32022L2556[1]

Az Európai Parlament és a Tanács (EU) 2022/2556 irányelve (2022. december 14.) a pénzügyi ágazat digitális működési rezilienciája tekintetében a 2009/65/EK, a 2009/138/EK, a 2011/61/EU, a 2013/36/EU, a 2014/59/EU, a 2014/65/EU, az (EU) 2015/2366 és az (EU) 2016/2341 irányelv módosításáról (EGT-vonatkozású szöveg)

AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2022/2556 IRÁNYELVE

(2022. december 14.)

a pénzügyi ágazat digitális működési rezilienciája tekintetében a 2009/65/EK, a 2009/138/EK, a 2011/61/EU, a 2013/36/EU, a 2014/59/EU, a 2014/65/EU, az (EU) 2015/2366 és az (EU) 2016/2341 irányelv módosításáról

(EGT-vonatkozású szöveg)

AZ EURÓPAI PARLAMENT ÉS AZ EURÓPAI UNIÓ TANÁCSA,

tekintettel az Európai Unió működéséről szóló szerződésre és különösen annak 53. cikke (1) bekezdésére és 114. cikkére,

tekintettel az Európai Bizottság javaslatára,

a jogalkotási aktus tervezete nemzeti parlamenteknek való megküldését követően,

tekintettel az Európai Központi Bank véleményére (1),

tekintettel az Európai Gazdasági és Szociális Bizottság véleményére (2),

rendes jogalkotási eljárás keretében (3),

mivel:

(1) Az Uniónak megfelelően és átfogóan kell kezelnie azon valamennyi pénzügyi szervezetet érintő digitális kockázatokat, amelyek a pénzügyi szolgáltatások nyújtása és igénybevétele során az információs és kommunikációs technológiák (IKT) fokozott használatából erednek, hozzájárulva ezáltal a digitális pénzügyi szolgáltatásokban rejlő potenciál megvalósításához az innováció ösztönzése és a verseny előmozdítása tekintetében egy biztonságos digitális környezetben.

(2) A pénzügyi szervezetek nagymértékben támaszkodnak digitális technológiák használatára mindennapi üzleti tevékenységük során. Rendkívül fontos ezért a digitális műveleteik IKT-kockázattal szembeni működési rezilienciájának biztosítása. Ez az igény még inkább sürgetővé vált az áttörést hozó technológiáknak, különösen az érték vagy a jogok digitális megjelenítőinek elektronikusan - megosztott főkönyvi vagy hasonló technológia felhasználásával - történő átruházását és tárolását lehetővé tevő technológiáknak (kriptoeszközök), valamint az említett eszközökhöz kapcsolódó szolgáltatásoknak a piacon történő növekedése miatt.

(3) Uniós szinten a pénzügyi ágazatban fennálló IKT-kockázat kezelésével kapcsolatos követelményekről jelenleg a 2009/65/EK (4), a 2009/138/EK (5), a 2011/61/EU (6), a 2013/36/EU (7), a 2014/59/EU (8), a 2014/65/EU (9), az (EU) 2015/2366 (10) és az (EU) 2016/2341 (11) európai parlamenti és tanácsi irányelv rendelkezik. Az említett követelmények sokfélék, és alkalmanként hiányosak. Egyes esetekben az IKT-kockázatot a működési kockázat részeként, csak implicit módon kezelik, más esetekben pedig egyáltalán nem kezelik.

Az említett kérdéseket orvosolja az (EU) 2022/2554 európai parlamenti és tanácsi rendelet (12) elfogadása. Az említett irányelveket ezért az említett rendelettel való összhang biztosítása érdekében módosítani kell. Ez az irányelv egy sor olyan módosítást foganatosít, amelyek szükségesek a jogi egyértelműség és következetesség megteremtéséhez az említett irányelvekkel összhangban engedélyezett és felügyelt pénzügyi szervezetek általi olyan különböző, digitális működési rezilienciára vonatkozó követelmények alkalmazásával kapcsolatban, amelyek tevékenységeik folytatásához és szolgáltatásaik nyújtásához szükségesek, ezáltal garantálva a belső piac zavartalan működését. Szükséges az említett követelmények piaci fejleményekkel kapcsolatos megfelelőségének biztosítása, ösztönözve ugyanakkor az arányosságot - a megfelelési költségek csökkentése céljából - különösen a pénzügyi szervezetek mérete és a rájuk vonatkozó egyedi szabályozási rendszerek tekintetében.

(4) A banki szolgáltatások területén a 2013/36/EU irányelv jelenleg csak általános belső irányítási szabályokat, valamint a vészhelyzeti és üzletmenet-folytonossági tervekre vonatkozó követelményeket magukban foglaló, működési kockázatra vonatkozó rendelkezéseket határoz meg, amelyek implicit módon az IKT-kockázat kezelése alapjául szolgálnak. Az IKT-kockázat kifejezett és egyértelmű kezelése érdekében azonban a vészhelyzeti és üzletmenet-folytonossági tervekre vonatkozó követelményeket módosítani kell, hogy azok az IKT-kockázatra vonatkozóan is kiterjedjenek az üzletmenet-folytonossági, valamint a reagálási és helyreállítási tervekre, az (EU) 2022/2554 rendeletben meghatározott követelményekkel összhangban. Továbbá, az IKT-kockázat - a működési kockázat részeként - csak implicit módon szerepel az illetékes hatóságok által végzett felügyeleti felülvizsgálati és értékelési eljárásban (SREP), és értékelésének kritériumai jelenleg az 1093/2010/EU európai parlamenti és tanácsi rendelettel (13) létrehozott európai felügyeleti hatóság (Európai Bankhatóság, EBH) által kiadott, az "Iránymutatások a felügyeleti felülvizsgálati és értékelési eljárás (SREP) során végzendő IKT-kockázat értékeléséhez" című dokumentumban vannak meghatározva. A jogi egyértelműség és annak biztosítása érdekében, hogy a bankfelügyeletek a digitális működési rezilienciára vonatkozó új kerettel összhangban hatékonyan azonosítsák az IKT-kockázatot, és nyomon kövessék annak a pénzügyi szervezetek által történő kezelését, a SREP hatályát is módosítani kell, hogy az kifejezetten utaljon az (EU) 2022/2554 rendeletben meghatározott követelményekre, valamint lefedje különösen a jelentős IKT-vonatkozású eseményjelentések által és a pénzügyi szervezetek által az említett rendelettel összhangban végzett, a digitális működési rezilienciára vonatkozó tesztelés eredményei által feltárt kockázatokat.

(5) A digitális működési reziliencia alapvető fontosságú egy pénzügyi szervezet kritikus funkcióinak és fő üzletágainak a szanálása esetén történő megőrzéséhez, és ezáltal a reálgazdaságban és a pénzügyi rendszerben való zavarok elkerüléséhez. A jelentős működési zavart okozó események akadályozhatják egy pénzügyi szervezet további működésre való képességét, és veszélyeztethetik a szanálási célkitűzéseket. Bizonyos, az IKT-szolgáltatások igénybevételéről szóló szerződéses megállapodások alapvető fontosságúak a működés folytonosságának biztosításához és szanálás esetén a szükséges adatok biztosításához. A működési rezilienciára vonatkozó uniós keret célkitűzéseivel való összehangolása érdekében a 2014/59/EU irányelvet megfelelően módosítani kell annak biztosítása céljából, hogy a működési rezilienciára vonatkozó információkat figyelembe vegyék a szanálási tervezéssel és a pénzügyi szervezetek szanálhatóságának értékelésével összefüggésben.

(6) A 2014/65/EU irányelv azon befektetési vállalkozások és kereskedési helyszínek számára ír elő szigorúbb IKT-kockázati szabályokat, amelyek algoritmikus kereskedéssel foglalkoznak. Kevésbé részletes követelmények alkalmazandók az adatszolgáltatókra és a kereskedési adattárakra. Úgyszintén, a 2014/65/EU irányelv csak korlátozott utalásokat tartalmaz az adatfeldolgozó rendszerekre vonatkozó ellenőrzési és biztonsági eljárásokra, valamint az üzleti szolgáltatások folyamatosságának és szabályszerűségének biztosítását szolgáló megfelelő rendszerek, erőforrások és eljárások használatára. Továbbá, az említett irányelvet össze kell hangolni az (EU) 2022/2554 rendelettel a befektetési szolgáltatások nyújtása és a befektetési tevékenységek végzése során a folyamatosság és a szabályszerűség, a működési reziliencia, a kereskedési rendszerek kapacitása, valamint az üzletmenet-folytonossági mechanizmusok és a kockázatkezelés hatékonysága tekintetében.

(7) Az (EU) 2015/2366 irányelv egyedi szabályokat határoz meg az IKT-vel kapcsolatos biztonsági ellenőrzési és kockázatmérséklési elemekre vonatkozóan a pénzforgalmi szolgáltatások nyújtásához szükséges engedély megszerzése céljából. Az említett engedélyezési szabályokat az (EU) 2022/2554 rendelettel való összehangolásuk érdekében módosítani kell. Továbbá, az adminisztratív terhek csökkentése, valamint az összetettség és a párhuzamos adatszolgáltatási követelmények elkerülése érdekében az említett irányelvben foglalt eseményjelentési szabályok alkalmazását az említett irányelv által szabályozott és egyúttal az (EU) 2022/2554 rendelet hatálya alá is tartozó pénzforgalmi szolgáltatók számára meg kell szüntetni, ezáltal lehetővé téve, hogy az említett pénzforgalmi szolgáltatók valamennyi pénzforgalmi-vonatkozású működési vagy biztonsági esemény tekintetében egyetlen, teljes mértékben harmonizált eseményjelentési mechanizmus előnyét élvezzék, függetlenül attól, hogy az ilyen események IKT-vonatkozásúak-e.

(8) A 2009/138/EK és az (EU) 2016/2341 irányelv részben beépíti az IKT-kockázatot az irányításra és a kockázatkezelésre vonatkozó általános rendelkezéseibe, bizonyos követelmények részletes meghatározását pedig felhatalmazáson alapuló jogi aktusokra hagyja, az IKT-kockázatra való külön hivatkozásokkal vagy anélkül. Hasonlóképpen, csak nagyon általános szabályok vonatkoznak a 2011/61/EU irányelv hatálya alá tartozó alternatívbefektetésialap-kezelőkre és a 2009/65/EK irányelv hatálya alá tartozó alapkezelő társaságokra. Az említett irányelveket ezért össze kell hangolni az (EU) 2022/2554 rendeletben az IKT-rendszerek és -eszközök kezelése tekintetében megállapított követelményekkel.

(9) Számos esetben az illetékes európai felügyeleti hatóság által kidolgozott szabályozástechnikai standardtervezetek és végrehajtás-technikai standardtervezetek alapján elfogadott felhatalmazáson alapuló és végrehajtási jogi aktusokban már meghatároztak további IKT kockázati követelményeket. Mivel az (EU) 2022/2554 rendelet rendelkezései képezik ezentúl a pénzügyi ágazatban az IKT-kockázatra vonatkozó jogi keretet, a 2009/65/EK, a 2009/138/EK, a 2011/61/EU és a 2014/65/EU irányelvben foglalt, felhatalmazáson alapuló és végrehajtási jogi aktusok elfogadására vonatkozó egyes felhatalmazásokat módosítani kell, hogy az IKT-kockázatra vonatkozó rendelkezések kikerüljenek az említett felhatalmazások hatálya alól.

(10) A pénzügyi ágazat digitális működési rezilienciájára vonatkozó új keret következetes végrehajtásának biztosítása érdekében a tagállamoknak az ezen irányelvet átültető nemzeti jogi rendelkezéseket az (EU) 2022/2554 rendelet alkalmazásának kezdőnapjától kell alkalmazniuk.

(11) A 2009/65/EK, a 2009/138/EK, a 2011/61/EU, a 2013/36/EU, a 2014/59/EU, a 2014/65/EU, az (EU) 2015/2366 és az (EU) 2016/2341 irányelvet az Európai Unió működéséről szóló szerződés (EUMSZ) 53. cikkének (1) bekezdése vagy 114. cikke vagy mindkettő alapján fogadták el. Az ezen irányelvben foglalt módosításokat egyetlen jogi aktusba foglalták a módosítások tárgya és célkitűzései közötti összekapcsoltság miatt. Következésképpen ezen irányelvet együttesen az EUMSZ 53. cikkének (1) bekezdése és 114. cikke alapján kell elfogadni.

(12) Mivel ezen irányelv céljait a tagállamok nem tudják kielégítően megvalósítani, mert azok már irányelvekben foglalt követelmények harmonizációjához vezetnek, az Unió szintjén azonban az intézkedés terjedelme és hatásai miatt e célok jobban megvalósíthatók, az Unió intézkedéseket hozhat az Európai Unióról szóló szerződés 5. cikkében foglalt szubszidiaritás elvével összhangban. Az arányosságnak az említett cikkben foglalt elvével összhangban ez az irányelv nem lépi túl az e célok eléréséhez szükséges mértéket.

(13) A tagállamoknak és a Bizottságnak a magyarázó dokumentumokról szóló, 2011. szeptember 28-i együttes politikai nyilatkozatával (14) összhangban a tagállamok vállalták, hogy az átültető intézkedéseikről szóló értesítéshez indokolt esetben egy vagy több olyan dokumentumot mellékelnek, amely megmagyarázza az irányelv elemei és az azt átültető nemzeti jogi eszközök megfelelő részei közötti kapcsolatot. Ezen irányelv tekintetében a jogalkotó úgy ítéli meg, hogy ilyen dokumentumok átadása indokolt,

ELFOGADTA EZT AZ IRÁNYELVET:

1. cikk

A 2009/65/EK irányelv módosításai

A 2009/65/EK irányelv 12. cikke a következőképpen módosul:

1. Az (1) bekezdés második albekezdése a) pontjának helyébe a következő szöveg lép: (*1) Az Európai Parlament és a Tanács (EU) 2022/2554 rendelete (2022. december 14.) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról (HL L 333.., 2022.12.27., 1. o.).""

"a) rendelkezzen szilárd és megalapozott igazgatási és számviteli eljárásokkal, az elektronikus adatfeldolgozásra vonatkozó ellenőrzési és biztonsági eljárásokkal - többek között az (EU) 2022/2554 európai parlamenti és tanácsi rendeletnek (*1) megfelelően létrehozott és kezelt hálózati és információs rendszerek tekintetében -, valamint megfelelő belső ellenőrzési mechanizmusokkal, amelyek magukban foglalják különösen az alkalmazottai által lebonyolított személyes tranzakciókra vagy a sajátszámlás befektetések céljából vásárolt pénzügyi eszközökbe történt befektetések birtoklására vagy kezelésére vonatkozó szabályokat, és biztosítják legalább minden egyes, az ÁÉKBV-t érintő tranzakciók eredetének, az azokban részt vevő feleknek, az ügylet jellegének, időpontjának és helyének az utólagos visszakeresését és ellenőrzését, valamint azt, hogy az ÁÉKBV-nek az alapkezelő társaságok kezelésében levő eszközeit a mindenkori működési szabályokkal vagy létesítő okiratokkal és hatályos jogi rendelkezésekkel összhangban fektessék be;

2. A (3) bekezdés helyébe a következő szöveg lép: "(3) A 116. cikk sérelme nélkül a Bizottság - a 112a. cikkel összhangban felhatalmazáson alapuló jogi aktusok révén - intézkedéseket fogad el a következők meghatározása céljából: a) az (1) bekezdés második albekezdésének a) pontjában említett - a hálózati és információs rendszerekre vonatkozó eljárásoktól és szabályoktól eltérő - eljárások és szabályok; b) az (1) bekezdés második albekezdésének b) pontjában említett, az összeférhetetlenség minimalizálására irányuló szerkezeti és szervezeti követelmények."

2. cikk

A 2009/138/EK irányelv módosításai

A 2009/138/EK irányelv a következőképpen módosul:

1. A 41. cikk (4) bekezdésének helyébe a következő szöveg lép:

"(4) A biztosító vagy viszontbiztosító észszerű lépéseket tesz a tevékenységei végzése során a folyamatosság és szabályszerűség biztosítása érdekében, beleértve vészhelyzeti tervek kidolgozását. E célból a vállalkozások megfelelő és arányos rendszereket, erőforrásokat és eljárásokat alkalmaznak, és így különösen hálózati és információs rendszereket hoznak létre és kezelnek, az (EU) 2022/2554 európai parlamenti és tanácsi rendelettel (*2) összhangban.

(*2) Az Európai Parlament és a Tanács (EU) 2022/2554 rendelete (2022. december 14.) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról (HL L 333.., 2022.12.27.,1. o.).""

2. Az 50. cikk (1) bekezdése a) és b) pontjának helyébe a következő szöveg lép:

"a) a 41., a 44., a 46. és a 47. cikkben említett rendszereknek - az információs és kommunikációs technológiai kockázat kezelésére vonatkozó elemektől eltérő - elemei, különösen a 44. cikk (2) bekezdésében felsorolt területek;

b) a 44., a 46., a 47. és a 48. cikkben említett - az információs és kommunikációs technológiai kockázat kezeléséhez kapcsolódó feladatköröktől eltérő - feladatkörök."

3. cikk

A 2011/61/EU irányelv módosítása

A 2011/61/EU irányelv 18. cikkének helyébe a következő szöveg lép:

"18. cikk

Általános elvek

(1) A tagállamok előírják, hogy az ABAK-ok mindig az ABA-k helyes kezeléséhez szükséges, megfelelő és célszerű emberi és technikai erőforrást alkalmazzanak.

Így különösen, az ABAK letelepedése szerinti tagállam hatáskörrel rendelkező hatóságai, figyelembe véve az ABAK kezelésében lévő ABA-k jellegét is, előírják, hogy az ABAK rendelkezzen megbízható igazgatási és számviteli eljárásokkal, az elektronikus adatfeldolgozásra vonatkozó ellenőrzési és biztonsági eljárásokkal - többek között az (EU) 2022/2554 európai parlamenti és tanácsi rendeletnek (*3) megfelelően létrehozott és kezelt hálózati és információs rendszerek tekintetében -, valamint megfelelő belső ellenőrzési mechanizmusokkal, beleértve különösen az alkalmazottai által lebonyolított személyes ügyletekre vagy a sajátszámlás befektetések birtoklására és kezelésére vonatkozó szabályokat, amelyek biztosítják legalább az ABA-k részvételével vagy közreműködésével lebonyolított ügyletek eredetének, az azokban részt vevő feleknek, az ügylet jellegének, időpontjának és helyének utólagos visszakereshetőségét és ellenőrizhetőségét, valamint azt, hogy az ABA-knak az ABAK kezelésében levő eszközeit az ABA-k alapszabályával vagy létesítő okiratával és a hatályos jogi rendelkezésekkel összhangban fektessék be.

(2) A Bizottság az 56. cikkel összhangban, valamint az 57. és az 58. cikk feltételeinek megfelelően, felhatalmazáson alapuló jogi aktusok révén intézkedéseket fogad el, amelyekben meghatározza az e cikk (1) bekezdésében említett - a hálózati és információs rendszerekre vonatkozó eljárásoktól és szabályoktól eltérő - eljárásokat és szabályokat.

4. cikk

A 2013/36/EU irányelv módosításai

A 2013/36/EU irányelv a következőképpen módosul:

1. A 65. cikk (3) bekezdése a) pontja vi. alpontjának helyébe a következő szöveg lép: (*4) Az Európai Parlament és a Tanács (EU) 2022/2554 rendelete (2022. december 14.) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról (HL L 333.., 2022.12.27., 1. o.).""

"vi. olyan harmadik felek, amelyekhez az i-iv. pontban említett szervezetek funkciókat vagy tevékenységeket szerveztek ki, beleértve az (EU) 2022/2554 európai parlamenti és tanácsi rendelet (*4) V. fejezetében említett, harmadik fél IKT-szolgáltatókat is;

2. A 74. cikk (1) bekezdése első albekezdésének helyébe a következő szöveg lép:

"Az intézményeknek olyan megbízható irányítási rendszerrel kell rendelkezniük, amely magában foglalja az áttekinthető szervezeti felépítést, az egymástól jól elhatárolt, átlátható és következetes felelősségi köröket, a fennálló vagy esetlegesen felmerülő kockázatok azonosítására, kezelésére, nyomon követésére és bejelentésére szolgáló hatékony eljárásokat, a megfelelő belső ellenőrzési mechanizmusokat - beleértve a megbízható adminisztratív és számviteli eljárásokat is -, az (EU) 2022/2554 rendeletnek megfelelően létrehozott és kezelt hálózati és információs rendszereket, valamint a hatékony és eredményes kockázatkezeléssel összhangban álló, azt előmozdító javadalmazási szabályokat és gyakorlatokat."

3. A 85. cikk (2) bekezdésének helyébe a következő szöveg lép:

"(2) Az illetékes hatóságok biztosítják, hogy az intézmények megfelelő vészhelyzeti és üzletmenet-folytonossági politikákkal és tervekkel rendelkezzenek - beleértve az általuk információközlésre használt technológia tekintetében az IKT-vonatkozású üzletmenet-folytonossági politikákat és terveket, valamint az IKT-vonatkozású reagálási és helyreállítási terveket is -, továbbá, hogy az említett tervek létrehozására, kezelésére és tesztelésére az (EU) 2022/2554 rendelet 11. cikkének megfelelően kerüljön sor, annak lehetővé tétele érdekében, hogy az intézmények tovább működjenek az üzletmenetben okozott súlyos zavar esetén, és mérsékeljék az ilyen zavar következtében felmerülő veszteségeket."

4. A 97. cikk (1) bekezdése a következő ponttal egészül ki:

"d) a digitális működési reziliencia tesztelése által az (EU) 2022/2554 rendelet IV. fejezetével összhangban feltárt kockázatokat."

5. cikk

A 2014/59/EU irányelv módosításai

A 2014/59/EU irányelv a következőképpen módosul:

1. A 10. cikk a következőképpen módosul:

a) a (7) bekezdés c) pontjának helyébe a következő szöveg lép:

"c) annak bemutatása, hogy a kritikus funkciók és a fő üzletágak hogyan különíthetők el a szükséges mértékben jogilag és gazdaságilag más funkcióktól annak érdekében, hogy az intézmény csődje esetén a folytonosság és a digitális működési reziliencia biztosítható legyen;"

b) a (7) bekezdés q) pontjának helyébe a következő szöveg lép: (*5) Az Európai Parlament és a Tanács (EU) 2022/2554 rendelete (2022. december 14.) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról (HL L 333.., 2022.12.27., 1. o.).";"

"q) az intézmény működési eljárásai folyamatos működésének fenntartását szolgáló alapvető fontosságú műveletek és rendszerek leírása, beleértve az (EU) 2022/2554 európai parlamenti és tanácsi rendeletben (*5) említett hálózati és információs rendszereket is;

c) a (9) bekezdés a következő albekezdéssel egészül ki:

"Az EBH-nak az 1093/2010/EU rendelet 10. cikkével összhangban felül kell vizsgálnia, és adott esetben aktualizálnia kell a szabályozástechnikai standardokat, többek között az (EU) 2022/2554 rendelet II. fejezete rendelkezéseinek figyelembevétele érdekében."

2. A melléklet a következőképpen módosul:

a) az A. szakasz (16) pontjának helyébe a következő szöveg lép:

"(16) az intézmény működési folyamatai - többek között az (EU) 2022/2554 rendeletnek megfelelően létrehozott és kezelt hálózati és információs rendszerek - folyamatos működésének fenntartásához szükséges szabályok és intézkedések;"

b) a B. szakasz a következőképpen módosul:

i. a (14) pont helyébe a következő szöveg lép:

"(14) a (13) pontban meghatározott rendszerek tulajdonosainak, a rendszerekhez kapcsolódó, szolgáltatási szintre vonatkozó megállapodásoknak, valamint bármely szoftvernek és rendszereknek vagy engedélyeknek az azonosítása - beleértve a jogi személyeihez, kritikus működési folyamataihoz és fő üzletágaihoz való hozzárendelést is -, valamint az (EU) 2022/2554 rendelet 3. cikkének 23. pontjában meghatározott kritikus harmadik fél IKT-szolgáltatók azonosítása;"

ii. a szöveg a következő ponttal egészül ki:

"(14a) az intézmény digitális működési rezilienciájának az (EU) 2022/2554 rendelet szerinti tesztelésének eredményei;"

c) a C. szakasz a következőképpen módosul:

i. a (4) pont helyébe a következő szöveg lép:

"(4) az, hogy az intézmény által fenntartott szolgáltatási megállapodások - beleértve az IKT-szolgáltatások igénybevételéről szóló szerződéses megállapodásokat is - mennyire szilárdak és érvényesíthetők teljes körűen az intézmény szanálása esetén;"

ii. a szöveg a következő ponttal egészül ki:

"(4a) az intézmény kritikus funkcióit és fő üzletágait támogató hálózati és információs rendszerek digitális működési rezilienciája, figyelembe véve a jelentős IKT-vonatkozású eseményjelentéseket és a digitális működési reziliencia (EU) 2022/2554 rendelet szerinti tesztelésének eredményeit;".

6. cikk

A 2014/65/EU irányelv módosításai

A 2014/65/EU irányelv a következőképpen módosul:

1. A 16. cikk a következőképpen módosul:

a) a (4) bekezdés helyébe a következő szöveg lép:

"(4) A befektetési vállalkozás észszerű lépéseket tesz a befektetési szolgáltatások és tevékenységek végzése során a folyamatosság és szabályszerűség biztosítása érdekében. A befektetési vállalkozás e célból megfelelő és arányos rendszereket - beleértve az (EU) 2022/2554 európai parlamenti és tanácsi rendelet (*6) 7. cikkének megfelelően létrehozott és kezelt információs és kommunikációs technológiai (IKT) rendszereket -, valamint megfelelő és arányos erőforrásokat és eljárásokat alkalmaz.

(*6) Az Európai Parlament és a Tanács (EU) 2022/2554 rendelete (2022. december 14.) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról (HL L 333.., 2022.12.27., 1. o.).";"

b) az (5) bekezdés második és harmadik albekezdésének helyébe a következő szöveg lép:

"A befektetési vállalkozás megalapozott igazgatási és számviteli eljárásokkal, belső ellenőrzési mechanizmusokkal és hatékony kockázatértékelési eljárásokkal rendelkezik.

Az illetékes hatóságok azon képességének sérelme nélkül, hogy ezen irányelvvel és a 600/2014/EU rendelettel összhangban hozzáférést kérjenek a kommunikációhoz, a befektetési vállalkozás megbízható biztonsági mechanizmusokkal rendelkezik, hogy - az (EU) 2022/2554 európai parlamenti és tanácsi rendeletben meghatározott követelményekkel összhangban - biztosítsa az információtovábbítási eszközök biztonságát és hitelesítését, minimalizálja az adatsérülés és a jogosulatlan hozzáférés kockázatát, és megelőzze az információk kiszivárgását, ezáltal mindenkor fenntartva az adatok bizalmas jellegét."

2. A 17. cikk a következőképpen módosul:

a) az (1) bekezdés helyébe a következő szöveg lép:

"(1) Az algoritmikus kereskedéssel foglalkozó befektetési vállalkozás az általa működtetett üzleti tevékenységnek megfelelő, hatékony rendszerekkel és kockázat-ellenőrzési mechanizmusokkal rendelkezik annak biztosítására, hogy kereskedési rendszerei - az (EU) 2022/2554 rendelet II. fejezetében meghatározott követelményekkel összhangban - reziliensek legyenek, és elegendő kapacitással rendelkezzenek, megfelelő kereskedési küszöbértékek és limitek hatálya alá tartozzanak, és megakadályozzák a hibás megbízások kiküldését vagy a rendszerek egyéb, potenciálisan rendellenes piaci helyzetet eredményező vagy ilyen helyzet kialakulását elősegítő működését.

Az ilyen vállalkozás hatékony rendszerekkel és kockázat-ellenőrzési mechanizmusokkal rendelkezik annak biztosítására is, hogy a kereskedési rendszerek ne legyenek felhasználhatók semmiféle olyan célra, amely ellentétes az 596/2014/EU rendelettel vagy azon kereskedési helyszín szabályaival, amelyhez kapcsolódik.

A befektetési vállalkozás olyan, hatékony üzletmenet-folytonossági mechanizmusokkal rendelkezik, amelyek alkalmasak a kereskedési rendszereiben fellépő bármely hiba kezelésére, beleértve az (EU) 2022/2554 rendelet 11. cikkével összhangban létrehozott IKT-vonatkozású üzletmenet-folytonossági politikát és terveket, valamint IKT-vonatkozású reagálási és helyreállítási terveket is, továbbá biztosítja rendszereinek teljes körű tesztelését és megfelelő nyomon követését annak biztosítása érdekében, hogy azok megfeleljenek az e bekezdésben meghatározott általános követelményeknek és az (EU) 2022/2554 rendelet II. és IV. fejezetében meghatározott bármely egyedi követelménynek.";

b) a (7) bekezdés a) pontjának helyébe a következő szöveg lép:

"a) a különböző befektetési szolgáltatásokat nyújtó, befektetési tevékenységeket folytató, kiegészítő szolgáltatásokat nyújtó, vagy ezek különböző kombinációival foglalkozó befektetési vállalkozásokra vonatkozóan az (1)-(6) bekezdésben előírt - az IKT-kockázatkezeléshez kapcsolódóaktól eltérő - szervezeti követelmények részletei, amelyek keretében az (5) bekezdésben meghatározott szervezeti követelményekkel kapcsolatos előírásoknak oly módon kell egyedi követelményeket meghatározniuk a közvetlen piaci hozzáférés és a szponzorált hozzáférés vonatkozásában, hogy az biztosítsa, hogy a szponzorált hozzáférésre vonatkozó ellenőrzési mechanizmusok legalább egyenértékűek legyenek a közvetlen hozzáférésre vonatkozóakkal;".

3. A 47. cikk (1) bekezdése a következőképpen módosul:

a) a b) pont helyébe a következő szöveg lép:

"b) legyen megfelelően felszerelt azon kockázatok kezelésére, amelyeknek ki van téve - beleértve az IKT-kockázatnak az (EU) 2022/2554 rendelet II. fejezetének megfelelő kezelését is -, hogy megfelelő megállapodásokat és rendszereket hozzon létre a működését veszélyeztető lényeges kockázatok azonosítására, és hatékony intézkedéseket hozzon az említett kockázatok csökkentésére;"

b) a c) pontot el kell hagyni.

4. A 48. cikk a következőképpen módosul:

a) az (1) bekezdés helyébe a következő szöveg lép:

"(1) A tagállamok előírják a szabályozott piac számára, hogy az (EU) 2022/2554 rendelet II. fejezetében meghatározott követelményekkel összhangban alakítsa ki és tartsa fenn a működési rezilienciáját annak biztosítására, hogy kereskedési rendszerei reziliensek legyenek, elegendő kapacitással rendelkezzenek csúcsterhelés esetén a megbízások és üzenetek volumenének kezelésére, képesek legyenek szabályos kereskedést biztosítani jelentős piaci stresszhelyzetben, teljes körű tesztelésen essenek át az ilyen feltételek teljesülésének biztosítása érdekében, továbbá hatékony üzletmenet-folytonossági mechanizmusokkal rendelkezzenek - beleértve az (EU) 2022/2554 rendelet 11. cikkével összhangban létrehozott IKT-vonatkozású üzletmenet-folytonossági politikát és terveket, valamint IKT-vonatkozású reagálási és helyreállítási terveket - a szolgáltatásai folyamatosságának biztosítása érdekében, ha a kereskedési rendszereiben meghibásodás következik be.";

b) a (6) bekezdés helyébe a következő szöveg lép:

"(6) A tagállamok előírják a szabályozott piac számára, hogy hatékony rendszerei, eljárásai és mechanizmusai legyenek - ideértve a tagok vagy résztvevők arra való felszólítását, hogy végezzék el az algoritmusok megfelelő tesztelését, és biztosítsanak környezetet az ilyen tesztelés megkönnyítéséhez az (EU) 2022/2554 rendelet II. és IV. fejezetében meghatározott követelményekkel összhangban - annak biztosítására, hogy az algoritmikus kereskedési rendszerek ne hozhassanak létre rendellenes kereskedési feltételeket a piacon, és ne járulhassanak hozzá ilyenek kialakulásához, továbbá hogy kezelje az ilyen algoritmikus kereskedési rendszerekből mégis felmerülő rendellenes kereskedési feltételeket, ideértve az olyan rendszereket, amelyek lehetővé teszik a nem végrehajtott megbízások arányának korlátozását a rendszerbe egy tag vagy résztvevő által bevihető ügyleti megbízásokhoz képest, a megbízások áramlásának lelassítását, ha fennáll a rendszere határkapacitása elérésének kockázata, valamint a piacon végrehajtható legkisebb árlépésköz korlátozását és betartatását.";

c) a (12) bekezdés a következőképpen módosul:

i. az a) pont helyébe a következő szöveg lép:

"a) a szabályozott piacok kereskedési rendszerei rezilienciájának és megfelelő kapacitásának biztosítására vonatkozó követelmények, a digitális működési rezilienciával kapcsolatos követelmények kivételével;";

ii. a g) pont helyébe a következő szöveg lép:

"g) az algoritmusok megfelelő tesztelésének - kivéve a digitális működési reziliencia tesztelését - biztosítására vonatkozó követelmények annak biztosítása érdekében, hogy az algoritmikus kereskedési rendszerek - ideértve a nagysebességű algoritmikus kereskedési rendszereket - ne hozhassanak létre rendellenes kereskedési feltételeket a piacon, vagy ne járulhassanak hozzá ilyenek kialakulásához."

7. cikk

Az (EU) 2015/2366 irányelv módosításai

Az (EU) 2015/2366 irányelv a következőképpen módosul:

1. A 3. cikk j) pontjának helyébe a következő szöveg lép:

"j) olyan technikai szolgáltatók által nyújtott szolgáltatások, amelyek támogatják a fizetési szolgáltatások nyújtását anélkül, hogy bármikor is birtokolnák a továbbítandó pénzeszközöket, ideértve az adatok feldolgozását és tárolását, a bizalmi és adatvédelmi szolgáltatásokat, az adat- és entitáshitelesítést, az információs és kommunikációs technológia (IKT) és a kommunikációs hálózat biztosítását, fizetési szolgáltatásokhoz használt terminálok és eszközök biztosítását és karbantartását, kivéve a megbízásos online átutalásokat és a számlainformációk összesítését;".

2. Az 5. cikk (1) bekezdése a következőképpen módosul:

a) az első albekezdés a következőképpen módosul:

i. az e) pont helyébe a következő szöveg lép: (*7) Az Európai Parlament és a Tanács (EU) 2022/2554 rendelete (2022. december 14.) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról (HL L 333.., 2022.12.27., 1. o.).";"

"e) a kérelmező irányítási rendszereinek és belső ellenőrzési mechanizmusainak leírása - beleértve az adminisztratív, kockázatkezelési és számviteli eljárásokat, valamint az (EU) 2022/2554 európai parlamenti és tanácsi rendeletnek (*7) megfelelően az IKT-szolgáltatások igénybevételére irányuló megállapodásokat is -, amely bemutatja, hogy az említett irányítási rendszerek és belső ellenőrzési mechanizmusok arányosak, helyénvalóak, megbízhatóak és megfelelőek;

ii. az f) pont helyébe a következő szöveg lép:

"f) a biztonsági események és a biztonsággal kapcsolatos ügyfélpanaszok nyomon követésére, kezelésére és utókövetésére szolgáló eljárások leírása, ideértve az eseményjelentési mechanizmust is, amely figyelembe veszi a pénzforgalmi intézményeknek az (EU) 2022/2554 rendelet III. fejezetében megállapított értesítési kötelezettségeit;"

iii. a h) pont helyébe a következő szöveg lép:

"h) az üzletmenet-folytonossági mechanizmusok leírása, amely magában foglalja a kritikus műveletek, a hatékony IKT-vonatkozású üzletmenet-folytonossági politika és tervek, valamint IKT-vonatkozású reagálási és helyreállítási tervek, továbbá az ilyen tervek megfelelőségének és hatékonyságának rendszeres tesztelésére és felülvizsgálatára szolgáló, az (EU) 2022/2554 rendeletnek megfelelő eljárás egyértelmű azonosítását;"

b) a harmadik albekezdés helyébe a következő szöveg lép:

"Az első albekezdés j) pontjában említett biztonsági ellenőrzési és kockázatmérséklési intézkedéseknek be kell mutatniuk, hogyan biztosítják a magas szintű digitális működési rezilienciát az (EU) 2022/2554 rendelet II. fejezetével összhangban, különösen a műszaki biztonsággal és adatvédelemmel kapcsolatban, ideértve a kérelmező által vagy a kérelmező működésének egy részét vagy egészét kiszervezett tevékenységként végző vállalkozások által alkalmazott szoftvereket és IKT-rendszereket. Az említett intézkedéseknek magukban kell foglalniuk az ezen irányelv 95. cikkének (1) bekezdésében meghatározott biztonsági intézkedéseket is. Az említett intézkedéseknek - a foganatosításukkor - figyelembe kell venniük az EBH biztonsági intézkedésekről szóló, ezen irányelv 95. cikkének (3) bekezdésében említett iránymutatásait."

3. A 19. cikk (6) bekezdése második albekezdésének helyébe a következő szöveg lép:

"Fontos működtetési feladatok, többek között IKT-rendszerek kiszervezésére nem kerülhet sor oly módon, hogy az lényegesen csorbítsa a pénzforgalmi intézmény belső ellenőrzésének minőségét, valamint az illetékes hatóságok azon képességét, hogy monitorozzák és nyomon kövessék, hogy a pénzforgalmi intézmény eleget tesz-e az ezen irányelvben megállapított valamennyi kötelezettségnek."

4. A 95. cikk (1) bekezdése a következő albekezdéssel egészül ki: "Az első albekezdés nem érinti az (EU) 2022/2554 rendelet II. fejezetének alkalmazását a következők tekintetében:

a) az ezen irányelv 1. cikke (1) bekezdésének a), b) és d) pontjában említett pénzforgalmi szolgáltatók;

b) az ezen irányelv 33. cikkének (1) bekezdésében említett számlainformációkat összesítő szolgáltatók;

c) az ezen irányelv 32. cikkének (1) bekezdése alapján mentesített pénzforgalmi intézmények; és

d) a 2009/110/EK irányelv 9. cikkének (1) bekezdésében említett, alkalmazás alóli mellőzést élvező elektronikuspénz-kibocsátó intézmények."

5. A 96. cikk a következő bekezdéssel egészül ki: "(7) A tagállamok biztosítják, hogy e cikk (1)-(5) bekezdése nem alkalmazandó a következőkre: a) az ezen irányelv 1. cikke (1) bekezdésének a), b) és d) pontjában említett pénzforgalmi szolgáltatók; b) az ezen irányelv 33. cikkének (1) bekezdésében említett számlainformációkat összesítő szolgáltatók; c) az ezen irányelv 32. cikkének (1) bekezdése alapján mentesített pénzforgalmi intézmények; és d) a 2009/110/EK irányelv 9. cikkének (1) bekezdésében említett, alkalmazás alóli mellőzést élvező elektronikuspénz-kibocsátó intézmények."

6. A 98. cikk (5) bekezdésének helyébe a következő szöveg lép:

"(5) Az EBH-nak az 1093/2010/EU rendelet 10. cikkével összhangban rendszeresen felül kell vizsgálnia, és adott esetben aktualizálnia kell a szabályozástechnikai standardokat többek között annak érdekében, hogy figyelembe vegye az innovációt és a technológiai fejleményeket, valamint az (EU) 2022/2554 rendelet II. fejezetének rendelkezéseit."

8. cikk

Az (EU) 2016/2341 irányelv módosítása

Az (EU) 2016/2341 irányelv 21. cikke (5) bekezdésének helyébe a következő szöveg lép:

"(5) A tagállamok biztosítják, hogy a foglalkoztatói nyugellátást szolgáltató intézmények észszerű lépéseket tegyenek a tevékenységeik végzése során a folyamatosság és szabályszerűség biztosítása érdekében, beleértve vészhelyzeti tervek kidolgozását. E célból a foglalkoztatói nyugellátást szolgáltató intézmények megfelelő és arányos rendszereket, erőforrásokat és eljárásokat alkalmaznak, és így különösen - adott esetben - hálózati és információs rendszereket hoznak létre és kezelnek az (EU) 2022/2554 európai parlamenti és tanácsi rendelettel (*8) összhangban.

9. cikk

Átültetés

(1) A tagállamok legkésőbb 2025. január 17-ig elfogadják és kihirdetik azokat a rendelkezéseket, amelyek szükségesek ahhoz, hogy ennek az irányelvnek megfeleljenek. Erről haladéktalanul tájékoztatják a Bizottságot.

A tagállamok ezeket a rendelkezéseket 2025. január 17-től alkalmazzák.

Amikor a tagállamok elfogadják ezeket a rendelkezéseket, azokban hivatkozni kell erre az irányelvre, vagy azokhoz hivatalos kihirdetésük alkalmával ilyen hivatkozást kell fűzni. A hivatkozás módját a tagállamok határozzák meg.

(2) A tagállamok közlik a Bizottsággal nemzeti joguk azon főbb rendelkezéseinek szövegét, amelyeket az ezen irányelv által szabályozott területen fogadnak el.

10. cikk

Hatálybalépés

Ez az irányelv az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

11. cikk

Címzettek

Ennek az irányelvnek a tagállamok a címzettjei.

Kelt Strasbourgban, 2022. december 14-én.

az Európai Parlament részéről

az elnök

R. METSOLA

a Tanács részéről

az elnök

M. BEK

(1) HL C 343., 2021.8.26., 1. o.

(2) HL C 155., 2021.4.30., 38. o.

(3) Az Európai Parlament 2022. november 10-i álláspontja (a Hivatalos Lapban még nem tették közzé) és a Tanács 2022. november 28-i határozata.

(4) Az Európai Parlament és a Tanács 2009/65/EK irányelve (2009. július 13.) az átruházható értékpapírokkal foglalkozó kollektív befektetési vállalkozásokra (ÁÉKBV) vonatkozó törvényi, rendeleti és közigazgatási rendelkezések összehangolásáról (HL L 302., 2009.11.17., 32. o.).

(5) Az Európai Parlament és a Tanács 2009/138/EK irányelve (2009. november 25.) a biztosítási és viszontbiztosítási üzleti tevékenység megkezdéséről és gyakorlásáról (Szolvencia II) (HL L 335., 2009.12.17., 1. o.).

(6) Az Európai Parlament és a Tanács 2011/61/EU irányelve (2011. június 8.) az alternatívbefektetésialap-kezelőkről, valamint a 2003/41/EK és a 2009/65/EK irányelv, továbbá az 1060/2009/EK és az 1095/2010/EU rendelet módosításáról (HL L 174., 2011.7.1., 1. o.).

(7) Az Európai Parlament és a Tanács 2013/36/EU irányelve (2013. június 26.) a hitelintézetek tevékenységéhez való hozzáférésről és a hitelintézetek prudenciális felügyeletéről, a 2002/87/EK irányelv módosításáról, a 2006/48/EK és a 2006/49/EK irányelv hatályon kívül helyezéséről (HL L 176., 2013.6.27., 338. o.).

(8) Az Európai Parlament és a Tanács 2014/59/EU irányelve (2014. május 15.) a hitelintézetek és befektetési vállalkozások helyreállítását és szanálását célzó keretrendszer létrehozásáról és a 82/891/EGK tanácsi irányelv, a 2001/24/EK, 2002/47/EK, 2004/25/EK, 2005/56/EK, 2007/36/EK, 2011/35/EU, 2012/30/EU és 2013/36/EU irányelv, valamint az 1093/2010/EU és a 648/2012/EU európai parlamenti és tanácsi rendelet módosításáról (HL L 173., 2014.6.12., 190. o.).

(9) Az Európai Parlament és a Tanács 2014/65/EU irányelve (2014. május 15.) a pénzügyi eszközök piacairól, valamint a 2002/92/EK irányelv és a 2011/61/EU irányelv módosításáról (HL L 173., 2014.6.12., 349. o.).

(10) Az Európai Parlament és a Tanács (EU) 2015/2366 irányelve (2015. november 25.) a belső piaci pénzforgalmi szolgáltatásokról és a 2002/65/EK, a 2009/110/EK és a 2013/36/EU irányelv és az 1093/2010/EU rendelet módosításáról, valamint a 2007/64/EK irányelv hatályon kívül helyezéséről (HL L 337., 2015.12.23., 35. o.).

(11) Az Európai Parlament és a Tanács (EU) 2016/2341 irányelve (2016. december 14.) a foglalkoztatói nyugellátást szolgáltató intézmények tevékenységéről és felügyeletéről (HL L 354., 2016.12.23., 37. o.).

(12) Az Európai Parlament és a Tanács (EU) 2022/2554 rendelete (2022. december 14.) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról (lásd e Hivatalos Lap 1. oldalát).

(13) Az Európai Parlament és a Tanács 1093/2010/EU rendelete (2010. november 24.) az európai felügyeleti hatóság (Európai Bankhatóság) létrehozásáról, a 716/2009/EK határozat módosításáról és a 2009/78/EK bizottsági határozat hatályon kívül helyezéséről (HL L 331., 2010.12.15., 12. o.).

(14) HL C 369., 2011.12.17., 14. o.