекти, като същевременно се гарантира опазването на поверителността и сигурността на потребителите, които не са финансови субекти. Въпреки че вътрешногруповото предоставяне на услуги в областта на ИКТ поражда специфични рискове и ползи, то не следва автоматично да се счита за по-малко рисково от предоставянето на услуги в областта на ИКТ от доставчици извън финансова група и поради това следва да се подчинява на същата регулаторна рамка. Когато обаче услугите в областта на ИКТ се предоставят от доставчици, които принадлежат към същата финансова група, финансовите субекти може да имат по-високо ниво на контрол върху вътрешногруповите доставчици, което следва да се взема предвид при цялостната оценка на риска.
(32) Тъй като рисковете в областта на ИКТ стават все по-сложни и комплексни, добрите мерки за откриване и предотвратяване на риска в областта на ИКТ зависят до голяма степен от редовния обмен между финансовите субекти на разузнавателни сведения за заплахите и уязвимите места. Обменът на информация допринася за създаване на повишена осведоменост относно киберзаплахите. От своя страна, това увеличава капацитета на финансовите субекти да предотвратяват превръщането на киберзаплахите в реални инциденти с ИКТ и позволява на финансовите субекти по-ефективно да ограничават въздействието на инцидентите с ИКТ и да се възстановяват по-бързо. При липсата на насоки на равнището на Съюза няколко фактора, изглежда, възпрепятстват обмена на разузнавателни сведения, по-специално несигурността по отношение на съвместимостта на този обмен със защитата на данните, антитръстовите норми и правилата за отговорността.
(33) Наред с това съмненията относно вида информация, която може да се обменя с останалите пазарни участници или с органите, които не са надзорни органи (например с ENISA — за аналитични цели, или с Европол — за целите на правоприлагането), водят до задържането на полезна информация. Следователно обхватът и качеството на обмена на информация понастоящем остават ограничени и фрагментарни — като полезен обмен се осъществява предимно на местно равнище (чрез национални инициативи) и без съобразени с потребностите на интегрираната финансова система съгласувани споразумения за обмен на информация на равнището на Съюза. Следователно е важно тези канали за комуникация да бъдат укрепени.
(34) Финансовите субекти следва да бъдат насърчавани да обменят помежду си информация и разузнавателни сведения за киберзаплахи и да използват колективно индивидуалните си знания и практически опит на стратегическо, тактическо и оперативно ниво, за да повишат капацитета си за адекватно оценяване, наблюдение, защита и реакция срещу киберзаплахи, посредством участие в споразумения за обмен на информация. Следователно е необходимо да се създадат условия за възникване на равнището на Съюза на механизми за договаряне на доброволен обмен на информация, който, провеждан в защитена среда, ще помага на общността на финансовия сектор да предотвратява и колективно да реагира на киберзаплахи чрез бързо ограничаване на разпространението на риска в областта на ИКТ и възпрепятстване на потенциалното разпространение на проблемите по финансовите канали. Тези механизми следва да спазват приложимите правни норми на Съюза в областта на конкуренцията, посочени в Съобщението на Комисията от 14 януари 2011 г., озаглавено „Насоки относно приложимостта на член 101 от Договора за функционирането на Европейския съюз по отношение на споразуменията за хоризонтално сътрудничество“, както и правилата на Съюза за защита на данните, по-специално Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (13). Те следва да функционират въз основа на използването на едно или повече от правните основания, предвидени в член 6 от посочения регламент, например в контекста на обработване на лични данни, което е необходимо за целите на легитимните интереси на администратора или на трета страна съгласно член 6, параграф 1, буква е) от посочения регламент, както и в контекста на обработване на лични данни, необходимо за спазването на правно задължение, което се прилага спрямо администратора, или необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора, съгласно посоченото съответно в член 6, параграф 1, букви в) и д) от същия регламент.
(35) С цел да се поддържа високо равнище на оперативна устойчивост на цифровите технологии за целия финансов сектор и същевременно да не се изостава от технологичното развитие, настоящият регламент следва да се отнася за риска, произтичащ от всички видове услуги в областта на ИКТ. За тази цел определението за услуги в областта на ИКТ в контекста на настоящия регламент следва да се разбира в широк смисъл, като включващо цифровите услуги и услугите за данни, предоставяни чрез системите на ИКТ на един или повече вътрешни или външни ползватели на текуща основа. Това определение следва например да включва т. нар. услуги ОТТ (over the top), които попадат в категорията на електронните съобщителни услуги. Определението следва да изключва само ограничената категория традиционни аналогови телефонни услуги, които се квалифицират като услуги на обществена комутируема аналогова телефонна мрежа (PSTN), наземни телефонни услуги, услуги на аналогова телефонна мрежа (POTS) или стационарни телефонни услуги.
(36) Независимо от предвидения широк обхват на настоящия регламент, при прилагането на правилата относно оперативната устойчивост на цифровите технологии следва да се имат предвид значителните разлики между финансовите субекти по отношение на техния размер и цялостен рисков профил. Като общ принцип, при разпределянето на ресурси и оперативен капацитет за прилагане на рамката за управление на риска в областта на ИКТ финансовите субекти следва да постигнат нужния баланс между потребностите си, свързани с ИКТ, и своя размер и цялостен рисков профил, естеството, мащаба и сложността на предлаганите от тях услуги и извършваните дейности и операции, а компетентните органи следва да продължат да оценяват и преразглеждат подхода към такова разпределяне.
(37) Доставчиците на услуги по предоставяне на информация за сметка, посочени в член 33, параграф 1 от Директива (ЕС) 2015/2366, са изрично включени в обхвата на настоящия регламент предвид специфичния характер на техните дейности и произтичащите от тях рискове. Освен това институциите за електронни пари и платежните институции, освободени съгласно член 9, параграф 1 от Директива 2009/110/ЕО на Европейския парламент и на Съвета (14) и член 32, параграф 1 от Директива (ЕС) 2015/2366, са включени в обхвата на настоящия регламент, дори да не са получили лиценз в съответствие с Директива 2009/110/ЕО за издаване на електронни пари или ако не са получили лиценз в съответствие с Директива (ЕС) 2015/2366 за предоставяне и извършване на платежни услуги. Пощенските джиро институции, посочени в член 2, параграф 5, точка 3 от Директива 2013/36/ЕС на Европейския парламент и на Съвета (15) обаче, са изключени от обхвата на настоящия регламент. Компетентен орган за платежните институции, освободени съгласно Директива (ЕС) 2015/2366, институциите за електронни пари, освободени съгласно Директива 2009/110/ЕО, и доставчиците на услуги по предоставяне на информация за сметка, посочени в член 33, параграф 1 от Директива (ЕС) 2015/2366, следва да бъде компетентният орган, определен в съответствие с член 22 от Директива (ЕС) 2015/2366.
(38) По-големите финансови субекти потенциално разполагат с повече ресурси и могат бързо да мобилизират средства за създаването на управленски структури и въвеждането на различни корпоративни стратегии, поради което създаване на по-сложни управленски механизми следва да се изисква само от финансовите субекти, които не са микропредприятия по смисъла на настоящия регламент. Такива субекти могат по-лесно да въведат специални управленски функции за надзор на споразуменията с третите страни доставчици на услуги в областта на ИКТ или за управление на кризи, да организират своето управление на риска в областта на ИКТ според модела на трите защитни слоя или да установят вътрешна система за управление и контрол на риска и да подлагат на вътрешен одит рамката си за управление на риска в областта на ИКТ.
(39) Някои финансови субекти се ползват от освобождаване или за тях се прилага много по-облекчена регулаторна рамка съгласно приложимото специфично секторно законодателство на Съюза. Тези финансови субекти включват лица, управляващи алтернативни инвестиционни фондове, посочени в член 3, параграф 2 от Директива 2011/61/ЕС на Европейския парламент и на Съвета (16), застрахователни и презастрахователни предприятия, посочени в член 4 от Директива 2009/138/ЕО на Европейския парламент и на Съвета (17), и институции за професионално пенсионно осигуряване, които управляват пенсионни схеми, включващи общо по-малко от 15 членове. С оглед на тези освобождавания включването на такива финансови субекти в обхвата на настоящия регламент няма да бъде пропорционално. Освен това настоящият регламент отчита специфичните особености на пазарната структура на застрахователното посредничество, в резултат на което застрахователните посредници, презастрахователните посредници и посредниците, предлагащи застрахователни продукти като допълнителна дейност, квалифицирани като микропредприятия, или като малки или средни предприятия, не следва да бъдат подчинени на настоящия регламент.
(40) Тъй като субектите, посочени в член 2, параграф 5, точки 4—23 от Директива 2013/36/ЕС, са изключени от обхвата на посочената директива, държавите членки следва да могат да решат да освободят от прилагането на настоящия регламент такива субекти, установени на тяхна територия.
(41) Аналогично, за да се съгласува настоящият регламент с обхвата на Директива 2014/65/ЕС на Европейския парламент и на Съвета (18), е целесъобразно от обхвата на настоящия регламент да се изключат също физическите и юридическите лица, посочени в членове 2 и 3 от посочената директива, на които е разрешено да предоставят инвестиционни услуги без да е необходимо да получат лиценз съгласно Директива 2014/65/ЕС. Въпреки това, съгласно член 2 от Директива 2014/65/ЕС от нейния обхват са изключени и субекти, които се квалифицират като финансови субекти за целите на настоящия регламент, например централни депозитари на ценни книжа, предприятия за колективно инвестиране или застрахователни и презастрахователни предприятия. Изключването от обхвата на настоящия регламент на лицата и субектите, посочени в членове 2 и 3 от посочената директива, не следва да обхваща тези централни депозитари на ценни книжа, предприятия за колективно инвестиране или застрахователни и презастрахователни предприятия.
(42) Съгласно специфичното секторно законодателство на Съюза за някои финансови субекти се прилагат по-облекчени изисквания или освобождавания по причини, свързани с техния размер или предоставяните от тях услуги. Тази категория финансови субекти включва малки и невзаимосвързани инвестиционни посредници, малки институции за професионално пенсионно осигуряване, които могат да бъдат изключени от съответната държава членка от обхвата на Директива (ЕС) 2016/2341 при условията, предвидени в член 5 от същата директива, и които управляват пенсионни схеми, включващи общо по-малко от сто членове, както и институции, освободени съгласно Директива 2013/36/ЕС. Поради това, в съответствие с принципа на пропорционалност и за да се съхрани духът на специфичното секторно законодателство на Съюза, е целесъобразно също за тези финансови субекти да се прилага опростена рамка за управление на риска в областта на ИКТ съгласно настоящия регламент. Пропорционалният характер на рамката за управление на риска в областта на ИКТ, която обхваща тези финансови субекти, не следва да се нарушава от регулаторните технически стандарти, които трябва да бъдат разработени от ЕНО. Освен това, в съответствие с принципа на пропорционалност, е целесъобразно за платежните институции, посочени в член 32, параграф 1 от Директива (ЕС) 2015/2366, и за институциите за електронни пари, посочени в член 9 от Директива 2009/110/ЕО, които са освободени в съответствие с националното право, което транспонира тези правни актове на Съюза, да се прилага опростена рамка за управление на риска в областта на ИКТ съгласно настоящия регламент, докато платежните институции и институциите за електронни пари, които не са освободени съгласно съответното национално право, което транспонира секторното законодателство на Съюза, следва да спазват общата рамка, установена с настоящия регламент.
(43) Аналогично, от финансовите субекти, които се квалифицират като микропредприятия или за които се прилага опростената рамка за управление на риска в областта на ИКТ съгласно настоящия регламент, не следва да се изисква да определят функция за наблюдение на споразуменията им за използване на услуги в областта на ИКТ, сключени с трети страни доставчици на услуги в областта на ИКТ, нито да определят член на висшето ръководство, който да отговаря за упражняването на надзор върху свързаното с тези доставчици излагане на риск и съответната документация, нито да възлагат отговорността за управление и надзор на риска в областта на ИКТ на контролна функция и да гарантират подходящо равнище на независимост на тази контролна функция, за да се избегнат конфликти на интереси, нито да документират и преразглеждат поне веднъж годишно рамката за управление на риска в областта на ИКТ, нито да подлагат на периодичен вътрешен одит рамката за управление на риска в областта на ИКТ, нито да извършват обстойни оценки след съществени промени в инфраструктурата и процесите на своите мрежови и информационни системи, нито редовно да анализират риска при традиционните системи на ИКТ, нито да подлагат изпълнението на плановете за реакция и възстановяване на ИКТ на независими вътрешни одитни прегледи, нито да разполагат с функция за управление на кризи, да включат в тестването на непрекъснатостта на дейността и на плановете за реакция и възстановяване сценарии за преминаване от първичната инфраструктура на ИКТ към възпроизвеждащите я системи, нито да представят на компетентните органи, при поискване от тяхна страна, прогноза на съвкупните годишни разходи и загуби в резултат на съществени инциденти с ИКТ, нито да поддържат допълнителен капацитет в областта на ИКТ, нито да уведомяват националните компетентни органи за въведените промени в резултат на преглед на възникнали инциденти с ИКТ, нито постоянно да следят съответното технологично развитие, да създадат всеобхватна програма за тестване на оперативната устойчивост на цифровите технологии като неразделна част от рамката за управление на риска в областта на ИКТ, предвидена в настоящия регламент, или да приемат и подлагат на редовен преглед стратегия за риска в областта на ИКТ, пораждан от трета страна. Наред с това, от микропредприятията следва да се изисква само да оценяват необходимостта от поддържане на посочения допълнителен капацитет в областта на ИКТ въз основа на рисковия им профил. Микропредприятията следва да се ползват от по-гъвкав режим по отношение на програмите за тестване на оперативната устойчивост на цифровите технологии. Когато обмислят вида и честотата на тестванията, които трябва да бъдат осъществени, те следва да постигнат точен баланс между целта за поддържане на висока оперативна устойчивост на цифровите технологии, наличните ресурси и общия им рисков профил. Микропредприятията и финансовите субекти, които се подчиняват на опростената рамка за управление на риска в областта на ИКТ съгласно настоящия регламент, следва да бъдат освободени от изискването да извършват обстойно тестване на инструментите, системите и процесите на ИКТ чрез тестване за проникване (TLPT), тъй като само финансовите субекти, отговарящи на критериите, определени в настоящия регламент, следва да бъдат задължавани да извършват такова тестване. Предвид ограничените им възможности микропредприятията следва да могат да се договарят с третата страна доставчик на услуги в областта на ИКТ, че правата на достъп, проверка и одит на финансовия субект се делегират на независима трета страна, която се определя от третата страна доставчик на услуги в областта на ИКТ, при условие че финансовият субект може да поиска във всеки един момент от съответната независима трета страна цялата относима информация и гаранции относно резултатите от дейността на третата страна доставчик на услуги в областта на ИКТ.
(44) Предвид факта, че само финансовите субекти, определени за целите на обстойното тестване на устойчивостта на цифровите технологии, следва да подлежат на изискването за провеждане на тестване за проникване, административните процеси и финансовите разходи, свързани с провеждането на такива тестове, следва да се поемат от малък процент финансови субекти.
(45) С цел да се осигури пълно съответствие и обща съгласуваност на бизнес стратегиите на финансовите субекти, от една страна, и управлението на риска в областта на ИКТ, от друга, от ръководните органи на финансовите субекти следва да се изисква да играят водеща и активна роля в насочването и адаптирането на рамката за управление на риска в областта на ИКТ и на цялостната стратегия за оперативна устойчивост на цифровите технологии. Подходът, който трябва да бъде възприет от ръководните органи, следва да бъде съсредоточен не само върху средствата за осигуряване на устойчивост на системите на ИКТ, но следва да обхваща също хората и процесите чрез набор от политики, които при всеки корпоративен слой, а и за целия персонал, изграждат добра осведоменост за киберрисковете и стремеж за спазване на строга киберхигиена на всички равнища. Крайната отговорност на ръководния орган при управлението на риска в областта на ИКТ на финансовия субект следва да бъде основополагащ принцип на този цялостен подход и да се проявява по-нататък в непрекъсната ангажираност на ръководния орган с контрол върху наблюдението на управлението на риска в областта на ИКТ.
(46) Нещо повече, принципът на крайната и пълна отговорност на ръководния орган за управлението на риска в областта на ИКТ на финансовия субект е обвързан с необходимостта от осигуряване на определени инвестиции, свързани с ИКТ, и общ бюджет на финансовия субект, които да му позволят да постигне високо равнище на оперативна устойчивост на цифровите технологии.
(47) С настоящия регламент, в който са почерпени идеи от съответните международни, национални и секторни най-добри практики, насоки, препоръки и подходи за управление на киберриска, се насърчава набор от принципи, които улесняват цялостното структуриране на управлението на риска в областта на ИКТ. Следователно, стига основният капацитет, въведен от финансовите субекти, да обхваща различните функции в управлението на риска в областта на ИКТ (установяване, защита и предотвратяване, откриване, реакция и възстановяване, обучение и задълбочаване на познанията, и комуникиране), предвидени в настоящия регламент, финансовите субекти следва да имат свободата да използват модели за управление на риска в областта на ИКТ, които са различно структурирани или категоризирани.
(48) За да не се изостава от динамиката в развитието на киберзаплахите, финансовите субекти следва да поддържат актуални системи на ИКТ, които са надеждни и са способни не само да гарантират необходимото за предоставяните от тях услуги обработване на данни, но и да осигурят достатъчно техническа устойчивост, която да им позволи адекватно да удовлетворяват допълнителните нужди от обработка при неблагоприятни пазарни условия или други проблематични ситуации.
(49) Необходими са ефикасни планове за непрекъснатост на дейността и за възстановяване, които да позволяват на финансовите субекти да намират точни и бързи решения на инцидентите с ИКТ, и в частност на кибератаките, като ограничават щетите и дават приоритет на възобновяването на дейностите и мерките за възстановяване на информацията в съответствие с политиката им за съхраняване на резервни копия на данните. Това възобновяване на дейността обаче не следва по никакъв начин да застрашава интегритета и сигурността на мрежовите и информационните системи, нито наличността, автентичността, целостта или поверителността на данните.
(50) Независимо че настоящият регламент позволява на финансовите субекти да определят гъвкаво целите си за продължителността на възстановяване на информацията и за точката на възстановяване, което им дава възможност да установяват подобни цели, като се съобразяват изцяло с естеството и критичността на съответните функции, както и с евентуалните специфични потребности, свързани с дейността, той следва все пак да изисква от тях при определянето на тези цели да извършват оценка на потенциалното общо въздействие върху пазарната ефективност.
(51) Разпространителите на кибератаки обикновено преследват финансови печалби директно при източника, като по този начин излагат финансовите субекти на значителни последици. С цел да не се допусне загуба на интегритета на системите на ИКТ или на достъпа до тях и съответно да се избегнат нарушения на сигурността на данните и увреждане на физическата инфраструктура на ИКТ, докладването на съществени инциденти с ИКТ от финансовите субекти следва да бъде значително подобрено и рационализирано. Докладването на инциденти с ИКТ следва да се хармонизира посредством въвеждането на изискване към всички финансови субекти за пряко докладване пред съответните национални компетентни органи. Когато финансов субект подлежи на надзор от повече от един национален компетентен орган, държавите членки следва да определят един-единствен компетентен орган като адресат на такова докладване. Кредитните институции, класифицирани като значими в съответствие с член 6, параграф 4 от Регламент (ЕС) № 1024/2013 на Съвета (19), следва да представят такива доклади на националните компетентни органи, които впоследствие следва да ги предават на Европейската централна банка (ЕЦБ).
(52) Прякото докладване следва да позволи на органите за финансов надзор да получават незабавен достъп до информация за съществени инциденти с ИКТ. Органите за финансов надзор следва, от своя страна, да предават информация за съществени инциденти с ИКТ на публичните нефинансови органи (например компетентните органи и единните звена за контакт съгласно Директива (ЕС) 2022/2555, националните органи за защита на данните, а също и на правоприлагащите органи, когато става въпрос за съществени инциденти с ИКТ с престъпен характер), за да се повиши осведомеността на тези органи за такива инциденти, а в случая с ЕРИКС — да се улесни своевременното оказване на помощ на финансовите субекти, когато е целесъобразно. Освен това, държавите членки следва да могат да определят, че самите финансови субекти следва да предоставят такава информация на публичните органи извън сферата на финансовите услуги. Тези информационни потоци следва да позволят на финансовите субекти бързо да се възползват от всяка относима техническа информация, съвети относно корективните мерки и последващи действия от страна на посочените органи. Информацията за съществени инциденти с ИКТ следва да бъде предавана по веригата: органите за финансов надзор следва да предоставят цялата необходима обратна информация или насоки на финансовия субект, а ЕНО следва да споделят анонимизирани данни за киберзаплахите и уязвимите места, свързани с даден инцидент, с цел да се спомогне за по-широко колективно противодействие.
(53) Въпреки че от всички финансови субекти следва да се изисква да докладват за инциденти, не се очаква това изискване да ги засегне всички по един и същи начин. Всъщност съответните прагове на същественост и сроковете за докладване следва да бъдат надлежно адаптирани в контекста на делегирани актове, основани на регулаторните технически стандарти, които ще бъдат разработени от ЕНО, с цел да се обхванат само съществените инциденти с ИКТ. Освен това при определянето на сроковете за задълженията за докладване следва да се вземат предвид специфичните особености на финансовите субекти.
(54) Настоящият регламент следва да изисква от кредитните институции, платежните институции, доставчиците на услуги по предоставяне на информация за сметка и институциите за електронни пари да докладват за всички операционни или свързани със сигурността инциденти, свързани с плащания — докладвани досега съгласно Директива (ЕС) 2015/2366 — независимо от естеството на инцидента с ИКТ.
(55) ЕНО следва да бъдат натоварени със задачата да оценяват осъществимостта и условията за евентуално централизиране на докладите за инциденти с ИКТ на равнището на Съюза. Подобно централизиране може да се изразява във въвеждането на единен портал на ЕС за докладване на съществени инциденти с ИКТ, който или пряко да получава съответните доклади и автоматично да уведомява националните компетентни органи, или само да централизира съответните доклади, препращани от националните компетентни органи, изпълнявайки по този начин координационни функции. ЕНО следва да бъдат натоварени със задачата да изготвят, като се консултират с ЕЦБ и ENISA, съвместен доклад за осъществимостта на създаването на единен портал на ЕС.
(56) С цел да се постигне високо равнище на оперативна устойчивост на цифровите технологии и в съответствие както с приложимите международни стандарти (напр. изложените от Г-7 базови елементи на тестването за проникване), така и с прилаганите в Съюза рамки, напр. TIBER-EU, финансовите субекти следва редовно да тестват доколко ефективно системите им на ИКТ и персоналът им с отговорности в областта на ИКТ са способни да предотвратяват, откриват и реагират на инциденти в областта на ИКТ и да възстановяват информацията, както и да установяват и премахват потенциалните уязвими места на ИКТ. За да се отразят съществуващите различия между отделните финансови подсектори и в рамките на един и същ подсектор по отношение на нивото на подготвеност на финансовите субекти в областта на киберсигурността, тестването следва да обхваща широк набор от инструменти и действия, вариращи от оценяването на базовите изисквания (напр. оценки и сканиране на уязвимите места, анализ на приложенията с отворен код, оценки на сигурността на мрежата, анализ на пропуските, преглед на физическата сигурност, анкети и софтуерни продукти за сканиране, преглед на първичния код, когато такъв е осъществим, тестване на различни сценарии, тестване на съвместимостта, тестване на функционирането или тестване по цялата верига) до по-обстойно тестване посредством тестване за проникване. Такова обстойно тестване следва да се изисква само от финансови субекти, които са достатъчно развити от гледна точка на ИКТ, за да могат да го извършват адекватно. Поради това тестването на оперативната устойчивост на цифровите технологии, изисквано съгласно настоящия регламент, следва да бъде по-обстойно при финансовите субекти, отговарящи на критериите, определени в настоящия регламент (напр. големи, системни кредитни институции, които са развити от гледна точка на ИКТ, фондови борси, централни депозитари на ценни книжа и централни контрагенти), отколкото при другите финансови субекти. Същевременно тестването на оперативната устойчивост на цифровите технологии посредством тестване за проникване следва да бъде по-приложимо за финансови субекти, които осъществяват дейност в подсектори за основни финансови услуги и имат системна роля (напр. плащания, банково дело, клиринг и сетълмент), и по-малко приложимо за други подсектори (напр. управители на активи и агенции за кредитен рейтинг).
(57) Финансовите субекти с трансгранична дейност, които упражняват свободата си на установяване или на предоставяне на услуги в Съюза, следва да спазват единен набор от изисквания за обстойно тестване (т.е. тестването за проникване) в своята държава членка по произход, които следва да обхващат и инфраструктурите на ИКТ във всички юрисдикции в Съюза, където трансграничната финансова група извършва дейност, което ще позволи на такива трансгранични финансови групи да правят разходи за тестване на ИКТ само в една юрисдикция.
(58) С цел да се използва експертният опит, който вече е придобит от някои компетентни органи, по-специално по отношение на прилагането на рамката TIBER-EU, настоящият регламент следва да позволява на държавите членки да определят един публичен орган на национално равнище, който да отговаря за финансовия сектор по всички въпроси, свързани с тестването за проникване, или следва да позволява на компетентните органи да делегират, при липса на определен такъв орган, изпълнението на задачи, свързани с тестване за проникване, на друг национален финансов компетентен орган.
(59) Тъй като настоящият регламент не изисква от финансовите субекти да обхванат всички критични или важни функции в едно-единствено тестване за проникване, финансовите субекти следва да разполагат със свободата сами да определят кои и колко на брой критични или важни функции следва да бъдат включени в обхвата на такова тестване.
(60) Съвкупното тестване по смисъла на настоящия регламент — с участието на няколко финансови субекта в тестването за проникване и за което трета страна доставчик на услуги в областта на ИКТ може пряко да сключва договорни споразумения с външни лица, провеждащи тестове — следва да бъде разрешено само когато има разумни основания да се очаква, че качеството или сигурността на услугите, предоставяни от третата страна доставчик на услуги в областта на ИКТ на клиенти, които попадат извън обхвата на настоящия регламент, или поверителността на данните, свързани с такива услуги ще бъдат засегнати неблагоприятно. По отношение на съвкупното тестване следва също така да бъдат предвидени предпазни мерки (указания от един определен финансов субект, калибриране на броя на участващите финансови субекти), за да се гарантира, че участващите финансови субекти, които отговарят на целите на тестването за проникване съгласно настоящия регламент, се подлагат на строго тестване.
(61) За да се използват наличните на корпоративно равнище вътрешни ресурси, настоящият регламент следва да позволи използването на вътрешни лица, провеждащи тестове, за целите на извършването на тестване за проникване, при условие че е налице одобрение от страна на лицето, осъществяващо надзор, няма конфликт на интереси и се прилага периодично редуване при използването на вътрешни и външни лица, провеждащи тестове (на всеки три теста), като същевременно се изисква доставчикът на разузнавателните сведения за заплахи в тестването за проникване винаги да бъде външно лице за финансовия субект. Отговорността за провеждането на тестването за проникване следва да остане изцяло на финансовия субект. Удостоверенията, предоставяни от органите, следва да бъдат единствено за целите на взаимното признаване и не следва да изключват евентуални последващи действия, необходими за справяне с риска в областта на ИКТ, на който е изложен финансовият субект, нито следва да се разглеждат като надзорно одобрение на капацитета на финансовия субект за управление и намаляване на риска в областта на ИКТ.
(62) За да се гарантира надеждното наблюдение на риска в областта на ИКТ, пораждан от трета страна, във финансовия сектор, е необходимо да се установи набор от принципни правила, които да ориентират финансовите субекти при наблюдението на риска, възникващ в контекста на възлагането на функции на трети страни доставчици на услуги в областта на ИКТ, по-специално при услуги в областта на ИКТ, които поддържат критични или важни функции, и в по-общ план в контекста на всяка зависимост от трети страни доставчици на услуги в областта на ИКТ.
(63) За да се преодолее комплексният проблем, произтичащ от различните източници на риск в областта на ИКТ, като същевременно се вземат предвид множеството и разнообразието от доставчици на технологични решения, които позволяват безпроблемното предоставяне на финансови услуги, настоящият регламент следва да обхваща широк кръг от трети страни доставчици на услуги в областта на ИКТ, включително доставчици на компютърни услуги „в облак“, софтуер, услуги за анализ на данни и доставчици на услуги на център за данни. Аналогично, тъй като финансовите субекти следва ефективно и съгласувано да идентифицират и управляват всички видове риск, включително в контекста на услуги в областта на ИКТ, възлагани в рамките на финансова група, следва да се поясни, че предприятията, които са част от финансова група и предоставят услуги в областта на ИКТ предимно на своето предприятие майка или на дъщерни предприятия или клонове на своето предприятие майка, както и финансовите субекти, предоставящи услуги в областта на ИКТ на други финансови субекти, следва също да се считат за трети страни доставчици на услуги в областта на ИКТ съгласно настоящия регламент. На последно място, с оглед на нарастващата зависимост на пазара на платежни услуги от сложни технически решения и в контекста на нововъзникващите видове платежни услуги и решения, свързани с плащанията, участниците в екосистемата на платежните услуги, извършващи дейности по обработка на плащания или управляващи платежни инфраструктури, също следва да се считат за трети страни доставчици на услуги в областта на ИКТ съгласно настоящия регламент, с изключение на централните банки, когато управляват платежни системи или системи за сетълмент на ценни книжа, както и на публичните органи, когато предоставят услуги, свързани с ИКТ, в контекста на изпълнението на държавни функции.
(64) Финансовите субекти следва във всеки един момент да останат изцяло отговорни за спазването на задълженията си по настоящия регламент. Финансовите субекти следва да прилагат пропорционален подход към наблюдението на рисковете, възникващи на нивото на третите страни доставчици на услуги в областта на ИКТ, като надлежно отчитат естеството, степента, комплексния характер и значимостта на зависимостта си в областта на ИКТ, критичността или важността на възложените с договорни споразумения услуги, процеси или функции, и в крайна сметка въз основа на обстойно проучване на възможното потенциално въздействие върху непрекъснатостта и качеството на финансовите услуги на равнище отделен субект или на равнище група, както е целесъобразно.
(65) Осъществяването на такова наблюдение следва да се придържа към стратегически подход към риска в областта на ИКТ, пораждан от трети страни, който да бъде формализиран чрез приемането от ръководния орган на финансовия субект на специфична стратегия за риска в областта на ИКТ, пораждан от трети страни, основаваща се на непрекъснат анализ на всяка зависимост от трети страни доставчици на услуги в областта на ИКТ. За да се повиши осведомеността на надзорните органи относно зависимостта от трети страни доставчици на услуги в областта на ИКТ и с цел да се подпомогне допълнително работата в контекста на създадената с настоящия регламент надзорна рамка, от всички финансови субекти следва да се изисква да поддържат регистър с информация за всички договорни споразумения за използване на услуги в областта на ИКТ, предоставяни от трети страни доставчици на услуги в областта на ИКТ. Органите за финансов надзор следва да могат да изискват пълния регистър или да изискват отделни раздели от него и пози начин да получават съществена информация за придобиване на по-широко разбиране за зависимостите на финансовите субекти в областта на ИКТ.
(66) Формалното сключване на договорни споразумения следва да се крепи и да се предшества от предварителен обстоен анализ, по-специално с акцент върху елементи като критичността или важността на услугите, които ще се поддържат с предвидения договор за ИКТ, необходимите надзорни одобрения или други условия, възможния риск от концентрация, както и прилагането на надлежна проверка в процеса на подбор и оценка на третите страни доставчици на услуги в областта на ИКТ и оценка на потенциалните конфликти на интереси. За договорните споразумения, които засягат критични или важни функции, финансовите субекти следва да отчитат използването на най-актуалните и най-високите стандарти за сигурност на информацията от страна на третите страни доставчици на услуги в областта на ИКТ. Прекратяването на договорните споразумения може да бъде в резултат поне на поредица от обстоятелства, разкриващи недостатъци на ниво трета страна доставчик на услуги в областта на ИКТ, по-специално съществени нарушения на закона или договорни условия, обстоятелства, разкриващи потенциална промяна в изпълнението на функциите, предвидени в договорните споразумения, доказателства за слабости в цялостното управление на риска в областта на ИКТ на третата страна доставчик на услуги в областта на ИКТ или обстоятелства, сочещи невъзможност на съответния компетентен орган да упражнява ефективен надзор върху финансовия субект.
(67) С цел да се противодейства на системния ефект на риска от концентрация, свързан с трети страни доставчици на услуги в областта на ИКТ, настоящият регламент насърчава балансирано решение посредством възприемането на гъвкав и поетапен подход към този риск от концентрация, тъй като налагането на всякакви строги тавани или стриктни ограничения може да възпрепятства осъществяването на дейността и да ограничи свободата на договаряне. Финансовите субекти следва да извършват задълбочена оценка на планираните от тях договорни споразумения, за да определят вероятността от възникване на такъв риск, включително чрез задълбочен анализ на споразуменията за подизпълнение, особено когато са сключени с трети страни доставчици на услуги в областта на ИКТ, установени в трета държава. На този етап и с оглед на постигането на равновесие между абсолютната необходимост да се запази свободата на договаряне и тази да се гарантира финансова стабилност, определянето на правила за строги тавани и ограничения на експозициите към доставчици трети страна на услуги в областта на ИКТ не се смята за уместно. В контекста на надзорната рамка водещ надзорник, определен съгласно настоящия регламент, следва, по отношение на трети страни критични доставчици на услуги в областта на ИКТ, с голямо внимание да се стреми да придобие пълна представа за мащаба на взаимозависимостите, да установи конкретните случаи, при които е възможно високата концентрация на трети страни критични доставчици на услуги в областта на ИКТ в Съюза да окаже натиск върху стабилността и интегритета на финансовата система на Съюза, и при установяването на такъв специфичен риск да води диалог със съответната трета страна критичен доставчик на услуги в областта на ИКТ.
(68) С цел да се оценява и да се следи редовно способността на трета страна доставчик на услуги в областта на ИКТ да предоставя по сигурен начин услуги на финансов субект без неблагоприятни последици за оперативната устойчивост на цифровите технологии при финансовия субект, някои основни елементи на договорите с трети страни доставчици на услуги в областта на ИКТ следва да бъдат хармонизирани. Подобна хармонизация следва да обхваща минимални елементи, които са от решаващо значение за осигуряването на цялостно наблюдение от страна на финансовия субект на рисковете, които могат да възникнат от трета страна доставчик на услуги в областта на ИКТ, от гледна точка на необходимостта финансовият субект да гарантира устойчивостта на използваните от него цифрови технологии поради сериозната си зависимост от стабилността, функционалността, наличността и сигурността на получаваните услуги в областта на ИКТ.
(69) При предоговарянето на договорни споразумения с цел привеждане в съответствие с изискванията на настоящия регламент финансовите субекти и третите страни доставчици на услуги в областта на ИКТ следва да гарантират, че в тях са включени основните договорни разпоредби, както е предвидено в настоящия регламент.
(70) Освен това определението за „критична или важна функция“, предвидено в настоящия регламент, обхваща „критичните функции“ съгласно определението в член 2, параграф 1, точка 35 от Директива 2014/59/ЕС на Европейския парламент и на Съвета (20). Съответно функциите, считани за критични съгласно Директива 2014/59/ЕС, се включват в определението за критични функции по смисъла на настоящия регламент.
(71) Независимо от критичността или важността на функцията, която се поддържа от услугите в областта на ИКТ, договорните споразумения следва по-специално да предвиждат спецификация на подробните описания на функциите и услугите, на местата, където се предоставят такива функции и където трябва да се обработват данните, както и указание за описание на нивото на обслужване. Други особено важни елементи за осигуряването на възможност на финансовия субект да осъществява наблюдение на риска в областта на ИКТ, пораждан от трети страни, са: договорни разпоредби за начина, по който третата страна доставчик на услуги в областта на ИКТ трябва да гарантира достъпността, наличността, цялостността, сигурността и защитата на личните данни; разпоредби, предвиждащи необходимите гаранции, които позволяват достъп, възстановяване на информацията и връщане на данните при несъстоятелност, преструктуриране или прекратяване на дейността на трета страна доставчик на услуги в областта на ИКТ, както и разпоредби, които изискват от третата страна доставчик на услуги в областта на ИКТ да окаже помощ при инциденти с ИКТ, свързани с предоставяните услуги, без допълнителни разходи или на предварително определена цена; разпоредби относно задължението на третата страна доставчик на услуги в областта на ИКТ да оказва пълно съдействие на компетентните органи и органите за преструктуриране на финансовия субект; и разпоредби относно правото на прекратяване на договорните споразумения и свързаните с тях минимални срокове за даване на предизвестие — в съответствие с очакванията на компетентните органи и органите за преструктуриране.
(72) В допълнение на такива договорни разпоредби и с цел да се позволи на финансовите субекти да контролират изцяло всички събития, пораждани от трети страни, които могат да накърнят сигурността на техните системи на ИКТ, договорите за предоставяне на услуги в областта на ИКТ, подпомагащи критични или важни функции, следва също така да съдържат следното: обстойно описание на нивото на обслужване с точни количествени и качествени цели за ефективност, за да може, ако договореното ниво на обслужване стане незадоволително, да бъдат предприети възможно най-бързо подходящите корективни мерки; съответните срокове и задължения за докладване, с които е обвързана третата страна доставчик на услуги в областта на ИКТ в случай на събития, които потенциално могат съществено да засегнат способността ѝ ефективно да предоставя съответните услуги в областта на ИКТ; изискване към третата страна доставчик на услуги в областта на ИКТ да прилага и тества планове за действие при извънредни ситуации и да разполага с мерки, инструменти и политики за сигурност на ИКТ, които дават възможност за сигурно предоставяне на услуги, както и да участва и пълноценно да сътрудничи при тестването за проникване, извършвано от финансовия субект.
(73) Договорите за предоставяне на услуги в областта на ИКТ, подпомагащи критични или важни функции следва да съдържат и разпоредби, даващи възможност да се упражнят правата на достъп, проверка и одит от страна на финансовия субект или от определена трета страна, както и правото на копиране, като инструменти от решаващо значение за текущото наблюдение от страна на финансовите субекти на ефективността на този доставчик, заедно с пълното сътрудничество на доставчика на услуги по време на проверките. Компетентният орган на финансовия субект би следвало също да има правото на проверка и одит на третата страна доставчик на услуги в областта на ИКТ, при съответното уведомяване на този доставчик и защита на поверителната информация.
(74) В такива договорни споразумения следва да бъдат предвидени и специални изходни стратегии, за да могат да бъдат определени по-конкретно задължителни преходни периоди, по време на които третите страни доставчици на услуги в областта на ИКТ следва да продължат да предоставят съответните услуги, така че да се ограничи рискът от смущения за финансовия субект, или реално да му се позволи да започне да използва услугите на други такива доставчици, или, като алтернативен вариант, да премине към собствени разработени решения — в зависимост от степента на сложност на предоставяната услуга в областта на ИКТ. Освен това финансовите субекти, попадащи в обхвата на Директива 2014/59/ЕС, следва да гарантират, че съответните договори за услуги в областта на ИКТ са надеждни и напълно изпълними в случай на преструктуриране на тези финансови субекти. Следователно в съответствие с очакванията на органите за преструктуриране тези финансови субекти следва да гарантират, че съответните договори за услуги в областта на ИКТ са устойчиви в случай на преструктуриране. Докато продължават да изпълняват задълженията си за плащане, тези финансови субекти следва да гарантират, наред с други изисквания, че съответните договори за услуги в областта на ИКТ съдържат клаузи, с които не се допуска прекратяване, спиране и модифициране въз основа на реорганизация или преструктуриране.
(75) Освен това доброволното използване на стандартните договорни клаузи, разработени от публични органи или институции на Съюза, по-специално използването на договорни клаузи, разработени от Комисията за компютърните услуги „в облак“, може допълнително да успокои финансовите субекти и третите страни доставчици на услуги в областта на ИКТ, тъй като ще се повиши правната сигурност относно използването във финансовия сектор на компютърни услуги „в облак“ при пълно съобразяване с изискванията и очакванията, предвидени в законодателството на Съюза за финансовите услуги. Разработването на стандартни договорни клаузи се основава на вече очертаните мерки в Плана за действие в областта на финансовите технологии от 2018 г., в който Комисията обяви намерението си да насърчава и улеснява разработването на стандартни договорни клаузи, които да могат да бъдат използвани от финансовите субекти за възлагане на компютърни услуги „в облак“ на външни доставчици, и почива на работата на заинтересованите страни от редица сектори в областта на тези услуги, която Комисията подпомогна, като улесни участието на финансовия сектор.
(76) С цел да се насърчи сближаването на надзорните подходи за справяне с пораждания от трети страни риск в областта на ИКТ във финансовия сектор и да се повиши ефикасността на тези подходи, както и да се засили оперативната устойчивост на цифровите технологии при финансовите субекти, които за предоставянето на услуги в областта на ИКТ, подпомагащи предоставянето на финансови услуги, разчитат на трети страни критични доставчици на услуги в областта на ИКТ, и оттам — да се допринесе за съхраняването на стабилността на финансовата система на Съюза и за целостта на вътрешния пазар на финансови услуги, за третите страни критични доставчици на услуги в областта на ИКТ следва да се прилага надзорна рамка на равнището на Съюза. Въпреки че създаването на надзорната рамка е оправдано от добавената стойност от предприемането на действия на равнището на Съюза и поради присъщата роля и особености на използването на услуги в областта на ИКТ при предоставянето на финансови услуги, следва същевременно да се припомни, че това решение изглежда подходящо само в контекста на настоящия регламент, който урежда конкретно оперативната устойчивост на цифровите технологии във финансовия сектор. Тази надзорна рамка обаче не следва да се разглежда като нов модел за надзор от страна на Съюза в областта на финансовите услуги и дейности.
(77) Надзорната рамка следва да се прилага само за трети страни критични доставчици на услуги в областта на ИКТ. Поради това следва да има механизъм за определянето им, така че да се вземат под внимание измерението и естеството на зависимостта на финансовия сектор от тях. Този механизъм следва да включва набор от количествени и качествени критерии, които ще поставят определящите критичния характер параметри като основа за включване в надзорната рамка. За да се гарантира точността на тази оценка и независимо от корпоративната структура на третата страна доставчик на услуги в областта на ИКТ, в случай на трета страна доставчик на услуги в областта на ИКТ, която е част от по-голяма група, тези критерии следва да отчитат цялата структура на групата на третата страна доставчик на услуги в областта на ИКТ. От друга страна третите страни критични доставчици на услуги в областта на ИКТ, които не са автоматично определени в резултат на прилагането на горепосочените критерии, следва да могат да се включат към надзорната рамка на доброволен принцип, като съответно от нея бъдат изключени трети страни доставчици на услуги в областта на ИКТ, които вече са обект на надзорните механизми, подпомагащи изпълнението на задачите на Европейската система на централните банки, посочени в член 127, параграф 2 от ДФЕС.
(78) По подобен начин финансовите субекти, които предоставят услуги в областта на ИКТ на други финансови субекти, макар и да принадлежат към категорията трети страни доставчици на услуги в областта на ИКТ съгласно настоящия регламент, също следва да бъдат изключени от надзорната рамка, тъй като вече са обект на надзорните механизми, установени в съответното законодателство на Съюза за финансовите услуги. Когато е приложимо, в контекста на надзорните си дейности компетентните органи следва да вземат предвид риска за финансовите субекти, свързан с ИКТ, произтичащ от финансови субекти, които предоставят услуги в областта на ИКТ. По същия начин, поради съществуващите механизми за наблюдение на риска на равнище група, третите страни доставчици на услуги в областта на ИКТ, които предоставят услуги предимно на субектите от собствената си група, също следва да бъдат изключени от надзорната рамка. Третите страни доставчици на услуги в областта на ИКТ, които предоставят услуги в областта на ИКТ само в една държава членка на финансови субекти, извършващи дейност само в тази държава членка, също следва да бъдат изключени от механизма за определяне поради ограничената си дейност и липсата на трансгранично въздействие.
(79) Цифровият преход при финансовите услуги доведе до безпрецедентно равнище на използване и осланяне на услугите в областта на ИКТ. Тъй като стана немислимо предоставянето на финансови услуги без използването на компютърни услуги „в облак“, софтуерни решения и услуги, свързани с данни, финансовата екосистема на Съюза стана неразривно свързана и зависима от определени услуги в областта на ИКТ, предоставяни от доставчици на услуги в областта на ИКТ. Някои от тези доставчици — новатори в разработването и прилагането на технологии, основани на ИКТ — играят съществена роля в предоставянето на финансови услуги или са станали неразривна част от веригата за създаване на стойност в областта на финансовите услуги. По този начин те се превърнаха в елементи от критично значение за стабилността и целостта на финансовата система на Съюза. Това широко разпространено осланяне на услуги, предоставяни от трети страни критични доставчици на услуги в областта на ИКТ, съчетано с взаимозависимостта на информационните системи на различните пазарни участници, създава пряк и потенциално сериозен риск за системата на финансови услуги в Съюза и за непрекъснатостта на предоставянето на финансови услуги, ако трети страни критични доставчици на услуги в областта на ИКТ бъдат засегнати от оперативни смущения или съществени киберинциденти. Киберинцидентите имат отличителната способност да се мултиплицират и разпространяват в цялата финансова система значително по-бързо, отколкото други видове рискове, наблюдавани във финансовия сектор, и могат да се разпростират сред секторите и отвъд географските граници. Те имат потенциала да прераснат в системна криза, при която доверието във финансовата система би било подкопано поради смущения във функциите, подпомагащи реалната икономика, или поради значителни финансови загуби, като достигнат до равнище, което финансовата система не е в състояние да понесе или което изисква прилагането на сериозни мерки за поемане на сътресения. За да се предотврати реализирането на такива сценарии, като по този начин се застраши финансовата стабилност и цялост на Съюза, от съществено значение е да се осигури сближаване на надзорните практики, свързани с пораждания от трети страни риск в областта на ИКТ в областта на финансите, по-специално чрез нови правила, позволяващи надзор от страна на Съюза върху третите страни критични доставчици на услуги в областта на ИКТ.
(80) Надзорната рамка до голяма степен зависи от степента на сътрудничество между водещия надзорник и третата страна критичен доставчик на услуги в областта на ИКТ, която предоставя на финансовите субекти услуги, засягащи предоставянето на финансови услуги. Успешният надзор се основава, наред с другото, на способността на водещия надзорник ефективно да провежда мисии за наблюдение и проверки, за да оценява правилата, механизмите за контрол и процесите, използвани от третите страни критични доставчици на услуги в областта на ИКТ, както и да оценява потенциалното кумулативно въздействие на техните дейности върху финансовата стабилност и целостта на финансовата система. В същото време е от решаващо значение третите страни критични доставчици на услуги в областта на ИКТ да следват препоръките на водещия надзорник и да преодоляват установените от него проблеми. Тъй като липсата на сътрудничество от трета страна критичен доставчик на услуги в областта на ИКТ, която предоставя услуги, засягащи предоставянето на финансови услуги — като например отказ да даде достъп до своите помещения или да предостави информация — в крайна сметка би лишил водещия надзорник от основните му инструменти за оценка на риска в областта на ИКТ, пораждан от трети страни, и би могъл да окаже неблагоприятно въздействие върху финансовата стабилност и целостта на финансовата система, е необходимо да се предвиди също така подходящ режим на санкции.
(81) В този контекст необходимостта водещият надзорник да налага наказателни плащания, за да принуди критичните доставчици трета страна на услуги в областта на ИКТ да спазват предвидените в настоящия регламент задължения за прозрачност и достъп, не следва да бъде застрашена от трудности, породени от принудителното изпълнение на тези наказателни плащания по отношение на установени в трети държави трети страни критични доставчици на услуги в областта на ИКТ. С цел да се осигури изпълнимостта на тези санкции и да се даде възможност за бързо въвеждане на процедури, с които да се гарантира правото на защита на третите страни критични доставчици на услуги в областта на ИКТ в контекста на механизма за определяне и на издаването на препоръки, от тези трети страни критични доставчици на услуги в областта на ИКТ, които предоставят на финансовите субекти услуги, засягащи предоставянето на финансови услуги, следва да се изисква да поддържат адекватно търговско присъствие в Съюза. Поради естеството на надзора и липсата на сравними договорености в други юрисдикции не съществуват подходящи алтернативни механизми за постигането на тази цел чрез ефективно сътрудничество с финансовите надзорни органи в трети държави във връзка с наблюдението на въздействието на операционните рискове при цифровите технологии, пораждани от системните трети страни доставчици на услуги в областта на ИКТ, определени като установени в трети държави трети страни критични доставчици на услуги в областта на ИКТ. Поради това, за да продължи да предоставя услуги в областта на ИКТ на финансови субекти в Съюза, установена в трета държава трета страна доставчик на услуги в областта на ИКТ, която в съответствие с настоящия регламент е определена като критичен доставчик, в срок от 12 месеца след определянето му като такъв следва да предприеме всички необходими мерки, за да гарантира учредяването си в Съюза, посредством създаването на дъщерно дружество, както е определено в достиженията на правото на Съюза, а именно в Директива 2013/34/ЕС на Европейския парламент и на Съвета (21).
(82) Изискването за създаване на дъщерно дружество в Съюза не следва да възпрепятства третата страна критичен доставчик на услуги в областта на ИКТ да предоставя услуги в областта на ИКТ и свързаната с тях техническа поддръжка от съоръжения и инфраструктура, разположени извън Съюза. Настоящият регламент не налага задължение за локализиране на данните, тъй като не изисква съхраняването или обработването на данни да се извършва в Съюза.
(83) Третите страни критични доставчици на услуги в областта на ИКТ следва да могат да предоставят услуги в областта на ИКТ от всяко място по света, не непременно или не само от помещения, намиращи се в Съюза. Надзорните дейности следва да се извършват първо в помещенията, разположени в Съюза, и чрез взаимодействие със субекти, намиращи се в Съюза, включително дъщерните дружества, създадени от третите страни критични доставчици на услуги в областта на ИКТ съгласно настоящия регламент. Такива действия в рамките на Съюза обаче може да се окажат недостатъчни, за да може водещият надзорник да изпълнява пълноценно и ефективно задълженията си съгласно настоящия регламент. Ето защо водещият надзорник следва също така да може да упражнява съответните си надзорни правомощия в трети държави. Упражняването на тези правомощия в трети държави следва да позволява на водещия надзорник да проверява съоръженията, от които услугите в областта на ИКТ или услугите за техническа поддръжка действително се предоставят или управляват от третата страна критичен доставчик на услуги в областта на ИКТ, и следва да предоставя на водещия надзорник цялостно и оперативно разбиране за управлението на риска в областта на ИКТ от третата страна критичен доставчик на услуги в областта на ИКТ. Възможността водещият надзорник, в качеството си на агенция на Съюза, да упражнява правомощия извън територията на Съюза следва да бъде надлежно уредена от съответните условия, по-специално съгласието на съответната трета страна критичен доставчик на услуги в областта на ИКТ. По подобен начин съответните органи на третата държава следва да бъдат информирани за дейностите на водещия надзорник на тяхната територия и да не са възразили срещу изпълнението им. За да се гарантира обаче ефикасност на прилагането и без да се засягат съответните области на компетентност на институциите на Съюза и на държавите членки, тези правомощия трябва също така да бъдат изцяло заложени в сключени споразумения за административно сътрудничество със съответните органи на съответната трета държава. Поради това настоящият регламент следва да позволи на ЕНО да сключват споразумения за административно сътрудничество със съответните органи на трети държави, които по друг начин не следва да създават правни задължения по отношение на Съюза и неговите държави членки.
(84) С цел да се улесни комуникацията с водещия надзорник и да се осигури подходящо представителство, третите страни критични доставчици на услуги в областта на ИКТ, които са част от група, следва да определят едно юридическо лице за свое координационно звено.
(85) Надзорната рамка не следва да засяга компетентността на държавите членки да провеждат собствени надзорни мисии или мисии за наблюдение на третите страни доставчици на услуги в областта на ИКТ, които не са определени като критични съгласно настоящия регламент, но които биха могли да се смятат за важни в национален аспект.
(86) За да се използва многопластовата институционална структура в областта на финансовите услуги, съвместният комитет на ЕНО следва, в съответствие със своите задачи в областта на киберсигурността, да продължи да осигурява цялостната междусекторна координация по всички въпроси на риска в областта на ИКТ. Той следва да бъде подкрепен от нов подкомитет (Надзорният форум), който да извършва подготвителната работа както за целите на решенията, касаещи отделни трети страни критични доставчици на услуги в областта на ИКТ, така и за издаването на препоръките, отправяни към всички такива доставчици, по-специално във връзка със сравнителния анализ на програмите за надзор на третите страни критични доставчици на услуги в областта на ИКТ и с определянето на най-добрите практики с оглед на рисковете от концентрация на такива доставчици.
(87) С цел да се гарантира, че третите страни критични доставчици на услуги в областта на ИКТ са обект на подходящ и ефективен надзор на равнището на Съюза, в настоящия регламент се предвижда, че всеки от трите ЕНО може да бъде определен за водещ надзорник. Индивидуалното разпределяне на всяка трета страна критичен доставчик на услуги в областта на ИКТ към един от трите ЕНО следва да бъде резултат от оценка на това дали финансовите субекти, извършващи дейност във финансовите сектори, за които отговаря съответният ЕНО, са преобладаващи. Този подход следва да доведе до балансирано разпределение на задачите и отговорностите между трите ЕНО в контекста на упражняването на надзорните функции и следва да доведе до използване по най-добрия начин на човешките ресурси и техническия експертен опит, налични във всеки от трите ЕНО.
(88) На водещите надзорници следва да бъдат предоставени необходимите правомощия за провеждане на разследвания, извършване на проверки на място и от разстояние в помещенията и местата на третите страни критични доставчици на услуги в областта на ИКТ и получаване на пълна и актуална информация. Тези правомощия следва да позволят на водещия надзорник да има реална представа за вида, мащаба и въздействието на риска в областта на ИКТ, пораждан от трети страни, за финансовите субекти и в общ план — за финансовата система на Съюза. Възлагането на ЕНО на водещата роля по надзор е предпоставка за разбирането и анализирането на системното измерение на риска в областта на ИКТ във финансовия сектор. Въздействието на третите страни критични доставчици на услуги в областта на ИКТ върху финансовия сектор в Съюза и потенциалните проблеми, породени от риска от концентрация на такива доставчици, налагат общ подход на равнището на Съюза. Едновременното извършване на множество одити и правата за достъп, упражнявани поотделно от множество компетентни органи, работещи малко или повече изолирано един от друг, възпрепятстват органите за финансов надзор да извършат обстойното и цялостно проучване в Съюза на риска в областта на ИКТ, пораждан от трети страни, а и същевременно създават дублирания, тежест и сложност за третите страни критични доставчици на услуги в областта на ИКТ, ако бъдат обект на многобройни искания за наблюдение и проверки.
(89) Поради това, че определянето им като критични, им оказва значително въздействие, настоящият регламент следва да гарантира, че правата на третите страни критични доставчици на услуги в областта на ИКТ се спазват през целия период на изпълнение на надзорната рамка. Преди да бъдат определени като критични, такива доставчици следва например да имат правото да представят на водещия надзорник мотивирано становище, съдържащо всяка информация от значение за целите на оценката, свързана с тяхното определяне. Тъй като на водещия надзорник следва да бъде предоставено правомощието да отправя препоръки относно рисковете в областта на ИКТ и подходящите защитни средства, включително правомощието да се противопоставя на определени договорни споразумения, което като краен резултат влияе върху стабилността на финансовия субект или на финансовата система, на третите страни критични доставчици на услуги в областта на ИКТ следва също така да бъде дадена възможност, преди финализирането на тези препоръки, да предоставят обяснения относно очакваното въздействие на предвидените в препоръките решения върху клиентите, които са субекти извън обхвата на настоящия регламент, и да формулират решения за намаляване на рисковете. Третите страни критични доставчици на услуги в областта на ИКТ, които не са съгласни с препоръките, следва да представят аргументирано обяснение за намерението си да не одобрят препоръката. Когато такова аргументирано обяснение не е представено или се смята за недостатъчно, водещият надзорник следва да публикува известие, в което се описва накратко въпросът за неспазването.
(90) Компетентните органи следва надлежно да включват задачата за проверка на спазването по същество на препоръките, издадени от водещия надзорник, сред своите функции във връзка с пруденциалния надзор върху финансовите субекти. Компетентните органи следва да могат да изискват от финансовите субекти да предприемат допълнителни мерки за справяне с рисковете, установени в препоръките на водещия надзорник, и следва своевременно да изпращат уведомления за това. Когато водещият надзорник отправя препоръки към третите страни критични доставчици на услуги в областта на ИКТ, подлежащи на надзор съгласно Директива (ЕС) 2022/2555, компетентните органи следва да могат доброволно, и преди да приемат допълнителни мерки, да се консултират с компетентните органи съгласно посочената директива, за да се насърчи координиран подход по отношение на въпросните трети страни критични доставчици на услуги в областта на ИКТ.
(91) Упражняването на надзор следва да се ръководи от три оперативни принципа, които имат за цел да гарантират: а) тясна координация на ЕНО в ролята им на водещ надзорник чрез съвместна мрежа за надзор (СМН), б) съгласуваност с рамката, установена с Директива (ЕС) 2022/2555 (чрез доброволни консултации с органите съгласно посочената директива, за да се избегне дублирането на мерки, насочени към третите страни критични доставчици на услуги в областта на ИКТ), и в) полагане на грижа за свеждане до минимум на потенциалния риск от смущения в услугите, предоставяни от третите страни критични доставчици на услуги в областта на ИКТ на клиенти, които са субекти извън обхвата на настоящия регламент.
(92) Надзорната рамка не следва да заменя, нито по някакъв начин или за някакви части да премахва изискването за управление от самите финансови субекти на рисковете, породени от използването на трети страни доставчици на услуги в областта на ИКТ, включително задължението за поддържане на текущо наблюдение на сключените договорни споразумения с трети страни критични доставчици на услуги в областта на ИКТ. По подобен начин надзорната рамка не следва да засяга пълната отговорност, която финансовите субекти носят за спазването на всички правни задължения, предвидени в настоящия регламент и в съответното законодателство за финансовите услуги.
(93) С цел да се избегнат дублиранията и припокриванията компетентните органи следва да не предприемат индивидуални мерки за наблюдаване на риска при третите страни критични доставчици на услуги в областта на ИКТ и в това отношение следва да разчитат на съответната оценка на водещия надзорник. Всички мерки следва при всички случаи да бъдат предварително съгласувани и одобрени от водещия надзорник в контекста на изпълнението на задачите от надзорната рамка.
(94) С цел да се насърчи сближаването в международен план на най-добрите практики, които да се използват при прегледа и наблюдението на начина, по който третите страни доставчици на услуги в областта на ИКТ управляват риска при цифровите технологии, ЕНО следва да бъдат насърчавани да сключват споразумения за сътрудничество със съответните надзорни и регулаторни органи на трети държави.
(95) С цел да се използват специфичните компетенции, техническите умения и опит на персонала със специализация в областта на операционния риск и риска в областта на ИКТ, натрупани в рамките на компетентните органи, трите ЕНО и, на доброволен принцип, компетентните по силата на Директива (ЕС) 2022/2555 органи водещият надзорник следва да използва националния надзорен капацитет и знания и да създаде специални анализаторски екипи за всяко трета страна критичен доставчик на услуги в областта на ИКТ, като приобщи екипи от различни области за подпомагане на подготовката и изпълнението на надзорните дейности, включително общи разследвания и проверки на третите страни критични доставчици на услуги в областта на ИКТ, както и всички необходими последващи действия.
(96) Разходите, произтичащи от надзорните задачи, ще бъдат изцяло финансирани от таксите, събирани от третите страни критични доставчици на услуги в областта на ИКТ, но преди надзорната рамка да започне да се прилага, ЕНО вероятно ще имат разходи за въвеждането на специални системи на ИКТ в подкрепа на предстоящия надзор, тъй като тези системи ще трябва да бъдат разработени и внедрени преди това. Поради това настоящият регламент предвижда хибриден модел на финансиране, при който надзорната рамка като такава ще се финансира изцяло от такси, а разработването на системите на ИКТ на ЕНО ще се финансира от вноските на Съюза и на националните компетентни органи.
(97) Компетентните органи следва да разполагат с всички необходими правомощия за надзор, разследване и санкциониране с оглед на надлежното изпълнение на задълженията си съгласно настоящия регламент. По принцип те следва да публикуват уведомления за административните санкции, които налагат. Финансовите субекти и третите страни доставчици на услуги в областта на ИКТ могат да бъдат установени в различни държави членки и да подлежат на надзор от различни компетентни органи, поради което прилагането на настоящия регламент следва да бъде улеснено, от една страна, чрез тясно сътрудничество между съответните компетентни органи, включително с ЕЦБ по отношение на възложените ѝ специфични задачи от Регламент (ЕС) № 1024/2013 на Съвета, и, от друга страна, чрез консултации с ЕНО посредством взаимен обмен на сведения и взаимопомощ при съответните надзорни действия.
(98) С цел да се извърши допълнително количествено и качествено уточняване на критериите за определяне на третите страни доставчици на услуги в областта на ИКТ като критични и да се хармонизират таксите за упражняването на надзор, на Комисията следва да бъде делегирано правомощието да приема актове в съответствие с член 290 от ДФЕС, за допълване на настоящия регламент, като бъдат доуточнени: системното въздействие, което отказ на системите или оперативна неизправност при трета страна доставчик на услуги в областта на ИКТ може да има върху финансовите субекти, на които тя предоставя услуги в областта на ИКТ; броят на глобалните системно значими институции (Г-СЗИ) или другите системно значими институции (Д-СЗИ), които се осланят на въпросната трета страна доставчик на услуги в областта на ИКТ; броят на третите страни доставчици на услуги в областта на ИКТ, които осъществяват дейност на даден пазар; разходите за прехвърляне на данните и работното натоварване, свързано с ИКТ към други трети страни доставчици на услуги в областта на ИКТ; както и размерът на таксите за упражняване на надзор и начинът на плащането им. От особена важност е по време на подготвителната си работа Комисията да проведе подходящи консултации, включително на експертно равнище, и тези консултации да бъдат проведени в съответствие с принципите, заложени в Междуинституционалното споразумение от 13 април 2016 г. за по-добро законотворчество (22). По-специално, с цел осигуряване на равно участие при подготовката на делегираните актове, Европейският парламент и Съветът следва да получават всички документи едновременно с експертите от държавите членки, като техните експерти следва да получават систематично достъп до заседанията на експертните групи на Комисията, занимаващи се с подготовката на делегираните актове.
(99) Регулаторните технически стандарти следва да осигурят повсеместно хармонизиране на въведените с настоящия регламент изисквания. ЕНО разполагат с високоспециализиран експертен опит, поради което разработването и последващото предоставяне на Комисията на проекти на регулаторни технически стандарти, при които не се разглежда изборът на дадена политика, следва да бъде възложено на тях. Регулаторни технически стандарти следва да бъдат разработени за управлението на риска в областта на ИКТ, докладването за съществен инцидент с ИКТ, тестването, свързано с такъв инцидент, както и във връзка с базовите изисквания за надеждно наблюдаване на риска в областта на ИКТ, пораждан от трети страни. Комисията и ЕНО следва да съобразят прилагането на тези стандарти и изисквания с размера и цялостния рисков профил на финансовите субекти и с естеството, мащаба и сложността на техните услуги, дейности и операции. На Комисията следва да бъде предоставено правомощието да приема тези регулаторни технически стандарти чрез делегирани актове съгласно член 290 от ДФЕС и в съответствие с членове 10—14 от регламенти (ЕС) № 1093/2010, (ЕС) № 1094/2010 и (ЕС) № 1095/2010.
(100) С цел да се улесни сравнимостта на докладването за съществени инциденти с ИКТ и съществени операционни или свързани със сигурността инциденти, свързани с плащания, както и да се осигури прозрачност на договорните споразумения за услуги в областта на ИКТ, предоставяни от трета страна доставчик на такива услуги, на ЕНО следва да бъде възложено да разработят проекти на технически стандарти за изпълнение, с които да се установят стандартизирани образци, формуляри и процедури, които финансовите субекти да използват за докладване за съществени инциденти с ИКТ и съществени операционни или свързани със сигурността инциденти, свързани с плащания, както и стандартизирани образци за информационния регистър. При разработването на тези стандарти ЕНО следва да вземат предвид размера и цялостния рисков профил на финансовите субекти и естеството, мащаба и сложността на техните услуги, дейности и операции. На Комисията следва да бъде предоставено правомощието да приема тези технически стандарти за изпълнение чрез актове за изпълнение съгласно член 291 от ДФЕС и в съответствие с член 15 от регламенти (ЕС) № 1093/2010, (ЕС) № 1094/2010 и (ЕС) № 1095/2010.
(101) Тъй като допълнителните изисквания вече са определени в делегираните актове и актовете за изпълнение въз основа на техническите регулаторни стандарти и техническите стандарти за изпълнение, предвидени в регламенти (ЕО) № 1060/2009 (23), (ЕС) № 648/2012 (24), (ЕС) № 600/2014 (25) и (ЕС) № 909/2014 (26) на Европейския парламент и на Съвета, на ЕНО е целесъобразно да се възложи, индивидуално или съвместно в рамките на Съвместния комитет, да представят на Комисията регулаторни технически стандарти и технически стандарти за изпълнение за приемане на делегираните актове и актовете за изпълнение, които внедряват и актуализират съществуващите разпоредби относно управлението на риска в областта на ИКТ.
(102) С настоящия регламент и с Директива (ЕС) 2022/2556 на Европейския парламент и на Съвета (27) се консолидират разпоредбите относно управлението на риска в областта на ИКТ в множество регламенти и директиви от достиженията на правото на Съюза в областта на финансовите услуги, включително регламенти (ЕО) № 1060/2009, (ЕС) № 648/2012, (ЕС) № 600/2014, (ЕС) № 909/2014 и Регламент (ЕС) 2016/1011 (28) на Европейския парламент и на Съвета, поради което с цел осигуряване на пълна съгласуваност посочените регламенти следва да бъдат изменени, за да се поясни, че приложимите разпоредби относно риска в областта на ИКТ се съдържат в настоящия регламент.
(103) Поради това обхватът на съответните членове, свързани с операционния риск, въз основа на които правомощията, предвидени в регламенти (ЕО) № 1060/2009, (ЕС) № 648/2012, (ЕС) № 600/2014, (ЕС) № 909/2014 и (ЕС) 2016/1011, обусловиха приемането на делегирани актове и актове за изпълнение, следва да бъде стеснен с оглед на включването в настоящия регламент на всички разпоредби, обхващащи аспектите на оперативната устойчивост на цифровите технологии, които понастоящем са част от посочените регламенти.
(104) Потенциалният системен киберриск, свързан с използването на инфраструктури на ИКТ, които позволяват функционирането на платежните системи и предоставянето на дейности по обработване на плащания, следва да бъде надлежно разгледан на равнището на Съюза чрез хармонизирани правила за устойчивост на цифровите технологии. За тази цел Комисията следва бързо да оцени необходимостта от преразглеждане на обхвата на настоящия регламент, като същевременно приведе този преглед в съответствие с резултатите от цялостния преглед, предвиден съгласно Директива (ЕС) 2015/2366. Многобройните широкомащабни атаки през последното десетилетие показват как платежните системи са изложени на риск от киберзаплахи. Поради това, че се намират в центъра на веригата от платежни услуги и имат силни взаимовръзки с финансовата система като цяло, платежните системи и дейностите по обработка на плащания придобиха критично значение за функционирането на финансовите пазари в Съюза. Кибератаките срещу такива системи могат да причинят сериозни оперативни смущения в дейността с пряко отражение върху ключови икономически функции, като например улесняване на плащанията, и непреки последици за свързаните икономически процеси. До въвеждането на равнището на Съюза на хармонизиран режим и надзор на операторите на платежни системи и обработващите субекти, при прилагането на правила за операторите на платежни системи и обработващите субекти, които подлежат на надзор в собствената им юрисдикция, държавите членки могат, с оглед на прилагането на сходни пазарни практики, да черпят вдъхновение от изискванията за оперативна устойчивост на цифровите технологии, определени в настоящия регламент.
(105) Доколкото целта на настоящия регламент — постигане на значителна оперативна устойчивост на цифровите технологии при поднадзорните финансови субекти — не може да бъде постигната в достатъчна степен от държавите членки, тъй като налага да се хармонизират множество разнородни правила в правото на Съюза и в националното право, а поради мащаба и въздействието си може да се постигне по-добре на равнището на Съюза, Съюзът може да приеме мерки в съответствие с принципа на субсидиарност, уреден в член 5 от Договора за Европейския съюз. В съответствие с принципа на пропорционалност, уреден в същия член, настоящият регламент не надхвърля необходимото за постигането на тази цел.
(106) В съответствие с член 42, параграф 1 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета (29) беше проведена консултация с Европейския надзорен орган по защита на данните, който прие становище на 10 май 2021 г. (30),