(EU) 2022/2556Směrnice Evropského parlamentu a Rady (EU) 2022/2556 ze dne 14. prosince 2022, kterou se mění směrnice 2009/65/ES, 2009/138/ES, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 a (EU) 2016/2341, pokud jde o digitální provozní odolnost finančního sektoru (Text s významem pro EHP)

Publikováno:	Úř. věst. L 333, 27.12.2022, s. 153-163	Druh předpisu:	Směrnice
Přijato:	14. prosince 2022	Autor předpisu:	Evropský parlament; Rada Evropské unie
Platnost od:	16. ledna 2023	Nabývá účinnosti:	16. ledna 2023
Platnost předpisu:	Ano	Pozbývá platnosti:

Původní znění předpisu

Text předpisu s celou hlavičkou je dostupný pouze pro registrované uživatele.

27.12.2022

Úřední věstník Evropské unie

L 333/153

SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY (EU) 2022/2556

ze dne 14. prosince 2022,

kterou se mění směrnice 2009/65/ES, 2009/138/ES, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 a (EU) 2016/2341, pokud jde o digitální provozní odolnost finančního sektoru

(Text s významem pro EHP)

EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE,

s ohledem na Smlouvu o fungování Evropské unie, a zejména na čl. 53 odst. 1 a článek 114 této smlouvy,

s ohledem na návrh Evropské komise,

po postoupení návrhu legislativního aktu vnitrostátním parlamentům,

s ohledem na stanovisko Evropské centrální banky (1),

s ohledem na stanovisko Evropského hospodářského a sociálního výboru (2),

v souladu s řádným legislativním postupem (3),

vzhledem k těmto důvodům:

(1)

Unie potřebuje vhodným a komplexním způsobem reagovat na digitální rizika hrozící všem finančním subjektům v důsledku zvyšujícího se využívání informačních a komunikačních technologií (IKT) při poskytování a využívání finančních služeb, a přispět tak k využití potenciálu digitálních financí v podobě podnícení inovací a rozvoje hospodářské soutěže v bezpečném digitálním prostředí.

(2)

Finanční subjekty jsou při své každodenní činnosti silně závislé na využívání digitálních technologií. Je proto nanejvýš důležité zajistit provozní odolnost jejich digitálních operací vůči rizikům v oblasti IKT. Tato potřeba je nyní ještě naléhavější v důsledku růstu průlomových technologií na trhu, zejména technologií umožňujících elektronický převod a uchovávání digitálního vyjádření hodnot nebo práv za použití distribuovaného registru nebo podobné technologie (kryptoaktiva) a technologií pro služby spojené s těmito aktivy.

(3)

Na úrovni Unie jsou požadavky týkající se řízení rizik v oblasti IKT pro finanční sektor v současné době stanoveny ve směrnicích Evropského parlamentu a Rady 2009/65/ES (4), 2009/138/ES (5), 2011/61/EU (6), 2013/36/EU (7), 2014/59/EU (8), 2014/65/EU (9), (EU) 2015/2366 (10) a (EU) 2016/2341 (11).

Tyto požadavky se navzájem liší a jsou místy neúplné. V některých případech jsou rizika v oblasti IKT řešena pouze implicitně v rámci provozního rizika, zatímco v jiných případech nejsou řešena vůbec. To by mělo být napraveno přijetím nařízení Evropského parlamentu a Rady (EU) 2022/2554 (12). Uvedené směrnice by proto měly být změněny, aby byly se zmíněným nařízením v souladu. Tato směrnice stanoví soubor změn, které jsou nezbytné k zajištění právní jasnosti a soudržnosti, pokud jde o uplatňování různých požadavků týkajících se digitální provozní odolnosti, které jsou nezbytné pro výkon činnosti finančních subjektů podléhajících povolení a dohledu v souladu s uvedenými směrnicemi, ze strany těchto subjektů, a zaručuje tak hladké fungování vnitřního trhu. Je nezbytné zajistit, aby uvedené požadavky odpovídaly vývoji na trhu, a zároveň podporovat proporcionalitu, zejména s ohledem na velikost finančních subjektů a zvláštní režimy, jimž podléhají, s cílem snížit náklady na dodržování předpisů.

(4)

V oblasti bankovních služeb směrnice 2013/36/EU v současné době stanoví pouze obecná pravidla vnitřní správy a řízení a ustanovení o operačním riziku obsahující požadavky na pohotovostní plány a plány zachování provozu, které implicitně slouží jako základ pro řízení rizik v oblasti IKT. V zájmu výslovného a jasného řešení rizika v oblasti IKT by však měly být požadavky na pohotovostní plány a plány zachování provozu pozměněny tak, aby v souladu s požadavky stanovenými v nařízení (EU) 2022/2554 rovněž zahrnovaly plány zachování provozu a plány reakce a obnovy týkající se rizik v oblasti IKT. Kromě toho je riziko v oblasti IKT zahrnuto jako součást operačního rizika do procesu dohledu a hodnocení prováděného příslušnými orgány pouze implicitně a kritéria pro jeho posouzení jsou v současné době vymezena v Obecných pokynech k posuzování rizik IKT v rámci procesu přezkoumání a vyhodnocení vydaných Evropským orgánem dohledu (Evropským orgánem pro bankovnictví) (EBA) zřízeným nařízením Evropského parlamentu a Rady (EU) č. 1093/2010 (13). V zájmu právní jasnosti a zajištění toho, aby orgány bankovního dohledu účinně rozpoznávaly rizika v oblasti IKT a monitorovaly jejich řízení ze strany finančních subjektů v souladu s novým rámcem pro digitální provozní odolnost, by měl být rozsah dohledu a hodnocení rovněž upraven tak, aby výslovně odkazoval na požadavky stanovené v nařízení (EU) 2022/2554. a pokrýval zejména rizika zjištěná na základě zpráv o závažných incidentech souvisejících s IKT a výsledků testování digitální provozní odolnosti prováděného finančními subjekty v souladu s uvedeným nařízením.

(5)

Digitální provozní odolnost je klíčová pro zachování zásadních funkcí a hlavních linií podnikání finančního subjektu v případě řešení jeho krize, a tedy k zabránění narušení reálné ekonomiky a finančního systému. Závažné provozní incidenty mohou snížit schopnost finančního subjektu pokračovat v provozu a mohou ohrožovat cíle řešení krize. Pro zajištění kontinuity provozu a poskytování potřebných údajů v případě řešení krize jsou nezbytná určitá smluvní ujednání o využívání služeb IKT. V zájmu zajištění souladu s cíli rámce Unie pro provozní odolnost by měla být směrnice 2014/59/EU odpovídajícím způsobem změněna, aby bylo zajištěno, že při plánování řešení krize a posuzování způsobilosti finančních subjektů k řešení krize budou zohledněny informace týkající se provozní odolnosti.

(6)

Směrnice 2014/65/EU stanoví přísnější pravidla týkající se rizik v oblasti IKT pro investiční podniky a obchodní systémy, které vykonávají algoritmické obchodování. Na služby hlášení údajů a registry obchodních údajů se vztahují méně specifikované požadavky. Směrnice 2014/65/EU obsahuje rovněž pouze omezené zmínky o kontrolních a ochranných opatřeních pro systémy zpracování dat a o používání vhodných systémů, zdrojů a postupů za účelem zajištění nepřerušeného a řádného poskytování obchodních služeb. Zmíněná směrnice by rovněž měla být uvedena do souladu s nařízením (EU) 2022/2554, pokud jde o nepřerušené a řádné poskytování investičních služeb a vykonávání investičních činností, provozní odolnost, kapacitu obchodních systémů a účinnost mechanismů zachování provozu a řízení rizik.

(7)

Směrnice (EU) 2015/2366 stanoví pro účely získání povolení k poskytování platebních služeb zvláštní pravidla týkající se bezpečnostních kontrol IKT a prvků určených k minimalizaci rizik. Uvedená pravidla povolování by měla být změněna, aby byla v souladu s nařízením (EU) 2022/2554 Dále by se za účelem snížení administrativní zátěže a zamezení složitosti a zdvojení požadavkům na podávání zpráv měla na poskytovatele platebních služeb podléhající zmíněné směrnici a zároveň nařízení (EU) 2022/2554 přestat vztahovat pravidla pro oznamování incidentů stanovená zmíněnou směrnicí, což by těmto poskytovatelům platebních služeb umožnilo využívat jednotný a plně harmonizovaný mechanismus oznamování incidentů ve vztahu ke všem provozním či bezpečnostním incidentům souvisejícím s platbami, bez ohledu na to, zda se tyto incidenty týkají IKT.

(8)

Směrnice 2009/138/ES a (EU) 2016/2341 částečně pokrývají rizika v oblasti IKT v rámci svých obecných ustanovení o správě a o řízení rizik, přičemž určité požadavky jsou ponechány na upřesnění prostřednictvím aktů v přenesené pravomoci, ať již s výslovnými odkazy na rizika v oblasti IKT, či nikoliv. Obdobně platí pouze velmi obecná pravidla pro správce alternativních investičních fondů, na které se vztahuje směrnice 2011/61/EU, a správcovské společnosti upravené směrnicí 2009/65/ES. Zmíněné směrnice by proto měly být uvedeny do souladu s požadavky stanovenými v nařízení (EU) 2022/2554, pokud jde o řízení systémů a nástrojů IKT.

(9)

V mnoha případech byly další požadavky týkající se rizik v oblasti IKT již stanoveny v aktech v přenesené pravomoci a v prováděcích aktech, které byly přijaty na základě návrhů regulačních technických norem a prováděcích technických norem vypracovaných příslušným evropským orgánem dohledu. Jelikož právní základ týkající se rizik v oblasti IKT ve finančním sektoru nyní představuje nařízení (EU) 2022/2554, měla by být některá zmocnění k přijímání aktů v přenesené pravomoci a prováděcích aktů stanovená ve směrnicích 2009/65/ES, 2009/138/ES, 2011/61/EU a 2014/65/EU změněna, aby již nezahrnovala ustanovení ohledně rizik v oblasti IKT.

(10)	Aby bylo zajištěno soudržné uplatňování nového rámce pro digitální provozní odolnost finančního sektoru, měly by členské státy uplatňovat vnitrostátní právní předpisy, kterými se tato směrnice provádí, ode dne použitelnosti nařízení (EU) 2022/2554

(11)

Směrnice 2009/66/ES, 2009/138/ES, 2011/61/ES, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 a (EU) 2016/2341 byly přijaty na základě čl. 53 odst. 1 nebo článku 114 Smlouvy o fungování Evropské unie (dále jen „Smlouva o fungování EU“). Změny stanovené v této směrnici jsou vzhledem k propojenosti předmětu a cílů příslušných změn zařazeny do jediného legislativního aktu. Tato směrnice by proto měla být přijata na základě čl. 53 odst. 1 i článku 114 Smlouvy o fungování EU.

(12)

Jelikož cílů této směrnice nemůže být dosaženo uspokojivě členskými státy, neboť vyžadují harmonizaci požadavků, které jsou již obsaženy ve směrnicích, ale spíše jich, z důvodu rozsahu a účinků opatření, může být lépe dosaženo na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o Evropské unii. V souladu se zásadou proporcionality stanovenou v uvedeném článku nepřekračuje tato směrnice rámec toho, co je nezbytné pro dosažení těchto cílů.

(13)

Členské státy se v souladu se společným politickým prohlášením členských států a Komise ze dne 28. září 2011 o informativních dokumentech (14) zavázaly, že v odůvodněných případech doplní oznámení o opatřeních přijatých za účelem provedení směrnice ve vnitrostátním právu o jeden či více dokumentů s informacemi o vztahu mezi jednotlivými složkami směrnice a příslušnými částmi vnitrostátních nástrojů přijatých za účelem provedení směrnice ve vnitrostátním právu. V případě této směrnice považuje normotvůrce předložení těchto dokumentů za odůvodněné,

PŘIJALY TUTO SMĚRNICI:

Článek 1

Změny směrnice 2009/65/ES

Článek 12 směrnice 2009/65/ES se mění takto:

v odst. 1 druhém pododstavci se písmeno a) nahrazuje tímto:

„a)

používala řádné administrativní a účetní postupy a kontrolní a ochranná opatření při elektronickém zpracovávání dat, a to i ve vztahu k sítím a informačním systémům, které jsou zavedeny a řízeny v souladu s nařízením Evropského parlamentu a Rady (EU) 2022/2554 (*1), jakož i příslušné mechanismy vnitřní kontroly, mezi něž patří zejména pravidla pro osobní transakce prováděné jejími zaměstnanci a pro držení a správu investic do finančních nástrojů s cílem investovat na vlastní účet, a které přinejmenším zajišťují, aby každá transakce, do níž je SKIPCP zapojen, mohla být rekonstruována podle svého původu, podle zúčastněných stran, povahy a doby a místa, kdy a kde byla uskutečněna, a aby aktiva SKIPCP spravovaného správcovskou společností byla investována v souladu se statutem fondu nebo zakládacími dokumenty a platnými právními předpisy;

(*1) Nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011 (Úř. věst. L 333 , 27.12.2022, s. 1).“;"

odstavec 3 se nahrazuje tímto:

„3. Aniž je dotčen článek 116, přijme Komise prostřednictvím aktů v přenesené pravomoci v souladu s článkem 112a opatření, jimiž stanoví:

a)	postupy a opatření uvedené v odst. 1 druhém pododstavci písm. a), kromě postupů a opatření, které se týkají sítí a informačních systémů;

b)	požadavky na strukturu a organizaci, jimiž se zajistí minimalizace střetu zájmů uvedená v odst. 1 druhém pododstavci písm. b).“

Článek 2

Změny směrnice 2009/138/ES

Směrnice 2009/138/ES se mění takto:

v článku 41 se odstavec 4 nahrazuje tímto:

„4. Pojišťovny a zajišťovny přijmou vhodná opatření k zajištění kontinuity a řádného výkonu svých činností, včetně vypracování pohotovostních plánů. K tomuto účelu používají vhodné a přiměřené systémy, zdroje a postupy a zejména zavedou a řídí sítě a informační systémy v souladu s nařízením Evropského parlamentu a Rady (EU) 2022/2554 (*2).

(*2) Nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011 (Úř. věst. L 333, 27.12.2022, s. 1).“;"

v čl. 50 odst. 1 se písmena a) a b) nahrazují tímto:

„a)	prvky systémů uvedených v článku 41, článku 44, zejména oblasti uvedené v čl. 44 odst. 2, a v článcích 46 a 47 kromě prvků týkajících se řízení rizik v oblasti informačních a komunikačních technologií;

b)	funkce uvedené v článcích 44, 46, 47 a 48 kromě funkcí vztahujících se k řízení rizik v oblasti informačních a komunikačních technologií.“

Článek 3

Změna směrnice 2011/61/EU

Článek 18 směrnice 2011/61/EU se nahrazuje tímto:

„Článek 18

Obecné zásady

1. Členské státy vyžadují, aby správce vždy využíval vhodné a přiměřené lidské a technické zdroje, které jsou nezbytné pro řádnou správu alternativních investičních fondů.

Příslušné orgány domovského členského státu správce, rovněž s ohledem na charakter jím spravovaných alternativních investičních fondů, zejména vyžadují, aby tento správce uplatňoval řádné administrativní a účetní postupy a kontrolní a ochranná opatření při elektronickém zpracovávání dat, a to i ve vztahu k sítím a informačním systémům, které jsou zavedeny a řízeny v souladu s nařízením Evropského parlamentu a Rady (EU) 2022/2554 (*3), jakož i příslušné mechanismy vnitřní kontroly, mezi něž patří zejména pravidla pro osobní transakce prováděné jeho zaměstnanci a pro držení nebo správu investic s cílem investovat na vlastní účet, a jež přinejmenším zajišťují, aby každá transakce, do níž jsou alternativní investiční fondy zapojeny, mohla být rekonstruována podle svého původu, podle zúčastněných stran, povahy, doby, kdy byla uskutečněna, a místa, kde byla uskutečněna, a aby aktiva alternativních investičních fondů spravovaných tímto správcem byla investována v souladu se statutem či zakládacími dokumenty alternativního investičního fondu a v souladu s platnými právními předpisy.

2. Komise přijme prostřednictvím aktů v přenesené pravomoci v souladu s článkem 56 a za podmínek stanovených v článcích 57 a 58 opatření, jimiž se blíže stanoví postupy a opatření uvedené v odstavci 1 tohoto článku, kromě postupů a opatření, které se týkají sítí a informačních systémů.

Článek 4

Změny směrnice 2013/36/EU

Směrnice 2013/36/EU se mění takto:

v čl. 65 odst. 3 písm. a) se bod vi) nahrazuje tímto:

„vi)	třetí strany, které pro subjekty uvedené v bodech i) až iv) externě zajišťují funkce nebo činnosti, včetně poskytovatelů služeb IKT z řad třetích stran uvedených v kapitole V nařízení Evropského parlamentu a Rady (EU) 2022/2554 (*4);

(*4) Nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011 (Úř. věst. L 333, 27.12.2022, s. 1).“;"

v čl. 74 odst. 1 se první pododstavec nahrazuje tímto:

„Instituce musí mít spolehlivé mechanismy pro správu a řízení, které zahrnují jasnou organizační strukturu s dobře vymezenými, transparentními a konzistentně rozdělenými úkoly, účinnými postupy pro identifikaci, řízení, sledování a hlášení rizik, jimž instituce je nebo může být vystavena, přiměřené mechanismy vnitřní kontroly, včetně řádné správy a účetních postupů, sítě a informační systémy, které jsou zavedeny a řízeny v souladu s nařízením (EU) 2022/2554, a zásady a postupy odměňování, které odpovídají náležitému a účinnému řízení rizik a podporují je.“;

v článku 85 se odstavec 2 nahrazuje tímto:

„2. Příslušné orgány zajistí, aby instituce měly náležité pohotovostní politiky a plány a politiky a plány zachování provozu, včetně politik a plánů zachování provozu IKT a plánů reakce a obnovy v oblasti IKT pro technologie, které používají pro komunikaci informací, a aby byly uvedené plány zavedeny, řízeny a testovány v souladu s článkem 11 nařízení (EU) 2022/2554, s cílem umožnit institucím zachovat provoz v případě závažného přerušení podnikatelské činnosti a omezit ztráty vzniklé v důsledku takového přerušení.“;

v čl. 97 odst. 1 se doplňuje nové písmeno, které zní:

„d)	rizika zjištěná testováním digitální provozní odolnosti v souladu s kapitolou IV nařízení (EU) 2022/2554;“.

Článek 5

Změny směrnice 2014/59/EU

Směrnice 2014/59/EU se mění takto:

článek 10 se mění takto:

v odstavci 7 se písmeno c) nahrazuje tímto:

„c)	přehled toho, jak by bylo možné zásadní funkce a hlavní linie podnikání v nezbytné míře právně a ekonomicky oddělit od ostatních funkcí, aby byla zajištěna kontinuita a digitální provozní odolnost v případě selhání instituce;“,

v odstavci 7 se písmeno q) nahrazuje tímto:

„q)	popis operací a systémů, které jsou zásadní pro zachování nepřetržitého fungování provozních procesů instituce, včetně sítí a informačních systémů podle nařízení Evropského parlamentu a Rady (EU) 2022/2554 (*5);

(*5) Nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011 (Úř. věst. L 333, 27.12.2022, s. 1).“,"

c)	v odstavci 9 se doplňuje nový pododstavec, který zní: „EBA v souladu s článkem 10 nařízení (EU) č. 1093/2010 regulační technické normy přezkoumává a v případě potřeby je aktualizuje, aby mimo jiné zohledňovaly ustanovení kapitoly II nařízení (EU) 2022/2554.“;

příloha se mění takto:

v oddíle A se bod 16 nahrazuje tímto:

„16)	mechanismy a opatření nezbytné k zachování nepřetržitého fungování provozních postupů instituce, včetně sítí a informačních systémů, které jsou zavedeny a řízeny v souladu s nařízením (EU) 2022/2554;“,

oddíl B se mění takto:

bod 14 se nahrazuje tímto:

„14)

označení vlastníků systémů uvedených v bodě 13, s nimi souvisejících dohod o úrovni služeb a veškerého softwaru a systémů nebo licencí, včetně zmapování ve vazbě na její právnické osoby, zásadní operace a hlavní linie podnikání, jakož i označení kritických poskytovatelů služeb IKT z řad třetích stran ve smyslu čl. 3 bodu 23 nařízení (EU) 2022/2554;“,

ii)

vkládá se nový bod, který zní:

„14a)

výsledky testování digitální provozní odolnosti institucí podle nařízení (EU) 2022/2554;“,

oddíl C se mění takto:

bod 4 se nahrazuje tímto:

„4)	do jaké míry jsou dohody o poskytování služeb, včetně smluvních ujednání o využívání služeb IKT, které instituce má, robustní a plně vymahatelné v případě řešení krize instituce;“,

ii)

vkládá se nový bod, který zní:

„4a)	digitální provozní odolnost sítě a informačních systémů, které podporují zásadní funkce a hlavní linie podnikání instituce, přičemž se zohlední hlášení o závažných incidentech souvisejících s IKT a výsledky testování digitální provozní odolnosti podle nařízení (EU) 2022/2554“

Článek 6

Změna směrnice 2014/65/EU

Směrnice 2014/65/EU se mění takto:

článek 16 se mění takto:

odstavec 4 se nahrazuje tímto:

„4. Investiční podnik přijme přiměřená opatření k tomu, aby zajistil nepřerušené a řádné poskytování investičních služeb a výkon investičních činností. K tomuto účelu využívá vhodné a přiměřené systémy, včetně systémů informačních a komunikačních technologií (IKT) zavedených a řízených v souladu s článkem 7 nařízení Evropského parlamentu a Rady (EU) 2022/2554 (*6), jakož i vhodné a přiměřené zdroje a postupy.

(*6) Nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011 (Úř. věst. L 333, 27.12.2022, s. 1).“,"

v odstavci 5 se druhý a třetí pododstavec nahrazují tímto:

„Investiční podnik musí mít řádné administrativní a účetní postupy, mechanismy vnitřní kontroly a účinné postupy k posouzení rizik.

Aniž je dotčena možnost příslušných orgánů požadovat přístup ke komunikaci v souladu s touto směrnicí a nařízením (EU) č. 600/2014, musí mít investiční podnik řádný bezpečnostní mechanismus, jenž v souladu s požadavky stanovenými v nařízení (EU) 2022/2554 zajišťuje bezpečnost a ověření prostředků pro přenos informací, minimalizuje riziko poškození údajů a neoprávněného přístupu, zamezuje úniku informací a zachovává tak neustále důvěrnost údajů.“;

článek 17 se mění takto:

odstavec 1 se nahrazuje tímto:

„1. Investiční podnik, který se zabývá algoritmickým obchodováním, musí mít účinné systémy a kontroly rizika, jež jsou přiměřené činnosti, kterou provozuje, a umožňují mu tak zajistit, že jeho obchodní systémy jsou odolné a mají dostatečnou kapacitu v souladu s požadavky stanovenými v kapitole II nařízení (EU) 2022/2554, podléhají vhodným prahovým hodnotám a limitům obchodování a brání zaslání chybného pokynu nebo jinému způsobu fungování systémů, který může způsobit narušení trhu nebo k němu přispět.

Tento podnik musí mít rovněž účinné systémy a kontroly rizik, jimiž zajistí, aby obchodní systémy nemohly být využity pro žádný účel, který je v rozporu s nařízením (EU) č. 596/2014 nebo pravidly obchodního systému, s nímž je podnik propojen.

Investiční podnik musí mít účinné mechanismy zachování provozu pro případ, že dojde k selhání jeho obchodních systémů, včetně politiky a plánů zachování provozu IKT a plánů reakce a obnovy v oblasti IKT zavedených v souladu s článkem 11 nařízení (EU) 2022/2554, a musí zajistit, aby byly jeho systémy plně přezkoušeny a řádně sledovány, tak aby bylo zajištěno, že splňují obecné požadavky stanovené v tomto odstavci a veškeré zvláštní požadavky stanovené v kapitolách II a IV nařízení (EU) 2022/2554“,

v odstavci 7 se písmeno a) nahrazuje tímto:

„a)

podrobné organizační požadavky stanovené v odstavcích 1 až 6, jiné než týkající se řízení rizik v oblasti IKT, které mají být kladeny na investiční podniky, jež poskytují různé investiční služby, investiční činnosti a doplňkové služby nebo jejich kombinace, přičemž upřesnění organizačních požadavků podle odstavce 5 vymezí konkrétní požadavky týkající se přímého přístupu na trhy a sponzorovaného přístupu s cílem zajistit, aby byly kontroly uplatňované na sponzorovaný přístup alespoň rovnocenné kontrolám uplatňovaným na přímý přístup na trhy;“;

v článku 47 se odstavec 1 mění takto:

písmeno b) se nahrazuje tímto:

„b)	byl vhodně vybaven pro řízení rizik, kterým je vystaven, včetně řízení rizika v oblasti IKT v souladu s kapitolou II nařízení (EU) 2022/2554, zaváděl vhodná opatření a systémy ke zjišťování významných rizik pro svůj provoz a zavedl účinná opatření ke zmírnění těchto rizik.“,

b)	písmeno c) se zrušuje;

článek 48 se mění takto:

odstavec 1 se nahrazuje tímto:

„1. Členské státy vyžadují, aby regulovaný trh vytvořil a zachovával svoji provozní odolnost v souladu s požadavky stanovenými v kapitole II nařízení (EU) 2022/2554 s cílem zajistit, že jsou jeho obchodní systémy odolné, mají dostatečnou kapacitu na to, aby mohly zpracovat vysoké objemy pokynů a hlášení, mohou zajistit řádné obchodování za velmi napjatých tržních podmínek, jsou plně testovány, aby se zajistilo, že takové podmínky jsou splněny, a vztahují se na ně účinné mechanismy zachování provozu, včetně politiky a plánů zachování provozu IKT a plánů reakce a obnovy v oblasti IKT zavedených v souladu s článkem 11 nařízení (EU) 2022/2554, zajišťující kontinuitu jeho služeb v případě, že dojde k jakémukoli selhání jeho obchodních systémů.“,

odstavec 6 se nahrazuje tímto:

„6. Členské státy vyžadují, aby regulovaný trh zavedl účinné systémy, postupy a opatření, včetně stanovení povinnosti pro členy či účastníky provádět náležité testování algoritmů a vytvoření podmínek, které takovéto testování umožní, v souladu s požadavky stanovenými v kapitolách II a IV nařízení (EU) 2022/2554, s cílem zajistit, aby algoritmické obchodní systémy nemohly vytvořit obchodní podmínky narušující řádné fungování trhu nebo přispět k vytvoření takových podmínek, a vypořádat se s jakýmikoli obchodními podmínkami narušujícími řádné fungování trhu, které vycházejí z takovýchto algoritmických obchodních systémů, včetně systémů omezujících poměr mezi neprovedenými pokyny a obchody, které do systému může zanést člen či účastník, aby se zpomalil tok pokynů v případě, že existuje riziko, že kapacita systému byla vyčerpána, a aby se omezil a prosadil minimální krok kotace, který lze na trhu provést.“,

odstavec 12 se mění takto:

písmeno a) se nahrazuje tímto:

„a)	požadavky na zajištění toho, aby obchodní systémy regulovaných trhů byly odolné a měly dostatečnou kapacitu, kromě požadavků souvisejících s digitální provozní odolností;“,

ii)

písmeno g) se nahrazuje tímto:

„g)

požadavky na zajištění náležitého testování algoritmů, s výjimkou testování digitální provozní odolnosti, s cílem zabránit tomu, aby systémy algoritmického obchodování včetně systémů algoritmického obchodování s vysokou frekvencí vytvářely obchodní podmínky narušující řádné fungování trhu nebo k vytvoření takových podmínek přispívaly.“

Článek 7

Změny směrnice (EU) 2015/2366

Směrnice (EU) 2015/2366 se mění takto:

v článku 3 se písmeno j) nahrazuje tímto:

„j)

služby poskytované poskytovateli technických služeb, kteří podporují poskytování platebních služeb, aniž by v kterémkoli okamžiku převáděné peněžní prostředky přecházely do jejich držby, včetně zpracování a uchovávání údajů, svěřenských služeb a služeb na ochranu soukromí, ověřování údajů a totožnosti, poskytování informačních a komunikačních technologií (IKT) a komunikačních sítí a poskytování a údržby terminálů a zařízení využívaných v oblasti platebních služeb, s výjimkou služeb iniciování platby a služeb informování o účtu;“;

v článku 5 se odstavec 1 mění takto:

první pododstavec se mění takto:

písmeno e) se nahrazuje tímto:

„e)

popis mechanismů pro správu a řízení a vnitřních kontrolních mechanismů žadatele, včetně správních postupů, postupů řízení rizik a účetních postupů, jakož i mechanismů pro využívání služeb IKT v souladu s nařízením Evropského parlamentu a Rady (EU) 2022/2554 (*7), který prokazuje, že tyto mechanismy pro správu a řízení a vnitřní kontrolní mechanismy jsou přiměřené, vhodné, řádné a dostačující;

(*7) Nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011 (Úř. věst. L 333, 27.12.2022, s. 1).“,"

ii)

písmeno f) se nahrazuje tímto:

„f)

popis postupu pro sledování a řešení bezpečnostních incidentů a stížností klientů souvisejících s bezpečností a přijímání opatření v návaznosti na takové incidenty a stížnosti, včetně mechanismu pro oznamování incidentů zohledňujícího oznamovací povinnost dané platební instituce podle kapitoly III nařízení (EU) 2022/2554;“,

iii)

písmeno h) se nahrazuje tímto:

„h)

popis opatření k zachování provozu včetně jasné identifikace kritických operací, účinných politik a plánů zachování provozu IKT a plánů reakce a obnovy v oblasti IKT a postupu pro pravidelné testování a přezkoumávání přiměřenosti a účinnosti těchto plánů v souladu s nařízením Evropského parlamentu a Rady (EU) 2022/2554;“,

třetí pododstavec se nahrazuje tímto:

„V popisu bezpečnostních kontrol a opatření za účelem zmírnění rizik podle prvního pododstavce písm. j) musí být uvedeno, jakým způsobem tyto kontroly a opatření zajišťují vysokou úroveň digitální provozní odolnosti v souladu s kapitolou II nařízení (EU) 2022/2554, zejména ve vztahu k technickému zabezpečení a ochraně údajů, včetně toho, jaký software a systémy IKT žadatel nebo externí subjekty, které žadatel využívá pro své operace nebo jejich část, používají. Uvedená opatření zahrnují rovněž bezpečnostní opatření stanovená v čl. 95 odst. 1 této směrnice. Tato opatření musí zohledňovat obecné pokyny k bezpečnostním opatřením orgánu EBA podle čl. 95 odst. 3 této směrnice, jakmile budou vydány.“;

v čl. 19 odst. 6 se druhý pododstavec nahrazuje tímto:

„Outsourcing důležitých provozních funkcí včetně systémů IKT nesmí být proveden způsobem, který by podstatně zhoršil kvalitu vnitřní kontroly platební instituce a schopnost příslušných orgánů sledovat a zpětně dohledat, zda platební instituce dodržuje všechny povinnosti stanovené touto směrnicí.“;

v čl. 95 odst. 1 se doplňuje nový pododstavec, který zní:

„Prvním pododstavcem není dotčeno použití kapitoly II nařízení (EU) 2022/2554 na:

a)	poskytovatele platebních služeb uvedené v čl. 1 odst. 1 písm. a), b) a d) této směrnice,

b)	poskytovatele služeb informování o účtu uvedené v čl. 33 odst. 1 této směrnice,

c)	platební instituce osvobozené od povinností podle čl. 32 odst. 1 této směrnice a

d)	instituce elektronických peněz, na které se vztahuje výjimka podle čl. 9 odst. 1 směrnice 2009/110/ES;“;

v článku 96 se doplňuje nový odstavec, který zní:

„7. Členské státy zajistí, aby se odstavce 1 až 5 tohoto článku nevztahovaly na:

a)	poskytovatele platebních služeb uvedené v čl. 1 odst. 1 písm. a), b) a d) této směrnice,

b)	poskytovatele služeb informování o účtu uvedené v čl. 33 odst. 1 této směrnice,

c)	platební instituce osvobozené od povinností podle čl. 32 odst. 1 této směrnice a

d)	instituce elektronických peněz, na které se vztahuje výjimka podle čl. 9 odst. 1 směrnice 2009/110/ES.“;

6)	v článku 98 se odstavec 5 nahrazuje tímto: „5. EBA v souladu s článkem 10 nařízení (EU) č. 1093/2010 regulační technické normy pravidelně přezkoumává a v případě potřeby je aktualizuje s ohledem mimo jiné na inovace a technologický rozvoj a na ustanovení kapitoly II nařízení (EU) 2022/2554.“

Článek 8

Změny směrnice (EU) 2016/2341

V článku 21 směrnice (EU) 2016/2341 se odstavec 5 nahrazuje tímto:

„5. Členské státy zajistí, aby IZPP přijaly vhodná opatření k zajištění kontinuity a řádného výkonu svých činností, včetně vypracování pohotovostních plánů. K tomuto účelu IZPP používají vhodné a přiměřené systémy, zdroje a postupy a zejména v příslušných případech zavedou a řídí sítě a informační systémy v souladu s nařízením Evropského parlamentu a Rady (EU) 2022/2554 (*8).

Článek 9

Provedení ve vnitrostátním právu

1. Členské státy do 17. ledna 2025 přijmou a zveřejní právní a správní předpisy nezbytné pro dosažení souladu s touto směrnicí. Neprodleně o nich uvědomí Komisi.

Použijí tyto předpisy ode dne 17. ledna 2025.

Tyto předpisy přijaté členskými státy musí obsahovat odkaz na tuto směrnici nebo musí být takový odkaz učiněn při jejich úředním vyhlášení. Způsob odkazu si stanoví členské státy.

2. Členské státy sdělí Komisi znění hlavních ustanovení vnitrostátních právních předpisů, které přijmou v oblasti působnosti této směrnice.

Článek 10

Vstup v platnost

Tato směrnice vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

Článek 11

Určení

Tato směrnice je určena členským státům.

Ve Štrasburku dne 14. prosince 2022.

Za Evropský parlament

předsedkyně

R. METSOLA

Za Radu

předseda

M. BEK

(1) Úř. věst. C 343, 26.8.2021, s. 1.

(2) Úř. věst. C 155, 30.4.2021, s. 38.

(3) Postoj Evropského parlamentu ze dne 10. listopadu 2022 (dosud nezveřejněný v Úředním věstníku) a rozhodnutí Rady ze dne 28. listopadu 2022.

(4) Směrnice Evropského parlamentu a Rady 2009/65/ES ze dne 13. července 2009 o koordinaci právních a správních předpisů týkajících se subjektů kolektivního investování do převoditelných cenných papírů (SKIPCP) (Úř. věst. L 302, 17.11.2009, s. 32).

(5) Směrnice Evropského parlamentu a Rady 2009/138/ES ze dne 25. listopadu 2009 o přístupu k pojišťovací a zajišťovací činnosti a jejím výkonu (Solventnost II) (Úř. věst. L 335, 17.12.2009, s. 1).

(6) Směrnice Evropského parlamentu a Rady 2011/61/EU ze dne 8. června 2011 o správcích alternativních investičních fondů a o změně směrnic 2003/41/ES a 2009/65/ES a nařízení (ES) č. 1060/2009 a (EU) č. 1095/2010 (Úř. věst. L 174, 1.7.2011, s. 1).

(7) Směrnice Evropského parlamentu a Rady 2013/36/EU ze dne 26. června 2013 o přístupu k činnosti úvěrových institucí a o obezřetnostním dohledu nad úvěrovými institucemi a investičními podniky, o změně směrnice 2002/87/ES a zrušení směrnic 2006/48/ES a 2006/49/ES (Úř. věst. L 176, 27.6.2013, s. 338).

(8) Směrnice Evropského parlamentu a Rady 2014/59/EU ze dne 15. května 2014, kterou se stanoví rámec pro ozdravné postupy a řešení krize úvěrových institucí a investičních podniků a kterou se mění směrnice Rady 82/891/EHS, směrnice Evropského parlamentu a Rady 2001/24/ES, 2002/47/ES, 2004/25/ES, 2005/56/ES, 2007/36/ES, 2011/35/EU, 2012/30/EU a 2013/36/EU a nařízení Evropského parlamentu a Rady (EU) č. 1093/2010 a (EU) č. 648/2012 (Úř. věst. L 173, 12.6.2014, s. 190).

(9) Směrnice Evropského parlamentu a Rady 2014/65/EU ze dne 15. května 2014 o trzích finančních nástrojů a o změně směrnic 2002/92/ES a 2011/61/EU (Úř. věst. L 173, 12.6.2014, s. 349).

(10) Směrnice Evropského parlamentu a Rady (EU) 2015/2366 ze dne 25. listopadu 2015 o platebních službách na vnitřním trhu, kterou se mění změně směrnice 2002/65/ES, 2009/110/ES a 2013/36/EU a nařízení (EU) č. 1093/2010 a zrušuje směrnice 2007/64/ES (Úř. věst. L 337, 23.12.2015, s. 35).

(11) Směrnice Evropského parlamentu a Rady (EU) 2016/2341 ze dne 14. prosince 2016 o činnostech institucí zaměstnaneckého penzijního pojištění (IZPP) a dohledu nad nimi (Úř. věst. L 354, 23.12.2016, s. 37).

(12) Nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011 (viz strana 1 v tomto čísle Úředního věstníku).

(13) Nařízení Evropského parlamentu a Rady (EU) č. 1093/2010 ze dne 24. listopadu 2010 o zřízení Evropského orgánu dohledu (Evropského orgánu pro bankovnictví), o změně rozhodnutí č. 716/2009/ES a o zrušení rozhodnutí Komise 2009/78/ES (Úř. věst. L 331, 15.12.2010, s. 12).

(14) Úř. věst. C 369, 17.12.2011, s. 14.

Zavřít

Vyhledání konkrétního předpisu

Fulltextové vyhledávání