(EU) 2025/299Nařízení Komise v přenesené pravomoci (EU) 2025/299 ze dne 31. října 2024, kterým se doplňuje nařízení Evropského parlamentu a Rady (EU) 2023/1114 o trzích kryptoaktiv, pokud jde o regulační technické normy týkající se kontinuity a řádného výkonu služeb souvisejících s kryptoaktivy
| Publikováno: | Úř. věst. L 299, 13.2.2025 | Druh předpisu: | Nařízení v přenesené pravomoci |
| Přijato: | 31. října 2024 | Autor předpisu: | |
| Platnost od: | 5. března 2025 | Nabývá účinnosti: | 5. března 2025 |
| Platnost předpisu: | Ano | Pozbývá platnosti: | |
Text předpisu s celou hlavičkou je dostupný pouze pro registrované uživatele.
|
Úřední věstník |
CS Řada L |
|
2025/299 |
13.2.2025 |
NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) 2025/299
ze dne 31. října 2024,
kterým se doplňuje nařízení Evropského parlamentu a Rady (EU) 2023/1114 o trzích kryptoaktiv, pokud jde o regulační technické normy týkající se kontinuity a řádného výkonu služeb souvisejících s kryptoaktivy
(Text s významem pro EHP)
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Evropského parlamentu a Rady (EU) 2023/1114 ze dne 31. května 2023 o trzích kryptoaktiv a o změně nařízení (EU) č. 1093/2010 a (EU) č. 1095/2010 a směrnic 2013/36/EU a (EU) 2019/1937 (1), a zejména na čl. 68 odst. 10 třetí pododstavec uvedeného nařízení,
vzhledem k těmto důvodům:
|
(1) |
Články 11 a 12 nařízení Evropského parlamentu a Rady (EU) 2022/2554 (2) stanoví požadavky, pokud jde o reakci a obnovu, politiky a postupy zálohování, postupy a metody obnovy týkající se systémů IKT finančních subjektů včetně poskytovatelů služeb souvisejících s kryptoaktivy. Nařízení Komise v přenesené pravomoci (EU) 2024/1774 (3) dále upřesňuje složky zásad zachování kontinuity provozu IKT, testování plánů zachování kontinuity provozu IKT, složky plánů reakce a obnovy v oblasti IKT finančních subjektů včetně poskytovatelů služeb souvisejících s kryptoaktivy. Toto nařízení doplňuje uvedená ustanovení nařízení (EU) 2022/2554 a nařízení v přenesené pravomoci (EU) 2024/1774, pokud jde o kontinuitu a řádný výkon služeb souvisejících s kryptoaktivy. |
|
(2) |
Při poskytování svých služeb mohou poskytovatelé služeb souvisejících s kryptoaktivy používat distribuovaný registr, nad nímž nemají kontrolu, včetně distribuovaného registru nevyžadujícího povolení. V takovém případě nemusí být schopni zajistit řádný výkon a kontinuitu svých služeb, pokud problémy, které jsou spojeny s vlastním fungováním těchto distribuovaných registrů, způsobí narušení. Aby se zmírnila volatilita trhu, která může mít nepříznivý dopad na zákazníky postižené takovým narušením, měli by poskytovatelé služeb souvisejících s kryptoaktivy zahrnout do svých zásad zachování kontinuity činností opatření pro včasnou komunikaci se zákazníky a dalšími externími zúčastněnými stranami. Tato komunikace by měla obnášet zásadní a včasné informace pro zákazníky o těchto narušeních, včetně průběžných aktualizací stavu, dokud nebude narušení vyřešeno a služby obnoveny. Pokud poskytovatel služeb souvisejících s kryptoaktivy nemá okamžitě k dispozici informace o stavu distribuovaného registru nevyžadujícího povolení odpovědného za narušení služeb, měl by tento poskytovatel služeb souvisejících s kryptoaktivy sdělovat aktuální informace zákazníkům a dalším zúčastněným stranám, včetně příslušných orgánů, s vynaložením maximálního úsilí, aby se zajistilo, že zákazníci a zúčastněné strany budou mít o daných narušeních co nejúplnější informace. |
|
(3) |
Aby se předešlo nepřiměřené administrativní zátěži pro malé a střední podniky a začínající podniky, měli by poskytovatelé služeb souvisejících s kryptoaktivy ve svých zásadách zachování kontinuity činností zohledňovat rozsah, povahu a škálu služeb, které poskytují. To znamená, že poskytovatelé služeb souvisejících s kryptoaktivy by měli určit své konkrétní požadavky na zachování kontinuity činností na základě důkladného vlastního posouzení podle řady kritérií, jež jim umožní zavést zásady zachování kontinuity činností úměrné dopadu jejich služeb na trh. Vlastní posouzení by mělo rovněž zohledňovat další okolnosti nad rámec okolností uvedených v příloze, které mohou mít dopad na poskytovatele služeb souvisejících s kryptoaktivy. |
|
(4) |
Toto nařízení vychází z návrhu regulačních technických norem, který Komisi předložil Evropský orgán pro cenné papíry a trhy. |
|
(5) |
Evropský orgán pro cenné papíry a trhy uspořádal k návrhu regulačních technických norem, z nichž toto nařízení vychází, otevřené veřejné konzultace, analyzoval potenciální související náklady a přínosy a požádal o stanovisko skupinu subjektů působících v oblasti cenných papírů a trhů zřízenou podle článku 37 nařízení Evropského parlamentu a Rady (EU) č. 1095/2010 (4), |
PŘIJALA TOTO NAŘÍZENÍ:
Článek 1
Definice
Pro účely tohoto nařízení se rozumí:
|
a) |
„zásadní nebo důležitou funkcí“ zásadní nebo důležitá funkce ve smyslu čl. 3 bodu 22 nařízení (EU) 2022/2554; |
|
b) |
„distribuovaným registrem nevyžadujícím povolení“ zvláštní typ distribuovaného registru, v němž žádný subjekt nemá nad distribuovaným registrem kontrolu a síťové uzly DLT může zřídit kterákoli osoba, která splňuje technické požadavky a protokoly daného distribuovaného registru. |
Článek 2
Organizační opatření k zachování kontinuity činností
1. Zásady zachování kontinuity činností uvedené v čl. 68 odst. 7 nařízení (EU) 2023/1114 zahrnují plány, postupy a opatření.
2. Plány, postupy a opatření, které tvoří zásady zachování kontinuity činností, vypracuje a schválí vedoucí orgán poskytovatelů služeb souvisejících s kryptoaktivy v rámci výkonu svých funkcí uvedených v čl. 68 odst. 6 nařízení (EU) 2023/1114. Vedoucí orgán poskytovatele služeb souvisejících s kryptoaktivy odpovídá za provádění zásad zachování kontinuity činností a za přezkum jejich účinnosti alespoň jednou ročně.
3. Poskytovatelé služeb souvisejících s kryptoaktivy zajistí, aby veškeré změny zásad zachování kontinuity činností byly prostřednictvím účinných komunikačních kanálů předány všem příslušným interním pracovníkům.
Článek 3
Zásady zachování kontinuity činností
1. Zásady zachování kontinuity činností uvedené v čl. 68 odst. 7 nařízení (EU) 2023/1114 zajistí, aby se poskytovatelé služeb souvisejících s kryptoaktivy řádně zabývali rušivými incidenty nebo problémy s fungováním, které se týkají systémů, jež mají zásadní význam pro provoz jejich obchodních funkcí, a tyto zásady musí být uloženy na trvalém nosiči.
2. Poskytovatelé služeb souvisejících s kryptoaktivy zajistí, aby zásady zachování kontinuity činností obsahovaly všechny tyto prvky:
|
a) |
upřesnění záběru zásad zachování kontinuity činností, včetně omezení a výjimek, který budou pokrývat plány, postupy a opatření pro zachování kontinuity činností; |
|
b) |
popis kritérií pro aktivaci plánů zachování kontinuity činností, včetně postupů eskalace až po úroveň vedoucího orgánu; |
|
c) |
ustanovení o správě, řízení a organizaci poskytovatele služeb souvisejících s kryptoaktivy, včetně úloh a povinností pracovníků, která zajistí, aby byly k dispozici dostatečné zdroje pro účinné provádění těchto zásad; |
|
d) |
ustanovení, která zajistí soulad mezi plány zachování kontinuity činností a plány zachování provozu IKT a plány reakce a obnovy v oblasti IKT uvedenými v článcích 24 a 26 nařízení v přenesené pravomoci (EU) 2024/1774. |
Článek 4
Plány zachování kontinuity činností
1. Při provádění zásad zachování kontinuity činností uvedených v čl. 68 odst. 7 nařízení (EU) 2023/1114 vypracují poskytovatelé služeb souvisejících s kryptoaktivy plány zachování kontinuity činností. Plány zachování kontinuity činností stanoví postupy nezbytné k ochraně a v případě potřeby k obnovení:
|
a) |
důvěrnosti, integrity a dostupnosti údajů zákazníků; |
|
b) |
dostupnosti obchodních funkcí, podpůrných procesů a informačních aktiv poskytovatelů služeb souvisejících s kryptoaktivy. |
2. Plány zachování kontinuity činností zahrnují:
|
a) |
různé možné nepříznivé scénáře, pokud jde o provoz zásadních nebo důležitých funkcí, včetně nedostupnosti obchodních funkcí, pracovníků, pracovních prostor, externích dodavatelů nebo datových center či ztráty nebo pozměnění zásadních údajů a dokumentů; |
|
b) |
postupy a zásady, které je třeba dodržovat v případě rušivého incidentu, včetně:
|
|
c) |
postupy a zásady pro přemístění obchodních funkcí používaných k poskytování služeb souvisejících s kryptoaktivy na záložní místo; |
|
d) |
zálohování zásadních obchodních údajů, včetně aktuálních informací o kontaktech nezbytných k zajištění komunikace uvnitř poskytovatele služeb souvisejících s kryptoaktivy a mezi poskytovatelem služeb souvisejících s kryptoaktivy a jeho zákazníky; |
|
e) |
postupy pro včasnou komunikaci se zákazníky a dalšími externími zúčastněnými stranami včetně příslušných orgánů. |
3. V případě narušení, které se dotýká distribuovaného registru nevyžadujícího povolení, který poskytovatel služeb souvisejících s kryptoaktivy používá při poskytování svých služeb, obsahuje komunikace uvedená v odst. 2 písm. e) tyto informace:
|
a) |
kdy se očekává, že služby budou obnoveny; |
|
b) |
důvody a dopad rušivého incidentu; |
|
c) |
veškerá rizika, která se týkají finančních prostředků zákazníků a kryptoaktiv držených jejich jménem; |
|
d) |
opatření, která má poskytovatel služby související s kryptoaktivy v úmyslu přijmout v reakci na narušení distribuovaného registru nevyžadujícího povolení. |
Pokud poskytovatel služeb souvisejících s kryptoaktivy nemá tyto informace okamžitě k dispozici, poskytuje zákazníkům a zúčastněným stranám, včetně příslušných orgánů, aktualizace, pokud jde o informace uvedené v prvním pododstavci, s vynaložením maximálního úsilí.
4. Plány zachování kontinuity činností obsahují postupy pro řešení případných narušení zásadních nebo důležitých funkcí, které jsou zajišťovány externě, a to i pro situace, kdy se tyto zásadní nebo důležité funkce stanou nedostupnými.
Článek 5
Periodické testování plánů zachování kontinuity činností
1. Poskytovatelé služeb souvisejících s kryptoaktivy testují fungování plánů zachování kontinuity činností uvedených v článku 4 na základě realistických scénářů. Tímto testováním se ověřuje schopnost poskytovatele služeb souvisejících s kryptoaktivy překonat rušivé incidenty a obnovit služby v souladu s čl. 4 odst. 2 písm. b).
2. Poskytovatelé služeb souvisejících s kryptoaktivy testují plány zachování kontinuity činností jednou za rok a zohledňují při tom:
|
a) |
výsledky testů podle odstavce 1; |
|
b) |
nejnovější operativní informace o hrozbách; |
|
c) |
poznatky získané z předchozích událostí; |
|
d) |
v příslušných případech veškeré změny cílů v souvislosti s obnovou, včetně cílů, pokud jde o dobu obnovy a bod dosažení obnovy, jak je uvedeno v čl. 4 odst. 2 písm. b); |
|
e) |
změny v obchodních funkcích. |
3. Poskytovatelé služeb souvisejících s kryptoaktivy výsledky tohoto testování písemně zdokumentují a předloží je svému vedoucímu orgánu a provozním útvarům, které jsou zapojeny do přípravy plánů zachování kontinuity činností.
4. Poskytovatelé služeb souvisejících s kryptoaktivy zajistí, aby testování plánů zachování kontinuity činností nenarušovalo běžný výkon jejich služeb.
Článek 6
Zohledňování složitosti a rizik
1. Při stanovování zásad zachování kontinuity činností, včetně plánů, postupů a opatření, zohledňují poskytovatelé služeb souvisejících s kryptoaktivy zvýšenou složitost nebo rizika, včetně:
|
a) |
druhu a škály nabízených služeb souvisejících s kryptoaktivy; |
|
b) |
míry, do jaké se služby poskytovatele služeb souvisejících s kryptoaktivy spoléhají na distribuovaný registr nevyžadující povolení; |
|
c) |
potenciálního dopadu jakýchkoli narušení na kontinuitu činností poskytovatele služeb souvisejících s kryptoaktivy a dostupnost jeho služeb. |
2. Pro účely odstavce 1 provedou poskytovatelé služeb souvisejících s kryptoaktivy každoročně vlastní posouzení rozsahu, povahy a škály svých služeb. Poskytovatelé služeb souvisejících s kryptoaktivy založí toto vlastní posouzení na kritériích stanovených v příloze a na případných dalších kritériích, která považují za relevantní.
Článek 7
Vstup v platnost
Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
V Bruselu dne 31. října 2024.
Za Komisi
předsedkyně
Ursula VON DER LEYEN
(1) Úř. věst. L 150, 9.6.2023, s. 40, ELI: http://data.europa.eu/eli/reg/2023/1114/oj.
(2) Nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011 (Úř. věst. L 333, 27.12.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj).
(3) Nařízení Komise v přenesené pravomoci (EU) 2024/1774 ze dne 13. března 2024, kterým se doplňuje nařízení Evropského parlamentu a Rady (EU) 2022/2554, pokud jde o regulační technické normy upřesňující nástroje, metody, postupy a politiky řízení rizika v oblasti IKT a zjednodušený rámec pro řízení rizika v oblasti IKT (Úř. věst. L, 2024/1774, 25.6.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1774/oj).
(4) Nařízení Evropského parlamentu a Rady (EU) č. 1095/2010 ze dne 24. listopadu 2010 o zřízení Evropského orgánu dohledu (Evropského orgánu pro cenné papíry a trhy), o změně rozhodnutí č. 716/2009/ES a o zrušení rozhodnutí Komise 2009/77/ES (Úř. věst. L 331, 15.12.2010, s. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
PŘÍLOHA
Kritéria pro vlastní posouzení prováděné poskytovateli služeb souvisejících s kryptoaktivy
|
a) |
povaha poskytovatele služeb souvisejících s kryptoaktivy na základě těchto prvků:
|
|
b) |
rozsah, který se určí posouzením dopadu poskytovatele služeb souvisejících s kryptoaktivy na řádné fungování trhů na základě těchto prvků (v příslušných případech):
|
|
c) |
složitost, která se určí posouzením těchto prvků (v příslušných případech):
|
Pro účely písm. b) bodů iii) až viii) použije poskytovatel služeb souvisejících s kryptoaktivy pro vlastní posouzení denní průměr za jednoleté referenční období.
ELI: http://data.europa.eu/eli/reg_del/2025/299/oj
ISSN 1977-0626 (electronic edition)