(EU) 2022/2554Nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011 (Text s významem pro EHP)

1.   Za účelem dosažení vysoké společné úrovně digitální provozní odolnosti stanoví toto nařízení následující jednotné požadavky týkající se bezpečnosti sítí a informačních systémů podporujících obchodní procesy finančních subjektů:

2.   Ve vztahu k finančním subjektům určeným jako základní nebo důležité subjekty podle vnitrostátních předpisů provádějících článek 3 směrnice (EU) 2022/2555 se toto nařízení pro účely článku 4 uvedené směrnice považuje za odvětvový právní akt Unie.

3.   Tímto nařízením není dotčena odpovědnost členských států, pokud jde o základní funkce státu týkající se veřejné bezpečnosti, obrany a národní bezpečnosti v souladu s právem Unie.

1.   Aniž jsou dotčeny odstavce 3 a 4, vztahuje se toto nařízení na tyto subjekty:

2.   Subjekty uvedené v odst. 1 písm. a) až t) jsou pro účely tohoto nařízení souhrnně nazývány „finančními subjekty“.

3.   Toto nařízení se nevztahuje na:

4.   Členské státy mohou z oblasti působnosti tohoto nařízení vyloučit subjekty uvedené v čl. 2 odst. 5 bodech 4 až 23 směrnice 2013/36/EU, které se nacházejí na jejich území. Pokud členský stát této možnosti využije, uvědomí o tom i o veškerých následných změnách Komisi. Komise tyto informace zveřejní na svých internetových stránkách nebo jinými snadno dostupnými prostředky.

1.   Finanční subjekty uplatňují pravidla stanovená v kapitole II v souladu se zásadou proporcionality a s přihlédnutím ke své velikosti a celkovému rizikovému profilu a povaze, rozsahu a složitosti svých služeb, činností a operací.

2.   Kromě toho je uplatňování kapitol III, IV a V oddílu I finančními subjekty přiměřené jejich velikosti a celkovému rizikovému profilu a povaze, rozsahu a složitosti jejich služeb, činností a operací, jak je konkrétně stanoveno v příslušných pravidlech uvedených kapitol.

3.   Příslušné orgány zváží uplatňování zásady proporcionality finančními subjekty při přezkumu soudržnosti rámce pro řízení rizika v oblasti IKT na základě zpráv předložených na žádost příslušných orgánů podle čl. 6 odst. 5 a čl. 16 odst. 2.

1.   Finanční subjekty mají zaveden interní řídicí a kontrolní rámec, který zajistí účinné a obezřetné řízení rizika v oblasti IKT v souladu s čl. 6 odst. 4 s cílem dosáhnout vysoké úrovně digitální provozní odolnosti.

2.   Vedoucí orgán finančního subjektu stanoví a schvaluje veškerá opatření související s rámcem pro řízení rizika v oblasti IKT podle čl. 6 odst. 1, dohlíží na jejich provádění a odpovídá za něj.

Pro účely prvního pododstavce vedoucí orgán:

3.   Finanční subjekty, jiné než mikropodniky, vytvoří funkci s cílem sledovat ujednání o využívání služeb IKT uzavřená s poskytovateli z řad třetích stran nebo pověří jednoho vedoucího pracovníka jako osobu odpovědnou za dohled nad expozicí souvisejícím rizikům a příslušnou dokumentací.

4.   Členové vedoucího orgánu finančního subjektu aktivně usilují o dostatečné a aktuální znalosti a dovednosti k pochopení a hodnocení rizika v oblasti IKT a jeho dopadů na fungování finančního subjektu, mimo jiné pravidelným absolvováním specifického školení úměrného riziku v oblasti IKT, jež je předmětem řízení.

1.   Finanční subjekty mají spolehlivý, ucelený a dobře zdokumentovaný rámec pro řízení rizika v oblasti IKT jako součást svého celkového systému řízení rizika, který jim umožňuje řešit toto riziko rychle, účinně a komplexně a zajistit vysokou míru digitální provozní odolnosti.

2.   Rámec pro řízení rizika v oblasti IKT obsahuje přinejmenším strategie, politiky, postupy, protokoly a nástroje IKT, jež jsou nezbytné pro řádnou a přiměřenou ochranu všech informačních aktiv a aktiv v oblasti IKT, včetně počítačového softwaru, hardwaru, serverů a rovněž všech relevantních fyzických součástí a infrastruktur, jako jsou místnosti, datová centra a citlivé určené prostory, aby byla zajištěna vhodná ochrana všech informačních aktiv a aktiv v oblasti IKT před riziky, včetně poškození a neoprávněného přístupu nebo použití.

3.   Finanční subjekty v souladu se svým rámcem pro řízení rizika v oblasti IKT minimalizují dopad rizika v oblasti IKT zaváděním vhodných strategií, politik, postupů, protokolů a nástrojů. Poskytují úplné a aktualizované informace o riziku v oblasti IKT a o svém rámci pro řízení rizika v oblasti IKT na žádost příslušných orgánů.

4.   Finanční subjekty, jiné než mikropodniky, pověří odpovědností za řízení a kontrolu rizika v oblasti IKT kontrolní funkci a zajistí odpovídající úroveň nezávislosti této kontrolní funkce, aby nedocházelo ke střetům zájmů. Finanční subjekty zajistí náležité oddělení a nezávislost vedoucích funkcí, kontrolních funkcí a interních auditních funkcí v oblasti rizika IKT podle modelu tří linií obrany nebo interního modelu řízení a kontroly rizika.

5.   Rámec pro řízení rizika v oblasti IKT se zdokumentuje a reviduje alespoň jednou ročně nebo pravidelně v případě mikropodniků a rovněž po výskytu závažného incidentu souvisejícího s IKT a na základě pokynů dohledu nebo závěrů vyvozených na základě příslušných testů či auditů digitální provozní odolnosti. Je průběžně zdokonalován na základě zkušeností z jeho provádění a sledování. Zpráva o přezkumu rámce pro řízení rizika v oblasti IKT se na žádost předkládá příslušnému orgánu.

6.   Rámec pro řízení rizika v oblasti IKT finančních subjektů, jiných než mikropodniky, podléhá pravidelnému internímu auditu prováděnému auditory v souladu s plánem auditu finančních subjektů. Tito auditoři mají dostatečné znalosti, dovednosti a odborné znalosti, pokud jde o riziko v oblasti IKT, jakož i přiměřenou nezávislost. Četnost a zaměření auditů IKT odpovídají riziku finančního subjektu v oblasti IKT.

7.   Na základě závěrů z interního auditu zavedou finanční subjekty formální následný postup, včetně pravidel pro včasné ověření a nápravu kritických zjištění auditu IKT.

8.   Rámec pro řízení rizika v oblasti IKT zahrnuje strategii digitální provozní odolnosti, v níž se stanoví způsob jeho uplatňování. Za tímto účelem zahrnuje strategie digitální provozní odolnosti metody řešení rizika v oblasti IKT a plnění specifických cílů v oblasti IKT, a to formou:

9.   Finanční subjekty mohou v kontextu strategie digitální provozní odolnosti uvedené v odstavci 8 definovat ucelenou strategii více dodavatelů IKT, a to na úrovni skupiny nebo subjektu, v níž budou uvedeny klíčové závislosti na poskytovatelích služeb IKT z řad třetích stran a vysvětleny důvody kombinovaného využívání poskytovatelů služeb IKT z řad třetích stran.

10.   Finanční subjekty mohou v souladu s unijními a vnitrostátními odvětvovými právními předpisy externě zadat úkoly ověřování souladu s požadavky na řízení rizika v oblasti IKT podnikům uvnitř skupiny nebo externím podnikům. V případě takového externího zadání nese za ověřování souladu s požadavky na řízení rizika v oblasti IKT i nadále plnou odpovědnost finanční subjekt.

1.   Jako součást rámce pro řízení rizika v oblasti IKT uvedeného v čl. 6 odst. 1 finanční subjekty identifikují, klasifikují a náležitě zdokumentují veškeré obchodní funkce, úlohy a povinnosti podporované IKT, informační aktiva a aktiva v oblasti IKT podporující tyto funkce a jejich úlohy a závislosti ve vztahu k rizikům v oblasti IKT. Finanční subjekty podle potřeby a alespoň jednou ročně přezkoumají přiměřenost této klasifikace a veškeré příslušné dokumentace.

2.   Finanční subjekty nepřetržitě identifikují všechny zdroje rizika v oblasti IKT, zejména rizika vzájemné expozice s jinými finančními subjekty, a vyhodnocují kybernetické hrozby a zranitelnosti IKT relevantní pro jejich obchodní funkce podporované IKT, informační aktiva a aktiva v oblasti IKT. Finanční subjekty pravidelně, přinejmenším však jednou ročně, revidují scénáře rizik, které jsou pro ně relevantní.

3.   Finanční subjekty, jiné než mikropodniky, vyhodnocují rizika po každé velké změně v infrastruktuře sítě a informačního systému a v procesech nebo postupech ovlivňujících jejich podnikové funkce podporované IKT, informační aktiva či aktiva v oblasti IKT.

4.   Finanční subjekty identifikují všechna informační aktiva a aktiva v oblasti IKT, včetně těch na vzdálených pracovištích, síťové zdroje a hardwarové vybavení a evidují ta, která jsou považovaná za kritická. Evidují konfiguraci informačních aktiv a aktiv v oblasti IKT a propojení a vzájemné závislosti různých informačních aktiv a aktiv v oblasti IKT.

5.   Finanční subjekty identifikují a dokumentují veškeré procesy závislé na poskytovatelích služeb IKT z řad třetích stran a identifikují vzájemná propojení s poskytovateli služeb IKT z řad třetích stran, kteří poskytují služby podporující zásadní nebo důležité funkce.

6.   Pro účely odstavců 1, 4 a 5 vedou finanční subjekty příslušné soupisy a pravidelně je aktualizují pokaždé, když dojde k jakékoli velké změně podle odstavce 3.

7.   Finanční subjekty jiné než mikropodniky pravidelně, přinejmenším však jednou ročně, provádějí zvláštní posouzení rizika v oblasti IKT u všech původních systémů IKT, a to vždy před propojením a po propojení technologií, aplikací nebo systémů.

1.   Pro účely odpovídající ochrany systémů IKT a s ohledem na organizaci opatření reakce finanční subjekty nepřetržitě sledují a kontrolují bezpečnost a fungování systémů a nástrojů IKT a minimalizují dopad rizika v oblasti IKT na systémy IKT prostřednictvím zavedení vhodných nástrojů, politik a postupů v oblasti bezpečnosti IKT.

2.   Finanční subjekty navrhují, opatřují a uplatňují politiky, postupy, protokoly a nástroje v oblasti bezpečnosti IKT, jejichž účelem je zajistit odolnost, kontinuitu provozu a dostupnost systémů IKT, zejména těch, které podporují zásadní nebo důležité funkce, a udržet vysoké standardy dostupnosti, hodnověrnosti, integrity a důvěrnosti údajů během jejich uchovávání, používání i přenosu.

3.   K dosažení cílů uvedených v odstavci 2 využívají finanční subjekty řešení a procesy IKT, které jsou vhodné v souladu s článkem 4. Tato řešení a procesy IKT:

4.   Jako součást rámce pro řízení rizika v oblasti IKT uvedeného v čl. 6 odst. 1 finanční subjekty:

Pro účely prvního pododstavce písm. b) finanční subjekty navrhnou infrastrukturu připojení k síti umožňující jeho okamžité přerušení nebo segmentaci s cílem minimalizovat šíření krize a zabránit jejímu vzniku, zejména u vzájemně propojených finančních procesů.

Pro účely prvního pododstavce písm. e) jsou postupy řízení změn v oblasti IKT schvalovány příslušnými liniemi vedení a platí pro ně specifické protokoly.

1.   Finanční subjekty mají zavedeny mechanismy včasné detekce neobvyklých aktivit podle článku 17, včetně problémů s fungováním sítě IKT a incidentů souvisejících s IKT, a mechanismy identifikace potenciálních významných kritických míst.

Všechny detekční mechanismy uvedené v prvním pododstavci se pravidelně testují v souladu s článkem 25.

2.   Detekční mechanismy uvedené v odstavci 1 umožňují vícestupňovou kontrolu, stanoví prahové hodnoty a kritéria výstrah pro spuštění a zahájení postupů reakce na incidenty související s IKT, mimo jiné automatické výstražné mechanismy pro příslušné pracovníky odpovědné za reakce na incidenty související s IKT.

3.   Finanční subjekty věnují dostatečné zdroje a schopnosti na sledování aktivity uživatelů a výskytu anomálií IKT a incidentů souvisejících s IKT, zejména kybernetických útoků.

4.   Poskytovatelé služeb hlášení údajů kromě toho zavedou systémy umožňující účinně kontrolovat úplnost obchodních zpráv, zjišťovat chybějící údaje a zjevné chyby a požadovat nové zaslání těchto zpráv.

1.   Jako součást rámce pro řízení rizika v oblasti IKT uvedeného v čl. 6 odst. 1 a na základě požadavků na identifikaci uvedených v článku 8 finanční subjekty zavedou ucelenou politiku zachování provozu IKT, která může být přijata jako specifická politika tvořící nedílnou součást celkové politiky zachování provozu finančního subjektu.

2.   Finanční subjekty uplatňují politiku zachování provozu IKT prostřednictvím specializovaných, vhodných a zdokumentovaných úprav, plánů, postupů a mechanismů zaměřených na:

3.   Jako součást rámce pro řízení rizika v oblasti IKT uvedeného v čl. 6 odst. 1 finanční subjekty uplatňují související plány reakce a obnovy v oblasti IKT, které u finančních subjektů, jiných než mikropodniky, podléhají nezávislému internímu auditu.

4.   Finanční subjekty zavedou, udržují a pravidelně testují odpovídající plány zachování provozu IKT, zejména s ohledem na zásadní nebo důležité funkce zajišťované externě nebo nasmlouvané prostřednictvím ujednání s poskytovateli služeb IKT z řad třetích stran.

5.   V rámci celkové politiky zachování provozu provádějí finanční subjekty analýzu dopadu na činnost, pokud jde o jejich expozice vůči závažným narušením činnosti. V rámci analýzy dopadu na činnost finanční subjekty posoudí potenciální dopad závažných narušení činnosti pomocí kvantitativních a kvalitativních kritérií, případně s využitím interních a externích dat a analýzy scénářů. Analýza dopadu na činnost zohlední, jak zásadní jsou určené a zmapované obchodní funkce, podpůrné procesy, závislosti na třetích stranách a informační aktiva a jejich vzájemné závislosti. Finanční subjekty zajistí, aby aktiva v oblasti IKT a služby IKT byly navrhovány a využívány v plném souladu s analýzou dopadu na činnost, zejména s ohledem na odpovídající zajištění redundance všech zásadních složek.

6.   V rámci svého komplexního řízení rizika v oblasti IKT finanční subjekty:

Pro účely prvního pododstavce písm. a) finanční subjekty, jiné než mikropodniky, zahrnou do plánů testování scénáře kybernetických útoků a přechodu z primární infrastruktury IKT na rezervní kapacitu, záložní a rezervní zařízení nutná ke splnění povinností stanovených v článku 12.

Finanční subjekty pravidelně přezkoumávají svoji politiku zachování provozu IKT a plány reakce a obnovy v oblasti IKT, přičemž zohlední výsledky testů provedených v souladu s prvním pododstavcem a doporučeními vyplývajícími z auditních kontrol nebo přezkumů provedených orgány dohledu.

7.   Finanční subjekty, jiné než mikropodniky, zavedou funkci řízení krizí, jež v případě aktivace jejich plánů zachování provozu IKT nebo plánů reakce a obnovy v oblasti IKT stanoví mimo jiné jednoznačné postupy pro řízení interní a externí krizové komunikace podle článku 14.

8.   Finanční subjekty vedou snadno dostupné záznamy činnosti před výpadky a během výpadků po aktivaci plánů zachování provozu IKT a plánů reakce a obnovy v oblasti IKT.

9.   Centrální depozitáři cenných papírů poskytnou příslušným orgánům kopie výsledků testů zachování provozu IKT nebo podobných cvičení.

10.   Finanční subjekty, jiné než mikropodniky, oznamují příslušným orgánům na jejich žádost odhad souhrnných ročních nákladů a ztrát způsobených závažnými incidenty souvisejícími s IKT.

11.   V souladu s článkem 16 nařízení (EU) č. 1093/2010, (EU) č. 1094/2010 a (EU) č. 1095/2010 vypracují evropské orgány dohledu prostřednictvím společného výboru do 17. července 2024 společné pokyny pro odhad souhrnných ročních nákladů a ztrát uvedených v odstavci 10.

1.   Pro účely zajištění obnovy systémů IKT a dat s minimální odstávkou, omezenými výpadky fungování a ztrátami finanční subjekty jako součást svého rámce pro řízení rizika v oblasti IKT vypracují a zdokumentují:

2.   Finanční subjekty zřídí záložní systémy, které lze aktivovat v souladu s politikami a postupy zálohování, jakož i postupy a metodami obnovy provozu. Aktivace záložních systémů nesmí ohrozit bezpečnost sítí a informačních systémů ani dostupnost, hodnověrnost, integritu nebo důvěrnost údajů. Pravidelně se provádí testování postupů zálohování a postupů a metod obnovy.

3.   Při obnově zálohových dat pomocí vlastních systémů finanční subjekty použijí systémy IKT, které jsou fyzicky a logicky odděleny od zdrojového systému IKT. Systémy IKT jsou bezpečně chráněny před jakýmkoli neoprávněným přístupem nebo poškozením IKT a podle potřeby umožňují včasnou obnovu služeb s využitím datových a systémových záloh.

V případě ústředních protistran plány obnovy umožňují obnovit všechny obchody k okamžiku přerušení, aby ústřední protistrana mohla nadále s jistotou fungovat a dokončit vypořádání ve stanovený den.

Poskytovatelé služeb hlášení údajů navíc udržují přiměřené zdroje a mají k dispozici záložní zařízení a zařízení k obnově provozu, aby mohly kdykoli nabízet a udržovat své služby.

4.   Finanční subjekty, jiné než mikropodniky, udržují rezervní kapacity IKT vybavené náležitými zdroji, schopnostmi a funkcemi pro zajištění potřeb jejich činnosti. Mikropodniky posuzují potřebu zachovat tyto nadbytečné kapacity IKT na základě svého rizikového profilu.

5.   Centrální depozitáři cenných papírů provozují alespoň jedno sekundární místo zpracování vybavené náležitými zdroji, schopnostmi, funkcemi a personálem pro zajištění potřeb jejich činnosti.

Sekundární místo zpracování:

6.   Při stanovení cílové doby a okamžiku obnovy provozu jednotlivých funkcí finanční subjekty zohlední, zda se jedná o zásadní nebo důležitou funkci, a potenciální celkový dopad na tržní efektivitu. Tyto časové cíle zajistí dodržení sjednaných úrovní služeb při extrémních scénářích.

7.   Při obnově provozu po incidentu souvisejícím s IKT finanční subjekty provádějí nezbytné kontroly, včetně veškerých násobných kontrol a sesouhlasení dat s cílem zajistit nejvyšší možnou úroveň integrity dat. Tyto kontroly se provádějí rovněž při obnově dat od externích zainteresovaných stran, aby byla zajištěna konzistentnost všech dat v obou systémech.

1.   Finanční subjekty disponují prostředky a pracovníky, aby mohly shromažďovat informace o zranitelnostech a kybernetických hrozbách a o incidentech souvisejících s IKT, zejména kybernetických útocích, a analyzovat jejich pravděpodobný dopad na svoji digitální provozní odolnost.

2.   Finanční subjekty zavedou přezkumy po incidentech souvisejících s IKT poté, co závažný incident související s IKT naruší jejich hlavní činnosti, přičemž analyzují příčiny narušení a určí potřebná zlepšení operací IKT nebo v rámci politiky zachování provozu IKT uvedené v článku 11.

Finanční subjekty, jiné než mikropodniky, na žádost sdělí příslušným orgánům změny, které byly provedeny v návaznosti na přezkumy incidentů souvisejících s IKT uvedené v prvním pododstavci.

Přezkumy po incidentech souvisejících s IKT podle prvního pododstavce stanoví, zda byly dodrženy zavedené postupy a zda byla přijatá opatření účinná, a to i ve vztahu k:

3.   Poučení vyvozená z testování digitální provozní odolnosti provedeného v souladu s články 26 a 27 a ze skutečných incidentů souvisejících s IKT, zejména kybernetických útoků, a dále z problémů v souvislosti s aktivací plánů zachování provozu IKT a plánů reakce a obnovy v oblasti IKT a relevantních informací vyměňovaných s protistranami a vyhodnocovaných během přezkumů orgány dohledu se náležitě a průběžně začleňují do postupu posuzování rizika v oblasti IKT. Tato zjištění tvoří základ pro odpovídající přezkumy příslušných složek rámce pro řízení rizik v oblasti IKT uvedeného v čl. 6 odst. 1.

4.   Finanční subjekty sledují účinnost uplatňování své strategie digitální provozní odolnosti podle čl. 6 odst. 8. Evidují vývoj rizika v oblasti IKT v čase, analyzují četnost, druhy, rozsah a vývoj incidentů souvisejících s IKT, zejména kybernetických útoků a jejich vzorců, aby bylo možné pochopit míru expozice vůči riziku v oblasti IKT, zejména ve vztahu k zásadním nebo důležitým funkcím, a zvýšit kybernetickou vyspělost a připravenost finančního subjektu.

5.   Vedoucí pracovníci odpovídající za IKT minimálně jednou ročně hlásí vedoucímu orgánu zjištění podle odstavce 3 a předloží doporučení.

6.   Finanční subjekty vypracují jako povinné moduly svých osnov pro školení zaměstnanců programy zvyšování povědomí o bezpečnosti v oblasti IKT a školení o digitální provozní odolnosti. Tyto programy a školení se vztahují na všechny zaměstnance a na vedoucí pracovníky a musí mít úroveň složitosti úměrnou výkonu jejich funkcí. Finanční subjekty případně zahrnou do svých příslušných školicích programů rovněž poskytovatele služeb IKT z řad třetích stran v souladu s čl. 30 odst. 2 písm. i).

7.   Finanční subjekty, jiné než mikropodniky, průběžně sledují relevantní technologický vývoj, mimo jiné s cílem pochopit možný dopad zavádění nových technologií na požadavky na bezpečnost IKT a digitální provozní odolnost. Drží krok s nejnovějšími postupy řízení rizika v oblasti IKT, aby účinně bojovaly se stávajícími či novými formami kybernetických útoků.

1.   Jako součást rámce pro řízení rizika v oblasti IKT uvedeného v čl. 6 odst. 1 finanční subjekty zavedou krizové komunikační plány umožňující odpovědné informování klientů, protistran a případně veřejnosti alespoň o závažných incidentech souvisejících s IKT nebo zranitelnostech.

2.   Jako součást rámce pro řízení rizika v oblasti IKT finanční subjekty uplatňují komunikační strategie pro interní zaměstnance a externí zainteresované strany. Komunikační politiky pro zaměstnance zohledňují nutnost rozlišovat mezi pracovníky podílejícími se na řízení rizika v oblasti IKT, zejména pracovníky odpovědnými za reakci a obnovu, a pracovníky, které je nutné informovat.

3.   Uplatňováním komunikační strategie pro incidenty související s IKT a plněním funkce styku s veřejností a médii pro tyto účely je pověřena alespoň jedna osoba v rámci finančního subjektu.

1.   Články 5 až 15 tohoto nařízení se nepoužijí na malé a nepropojené investiční podniky, platební instituce vyňaté podle směrnice (EU) 2015/2366, instituce vyňaté podle směrnice 2013/36/EU, u nichž se členské státy rozhodly neuplatnit možnost uvedenou v čl. 2 odst. 4 tohoto nařízení, instituce elektronických peněz vyňaté podle směrnice 2009/110/ES a malé instituce zaměstnaneckého penzijního pojištění.

Aniž je dotčen první pododstavec, subjekty uvedené v prvním pododstavci:

2.   Rámec pro řízení rizika v oblasti IKT uvedený v odst. 1 druhém pododstavci písm. a) je zdokumentován a přezkoumáván pravidelně a při výskytu závažných incidentů souvisejících s IKT v souladu s pokyny pro dohled. Je průběžně zdokonalován na základě zkušeností z jeho provádění a sledování. Zpráva o přezkumu rámce pro řízení rizika v oblasti IKT se na žádost poskytne příslušnému orgánu.

3.   Evropské orgány dohledu prostřednictvím společného výboru a za konzultace s ENISA vypracují společné návrhy regulačních technických norem s cílem:

Při vypracovávání těchto návrhů regulačních technických norem evropské orgány dohledu zohlední velikost a celkový rizikový profil finančního subjektu a povahu, rozsah a složitost jeho služeb, činností a operací.

Evropské orgány dohledu předloží tyto návrhy regulačních technických norem Komisi do 17. ledna 2024.

Na Komisi je přenesena pravomoc doplnit toto nařízení přijetím regulačních technických norem uvedených v prvním pododstavci v souladu s články 10 až 14 nařízení (EU) č. 1093/2010, (EU) č. 1094/2010 a (EU) č. 1095/2010.

1.   Finanční subjekty vymezí, zavedou a uplatňují proces řízení incidentů souvisejících s IKT za účelem detekce, řízení a hlášení incidentů souvisejících s IKT.

2.   Finanční subjekty zaznamenávají veškeré incidenty související s IKT a závažné kybernetické hrozby. Finanční subjekty zavedou vhodné postupy a procesy zajišťující konzistentní a integrované sledování, řešení a následná opatření pro incidenty související s IKT, aby byla zajištěna identifikace, zdokumentování a řešení jejich hlavních příčin, a zabránilo se tak výskytu těchto incidentů.

3.   Proces řízení incidentů souvisejících s IKT uvedený v odstavci 1:

1.   Finanční subjekty klasifikují incidenty související s IKT a stanoví jejich dopad podle těchto kritérií:

2.   Finanční subjekty klasifikují kybernetické hrozby jako závažné na základě toho, jak zásadní jsou ohrožené služby, včetně transakcí a operací finančních subjektů, jaký je počet nebo význam klientů nebo finančních protistran a územní rozsah ohrožených oblastí.

3.   Evropské orgány dohledu prostřednictvím společného výboru a za konzultace s ECB a ENISA vypracují společné návrhy regulačních technických norem, v nichž jsou dále upřesněna:

4.   Evropské orgány dohledu při vypracování společných návrhů regulačních technických norem podle odstavce 3 tohoto článku přihlédnou ke kritériím vymezeným v čl. 4 odst. 2, jakož i k mezinárodním normám, pokynům a specifikacím vypracovaným a zveřejněným ENISA, včetně případných specifikací pro jiná hospodářská odvětví. Pro účely uplatňování kritérií stanovených v čl. 4 odst. 2 evropské orgány dohledu řádně zváží, zda je třeba, aby mikropodniky a malé a střední podniky mobilizovaly dostatečné zdroje a schopnosti k zajištění rychlého řešení incidentů souvisejících s IKT.

Evropské orgány dohledu předloží tyto společné návrhy regulačních technických norem Komisi do 17. ledna 2024.

Na Komisi je přenesena pravomoc doplnit toto nařízení přijetím regulačních technických norem uvedených v odstavci 3 v souladu s články 10 až 14 nařízení (EU) č. 1093/2010, (EU) č. 1094/2010 a (EU) č. 1095/2010.

1.   Finanční subjekty hlásí závažné incidenty související s IKT relevantním příslušným orgánům uvedeným v článku 46 v souladu s odstavcem 4 tohoto článku.

Pokud finanční subjekt podléhá dohledu více než jednoho vnitrostátního příslušného orgánu uvedeného v článku 46, určí členské státy jediný příslušný orgán jako relevantní příslušný orgán odpovědný za výkon funkcí a povinností stanovených v tomto článku.

Úvěrové instituce klasifikované v souladu s čl. 6 odst. 4 nařízení (EU) č. 1024/2013 jako významné hlásí závažné incidenty související s IKT relevantnímu vnitrostátnímu příslušnému orgánu určenému v souladu s článkem 4 směrnice 2013/36/EU, který danou zprávu neprodleně předává ECB.

Pro účely prvního pododstavce finanční subjekty vypracují pomocí vzorů uvedených v článku 20 na základě shromáždění a analýzy všech relevantních informací prvotní oznámení a zprávy uvedené v odstavci 4 tohoto článku a předloží je příslušnému orgánu. V případě, že z technických důvodů není možné předložit prvotní oznámení za použití uvedeného vzoru, předají finanční subjekty oznámení příslušnému orgánu alternativními prostředky.

Prvotní oznámení a zprávy uvedené v odstavci 4 obsahují veškeré informace nezbytné k tomu, aby příslušný orgán stanovil významnost závažného incidentu souvisejícího s IKT a posoudil možné přeshraniční dopady.

Aniž je dotčeno hlášení finančního subjektu relevantnímu příslušnému orgánu podle prvního pododstavce, členské státy mohou dále určit, že některé nebo všechny finanční subjekty podají prvotní oznámení a všechny zprávy uvedené v odstavci 4 tohoto článku za použití vzorů uvedených v článku 20 příslušným orgánům nebo týmům pro reakce na počítačové bezpečnostní incidenty (dále jen „týmy CSIRT“) určeným nebo zřízeným v souladu se směrnicí (EU) 2022/2555.

2.   Finanční subjekty mohou relevantnímu příslušnému orgánu dobrovolně oznamovat významné kybernetické hrozby, pokud se domnívají, že hrozba je relevantní pro finanční systém, uživatele služeb nebo klienty. Relevantní příslušný orgán může tyto informace poskytnout jiným relevantním orgánům uvedeným v odstavci 6.

Úvěrové instituce klasifikované v souladu s čl. 6 odst. 4 nařízení (EU) č. 1024/2013 jako významné mohou dobrovolně oznamovat významné kybernetické hrozby relevantnímu vnitrostátnímu příslušnému orgánu určenému v souladu s článkem 4 směrnice 2013/36/EU, který dané oznámení neprodleně předává ECB.

Členské státy mohou stanovit, že finanční subjekty mohou dobrovolné oznámení podle prvního pododstavce rovněž předat týmům CSIRT určeným nebo zřízeným v souladu se směrnicí (EU) 2022/2555.

3.   Dojde-li k závažnému incidentu souvisejícímu s IKT a má-li tento incident dopad na finanční zájmy klientů, finanční subjekty bez zbytečného prodlení, jakmile se o incidentu dozvědí, informují své klienty o tomto závažném incidentu souvisejícím s IKT a o veškerých opatřeních přijatých ke zmírnění nepříznivých dopadů tohoto incidentu.

V případě významné kybernetické hrozby informují finanční subjekty případně své klienty, kteří by mohli být hrozbou dotčeni, o vhodných ochranných opatřeních, která mohou tito klienti případně přijmout.

4.   Finanční subjekty ve lhůtách stanovených v souladu s čl. 20 prvním pododstavcem písm. a) bodem ii) předloží relevantnímu příslušnému orgánu:

5.   Finanční subjekty mohou v souladu s unijními a vnitrostátními odvětvovými právními předpisy externě zadat zajištění povinného hlášení podle tohoto článku poskytovateli služeb z řad třetích stran. V případě takového externího zadání nese za plnění požadavku hlášení incidentů i nadále plnou odpovědnost finanční subjekt.

6.   Po obdržení prvotního oznámení a každé zprávy podle odstavce 4 poskytne příslušný orgán včas podrobnosti o závažném incidentu souvisejícím s IKT těmto příjemcům, a to na základě jejich příslušných pravomocí:

7.   Po obdržení informací v souladu s odstavcem 6 EBA, ESMA nebo EIOPA a ECB za konzultace s ENISA a ve spolupráci s relevantním příslušným orgánem posoudí, zda je závažný incident související s IKT relevantní pro příslušné orgány v jiných členských státech. Na základě tohoto posouzení EBA, ESMA nebo EIOPA co nejdříve zašle odpovídající oznámení relevantním příslušným orgánům v jiných členských státech. ECB informuje o veškerých záležitostech relevantních pro platební systém členy Evropského systému centrálních bank. Na základě oznámení přijmou příslušné orgány podle potřeby veškerá opatření nezbytná k ochraně bezprostřední stability finančního systému.

8.   Oznámením, které má učinit ESMA podle odstavce 7 tohoto článku, není dotčena odpovědnost příslušného orgánu za urychlené předání podrobností o závažném incidentu souvisejícím s IKT relevantnímu orgánu v hostitelském členském státě, pokud centrální depozitář cenných papírů vykonává v hostitelském členském státě významnou přeshraniční činnost, daný závažný incident související s IKT bude mít pravděpodobně závažné důsledky pro finanční trhy hostitelského členského státu a pokud existují ujednání o spolupráci mezi příslušnými orgány týkající se dohledu nad finančními subjekty.

1.   Evropské orgány dohledu prostřednictvím společného výboru a za konzultace s ECB a ENISA připraví společnou zprávu hodnotící proveditelnost další centralizace hlášení incidentů prostřednictvím vytvoření jednotného centra EU pro hlášení závažných incidentů souvisejících s IKT finančními subjekty. Ve společné zprávě se analyzují možnosti usnadnění toku hlášení incidentů souvisejících s IKT, snížení nákladů a podpory tematických analýz s cílem zlepšení sbližování dohledu.

2.   Společná zpráva uvedená v odstavci 1 obsahuje alespoň tyto prvky:

3.   Evropské orgány dohledu předloží zprávu uvedenou v odstavci 1 Evropskému parlamentu, Radě a Komisi do 17. ledna 2025.

1.   Aniž jsou dotčeny technické vstupy, poradenství nebo náprava a následná navazující činnost, které mohou v souladu s vnitrostátním právem případně poskytnout týmy CSIRT podle směrnice (EU) 2022/2555 , příslušný orgán po obdržení prvotního oznámení a každé zprávy podle čl. 19 odst. 4 potvrdí jejich přijetí a může, je-li to možné, finančnímu subjektu zavčas poskytnout náležitou a přiměřenou zpětnou vazbu nebo obecné pokyny, zejména poskytnutím veškerých relevantních anonymizovaných informací a operativních informací o podobných hrozbách, a může projednat nápravu uplatněnou na úrovni daného finančního subjektu a možnosti, jak minimalizovat a zmírnit nepříznivý dopad na finanční sektor. Aniž je dotčena zpětná vazba orgánů dohledu, finanční subjekty jsou i nadále plně odpovědné za řešení incidentů souvisejících s IKT hlášených podle čl. 19 odst. 1 a za jejich důsledky.

2.   Evropské orgány dohledu každoročně anonymizovaně a souhrnně informují prostřednictvím společného výboru o závažných incidentech souvisejících s IKT, o nichž obdržely podrobné informace od příslušných orgánů v souladu s čl. 19 odst. 6, přičemž uvedou alespoň počet závažných incidentů souvisejících s IKT, jejich povahu a dopad na provoz finančních subjektů nebo klientů, přijatá nápravná opatření a vzniklé náklady.

Evropské orgány dohledu vydávají varování a statistiky na vysoké úrovni na podporu posuzování hrozeb a zranitelností v oblasti IKT.

1.   Pro účely posuzování připravenosti na řešení incidentů souvisejících s IKT, identifikace slabých míst, vad a nedostatků v digitální provozní odolnosti a rychlého zavedení nápravných opatření finanční subjekty jiné než mikropodniky při zohlednění kritérií vymezených v čl. 4 odst. 2 vytvoří, udržují a aktualizují spolehlivý a ucelený program testování digitální provozní odolnosti jakožto nedílnou součást rámce pro řízení rizika v oblasti IKT uvedeného v článku 6.

2.   Tento program testování digitální provozní odolnosti obsahuje celou řadu hodnocení, testů, metodik, postupů a nástrojů, které se použijí v souladu s články 25 a 26.

3.   Při provádění programu testování digitální provozní odolnosti uvedeného v odstavci 1 tohoto článku finanční subjekty, jiné než mikropodniky, uplatňují přístup založený na posouzení rizik, přičemž zohlední kritéria vymezená v čl. 4 odst. 2 tím, že řádně zohlední vývoj rizika v oblasti IKT, jakákoli specifická rizika, jimž je či jimž by mohl být vystaven dotyčný finanční subjekt, význam informačních aktiv a poskytovaných služeb a rovněž jakékoli jiné faktory, které finanční subjekt považuje za vhodné.

4.   Finanční subjekty, jiné než mikropodniky, zajistí, aby testy prováděly interní či externí nezávislé subjekty. Pokud testy provádí interní subjekt, vyčlení finanční subjekty dostatečné zdroje a zajistí, aby během fáze návrhu a provádění testu nedocházelo ke střetům zájmů.

5.   Finanční subjekty, jiné než mikropodniky, vytvoří postupy a politiky pro stanovení priorit, klasifikaci a nápravu všech problémů zjištěných při provádění testů a vytvoří interní metodiky ověřování, jejichž prostřednictvím kontrolují, zda všechny zjištěné slabiny, nedostatky či vady byly plně odstraněny.

6.   Finanční subjekty, jiné než mikropodniky, zajistí, aby byly alespoň jednou ročně provedeny vhodné testy všech systémů a aplikací IKT podporujících zásadní nebo důležité funkce.

1.   Program testování digitální provozní odolnosti uvedený v článku 24 stanoví v souladu s kritérii vymezenými v čl. 4 odst. 2 provedení vhodných testů, jako jsou hodnocení a zjišťování zranitelnosti, analýzy otevřených zdrojů, posouzení bezpečnosti sítě, analýzy nedostatků, přezkumy fyzické bezpečnosti, dotazníky a antivirová softwarová řešení, v případě proveditelnosti přezkumy zdrojových kódů, testy založené na scénářích, testování kompatibility, testování výkonu, testování mezi koncovými body a penetrační testování.

2.   Centrální depozitáři cenných papírů a ústřední protistrany provádějí hodnocení zranitelnosti před každým použitím či opakovaným použitím nových nebo stávajících aplikací nebo prvků infrastruktury a služeb IKT podporujících zásadní nebo důležité funkce finančního subjektu.

3.   Mikropodniky provádějí testy uvedené v odstavci 1 tak, že kombinují přístup založený na posouzení rizik se strategickým plánováním testování IKT, přičemž náležitě zváží potřebu zachovat vyvážený přístup mezi rozsahem zdrojů a dobou, kterou je třeba věnovat testování IKT podle tohoto článku, na jedné straně a naléhavostí, druhem rizika, tím, jak zásadní jsou informační aktiva a poskytované služby, jakož i veškerými dalšími relevantními faktory, včetně schopnosti finančního subjektu podstupovat zvážená rizika na straně druhé.

1.   Finanční subjekty, jiné než subjekty uvedené v čl. 16 odst. 1 prvním pododstavci a jiné než mikropodniky, které jsou určeny v souladu s odst. 8 třetím pododstavcem tohoto článku, provádějí alespoň jednou za tři roky pokročilé testování s využitím penetračního testování na základě hrozeb. Na základě rizikového profilu finančního subjektu a s přihlédnutím k provozním okolnostem může příslušný orgán v případě potřeby požádat finanční subjekt, aby tuto četnost snížil nebo zvýšil.

2.   Každý penetrační test na základě hrozeb pokrývá některé nebo všechny zásadní nebo důležité funkce finančního subjektu a provádí se za provozu na systémech skutečně využívaných k zajištění těchto funkcí.

Finanční subjekty identifikují všechny relevantní základní systémy, procesy a technologie IKT podporující zásadní nebo důležité funkce a služby IKT, včetně těch, které podporují zásadní nebo důležité funkce a jsou dodávané externě či nasmlouvané s poskytovateli služeb IKT z řad třetích stran.

Finanční subjekty posoudí, které zásadní nebo důležité funkce je třeba zahrnout do penetračního testování na základě hrozeb. Výsledek tohoto posouzení určí přesný rozsah penetračního testování na základě hrozeb a musí být potvrzen příslušnými orgány.

3.   Pokud jsou do rozsahu penetračního testování na základě hrozeb zahrnuti poskytovatelé služeb IKT z řad třetích stran, přijme finanční subjekt nezbytná opatření a záruky k zajištění účasti těchto poskytovatelů služeb IKT z řad třetích stran na penetračním testování na základě hrozeb a po celou dobu si ponechá plnou odpovědnost za zajištění souladu s tímto nařízením.

4.   Aniž je dotčen odst. 2 první a druhý pododstavec, pokud lze důvodně očekávat, že účast poskytovatelů služeb IKT z řad třetích stran na penetračním testování na základě hrozeb, jak je uvedena v odstavci 3, bude mít nepříznivý dopad na kvalitu nebo bezpečnost služeb, které poskytovatel služeb IKT z řad třetích stran poskytuje zákazníkům, kteří jsou subjekty mimo oblast působnosti tohoto nařízení, nebo na důvěrnost údajů souvisejících s takovými službami, finanční subjekt a poskytovatel služeb IKT z řad třetích stran se mohou písemně dohodnout, že poskytovatel služeb IKT z řad třetích stran uzavře smluvní ujednání přímo s externím subjektem provádějícím testování, aby bylo pod vedením jednoho vybraného finančního subjektu provedeno společné penetrační testování na základě hrozeb zahrnující několik finančních subjektů (dále jen „společné testování“), pro něž poskytovatel služeb IKT z řad třetích stran poskytuje služby IKT.

Toto společné testování se vztahuje na příslušný rozsah služeb IKT, které podporují zásadní nebo důležité funkce a jsou zadány příslušnému poskytovateli služeb IKT z řad třetích stran finančními subjekty. Společné testování se považuje za penetrační testování na základě hrozeb, které provádějí finanční subjekty účastnící se společného testování.

Počet finančních subjektů účastnících se společného testování musí být náležitě kalibrován s ohledem na složitost a druhy dotčených služeb.

5.   Finanční subjekty ve spolupráci s poskytovateli služeb IKT z řad třetích stran a dalšími zúčastněnými stranami, včetně subjektů provádějících testování, avšak s výjimkou příslušných orgánů, použijí účinné kontroly v rámci řízení rizik, aby zmírnily rizika jakéhokoliv případného dopadu na data, poškození aktiv a narušení zásadních nebo důležitých funkcí, služeb nebo operací u vlastního finančního subjektu, jeho protistran nebo celého finančního sektoru.

6.   Na konci testování a po schválení zpráv a plánů nápravných opatření finanční subjekt a v příslušných případech externí subjekt provádějící testování předloží orgánu určenému v souladu s odstavcem 9 nebo 10 souhrn příslušných zjištění, plánů nápravných opatření a dokumentaci prokazující, že penetrační testování na základě hrozeb bylo provedeno v souladu s požadavky.

7.   Orgány vydají finančním subjektům osvědčení o provedeném testu v souladu s požadavky, což doloží dokumentací, aby mohly příslušné orgány tyto penetrační testy na základě hrozeb vzájemně uznávat. Finanční subjekt o osvědčení, souhrnu příslušných zjištění a plánech nápravných opatření informuje relevantní příslušný orgán.

Aniž je dotčeno toto osvědčení, finanční subjekty jsou vždy plně odpovědné za dopady testů uvedených v odstavci 4.

8.   Finanční subjekty najímají subjekty provádějící testování pro účely provádění penetračního testování na základě hrozeb v souladu s článkem 27. Pokud finanční subjekty používají pro účely provádění penetračního testování na základě hrozeb interní subjekty, musí provedení vždy jednoho ze tří testů zadat externímu subjektu provádějícímu testování.

Úvěrové instituce, které jsou klasifikovány jako významné v souladu s čl. 6 odst. 4 nařízení (EU) č. 1024/2013, používají pouze externí subjekty provádějící testování v souladu s čl. 27 odst. 1 písm. a) až e).

Příslušné orgány určí finanční subjekty, které jsou povinny provádět penetrační testování na základě hrozeb, s přihlédnutím ke kritériím stanoveným v čl. 4 odst. 2, a to na základě posouzení:

9.   Členské státy mohou určit jediný veřejný orgán ve finančním sektoru, který bude na vnitrostátní úrovni odpovědný za záležitosti související s penetračním testováním na základě hrozeb ve finančním sektoru, a svěří mu za tímto účelem veškeré pravomoci a úkoly.

10.   Není-li určen veřejný orgán podle odstavce 9 tohoto článku, a aniž je dotčena pravomoc určit finanční subjekty, které mají provádět penetrační testování na základě hrozeb, může příslušný orgán pověřit výkonem některých nebo všech úkolů uvedených v tomto článku a v článku 27 jiný vnitrostátní orgán ve finančním sektoru.

11.   Evropské orgány dohledu po dohodě s ECB vypracují v souladu s rámcem TIBER–EU společné návrhy regulačních technických norem, který dále upřesní:

Při vypracovávání těchto návrhů regulačních technických norem evropské orgány dohledu náležitě zohlední veškeré specifické aspekty vyplývající z odlišné povahy činností v různých odvětvích finančních služeb.

Evropské orgány dohledu předloží tyto návrhy regulačních technických norem Komisi do 17. července 2024.

Na Komisi je přenesena pravomoc doplnit toto nařízení přijetím regulačních technických norem uvedených v prvním pododstavci v souladu s články 10 až 14 nařízení (EU) č. 1093/2010, (EU) č. 1094/2010 a (EU) č. 1095/2010.

1.   Finanční subjekty využijí k penetračnímu testování na základě hrozeb pouze subjekty provádějící testování, které:

2.   Finanční subjekty využívající interní subjekty provádějící testování zajistí, aby kromě požadavků uvedených v odstavci 1 byly splněny i tyto podmínky:

3.   Finanční subjekty zajistí, aby ve smlouvách uzavřených s externími subjekty provádějícími testování byla požadována řádná správa výsledků penetračního testování na základě hrozeb a aby jakékoli související zpracování údajů, včetně jakéhokoli vypracování, uložení, agregace, návrhu, hlášení, sdělení nebo zničení neohrozilo finanční subjekt.

1.   Finanční subjekty řídí riziko v oblasti IKT spojené s třetími stranami jako nedílnou součást rizika v oblasti IKT ve svém rámci pro řízení rizika v oblasti IKT uvedeném v čl. 6 odst. 1 podle těchto zásad:

2.   Jakožto součást svého rámce pro řízení rizika v oblasti IKT finanční subjekty, jiné než subjekty uvedené v čl. 16 odst. 1 prvním pododstavci a jiné než mikropodniky, přijmou a pravidelně přezkoumávají strategii pro riziko v oblasti IKT spojené s třetími stranami, přičemž případně zohlední strategii více dodavatelů uvedenou v čl. 6 odst. 9. Strategie pro riziko v oblasti IKT spojené s třetími stranami obsahuje zásady využívání služeb IKT podporujících zásadní nebo důležité funkce poskytovaných poskytovateli služeb IKT z řad třetích stran a uplatňuje se na individuálním a případně subkonsolidovaném či konsolidovaném základě. Vedoucí orgán na základě posouzení celkového rizikového profilu finančního subjektu a rozsahu a složitosti obchodních služeb pravidelně přezkoumává rizika identifikovaná v souvislosti se smluvními ujednáními o využívání služeb IKT podporujících zásadní nebo důležité funkce.

3.   Jakožto součást svého rámce pro řízení rizika v oblasti IKT finanční subjekty na úrovni subjektu a na subkonsolidované a konsolidované úrovni vedou a aktualizují registr informací s ohledem na všechna smluvní ujednání o využívání služeb IKT poskytovaných poskytovateli služeb IKT z řad třetích stran.

Smluvní ujednání uvedená v prvním pododstavci se řádně zdokumentují, přičemž se rozlišuje mezi těmi, která se týkají služeb IKT podporujících zásadní nebo důležité funkce a těmi, která se jich netýkají.

Finanční subjekty alespoň jednou ročně nahlásí příslušným orgánům počet nových ujednání o využívání služeb IKT, kategorie poskytovatelů služeb IKT z řad třetích stran, druh smluvních ujednání a poskytované služby a funkce IKT.

Finanční subjekt zpřístupní příslušnému orgánu na jeho žádost úplný registr informací, nebo jeho konkrétní části, dle příslušného požadavku, a rovněž jakékoli informace považované za nezbytné k účinnému dohledu nad finančním subjektem.

Finanční subjekty včas informují příslušný orgán o jakémkoli plánovaném smluvním ujednání o využívání služeb IKT podporujících zásadní nebo důležité funkce, jakož i v případě, že se některá funkce stane zásadní nebo důležitou.

4.   Finanční subjekty před uzavřením smluvního ujednání o využívání služeb IKT:

5.   Finanční subjekty smí uzavírat smluvní ujednání pouze s poskytovateli služeb IKT z řad třetích stran, kteří splňují příslušné normy v oblasti bezpečnosti informací. Pokud se tato smluvní ujednání týkají zásadních nebo důležitých funkcí, finanční subjekty před uzavřením ujednání náležitě zváží, zda poskytovatelé služeb IKT z řad třetích stran uplatňují nejaktuálnější a nejkvalitnější normy bezpečnosti informací.

6.   Finanční subjekty při výkonu práv na přístup, kontrolu a audit u poskytovatele služeb IKT z řad třetích stran předem na základě přístupu založeného na posouzení rizik stanoví četnost auditů a kontrol, jakož i oblasti, které budou auditovány s využitím obecně uznávaných auditních standardů a v souladu se všemi pokyny orgánů dohledu pro využití a začlenění těchto auditních standardů.

Pokud se smluvní ujednání uzavřená s poskytovateli služeb IKT z řad třetích stran o využívání služeb IKT týkají technicky velmi složitých otázek, finanční subjekt ověří, že interní nebo externí auditoři nebo skupina auditorů disponují odpovídajícími dovednostmi a znalostmi pro účinné provedení příslušných auditů a posouzení.

7.   Finanční subjekty zajistí, aby smluvní ujednání o využívání služeb IKT bylo možné ukončit za kterékoli z těchto okolností:

8.   U služeb IKT podporujících zásadní nebo důležité funkce zavedou finanční subjekty strategie ukončení smluvního vztahu. Strategie ukončení smluvního vztahu zohlední rizika, jež mohou vzniknout na úrovni poskytovatelů služeb IKT z řad třetích stran, zejména jejich případné selhání, snížení kvality poskytovaných služeb a funkcí IKT, jakékoli narušení činnosti v důsledku nevhodného či chybného poskytování služeb IKT nebo jakéhokoli vážného rizika vznikajícího v souvislosti s řádným a nepřetržitým poskytováním příslušné služby IKT, nebo v případě ukončení smluvních ujednání s poskytovateli služeb IKT z řad třetích stran za kterékoli z okolností uvedených v odstavci 7.

Finanční subjekty zajistí, aby byly schopny ukončit smluvní ujednání, aniž by došlo k:

Plány ukončení smluvního vztahu musí být komplexní, zdokumentované a splňovat kritéria vymezená v čl. 4 odst. 2, musí být dostatečně otestovány a pravidelně přezkoumávány.

Finanční subjekty identifikují alternativní řešení a vypracují plány přechodu, které jim umožní odebrání nasmlouvaných služeb IKT a příslušných dat od poskytovatele služeb IKT z řad třetích stran a jejich bezpečný a integrovaný přenos k alternativnímu poskytovateli, nebo jejich začlenění v rámci vlastní organizace.

Finanční subjekty mají zavedena vhodná opatření pro nepředvídané události, aby byl zachován provoz, pokud by nastaly okolnosti uvedené v prvním pododstavci.

9.   Evropské orgány dohledu vypracují prostřednictvím společného výboru návrhy prováděcích technických norem, které stanoví standardní vzory pro účely registru informací uvedeného v odstavci 3, včetně informací společných všem smluvním ujednáním o využívání služeb IKT. Evropské orgány dohledu předloží tyto návrhy prováděcích technických norem Komisi do 17. ledna 2024.

Komisi je svěřena pravomoc přijímat prováděcí technické normy uvedené v prvním pododstavci v souladu s článkem 15 nařízení (EU) č. 1093/2010, (EU) č. 1094/2010 a (EU) č. 1095/2010.

10.   Evropské orgány dohledu vypracují prostřednictvím společného výboru návrhy regulačních technických norem, které dále upřesní podrobný obsah politiky uvedené v odstavci 2 ve vztahu ke smluvním ujednáním o využívání služeb IKT podporujících zásadní nebo důležité funkce, poskytovaných poskytovateli služeb IKT z řad třetích stran.

Při vypracovávání těchto návrhů regulačních technických norem evropské orgány dohledu zohlední velikost a celkový rizikový profil finančního subjektu a povahu, rozsah a složitost jeho služeb, činností a operací. Evropské orgány dohledu předloží tyto návrhy regulačních technických norem Komisi do 17. ledna 2024.

Na Komisi je přenesena pravomoc doplnit toto nařízení přijetím regulačních technických norem uvedených v prvním pododstavci v souladu s články 10 až 14 nařízení (EU) č. 1093/2010, (EU) č. 1094/2010 a (EU) č. 1095/2010.

1.   Finanční subjekty při identifikaci a posuzování rizik uvedených v čl. 28 odst. 4 písm. c) rovněž zohlední, zda by plánované uzavření smluvního ujednání souvisejícího se službami IKT podporujícími zásadní nebo důležité funkce způsobilo jakoukoli z těchto situací:

Finanční subjekty zváží přínosy a náklady alternativních řešení, například využití jiných poskytovatelů služeb IKT z řad třetích stran, přičemž zohlední, zda a jak předpokládaná řešení odpovídají požadavkům obchodní činnosti a cílům stanoveným v jejich strategii digitální odolnosti.

2.   Obsahují-li smluvní ujednání o využívání služeb IKT podporujících zásadní nebo důležité funkce možnost, aby poskytovatel služeb IKT z řad třetích stran zajišťoval služby IKT podporující zásadní nebo důležitou funkci prostřednictvím subdodávek od jiných poskytovatelů služeb IKT z řad třetích stran, finanční subjekty zváží výhody a rizika, jež mohou vzniknout v souvislosti s tímto využitím subdodavatele IKT, zejména je-li tento subdodavatel IKT usazen ve třetí zemi.

Týkají-li se smluvní ujednání služeb IKT podporujících zásadní nebo důležité funkce, finanční subjekty řádně zváží ustanovení insolvenčního práva, která se uplatní v případě úpadku poskytovatele služeb IKT z řad třetích stran, jakož i veškerá omezení, jež mohou vzniknout při naléhavé obnově dat finančního subjektu.

Pokud jsou smluvní ujednání o využívání služeb IKT podporujících zásadní nebo důležité funkce uzavřena s poskytovatelem služeb IKT z řad třetích stran usazeným ve třetí zemi, zváží finanční subjekty kromě aspektů uvedených v druhém pododstavci rovněž dodržování pravidel Unie pro ochranu údajů a účinné vymáhání práva v dané třetí zemi.

Pokud smluvní ujednání o využívání služeb IKT podporujících zásadní nebo důležité funkce stanoví subdodávky, finanční subjekty posoudí, zda a jak mohou potenciální dlouhé nebo složité subdodavatelské řetězce ovlivnit jejich schopnost plně sledovat nasmlouvané funkce a schopnost příslušných orgánů provádět v tomto ohledu účinný dohled nad finančním subjektem.

1.   Práva a povinnosti finančního subjektu a poskytovatele služeb IKT z řad třetích stran jsou jasně rozděleny a stanoveny písemně. Úplná smlouva zahrnuje dohody o úrovni služeb a je vyhotovena v jednom písemném dokumentu, který musí být dostupný stranám v papírové podobě, nebo v podobě dokumentu v jiném formátu, který lze stáhnout, je trvalý a přístupný.

2.   Smluvní ujednání o využívání služeb IKT obsahují přinejmenším tyto prvky:

3.   Smluvní ujednání o využívání služeb IKT podporujících zásadní nebo důležité funkce zahrnují kromě prvků uvedených v odstavci 2 alespoň:

Odchylně od písmene e) se poskytovatel služeb IKT z řad třetích stran a finanční subjekt, který je mikropodnikem, mohou dohodnout, že práva finančního subjektu na přístup, kontrolu a audit mohou být přenesena na nezávislou třetí stranu určenou poskytovatelem služeb IKT z řad třetích stran a že finanční subjekt může od této třetí strany kdykoli požadovat informace a ujištění o výkonu poskytovatele služeb IKT z řad třetích stran.

4.   Finanční subjekty a poskytovatelé služeb IKT z řad třetích stran při vyjednávání o smluvních ujednáních zváží použití standardních smluvních doložek vypracovaných veřejnými orgány pro konkrétní služby.

5.   Evropské orgány dohledu vypracují prostřednictvím společného výboru návrhy regulačních technických norem k dalšímu upřesnění prvků uvedených v odst. 2 písm. a), které musí finanční subjekt určit a posoudit při subdodávkách služeb IKT podporujících zásadní nebo důležité funkce.

Při vypracovávání těchto návrhů regulačních technických norem evropské orgány dohledu zohlední velikost a celkový rizikový profil finančního subjektu a povahu, rozsah a složitost jeho služeb, činností a operací.

Evropské orgány dohledu předloží tyto návrhy regulačních technických norem Komisi do 17. července 2024.

Na Komisi je přenesena pravomoc doplnit toto nařízení přijetím regulačních technických norem uvedených v prvním pododstavci v souladu s články 10 až 14 nařízení (EU) č. 1093/2010, (EU) č. 1094/2010 a (EU) č. 1095/2010.

1.   Evropské orgány dohledu prostřednictvím společného výboru a na základě doporučení fóra dohledu zřízeného podle čl. 32 odst. 1:

2.   Určení uvedené v odst. 1 písm. a) vychází ze všech následujících kritérií ve vztahu ke službám IKT poskytovaným poskytovatelem služeb IKT z řad třetích stran:

3.   Je-li poskytovatel služeb IKT z řad třetích stran součástí skupiny, kritéria uvedená v odstavci 2 se uplatňují na služby IKT poskytované danou skupinou jako celkem.

4.   Kritičtí poskytovatelé služeb IKT z řad třetích stran, kteří jsou součástí skupiny, určí jednu právnickou osobu jako koordinátora, aby bylo zajištěno odpovídající zastoupení a komunikace s hlavním orgánem dohledu.

5.   Hlavní orgán dohledu oznámí poskytovateli služeb IKT z řad třetích stran výsledek posouzení vedoucího k určení podle odst. 1 písm. a). Do šesti týdnů ode dne oznámení může poskytovatel služeb IKT z řad třetích stran předložit hlavnímu orgánu dohledu odůvodněné prohlášení s veškerými relevantními informacemi pro účely posouzení. Hlavní orgán dohledu odůvodněné prohlášení zváží a může požádat o předložení doplňujících informací do 30 kalendářních dnů od jeho obdržení.

Poté, co byl některý poskytovatel služeb IKT z řad třetích stran určen jako kritický, evropské orgány dohledu prostřednictvím společného výboru oznámí tuto skutečnost a počáteční datum, od kterého se na něj budou vztahovat činnosti v oblasti dohledu, tomuto poskytovateli. Toto počáteční datum nastane do jednoho měsíce po oznámení. O tom, že byl určen jako kritický, informuje daný poskytovatel služeb IKT z řad třetích stran finanční subjekty, kterým poskytuje služby.

6.   Komisi je svěřena pravomoc přijmout do 17. července 2024 akt v přenesené pravomoci v souladu s článkem 57, kterým toto nařízení doplní dalším upřesněním kritérií uvedených v odstavci 2 tohoto článku.

7.   Určování podle odst. 1 písm. a) se neuskuteční, dokud Komise nepřijme akt v přenesené pravomoci podle odstavce 6.

8.   Určování podle odst. 1 písm. a) se nevztahuje na:

9.   Evropské orgány dohledu prostřednictvím společného výboru vypracují, zveřejní a každoročně aktualizují seznam kritických poskytovatelů služeb IKT z řad třetích stran na úrovni Unie.

10.   Příslušné orgány pro účely odst. 1 písm. a) každoročně a na agregovaném základě zašlou zprávy podle čl. 28 odst. 3 třetího pododstavce fóru dohledu vytvořenému v souladu s článkem 32. Fórum dohledu posoudí na základě informací obdržených od příslušných orgánů závislost finančních subjektů na třetích stranách poskytujících služby IKT.

11.   Poskytovatelé služeb IKT z řad třetích stran, kteří nejsou uvedeni na seznamu podle odstavce 9, mohou požádat o to, aby byli určeni jakožto kritičtí podle odst. 1 písm. a).

Poskytovatel služeb IKT z řad třetích stran pro účely prvního pododstavce předloží odůvodněnou žádost EBA, ESMA nebo EIOPA, které prostřednictvím společného výboru rozhodnou, zda tohoto poskytovatele služeb IKT z řad třetích stran určí jakožto kritického podle odst. 1 písm. a).

Rozhodnutí uvedené ve druhém pododstavci se přijme a oznámí dotčenému poskytovateli služeb IKT z řad třetích stran do šesti měsíců od obdržení žádosti.

12.   Finanční subjekty mohou využívat služby poskytovatele služeb IKT z řad třetích stran usazeného ve třetí zemi, který byl určen za kritického podle odst. 1 písm. a), pouze pokud tento poskytovatel založí dceřiný podnik v Unii do 12 měsíců od daného určení.

13.   Kritický poskytovatel služeb IKT z řad třetích stran uvedený v odstavci 12 oznámí hlavnímu orgánu dohledu jakékoli změny ve struktuře vedení svého dceřiného podniku založeného v Unii.

1.   Společný výbor v souladu s čl. 57 odst. 1 nařízení (EU) č. 1093/2010, (EU) č. 1094/2010 a (EU) č. 1095/2010 vytvoří fórum dohledu jako podvýbor pro účely podpory pracovních úkolů společného výboru a hlavního orgánu dohledu podle čl. 31 odst. 1 písm. b), co se týče rizika v oblasti IKT spojeného s třetími stranami ve všech finančních odvětvích. Fórum dohledu připravuje návrhy společných stanovisek a společných aktů společného výboru v této oblasti.

Fórum dohledu pravidelně jedná o relevantním vývoji v oblasti rizika a zranitelností v oblasti IKT a podporuje soudržný přístup ke sledování rizika v oblasti IKT spojeného s třetími stranami na úrovni Unie.

2.   Fórum dohledu provede každý rok společné posouzení výsledků a zjištění dohledových činností prováděných pro všechny kritické poskytovatele služeb IKT z řad třetích stran a podporuje koordinační opatření ke zvýšení digitální provozní odolnosti finančních subjektů a osvědčené postupy pro řešení rizika koncentrace IKT a zkoumá zmírňující opatření u šíření rizika mezi odvětvími.

3.   Fórum dohledu předloží komplexní referenční hodnoty pro kritické poskytovatele služeb IKT z řad třetích stran, které společný výbor schválí jako společná stanoviska evropských orgánů dohledu v souladu s čl. 56 prvním pododstavcem nařízení (EU) č. 1093/2010, (EU) č. 1094/2010 a (EU) č. 1095/2010.

4.   Fórum dohledu tvoří:

Fórum dohledu může ve vhodných případech požádat o radu nezávislé odborníky jmenované v souladu s odstavcem 6.

5.   Každý členský stát určí relevantní příslušný orgán, z řad jehož zaměstnanců je určen zástupce na vysoké úrovni podle odst. 4 prvního pododstavce písm. b), a informuje o tom hlavní orgán dohledu.

Evropské orgány dohledu zveřejní na svých internetových stránkách seznam zástupců na vysoké úrovni z řad stávajících zaměstnanců relevantních příslušných orgánů určených členskými státy.

6.   Nezávislé odborníky uvedené v odst. 4 druhém pododstavci jmenuje fórum dohledu ze skupiny odborníků vybraných na základě veřejného a transparentního postupu výběru uchazečů.

Tito nezávislí odborníci jsou jmenováni na základě svých odborných znalostí v oblasti finanční stability, digitální provozní odolnosti a otázek bezpečnosti IKT. Jednají nezávisle a objektivně ve výlučném zájmu Unie jako celku a nevyžadují ani nepřijímají pokyny od orgánů či institucí Unie, od vlád členských států ani od jiných veřejných či soukromých subjektů.

7.   V souladu s článkem 16 nařízení (EU) č. 1093/2010, (EU) č. 1094/2010 a (EU) č. 1095/2010 evropské orgány dohledu do 17. července 2024 vydají pro účely tohoto oddílu pokyny pro spolupráci mezi evropskými orgány dohledu a příslušnými orgány týkající se podrobných postupů a podmínek pro rozdělování a výkon úkolů mezi příslušnými orgány a evropskými orgány dohledu a podrobností o výměně informací, jež příslušné orgány potřebují k zajištění dodržování doporučení podle čl. 35 odst. 1 písm. d) určených kritickým poskytovatelům služeb IKT z řad třetích stran.

8.   Požadavky stanovenými v tomto oddíle není dotčeno uplatňování směrnice (EU) 2022/2555 ani dalších předpisů Unie týkajících se dohledu nad poskytovateli cloudových služeb.

9.   Evropské orgány dohledu prostřednictvím společného výboru a na základě přípravných prací realizovaných fórem dohledu každoročně předkládají Evropskému parlamentu, Radě a Komisi zprávu o uplatňování tohoto oddílu.

1.   Hlavní orgán dohledu jmenovaný v souladu s čl. 31 odst. 1 písm. b) vykonává dohled nad přidělenými kritickými poskytovateli služeb IKT z řad třetích stran a je pro účely všech záležitostí souvisejících s dohledem hlavním kontaktním místem pro tyto kritické poskytovatele služeb IKT z řad třetích stran.

2.   Pro účely odstavce 1 hlavní orgán dohledu posoudí, zda jednotliví kritičtí poskytovatelé služeb IKT z řad třetích stran zavedli komplexní, jasná a účinná pravidla, postupy, mechanismy a ujednání pro řízení rizika v oblasti IKT, které mohou představovat pro finanční subjekty.

Posouzení uvedené v prvním pododstavci se zaměří především na služby IKT poskytované kritickým poskytovatelem služeb IKT z řad třetích stran, které podporují zásadní nebo důležité funkce finančních subjektů. Je-li to nezbytné pro řešení všech relevantních rizik, toto posouzení se rozšíří na služby IKT podporující jiné než zásadní nebo důležité funkce.

3.   Posouzení uvedené v odstavci 2 se vztahuje na:

4.   Na základě posouzení uvedeného v odstavci 2 a v koordinaci se společnou sítí dohledu uvedenou v čl. 34 odst. 1 přijme hlavní orgán dohledu jasný, podrobný a odůvodněný individuální plán dohledu popisující roční cíle v oblasti dohledu a hlavní opatření v oblasti dohledu plánovaná pro každého kritického poskytovatele služeb IKT z řad třetích stran. Tento plán je každoročně předkládán kritickému poskytovateli služeb IKT z řad třetích stran.

Před přijetím plánu dohledu hlavní orgán dohledu předloží jeho návrh kritickému poskytovateli služeb IKT z řad třetích stran.

Po obdržení návrhu plánu dohledu může kritický poskytovatel služeb IKT z řad třetích stran do 15 kalendářních dnů předložit odůvodněné prohlášení dokládající očekávaný dopad na zákazníky, kteří jsou subjekty mimo oblast působnosti tohoto nařízení, a případně formulovat řešení ke zmírnění rizik.

5.   Po přijetí ročních plánů dohledu uvedených v odstavci 4 a jejich oznámení kritickým poskytovatelům služeb IKT z řad třetích stran mohou příslušné orgány přijímat opatření týkající se takových kritických poskytovatelů služeb IKT z řad třetích stran pouze po dohodě s hlavním orgánem dohledu.

1.   Za účelem zajištění jednotného přístupu k dohledovým činnostem a umožnění koordinovaných obecných strategií dohledu a soudržných operativních přístupů a metodik práce tři hlavní orgány dohledu jmenované v souladu s čl. 31 odst. 1 písm. b) zřídí společnou síť dohledu, aby mohly mezi sebou koordinovat činnost v přípravných fázích a koordinovat provádění dohledu nad svými příslušnými kritickými poskytovateli služeb IKT z řad třetích stran, jakož i během jakýchkoli kroků, které může být nutno učinit podle článku 42.

2.   Pro účely odstavce 1 vypracují hlavní orgány dohledu společný protokol o dohledu, který stanoví podrobné postupy pro provádění každodenní koordinace a pro zajištění rychlých výměn a reakcí. Protokol je pravidelně revidován tak, aby odrážel operativní potřeby, zejména vývoj praktických opatření v oblasti dohledu.

3.   Hlavní orgány dohledu mohou příležitostně vyzvat ECB a ENISA, aby poskytly technické poradenství, sdílely praktické zkušenosti nebo se účastnily zvláštních koordinačních zasedání společné sítě dohledu.

1.   Pro účely plnění povinností stanovených v tomto oddíle má hlavní orgán dohledu tyto pravomoci, pokud jde o kritické poskytovatele služeb IKT z řad třetích stran:

2.   Při výkonu pravomocí uvedených v tomto článku hlavní orgán dohledu:

3.   Hlavní orgán dohledu před výkonem svých pravomocí podle odstavce 1 konzultuje fórum dohledu.

Před vydáním doporučení v souladu s odst. 1 písm. d) poskytne hlavní orgán dohledu poskytovateli služeb IKT z řad třetích stran příležitost poskytnout do 30 kalendářních dnů relevantní informace dokládající očekávaný dopad na zákazníky, kteří nejsou subjekty spadajícími do oblasti působnosti tohoto nařízení, a případně navrhovat řešení ke zmírnění rizik.

4.   Hlavní orgán dohledu informuje společnou síť dohledu o výsledku výkonu pravomocí uvedených v odst. 1 písm. a) a b). Hlavní orgán dohledu předá zprávy uvedené v odst. 1 písm. c) bez zbytečného odkladu společné síti dohledu a příslušným orgánům finančních subjektů využívajících služby IKT daného kritického poskytovatele služeb IKT z řad třetích stran.

5.   Kritičtí poskytovatelé služeb IKT z řad třetích stran v dobré víře spolupracují s hlavním orgánem dohledu a pomáhají mu při plnění jeho úkolů.

6.   Pokud kritický poskytovatel služeb IKT z řad třetích stran zcela nebo částečně neučiní opatření, která jsou od něj vyžadována v souvislosti s výkonem pravomocí podle odst. 1 písm. a), b) a c), přijme hlavní orgán dohledu po uplynutí lhůty nejméně 30 kalendářních dnů ode dne, kdy kritický poskytovatel služeb IKT z řad třetích stran obdržel oznámení o příslušných opatřeních, rozhodnutí o uložení penále, aby kritického poskytovatele služeb IKT z řad třetích stran přiměl daná opatření dodržovat.

7.   Penále uvedené v odstavci 6 se ukládá na denním základě, dokud není dosaženo souladu s danými opatřeními, avšak nejdéle po dobu šesti měsíců od vyrozumění kritického poskytovatele služeb IKT z řad třetích stran o rozhodnutí uložit penále.

8.   Výše penále vypočítaná ode dne uvedeného v rozhodnutí o uložení penále činí až 1 % průměrného denního celosvětového obratu kritického poskytovatele služeb IKT z řad třetích stran za předchozí účetní období. Při stanovení výše penále zohlední hlavní orgán dohledu tato kritéria týkající se nedodržení opatření uvedených v odstavci 6:

Pro účely prvního pododstavce vede hlavní orgán dohledu v zájmu zajištění jednotného přístupu konzultace se společnou sítí dohledu.

9.   Penále mají správní povahu a jsou vymahatelná. Výkon rozhodnutí se řídí předpisy občanského procesního práva toho členského státu, na jehož území se mají uskutečnit kontroly a přístup. Ohledně stížností souvisejících s nesprávným výkonem rozhodnutí jsou příslušné soudy dotčeného členského státu. Částky penále jsou příjmem souhrnného rozpočtu Evropské unie.

10.   Hlavní orgán dohledu zveřejní každé uložené penále, ledaže by toto zveřejnění vážně ohrozilo finanční trhy nebo způsobilo zúčastněným stranám nepřiměřenou škodu.

11.   Hlavní orgán dohledu před uložením penále podle odstavce 6 umožní zástupcům kritického poskytovatele služeb IKT z řad třetích stran, jehož se řízení týká, vyjádřit se k jeho zjištěním a svá rozhodnutí založí pouze na zjištěních, k nimž měl kritický poskytovatel služeb IKT z řad třetích stran, jehož se řízení týká, možnost se vyjádřit.

V průběhu řízení musí být plně respektováno právo účastníků řízení na obhajobu. Kritický poskytovatel služeb IKT z řad třetích stran, jehož se řízení týká, má právo nahlížet do spisu, s výhradou oprávněného zájmu jiných osob na ochraně jejich obchodního tajemství. Právo nahlížet do spisu se nevztahuje na důvěrné informace ani na interní přípravné dokumenty hlavního orgánu dohledu.

1.   Nelze-li cílů v oblasti dohledu dosáhnout na základě komunikace s dceřiným podnikem založeným pro účely čl. 31 odst. 12 nebo na základě výkonu činností dohledu v prostorách nacházejících se v Unii, může hlavní orgán dohledu vykonávat v jakýchkoli prostorách nacházejících se ve třetí zemi, které jsou kritickým poskytovatelem služeb IKT z řad třetích stran vlastněny nebo jakýmkoli způsobem využívány pro účely poskytování služeb finančním subjektům v Unii v souvislosti s jeho obchodními operacemi, funkcemi nebo službami, včetně jakýchkoli správních, obchodních nebo provozně kancelářských prostor, objektů, pozemků, budov nebo jiných nemovitostí, pravomoci uvedené v:

Pravomoci uvedené v prvním pododstavci mohou být vykonávány, pokud jsou splněny všechny tyto podmínky:

2.   Aniž jsou dotčeny příslušné pravomoci orgánů Unie a členských států, uzavřou EBA, ESMA nebo EIOPA pro účely odstavce 1 ujednání o správní spolupráci s relevantním orgánem třetí země s cílem umožnit hladké provádění kontrol v dotčené třetí zemi ze strany hlavního orgánu dohledu a jeho určeného týmu pro účely jeho poslání v dané třetí zemi. Tato ujednání o spolupráci nezakládají právní závazky vůči Unii a jejím členským státům ani členským státům a jejich příslušným orgánům nebrání v uzavírání dvoustranných nebo mnohostranných ujednání s těmito třetími zeměmi a jejich relevantními orgány.

Tato ujednání o spolupráci stanoví alespoň tyto prvky:

3.   Pokud není schopen provádět kontrolní činnosti uvedené v odstavcích 1 a 2 mimo Unii, hlavní orgán dohledu:

Možné důsledky uvedené v písmenu b) tohoto odstavce se zohlední v doporučeních hlavního orgánu dohledu vydaných podle čl. 35 odst. 1 písm. d).

1.   Hlavní orgán dohledu může prostou žádostí nebo rozhodnutím požádat kritické poskytovatele služeb IKT z řad třetích stran, aby poskytly veškeré informace nezbytné pro výkon povinností hlavního orgánu dohledu podle tohoto nařízení, včetně všech relevantních obchodních nebo provozních dokladů, smluv, politik, dokumentace, zpráv z auditů bezpečnosti IKT, zpráv o hlášení incidentů souvisejících s IKT a rovněž všech informací týkajících se stran, jimž kritický poskytovatel služeb IKT z řad třetích stran externě zadal zajišťování provozních funkcí nebo činností.

2.   V případě prosté žádosti o informace podle odstavce 1 hlavní orgán dohledu:

3.   V případě žádosti o poskytnutí informací podle odstavce 1 na základě rozhodnutí hlavní orgán dohledu:

4.   Zástupci kritických poskytovatelů služeb IKT z řad třetích stran jsou povinni požadované informace poskytnout. Informace za své klienty mohou sdělit řádně zmocnění právní zástupci. Kritický poskytovatel služeb IKT z řad třetích stran však nese i nadále plnou odpovědnost, jsou-li poskytnuté informace neúplné, nepravdivé či zavádějící.

5.   Hlavní orgán dohledu neprodleně předá kopii rozhodnutí o předložení informací příslušným orgánům finančních subjektů využívajících služeb příslušných kritických poskytovatelů služeb IKT z řad třetích stran a společné síti dohledu.

1.   Aby mohl plnit své povinnosti podle tohoto nařízení, může hlavní orgán dohledu s pomocí společného kontrolního týmu uvedeného v čl. 40 odst. 1 provádět v případě potřeby šetření kritických poskytovatelů služeb IKT z řad třetích stran.

2.   Hlavní orgán dohledu má pravomoc:

3.   Úředníci hlavního orgánu dohledu a další osoby tímto orgánem pověřené pro účely šetření podle odstavce 1 vykonávají své pravomoci po předložení písemného pověření, v němž je uveden předmět a účel šetření.

V tomto pověření se rovněž uvede penále podle čl. 35 odst. 6, nebudou-li předloženy požadované záznamy, údaje, zdokumentované postupy nebo jakékoliv jiné materiály nebo odpovědi na otázky položené zástupcům poskytovatele služeb IKT z řad třetích stran, nebo nebudou-li úplné.

4.   Zástupci kritických poskytovatelů služeb IKT z řad třetích stran se musí šetření nařízenému rozhodnutím hlavního orgánu dohledu podrobit. V rozhodnutí musí být uvedeny předmět a účel šetření, penále stanovené v čl. 35 odst. 6, opravné prostředky, které jsou k dispozici podle nařízení (EU) č. 1093/2010, (EU) č. 1094/2010 a (EU) č. 1095/2010, a právo na přezkum rozhodnutí Soudním dvorem.

5.   Hlavní orgán dohledu s dostatečným předstihem před zahájením šetření informuje příslušné orgány finančních subjektů využívajících služby IKT tohoto kritického poskytovatele služeb IKT z řad třetích stran o zamýšleném šetření a o totožnosti pověřených osob.

Hlavní orgán dohledu sdělí společné síti dohledu veškeré informace předané podle prvního pododstavce.

1.   Aby mohl plnit své povinnosti podle tohoto nařízení, může hlavní orgán dohledu s pomocí společného kontrolního týmu uvedeného v čl. 40 odst. 1 vstupovat do všech prostor, na všechny pozemky nebo do všech budov využívaných k podnikatelské činnosti poskytovatelů služeb IKT z řad třetích stran, jako jsou jejich sídla, provozní střediska, druhotná pracoviště, a provádět v nich všechny nezbytné kontroly na místě a rovněž může provádět kontroly na dálku.

Pro účely výkonu pravomocí uvedených v prvním pododstavci konzultuje hlavní orgán dohledu společnou síť dohledu.

2.   Úředníci a jiné osoby zmocněné hlavním orgánem dohledu k provedení kontroly na místě mají pravomoc:

Úředníci a jiné osoby zmocněné hlavním orgánem dohledu své pravomoci vykonávají po předložení písemného pověření uvádějícího předmět a účel kontroly a penále podle čl. 35 odst. 6 pro případ, že se zástupci dotčených kritických poskytovatelů služeb IKT z řad třetích stran kontrole nepodrobí.

3.   Hlavní orgán dohledu informuje s dostatečným předstihem před zahájením kontroly příslušné orgány finančních subjektů využívajících tohoto poskytovatele služeb IKT z řad třetích stran.

4.   Kontroly se týkají všech relevantních systémů IKT, sítí, zařízení, informací a dat používaných nebo přispívajících k poskytování služeb IKT finančním subjektům.

5.   Hlavní orgán dohledu před jakoukoliv plánovanou kontrolou na místě zašle kritickým poskytovatelům služeb IKT z řad třetích stran oznámení v dostatečném předstihu, ledaže takové oznámení není možné v důsledku naléhavé nebo krizové situace, nebo pokud by způsobilo, že by již kontrola nebo audit nebyly účinné.

6.   Kritický poskytovatel služeb IKT z řad třetích stran se podrobí kontrolám na místě nařízeným rozhodnutím hlavního orgánu dohledu. V rozhodnutí musí být uvedeny předmět a účel kontroly, datum, kdy má být kontrola zahájena, penále stanovené v čl. 35 odst. 6, opravné prostředky, které jsou k dispozici podle nařízení (EU) č. 1093/2010, (EU) č. 1094/2010 a (EU) č. 1095/2010, a dále právo na přezkum rozhodnutí Soudním dvorem.

7.   Jestliže úředníci nebo jiné osoby pověřené hlavním orgánem dohledu zjistí, že se kritický poskytovatel služeb IKT z řad třetích stran odmítá podrobit kontrole nařízené podle tohoto článku, hlavní orgán dohledu informuje kritického poskytovatele služeb IKT z řad třetích stran o důsledcích tohoto odmítnutí, včetně skutečnosti, že příslušné orgány dotčených finančních subjektů mohou od finančních subjektů vyžadovat, aby ukončily smluvní ujednání uzavřená s tímto kritickým poskytovatelem služeb IKT z řad třetích stran.

1.   Hlavnímu orgánu dohledu je při provádění činností dohledu, a zejména obecných šetření nebo kontrol, nápomocen společný kontrolní tým vytvořený pro každého kritického poskytovatele služeb IKT z řad třetích stran.

2.   Společný kontrolní tým uvedený v odstavci 1 tvoří pracovníci:

Členové společného kontrolního týmu mají odborné znalosti v oboru IKT a v oblasti operačního rizika. Práci společného kontrolního týmu koordinuje určený pracovník hlavního orgánu dohledu („koordinátor hlavního orgánu dohledu“).

3.   Hlavní orgán dohledu do tří měsíců po dokončení šetření nebo kontroly a po konzultaci s fórem dohledu přijme doporučení, která budou adresována kritickému poskytovateli služeb IKT z řad třetích stran podle pravomocí uvedených v článku 35.

4.   Doporučení uvedená v odstavci 3 se neprodleně sdělí kritickému poskytovateli služeb IKT z řad třetích stran a příslušným orgánům finančních subjektů, jimž služby IKT poskytuje.

Pro účely plnění činností dohledu může hlavní orgán dohledu přihlédnout ke všem relevantním osvědčením třetích stran a interním nebo externím auditním zprávám třetích stran v oblasti IKT předloženým kritickým poskytovatelem služeb IKT z řad třetích stran.

1.   Evropské orány dohledu prostřednictvím společného výboru vypracují návrhy regulačních technických norem, které stanoví:

2.   Evropské orgány dohledu předloží tyto návrhy regulačních technických norem Komisi do 17. července 2024.

Na Komisi je přenesena pravomoc doplnit toto nařízení přijetím regulačních technických norem uvedených v odstavci 1 v souladu s články 10 až 14 nařízení (EU) č. 1093/2010, (EU) č. 1094/2010 a (EU) č. 1095/2010.

1.   Kritičtí poskytovatelé služeb IKT z řad třetích stran do 60 kalendářních dnů od obdržení doporučení vydaných hlavním orgánem dohledu podle čl. 35 odst. 1 písm. d) buď oznámí hlavnímu orgánu dohledu svůj úmysl se těmito doporučeními řídit, nebo poskytnou odůvodněné vysvětlení, proč se těmito doporučeními řídit nebudou. Hlavní orgán dohledu tyto informace neprodleně předá příslušným orgánům dotčených finančních subjektů.

2.   Hlavní orgán dohledu zveřejní, jestliže mu kritický poskytovatel služeb IKT z řad třetích stran neoznámí svůj úmysl podle odstavce 1 nebo jestliže nepovažuje vysvětlení poskytnuté kritickým poskytovatelem služeb IKT z řad třetích stran za dostatečné. Zveřejněné informace zahrnují totožnost kritického poskytovatele služeb IKT z řad třetích stran, jakož i informace o druhu a povaze porušení. Tyto informace se omezí na to, co je relevantní a přiměřené pro účely zajištění informovanosti veřejnosti, ledaže by jejich zveřejnění mohlo zúčastněným stranám způsobit nepřiměřenou škodu nebo by mohlo vážně ohrozit řádné fungování a integritu finančních trhů nebo stabilitu celého finančního systému Unie nebo jeho části.

Hlavní orgán dohledu o tomto zveřejnění informuje poskytovatele služeb IKT z řad třetích stran.

3.   Příslušné orgány informují příslušné finanční subjekty o rizicích identifikovaných v doporučeních adresovaných kritickým poskytovatelům služeb IKT z řad třetích stran v souladu s čl. 35 odst. 1 písm. d).

Při řízení rizika v oblasti IKT spojeného se třetími stranami finanční subjekty zohlední rizika uvedená v prvním pododstavci.

4.   Pokud se příslušný orgán domnívá, že finanční subjekt v rámci svého řízení rizika v oblasti IKT spojeného se třetími stranami nezohledňuje nebo dostatečně neřeší konkrétní rizika identifikovaná v doporučeních, upozorní finanční subjekt na možnost přijmout do 60 kalendářních dnů od tohoto upozornění rozhodnutí podle odstavce 6, pokud neexistují vhodná smluvní ujednání zaměřená na řešení těchto rizik.

5.   Po obdržení zpráv uvedených v čl. 35 odst. 1 písm. c) a před přijetím rozhodnutí uvedeného v odstavci 6 tohoto článku mohou příslušné orgány dobrovolně konzultovat příslušné orgány určené nebo zřízené v souladu se směrnicí (EU) 2022/2555, které jsou odpovědné za dohled nad zásadním nebo důležitým subjektem podléhajícím uvedené směrnici, který byl určen jako kritický poskytovatel služeb IKT z řad třetích stran.

6.   Příslušné orgány mohou jako krajní opatření v návaznosti na upozornění a případně konzultaci podle odstavců 4 a 5 tohoto článku přijmout v souladu s článkem 50 rozhodnutí vyžadující, aby finanční subjekty částečně či úplně dočasně přestaly využívat služby poskytované kritickým poskytovatelem služeb IKT z řad třetích stran, dokud daný kritický poskytovatel služeb IKT z řad třetích stran neodstraní rizika identifikovaná v jemu adresovaných doporučeních. Je-li to nezbytné, mohou finanční subjekty požádat, aby zcela či zčásti ukončily příslušná smluvní ujednání uzavřená s dotčenými kritickými poskytovateli služeb IKT z řad třetích stran.

7.   Pokud kritický poskytovatel služeb IKT z řad třetích stran odmítne uznat doporučení, protože zaujal odlišný přístup od přístupu doporučeného hlavním orgánem dohledu, a tento odlišný přístup může mít nepříznivý dopad na velký počet finančních subjektů nebo na významnou část finančního sektoru a individuální varování vydaná příslušnými orgány nevedla k jednotným přístupům, jež by zmírnily potenciální riziko pro finanční stabilitu, může hlavní orgán dohledu po konzultaci s fórem dohledu vydat nezávazné a neveřejné stanovisko určené příslušným orgánům, aby případně podpořil jednotná a konvergentní následná opatření v oblasti dohledu.

8.   Po obdržení zpráv uvedených v čl. 35 odst. 1 písm. c) příslušné orgány při přijímání rozhodnutí podle odstavce 6 tohoto článku zohlední druh a rozsah rizika, které kritický poskytovatel služeb IKT z řad třetích stran neodstranil, a rovněž závažnost porušení povinností, přičemž přihlédnou k těmto kritériím:

Příslušné orgány poskytnou finančním subjektům nezbytnou lhůtu, aby mohly upravit smluvní ujednání s kritickými poskytovateli služeb IKT z řad třetích stran, a zabránit tak nepříznivým dopadům na jejich digitální provozní odolnost a zavést strategie ukončení smluvního vztahu a plány přechodu uvedené v článku 28.

9.   Rozhodnutí podle odstavce 6 tohoto článku se oznámí členům fóra dohledu uvedeného v čl. 32 odst. 4 písm. a) b) a c) a společné síti dohledu.

Kritičtí poskytovatelé služeb IKT z řad třetích stran, jichž se týkají rozhodnutí podle odstavce 6, plně spolupracují s dotčenými finančními subjekty, zejména v souvislosti s procesem pozastavení nebo ukončení jejich smluvních ujednání.

10.   Příslušné orgány pravidelně informují hlavní orgán dohledu o přístupech a opatřeních přijatých v rámci jejich úkolů v oblasti dohledu ve vztahu k finančním subjektům a rovněž o smluvních ujednáních uzavřených finančními subjekty v případech, kdy kritičtí poskytovatelé služeb IKT z řad třetích stran zcela či zčásti neuznaly doporučení hlavního orgánu dohledu.

11.   Hlavní orgán dohledu může na žádost poskytnout další vysvětlení k vydaným doporučením, aby příslušným orgánům poskytl vodítko pro následná opatření.

1.   Hlavní orgán dohledu účtuje v souladu s aktem v přenesené pravomoci uvedeným v odstavci 2 tohoto článku kritickým poskytovatelům služeb IKT z řad třetích stran poplatky, které plně pokrývají nezbytné výdaje hlavního orgánu dohledu v souvislosti s prováděním úkolů v oblasti dohledu podle tohoto nařízení, včetně náhrady veškerých nákladů, jež mohou vzniknout v důsledku práce vykonané společným kontrolním týmem uvedeným v článku 40, jakož i nákladů na poradenství poskytované nezávislými odborníky podle čl. 32 odst. 4 druhého pododstavce v souvislosti se záležitostmi spadajícími do působnosti činností přímého dohledu.

Výše poplatku účtovaného kritickému poskytovateli služeb IKT z řad třetích stran zahrnuje veškeré náklady spojené s plněním povinností stanovených v tomto oddíle a je úměrná jeho obratu.

2.   Komisi je svěřena pravomoc přijmout do 17. července 2024 v souladu s článkem 57 akt v přenesené pravomoci, kterým toto nařízení doplní stanovením výše poplatků a způsobu jejich úhrady.

1.   Aniž je dotčen článek 36, EBA, ESMA a EIOPA mohou v souladu s článkem 33 nařízení (EU) č. 1093/2010, (EU) č. 1095/2010 a (EU) č. 1094/2010 pro účely posílení mezinárodní spolupráce ohledně rizika v oblasti IKT spojeného s třetími stranami v různých finančních sektorech uzavírat správní ujednání s regulačními orgány a orgány dohledu třetích zemí, a to zejména vypracováním osvědčených postupů pro přezkum postupů a kontrol souvisejících s řízením rizika v oblasti IKT, zmírňujících opatření a reakce na incidenty.

2.   Evropské orgány dohledu každých pět let předloží prostřednictvím společného výboru Evropskému parlamentu, Radě a Komisi společnou důvěrnou zprávu shrnující závěry z relevantních jednání s orgány třetích zemí podle odstavce 1, v níž se zaměří na vývoj rizika v oblasti IKT spojeného s třetími stranami a dopady na finanční stabilitu, integritu trhu, ochranu investorů a fungování vnitřního trhu.

1.   Finanční subjekty si mohou mezi sebou vyměňovat operativní a jiné informace o kybernetických hrozbách, včetně ukazatelů narušení, taktiky, technik a postupů, výstrah v oblasti kybernetické bezpečnosti a konfiguračních nástrojů, pokud se toto sdílení operativních a jiných informací:

2.   Pro účely odst. 1 písm. c) se v ujednání o sdílení informací stanoví podmínky účasti a případně podrobnosti o zapojení veřejných orgánů a jejich možné způsobilosti k účasti na ujednáních o sdílení informací, o zapojení poskytovatelů služeb IKT z řad třetích stran a o provozních prvcích, včetně použití specializovaných IT platforem.

3.   Finanční subjekty informují příslušné orgány o své účasti na ujednáních o sdílení informací uvedených v odstavci 1 po ověření jejich členství, nebo případně o ukončení členství, jakmile vstoupí v platnost.

1.   Aby se usnadnila spolupráce a umožnila výměna v oblasti dohledu mezi příslušnými orgány určenými podle tohoto nařízení a skupinou pro spolupráci zřízenou podle článku 14 směrnice (EU) 2022/2555, mohou se evropské orgány dohledu a příslušné orgány podílet na činnosti skupiny pro spolupráci, pokud jde o záležitosti týkající se jejich činností dohledu ve vztahu k finančním subjektům. Evropské orgány dohledu a příslušné orgány mohou požádat o přizvání k účasti na činnosti skupiny pro spolupráci, pokud jde o záležitosti týkající se zásadních nebo důležitých subjektů podléhajících směrnici (EU) 2022/2555, které byly rovněž určeny za kritické poskytovatele služeb IKT z řad třetích stran podle článku 31 tohoto nařízení.

2.   Ve vhodných případech mohou příslušné orgány vést konzultace a sdílet informace s jednotnými kontaktními místy a týmy CSIRT určenými nebo zřízenými v souladu se směrnicí (EU) 2022/2555.

3.   Ve vhodných případech si mohou příslušné orgány vyžádat relevantní technické poradenství a pomoc příslušných orgánů určených nebo zřízených v souladu se směrnicí (EU) 2022/2555 a uzavřít ujednání o spolupráci s cílem umožnit zavedení účinných mechanismů pro koordinaci rychlé reakce.

4.   V ujednáních uvedených v odstavci 3 tohoto článku se mohou mimo jiné stanovit postupy pro koordinaci činností v oblasti dohledu a dozoru ve vztahu k zásadním nebo důležitým subjektům podléhajícím směrnici (EU) 2022/2555, které byly určeny za kritické poskytovatele služeb IKT z řad třetích stran podle článku 31 tohoto nařízení, a to i za účelem provádění šetření a kontroly na místě v souladu s vnitrostátním právem, jakož i za účelem mechanismů pro výměnu informací mezi příslušnými orgány podle tohoto nařízení a příslušnými orgány určenými nebo zřízenými v souladu se zmíněnou směrnicí, což zahrnuje i přístup k informacím, o něž dané určené nebo zřízené orgány požádaly.

1.   Příslušné orgány úzce spolupracují mezi sebou navzájem a případně s hlavním orgánem dohledu.

2.   Příslušné orgány a hlavní orgán dohledu si včas vzájemně vymění veškeré relevantní informace týkající se kritických poskytovatelů služeb IK z řad třetích stran, které jsou nezbytné k tomu, aby mohly plnit své povinnosti podle tohoto nařízení, zejména pokud jde o zjištěná rizika, přístupy a opatření přijatá v rámci úkolů hlavního orgánu dohledu v oblasti dohledu.

1.   Evropské orgány dohledu mohou prostřednictvím společného výboru a ve spolupráci s příslušnými orgány, orgány příslušnými k řešení krize podle článku 3 směrnice 2014/59/EU, ECB, Jednotným výborem pro řešení krizí, pokud jde o informace týkající se subjektů spadajících do oblasti působnosti nařízení (EU) č. 806/2014, ESRB a případně ENISA vytvářet mechanismy umožňující sdílení osvědčených postupů ve finančních odvětvích, které zlepší znalost situace a určí společné kybernetické zranitelnosti a rizika napříč odvětvími.

Mohou připravovat cvičení v oblastech krizového řízení a reakce na nepředvídané události zahrnující scénáře kybernetického útoku, jejichž cílem bude rozvoj komunikačních kanálů a postupné umožnění účinné koordinované reakce na úrovni Unie v případě závažného přeshraničního incidentu souvisejících s IKT nebo související hrozby se systémovým dopadem na finanční sektor Unie jako celek.

Tato cvičení mohou ve vhodných případech rovněž testovat závislosti finančního sektoru na jiných hospodářských odvětvích.

2.   Příslušné orgány, evropské orgány dohledu a ECB při plnění svých povinností podle článků 47 až 54 vzájemně úzce spolupracují a vyměňují si informace. Úzce koordinují svůj dohled za účelem zjišťování případů porušení tohoto nařízení a jejich nápravy, vypracování a prosazování osvědčených postupů, usnadňování spolupráce, prosazování jednotnosti výkladu a poskytování hodnocení napříč jurisdikcemi v případě jakékoli neshody.

1.   Příslušné orgány mají všechny kontrolní, vyšetřovací a sankční pravomoci nezbytné k plnění svých povinností podle tohoto nařízení.

2.   Pravomoci podle odstavce 1 zahrnují přinejmenším tyto pravomoci:

3.   Aniž je dotčeno jejich právo ukládat trestní sankce podle článku 52, členské státy přijmou pravidla stanovící vhodné správní sankce a nápravná opatření pro případy porušení tohoto nařízení a zajistí jejich účinné uplatňování.

Tyto sankce a opatření musí být účinné, přiměřené a odrazující.

4.   Členské státy svěří příslušným orgánům pravomoc k uplatňování alespoň následujících správních sankcí nebo nápravných opatření v případech porušení tohoto nařízení:

5.   Pokud se odst. 2 písm. c) a odstavec 4 použijí na právnické osoby, svěří členské státy příslušným orgánům pravomoc uplatňovat správní sankce a nápravná opatření s výhradou podmínek stanovených ve vnitrostátním právu, na členy vedoucího orgánu a na další osoby, které nesou podle vnitrostátního práva odpovědnost za dané porušení.

6.   Členské státy zajistí, aby veškerá rozhodnutí o uložení správních sankcí nebo nápravných opatření uvedených v odst. 2 písm. c) byla řádně odůvodněna a aby bylo možné podat proti nim opravný prostředek.

1.   Příslušné orgány vykonávají pravomoc ukládat správní sankce a nápravná opatření podle článku 50 v souladu se svým vnitrostátním právním řádem v příslušných případech takto:

2.   Příslušné orgány při určování druhu a úrovně správní sankce nebo nápravného opatření uloženého podle článku 50 zohledňují, do jaké míry bylo porušení způsobeno úmyslně nebo z nedbalosti, a všechny ostatní relevantní okolnosti, případně včetně:

1.   Členské státy se mohou rozhodnout, že nestanoví správní sankce nebo nápravná opatření za ta porušení, na která se podle jejich vnitrostátního práva vztahují trestní sankce.

2.   Pokud se členské státy rozhodly stanovit za porušení tohoto nařízení trestní sankce, zajistí, aby byla zavedena vhodná opatření k tomu, aby příslušné orgány měly veškeré pravomoci nezbytné ke spolupráci se soudními orgány, orgány vedoucími trestní stíhání či jinými orgány činnými v trestním řízení v rámci své jurisdikce s cílem získat konkrétní informace týkající se trestního vyšetřování či řízení zahájeného pro porušení tohoto nařízení a poskytnout tyto informace ostatním příslušným orgánům a rovněž EBA, ESMA nebo EIOPA, aby mohly splnit svou povinnost spolupráce pro účely tohoto nařízení.

1.   Příslušné orgány uveřejňují na svých oficiálních internetových stránkách bez zbytečného odkladu všechna rozhodnutí o uložení správní sankce, proti nimž není možné podat opravný prostředek, jakmile je subjektu, jemuž byla sankce uložena, toto rozhodnutí oznámeno.

2.   Uveřejnění uvedené v odstavci 1 zahrnuje informace o druhu a povaze porušení, totožnosti odpovědných osob a uložených sankcích.

3.   Pokud se příslušný orgán na základě posouzení jednotlivých případů domnívá, že by uveřejnění totožnosti u právnických osob nebo totožnosti a osobních údajů u fyzických osob nebylo přiměřené, včetně rizik souvisejících s ochranou osobních údajů, že by ohrožovalo stabilitu finančních trhů nebo vedení probíhajícího vyšetřování trestného činu, nebo by způsobilo, pokud by bylo možné určit totožnost dotčených osob, těmto osobám nepřiměřené škody, přijme ohledně rozhodnutí o uložení správních sankcí některé z těchto řešení:

4.   V případě rozhodnutí uveřejnit správní sankci anonymně podle odst. 3 písm. b) může být uveřejnění příslušných údajů odloženo.

5.   Pokud příslušný orgán uveřejní rozhodnutí o uložení správní sankce, vůči němuž je podán opravný prostředek k příslušným soudním orgánům, příslušné orgány tuto informaci ihned uvedou na svých oficiálních internetových stránkách spolu s případnými následnými informacemi o výsledku řízení o tomto opravném prostředku zjištěných v pozdějších fázích. Rovněž se uveřejní jakékoli soudní rozhodnutí, kterým se rozhodnutí o uložení správní sankce ruší.

6.   Příslušné orgány zajistí, aby jakékoli uveřejnění podle odstavců 1 až 4 zůstalo na jejich oficiálních internetových stránkách pouze po dobu nezbytně nutnou k zajištění souladu s tímto článkem. Toto období nepřesáhne pět let od daného uveřejnění.

1.   Na veškeré důvěrné informace obdržené, vyměněné nebo předané podle tohoto nařízení se vztahují podmínky profesního tajemství stanovené v odstavci 2.

2.   Povinnost zachovávat profesní tajemství se vztahuje na všechny osoby, které pracují nebo pracovaly pro příslušné orgány podle tohoto nařízení či jakýkoli orgán nebo podnik na trhu či pro fyzickou nebo právnickou osobu, na něž příslušné orgány přenesly své pravomoci, včetně auditorů a odborníků smluvně najatých těmito orgány.

3.   Informace, na něž se vztahuje profesní tajemství, včetně výměny informací mezi příslušnými orgány podle tohoto nařízení a příslušnými orgány určenými nebo zřízenými v souladu se směrnicí (EU) 2022/2555, nesmějí být sděleny žádné jiné osobě nebo orgánu, vyjma na základě ustanovení unijního či vnitrostátního práva.

4.   Veškeré informace vyměněné mezi příslušnými orgány podle tohoto nařízení, které se týkají obchodních nebo provozních podmínek a jiných ekonomických či osobních záležitostí, jsou považovány za důvěrné a podléhají profesnímu tajemství s výjimkou případů, kdy příslušný orgán v okamžiku jejich sdělení uvede, že informace mohou být zpřístupněny, nebo kdy je takovéto zpřístupnění nutné pro účely soudního řízení.

1.   Evropské orgány dohledu a příslušné orgány mohou zpracovávat osobní údaje pouze tehdy, je-li to nezbytné pro účely plnění jejich příslušných povinností podle tohoto nařízení, zejména pro účely šetření, kontroly, žádosti o informace, komunikace, zveřejňování, hodnocení, ověřování, posuzování a vypracovávání plánů dohledu. Osobní údaje se zpracovávají v souladu s nařízením (EU) 2016/679 nebo případně nařízením (EU) 2018/1725.

2.   Není-li v jiných odvětvových aktech stanoveno jinak, osobní údaje uvedené v odstavci 1 se uchovávají až do splnění příslušných povinností dohledu a v každém případě po dobu nejvýše 15 let, s výjimkou případů, kdy soudní řízení vyžaduje další uchovávání těchto údajů.

1.   Pravomoc přijímat akty v přenesené pravomoci je svěřena Komisi za podmínek stanovených v tomto článku.

2.   Pravomoc přijímat akty v přenesené pravomoci uvedená v čl. 31 odst. 6 a čl. 43 odst. 2 je svěřena Komisi na dobu pěti let od 17. ledna 2024. Komise vypracuje zprávu o výkonu přenesení pravomoci nejpozději devět měsíců před koncem tohoto pětiletého období. Přenesení pravomoci se automaticky prodlužuje o stejně dlouhá období, pokud Evropský parlament ani Rada nevysloví proti tomuto prodloužení námitku nejpozději tři měsíce před koncem každého z těchto období.

3.   Evropský parlament nebo Rada mohou přenesení pravomoci uvedené v čl. 31 odst. 6 a čl. 43 odst. 2 kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomoci v něm určené. Rozhodnutí nabývá účinku prvním dnem po zveřejnění v Úředním věstníku Evropské unie, nebo k pozdějšímu dni, který je v něm upřesněn. Nedotýká se platnosti již platných aktů v přenesené pravomoci.

4.   Před přijetím aktu v přenesené pravomoci Komise vede konzultace s odborníky jmenovanými jednotlivými členskými státy v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů.

5.   Přijetí aktu v přenesené pravomoci Komise neprodleně oznámí současně Evropskému parlamentu a Radě.

6.   Akt v přenesené pravomoci přijatý podle čl. 31 odst. 6 a čl. 43 odst. 2 vstoupí v platnost pouze tehdy, pokud proti němu Evropský parlament ani Rada nevysloví námitky ve lhůtě tří měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o tři měsíce.

1.   Do 17. ledna 2028 Komise po konzultaci s EBA, ESMA, EIOPA a případně ESRB provede přezkum a předloží zprávu Evropskému parlamentu a Radě, k níž případně připojí legislativní návrh. Tento přezkum zahrnuje alespoň:

2.   V souvislosti s přezkumem směrnice (EU) 2015/2366 Komise posoudí potřebu větší kybernetické odolnosti platebních systémů a činností zpracování plateb a vhodnost rozšíření oblasti působnosti tohoto nařízení na provozovatele platebních systémů a subjekty zapojené do činností zpracování plateb. Na základě tohoto posouzení předloží Komise Evropskému parlamentu a Radě zprávu v rámci přezkumu směrnice (EU) 2015/2366 do 17. července 2023.

Na základě této zprávy o přezkumu a po konzultaci evropských orgánů dohledu, ECB a ESRB může Komise ve vhodných případech a v rámci legislativního návrhu, který může přijmout podle čl. 108 druhého pododstavce směrnice (EU) 2015/2366, předložit návrh na zajištění toho, aby všichni provozovatelé platebních systémů a subjekty zapojené do činností zpracování plateb podléhali náležitému dohledu, a to při zohlednění stávajícího dohledu ze strany centrální banky.

3.   Do 17. ledna 2026 provede Komise po konzultaci s evropskými orgány dohledu a Výborem evropských orgánů dohledu nad auditem přezkum a předloží Evropskému parlamentu a Radě zprávu, k níž případně přiloží legislativní návrh týkající se vhodnosti přísnějších požadavků na statutární auditory a auditorské společnosti, pokud jde o digitální provozní odolnost, a to zahrnutím statutárních auditorů a auditorských společností do oblasti působnosti tohoto nařízení nebo změnou směrnice Evropského parlamentu a Rady 2006/43/ES (39).