1.   S cieľom dosiahnuť vysokú spoločnú úroveň digitálnej prevádzkovej odolnosti sa v tomto nariadení stanovujú tieto jednotné požiadavky týkajúce sa bezpečnosti sietí a informačných systémov podporujúcich obchodné procesy finančných subjektov:

2.   V súvislosti s finančnými subjektmi identifikovanými ako kľúčové alebo dôležité subjekty podľa vnútroštátnych predpisov, ktorými sa transponuje článok 3 smernice (EÚ) 2022/2555 sa toto nariadenie považuje za právny akt Únie špecifický pre určité odvetvie na účely článku 4 uvedenej smernice.

3.   Týmto nariadením nie je dotknutá zodpovednosť členských štátov, pokiaľ ide o základné funkcie štátu týkajúce sa verejnej bezpečnosti, obrany a národnej bezpečnosti v súlade s právom Únie.

1.   Bez toho, aby boli dotknuté odseky 3 a 4, sa toto nariadenie vzťahuje na tieto subjekty:

2.   Na účely tohto nariadenia sa subjekty uvedené v odseku 1 písm. a) až t) spoločne označujú ako „finančné subjekty“.

3.   Toto nariadenie sa neuplatňuje na:

4.   Členské štáty môžu z rozsahu pôsobnosti tohto nariadenia vylúčiť subjekty uvedené v článku 2 ods. 5 bodoch 4 až 23 smernice 2013/36/EÚ, ktoré sa nachádzajú na ich príslušných územiach. Ak členský štát využije takúto možnosť, informuje o tom, ako aj o všetkých jej následných zmenách Komisiu. Komisia tieto informácie zverejní na svojom webovom sídle alebo inými ľahko dostupnými prostriedkami.

1.   Finančné subjekty uplatňujú pravidlá stanovené v kapitole II v súlade so zásadou proporcionality, pričom zohľadňujú svoju veľkosť a celkový rizikový profil, ako aj povahu, rozsah a zložitosť svojich služieb, činností a operácií.

2.   Okrem toho uplatňovanie oddielu I v kapitolách III, IV a V finančnými subjektmi musí byť primerané ich veľkosti a celkovému rizikovému profilu, ako aj povahe, rozsahu a zložitosti ich služieb, činností a operácií, ako sa konkrétne stanovuje v príslušných pravidlách uvedených kapitol.

3.   Príslušné orgány zvážia uplatňovanie zásady proporcionality finančnými subjektmi pri skúmaní konzistentnosti rámca riadenia IKT rizika na základe správ predložených na žiadosť príslušných orgánov podľa článku 6 ods. 5 a článku 16 ods. 2

1.   Finančné subjekty musia mať v súlade s článkom 6 ods. 4 zavedený rámec vnútornej správy a riadenia a kontroly, ktorým sa zabezpečí účinné a obozretné riadenie IKT rizika s cieľom dosiahnuť vysokú úroveň digitálnej prevádzkovej odolnosti.

2.   Riadiaci orgán finančného subjektu vymedzuje a schvaľuje vykonávanie všetkých opatrení súvisiacich s rámcom riadenia IKT rizika uvedeným v článku 6 ods. 1, vykonáva nad ním dozor a zodpovedá zaň.

Na účely prvého pododseku riadiaci orgán:

3.   Finančné subjekty iné než mikropodniky zriadia funkciu, ktorej cieľom je monitorovať dojednania o využívaní IKT služieb uzavreté s externými poskytovateľmi IKT služieb, alebo určia člena vrcholového manažmentu, ktorý bude zodpovedať za vykonávanie dozoru nad príslušnými rizikovými expozíciami a za relevantnú dokumentáciu.

4.   Členovia riadiaceho orgánu finančného subjektu si aktívne udržiavajú dostatočné znalosti a zručnosti potrebné na pochopenie a posúdenie IKT rizika a jeho vplyvu na operácie finančného subjektu, a to aj pravidelným absolvovaním osobitných školení zodpovedajúcich IKT riziku, ktoré je predmetom riadenia.

1.   Finančné subjekty musia mať ako súčasť svojho celkového systému riadenia rizika zavedený spoľahlivý, komplexný a dobre zdokumentovaný rámec riadenia IKT rizika, ktorý im umožňuje riešiť IKT riziko rýchlo, efektívne a komplexne a zabezpečiť vysokú úroveň digitálnej prevádzkovej odolnosti.

2.   Rámec riadenia IKT rizika zahŕňa aspoň stratégie, politiky, postupy, IKT protokoly a nástroje, ktoré sú potrebné na riadnu a primeranú ochranu všetkých informačných aktív a IKT aktív vrátane počítačového softvéru, hardvéru, serverov, ako aj ochranu všetkých relevantných fyzických zložiek a infraštruktúr, ako sú priestory, dátové centrá a citlivé určené oblasti s cieľom zabezpečiť, aby boli všetky informačné aktíva a IKT aktíva primerane chránené pred rizikami vrátane poškodenia a neoprávneného prístupu či používania.

3.   Finančné subjekty v súlade so svojím rámcom riadenia IKT rizika minimalizujú vplyv IKT rizika zavedením vhodných stratégií, politík, postupov, IKT protokolov a nástrojov. Príslušným orgánom poskytujú na ich žiadosť úplné a aktualizované informácie o IKT riziku a o svojom rámci riadenia IKT rizika.

4.   Finančné subjekty iné než mikropodniky priradia zodpovednosť za riadenie IKT rizika a dozor nad ním kontrolnej funkcii a zabezpečia primeranú úroveň nezávislosti tejto kontrolnej funkcie, aby sa zabránilo konfliktom záujmov. Finančné subjekty zabezpečia primeranú segregáciu a nezávislosť riadiacich funkcií v oblasti IKT rizika, kontrolných funkcií a funkcií vnútorného auditu, a to na základe modelu troch línií obrany alebo na základe interného modelu riadenia rizík a kontroly.

5.   Rámec riadenia IKT rizika sa zdokumentuje a preskúma aspoň raz ročne, alebo pravidelne v prípade mikropodnikov, ako aj pri výskyte závažných incidentov súvisiacich s IKT, pričom sa riadi pokynmi alebo závermi dohľadu vyplývajúcimi z príslušných procesov testovania alebo auditu digitálnej prevádzkovej odolnosti. Na základe skúseností získaných pri vykonávaní a monitorovaní sa rámec neustále vylepšuje. Správa o preskúmaní rámca riadenia IKT rizika sa predkladá príslušnému orgánu na jeho žiadosť.

6.   Rámec riadenia IKT rizika finančných subjektov iných ako mikropodnikov podlieha pravidelnému vnútornému auditu vykonávanému audítormi v súlade s plánom auditu finančných subjektov. Títo audítori musia mať dostatočné znalosti, zručnosti a odborné znalosti v oblasti IKT rizika, ako aj primeranú nezávislosť. Frekvencia a zameranie auditov IKT musia zodpovedať IKT riziku daného finančného subjektu.

7.   Na základe záverov vnútorného audítorského preskúmania finančné subjekty zavedú formálny postup prijímania následných opatrení vrátane pravidiel včasného overovania a nápravy kritických zistení auditu IKT.

8.   Rámec riadenia IKT rizika zahŕňa stratégiu digitálnej prevádzkovej odolnosti, v ktorej sa stanoví spôsob vykonávania rámca. Na tento účel stratégia digitálnej prevádzkovej odolnosti zahŕňa metódy na riešenie IKT rizika a dosiahnutie konkrétnych cieľov IKT, a to prostredníctvom týchto prvkov:

9.   Finančné subjekty môžu v súvislosti so stratégiou digitálnej prevádzkovej odolnosti uvedenou v odseku 8 vymedziť holistickú stratégiu viacerých dodávateľov IKT, a to na úrovni skupiny alebo subjekt, ktorá preukazuje kľúčové závislosti od externých poskytovateľov IKT služieb a vysvetľuje dôvody, na ktorých je založený príslušný obstarávací mix externých poskytovateľov služieb.

10.   Finančné subjekty môžu v súlade s právom Únie a vnútroštátnym odvetvovým právom zadať úlohy overovania súladu s požiadavkami na riadenie IKT rizika vnútroskupinovým alebo externým podnikom formou outsourcingu. V prípade takéhoto outsourcingu zostáva finančný subjekt plne zodpovedný za overovanie súladu s požiadavkami na riadenie IKT rizika.

1.   Ako súčasť rámca riadenia IKT rizika uvedeného v článku 6 ods. 1 finančné subjekty identifikujú, klasifikujú a primerane dokumentujú všetky obchodné funkcie, úlohy a povinnosti podporované IKT, informačné aktíva a IKT aktíva podporujúce uvedené funkcie a ich úlohy a závislosti vo vzťahu k IKT riziku. Finančné subjekty podľa potreby, najmenej však raz ročne, preskúmavajú primeranosť tejto klasifikácie a akejkoľvek relevantnej dokumentácie.

2.   Finančné subjekty nepretržite identifikujú všetky zdroje IKT rizika, najmä rizikovú expozíciu voči iným finančným subjektom a pochádzajúcu od nich, a posudzujú kybernetické hrozby a zraniteľné miesta v oblasti IKT relevantné z hľadiska ich obchodných funkcií podporovaných IKT, informačných aktív a IKT aktív. Finančné subjekty pravidelne a aspoň raz ročne preskúmavajú rizikové scenáre, ktoré na ne majú vplyv.

3.   Finančné subjekty iné než mikropodniky vykonávajú posúdenie rizík pri každej významnej zmene infraštruktúry siete a informačných systémov, pokiaľ ide o procesy alebo postupy, ktoré majú vplyv na ich obchodné funkcie podporované IKT, informačné aktíva alebo IKT aktíva.

4.   Finančné subjekty identifikujú všetky informačné aktíva a IKT aktíva vrátane aktív na vzdialených miestach, sieťové zdroje a hardvérové zariadenia a zmapujú tie, ktoré sa považujú za kritické. Zmapujú konfiguráciu informačných aktív a IKT aktív, ako aj prepojenia a vzájomné závislosti medzi jednotlivými informačnými aktívami a IKT aktívami.

5.   Finančné subjekty identifikujú a zdokumentujú všetky procesy, ktoré sú závislé od externých poskytovateľov IKT služieb, a identifikujú vzájomné prepojenia s externými poskytovateľmi IKT služieb, ktorí poskytujú služby podporujúce kritické alebo dôležité funkcie.

6.   Na účely odsekov 1, 4 a 5 finančné subjekty vedú relevantné inventáre a aktualizujú ich pravidelne a vždy, keď dôjde k akejkoľvek významnej zmene uvedenej v odseku 3.

7.   Finančné subjekty iné než mikropodniky pravidelne a aspoň raz ročne vykonávajú osobitné posúdenie IKT rizika vo všetkých pôvodných IKT systémoch, a v každom prípade pred prepojením technológií, aplikácií alebo systémov a po takomto prepojení.

1.   Na účely primeranej ochrany IKT systémov a s cieľom organizovať opatrenia v oblasti reakcie finančné subjekty nepretržite monitorujú a kontrolujú bezpečnosť a fungovanie IKT systémov a nástrojov a minimalizujú vplyv IKT rizika na IKT systémy tak, že zavedú vhodné nástroje, politiky a postupy v oblasti bezpečnosti IKT.

2.   Finančné subjekty navrhujú, obstarávajú a realizujú stratégie, politiky, postupy, protokoly a nástroje v oblasti bezpečnosti IKT, ktorých cieľom je zabezpečiť odolnosť, kontinuitu a dostupnosť IKT systémov, najmä tých, ktoré podporujú kritické alebo dôležité funkcie, a zachovať vysoké štandardy dostupnosti, pravosti, integrity a dôvernosti údajov, či už v pokoji, pri používaní alebo pri prenose.

3.   Na dosiahnutie cieľov uvedených v odseku 2 finančné subjekty používajú IKT riešenia a procesy, ktoré sú vhodné v súlade s článkom 4. Uvedené IKT riešenia a procesy:

4.   Ako súčasť rámca riadenia IKT rizika uvedeného v článku 6 ods. 1 finančné subjekty:

Na účely prvého pododseku písm. b) finančné subjekty navrhnú infraštruktúru sieťového pripojenia tak, aby umožňovala jej okamžité odpojenie alebo segmentáciu s cieľom minimalizovať šírenie nákazy a predchádzať mu, a to najmä v prípade vzájomne prepojených finančných procesov.

Proces riadenia zmien IKT na účely prvého pododseku písm. e) schvaľujú príslušné riadiace línie, ktoré majú zavedené osobitné protokoly.

1.   Finančné subjekty musia mať zavedené mechanizmy na rýchle odhaľovanie anomálnych činností v súlade s článkom 17 vrátane problémov s výkonnosťou IKT siete a incidentov súvisiacich s IKT, ako aj na identifikáciu potenciálnych závažných jednotlivých miest zlyhania.

Všetky detekčné mechanizmy uvedené v prvom pododseku sa pravidelne testujú v súlade s článkom 25.

2.   Detekčné mechanizmy uvedené v odseku 1 umožňujú viaceré úrovne kontroly, vymedzujú sa v nich varovné prahové hodnoty a kritériá na spustenie a iniciáciu procesov reakcie na incidenty súvisiace s IKT vrátane automatických mechanizmov varovania pre príslušných zamestnancov zodpovedných za reakciu na incidenty súvisiace s IKT.

3.   Finančné subjekty venujú dostatočné zdroje a spôsobilosti na monitorovanie činnosti používateľov, výskytu anomálií IKT a incidentov súvisiacich s IKT, a to najmä kybernetických útokov.

4.   Poskytovateľ služieb vykazovania údajov musí mať navyše zavedené systémy, ktoré dokážu účinne kontrolovať úplnosť správ o obchode, identifikovať opomenutia a zjavné chyby a požiadať o opätovné zaslanie všetkých týchto správ.

1.   Finančné subjekty ako súčasť rámca riadenia IKT rizika uvedeného v článku 6 ods. 1 a na základe požiadaviek na identifikáciu stanovených v článku 8 zavedú komplexnú politiku kontinuity činností v oblasti IKT, ktorá môže byť prijatá ako osobitná, špecifická politika tvoriaca neoddeliteľnú súčasť celkovej politiky kontinuity činností finančného subjektu.

2.   Finančné subjekty vykonávajú politiku kontinuity činností v oblasti IKT prostredníctvom špecializovaných, primeraných a zdokumentovaných opatrení, plánov, postupov a mechanizmov zameraných na:

3.   Finančné subjekty ako súčasť rámca riadenia IKT rizika uvedeného v článku 6 ods. 1 vykonávajú súvisiace plány reakcie a obnovy v oblasti IKT, ktoré v prípade finančných subjektov iných než mikropodnikov podliehajú nezávislému vnútornému audítorskému preskúmaniu.

4.   Finančné subjekty zavedú, udržiavajú a pravidelne testujú príslušné plány kontinuity činností v oblasti IKT, najmä pokiaľ ide o kritické alebo dôležité funkcie zabezpečované formou outsourcingu alebo zmluvne dohodnuté v rámci dojednaní s externými poskytovateľmi IKT služieb.

5.   V rámci celkovej politiky kontinuity činností finančné subjekty vykonávajú analýzu vplyvu na svoje činnosti (ďalej len „BIA“) zameranú na svoje expozície voči závažným narušeniam činnosti. V rámci BIA finančné subjekty posudzujú potenciálny vplyv závažných narušení činnosti prostredníctvom kvantitatívnych a kvalitatívnych kritérií, pričom náležite využívajú interné a externé údaje a analýzu scenárov. V BIA sa zohľadňuje kritickosť identifikovaných a zmapovaných obchodných funkcií, podporných procesov, závislostí od tretích strán a informačných aktív a ich vzájomná závislosť. Finančné subjekty zabezpečia, aby sa IKT aktíva a IKT služby koncipovali a používali v plnom súlade s BIA, najmä pokiaľ ide o primerané zabezpečenie redundancie všetkých kritických komponentov.

6.   Finančné subjekty v rámci svojho komplexného riadenia IKT rizika:

Na účely prvého pododseku písm. a) finančné subjekty iné než mikropodniky zahrnú do testovacích plánov scenáre kybernetických útokov a prepnutia medzi primárnou infraštruktúrou IKT a redundantnou kapacitou, zálohami a redundantnými zariadeniami potrebnými na splnenie povinností stanovených v článku 12.

Finančné subjekty pravidelne preskúmavajú svoju politiku kontinuity činností v oblasti IKT a plány reakcie a obnovy v oblasti IKT, pričom zohľadňujú výsledky testov vykonaných v súlade s prvým pododsekom a odporúčania vyplývajúce z audítorských kontrol alebo preskúmaní orgánmi dohľadu.

7.   Finančné subjekty iné než mikropodniky musia mať funkciu krízového riadenia, ktorá v prípade aktivácie ich plánov kontinuity činností v oblasti IKT alebo plánov reakcie a obnovy v oblasti IKT stanoví okrem iného jasné postupy riadenia vnútornej a vonkajšej krízovej komunikácie v súlade s článkom 14.

8.   Finančné subjekty vedú ľahko prístupné záznamy o činnostiach pred udalosťami narušenia a počas nich, keď sa aktivujú ich plány kontinuity činností v oblasti IKT alebo plány reakcie a obnovy v oblasti IKT.

9.   Centrálni depozitári cenných papierov poskytnú príslušným orgánom kópie výsledkov testov kontinuity činností v oblasti IKT alebo podobných cvičení.

10.   Finančné subjekty iné ako mikropodniky oznamujú príslušným orgánom na ich žiadosť odhad súhrnných ročných nákladov a strát spôsobených závažnými incidentmi súvisiacimi s IKT.

11.   V súlade s článkom 16 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1094/2010 a (EÚ) č. 1095/2010 európske orgány dohľadu prostredníctvom spoločného výboru do 17. júla 2024 vypracujú spoločné usmernenia o odhade súhrnných ročných nákladov a strát uvedených v odseku 10.

1.   Na účely zabezpečenia reštaurovania IKT systémov a údajov s minimálnym výpadkom, obmedzeným narušením a stratami finančné subjekty v rámci ich riadenia IKT rizika vypracujú a zdokumentujú:

2.   Finančné subjekty zriadia záložné systémy, ktoré možno aktivovať v súlade s politikami a postupmi zálohovania, ako aj postupmi a metódami reštaurovania a obnovy. Aktivácia záložných systémov nesmie ohroziť bezpečnosť sietí a informačných systémov ani dostupnosť, pravosť, integritu alebo dôvernosť údajov. Pravidelne sa vykonáva testovanie postupov zálohovania a postupov a metód reštaurovania a obnovy.

3.   Pri reštaurovaní záložných údajov pomocou vlastných systémov finančné subjekty používajú IKT systémy, ktoré sú fyzicky a logicky oddelené od zdrojového IKT systému. IKT systémy musia byť bezpečne chránené pred akýmkoľvek neoprávneným prístupom alebo poškodením IKT a podľa potreby umožňujú včasné reštaurovanie služieb využívajúcich údaje a zálohy systému.

V prípade centrálnych protistrán musia plány obnovy umožňovať obnovu všetkých transakcií v čase narušenia, aby centrálna protistrana mohla naďalej fungovať s istotou a aby vyrovnanie dokončila k plánovanému dátumu.

Poskytovatelia služieb vykazovania údajov okrem toho udržiavajú primerané zdroje a majú zavedené záložné zariadenia a zariadenia na reštaurovanie s cieľom neustále ponúkať a udržiavať svoje služby.

4.   Finančné subjekty iné ako mikropodniky udržiavajú redundantné IKT kapacity vybavené zdrojmi, spôsobilosťami a funkciami, ktoré sú dostatočné na zabezpečenie obchodných potrieb. Mikropodniky posudzujú potrebu udržiavať takéto redundantné IKT kapacity na základe svojho rizikového profilu.

5.   Centrálni depozitári cenných papierov udržiavajú aspoň jedno sekundárne miesto spracúvania vybavené dostatočnými zdrojmi, spôsobilosťami, funkciami a personálnym zabezpečením na zaistenie obchodných potrieb.

Sekundárne miesto spracúvania musí:

6.   Pri určovaní časových bodov obnovy a cieľov bodov obnovy pre každú funkciu finančné subjekty zohľadňujú, či ide o kritickú alebo dôležitú funkciu a potenciálny celkový vplyv na efektívnosť trhu. Takéto časové ciele zabezpečia, aby sa v extrémnych scenároch dosiahli dohodnuté úrovne služieb.

7.   Pri zotavovaní sa po incidente súvisiacom s IKT vykonávajú finančné subjekty potrebné kontroly vrátane akýchkoľvek viacnásobných kontrol a zosúhlasení s cieľom zabezpečiť zachovanie najvyššej úrovne integrity údajov. Tieto kontroly sa vykonávajú aj pri rekonštrukcii údajov od externých zainteresovaných strán s cieľom zabezpečiť konzistentnosť všetkých údajov medzi jednotlivými systémami.

1.   Finančné subjekty musia mať k dispozícii spôsobilosti a personál na zhromažďovanie informácií o zraniteľných miestach a kybernetických hrozbách, incidentoch súvisiacich s IKT, najmä kybernetických útokoch, a analyzovanie vplyvu, ktorý pravdepodobne majú na ich digitálnu prevádzkovú odolnosť.

2.   Finančné subjekty zavedú preskúmania realizované po incidentoch súvisiacich s IKT po tom, ako závažný incident súvisiaci s IKT narušil ich hlavné činnosti, pričom analyzujú príčiny narušenia a identifikujú požadované zlepšenia operácií IKT alebo zlepšenia v rámci politiky kontinuity činností v oblasti IKT uvedenej v článku 11.

Finančné subjekty iné ako mikropodniky na požiadanie oznámia príslušným orgánom zmeny, ktoré sa vykonali v nadväznosti na preskúmania realizované po incidentoch súvisiacich s IKT, ako sa uvádza v prvom pododseku.

V preskúmaniach realizovaných po incidentoch súvisiacich s IKT uvedených v prvom pododseku sa určí, či sa dodržali zavedené postupy a či boli prijaté opatrenia účinné, a to aj pokiaľ ide o:

3.   Poznatky získané z testovania digitálnej prevádzkovej odolnosti, ktoré sa vykonalo v súlade s článkami 26 a 27, a z reálnych incidentov súvisiacich s IKT, najmä kybernetických útokov, spolu s výzvami, ktorým sa čelilo po aktivácii plánov kontinuity činností v oblasti IKT a plánov reakcie a obnovy v oblasti IKT spolu s príslušnými informáciami vymieňanými s protistranami a posudzovanými počas preskúmaní orgánmi dohľadu, sa náležite a nepretržite začleňujú do procesu posudzovania IKT rizika. Uvedené zistenia sa premietnu do vhodných preskúmaní príslušných zložiek rámca riadenia IKT rizika uvedeného v článku 6 ods. 1.

4.   Finančné subjekty monitorujú účinnosť vykonávania svojej stratégie digitálnej prevádzkovej odolnosti stanovenej v článku 6 ods. 8 Mapujú vývoj v oblasti IKT rizika v priebehu času, analyzujú frekvenciu, druhy, rozsah a vývoj incidentov súvisiacich s IKT, najmä kybernetických útokov a ich spôsobov vedenia, s cieľom pochopiť úroveň vystavenia IKT riziku, najmä pokiaľ ide o kritické a dôležité funkcie, a zlepšiť kybernetickú vyspelosť a pripravenosť finančného subjektu.

5.   Vedúci pracovníci v oblasti IKT podávajú aspoň raz ročne riadiacemu orgánu správu o zisteniach uvedených v odseku 3 a predkladajú odporúčania.

6.   Finančné subjekty vypracujú programy zvyšovania informovanosti o bezpečnosti v oblasti IKT a školenia o digitálnej prevádzkovej odolnosti ako povinné moduly vo svojich systémoch školenia zamestnancov. Uvedené programy a školenia sa vzťahujú na všetkých zamestnancov a zamestnancov vrcholového manažmentu a majú takú úroveň zložitosti, ktorá zodpovedá rozsahu ich funkcií. Finančné subjekty v náležitých prípadoch zahrnú do svojich príslušných systémov školenia v súlade s článkom 30 ods. 2 písm. i) aj externých poskytovateľov IKT služieb.

7.   Finančné subjekty iné ako mikropodniky priebežne monitorujú príslušný technologický vývoj, a to aj s cieľom pochopiť možné vplyvy zavádzania takýchto nových technológií na bezpečnostné požiadavky v oblasti IKT a digitálnu prevádzkovú odolnosť. Musia držať krok s najnovšími procesmi riadenia IKT rizika s cieľom účinne bojovať proti súčasným alebo novým formám kybernetických útokov.

1.   Finančné subjekty majú ako súčasť rámca riadenia IKT rizika uvedeného v článku 6 ods. 1 zavedené krízové komunikačné plány, ktoré umožňujú zodpovedné zverejňovanie aspoň závažných incidentov súvisiacich s IKT alebo zraniteľných miest pre klientov a protistrany, ako aj pre verejnosť, podľa konkrétneho prípadu.

2.   Finančné subjekty vykonávajú ako súčasť rámca riadenia IKT rizika komunikačné politiky pre interných zamestnancov a externé zainteresované strany. V komunikačných politikách pre zamestnancov sa zohľadňuje potreba rozlišovať medzi zamestnancami, ktorí sú zapojení do riadenia IKT rizika, najmä pokiaľ ide o zamestnancov zodpovedných za reakciu a obnovu, a zamestnancami, ktorí musia byť informovaní.

3.   Aspoň jedna osoba vo finančnom subjekte musí byť poverená vykonávaním komunikačnej stratégie pre incidenty súvisiace s IKT a na tento účel plní funkciu styku s verejnosťou a médiami.

1.   Články 5 až 15 tohto nariadenia sa neuplatňujú na malé a neprepojené investičné spoločnosti, platobné inštitúcie vyňaté podľa smernice (EÚ) 2015/2366; inštitúcie vyňaté podľa smernice 2013/36/EÚ, v súvislosti s ktorými sa členské štáty rozhodli neuplatňovať možnosť uvedenú v článku 2 ods. 4 tohto nariadenia, inštitúcie elektronického peňažníctva vyňaté podľa smernice 2009/110/ES; a malé inštitúcie zamestnaneckého dôchodkového zabezpečenia.

Bez toho, aby bol dotknutý prvý pododsek subjekty uvedené v prvom pododseku:

2.   Rámec riadenia IKT rizika uvedený v odseku 1 druhom pododseku písm. a) sa pravidelne dokumentuje a preskúmava v prípade výskytu závažných incidentov súvisiacich s IKT v súlade s pokynmi orgánov dohľadu. Na základe skúseností získaných pri vykonávaní a monitorovaní sa rámec neustále vylepšuje. Správa o preskúmaní rámca riadenia IKT rizika sa predkladá príslušnému orgánu na jeho žiadosť.

3.   Európske orgány dohľadu prostredníctvom spoločného výboru a po konzultácii s agentúrou ENISA vypracujú spoločný návrh regulačných technických predpisov s cieľom:

Pri vypracúvaní uvedeného návrhu regulačných technických predpisov by európske orgány dohľadu mali zohľadniť veľkosť a celkový rizikový profil finančného subjektu, ako aj povahu, rozsah a zložitosť jeho služieb, činností a operácií.

Európske orgány dohľadu predložia uvedený návrh regulačných technických predpisov Komisii do 17. januára 2024.

Na Komisiu sa deleguje právomoc doplniť toto nariadenie prijatím regulačných technických predpisov uvedených v prvom pododseku v súlade s článkami 10 až 14 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1094/2010 a (EÚ) č. 1095/2010.

1.   Finančné subjekty vymedzia, zavedú a vykonávajú proces riadenia incidentov súvisiacich s IKT s cieľom odhaľovať, riadiť a oznamovať incidenty súvisiace s IKT.

2.   Finančné subjekty zaznamenávajú všetky incidenty súvisiace s IKT a významné kybernetické hrozby. Finančné subjekty stanovia vhodné postupy a procesy na zaistenie konzistentného a integrovaného monitorovania, riešenia a následných opatrení v prípade incidentov súvisiacich s IKT s cieľom zabezpečiť, aby sa hlavné príčiny identifikovali, zdokumentovali a riešili s cieľom zabrániť výskytu takýchto incidentov.

3.   V rámci procesu riadenia incidentov súvisiacich s IKT uvedeným v odseku 1 sa:

1.   Finančné subjekty klasifikujú incidenty súvisiace s IKT a určujú ich vplyv na základe týchto kritérií:

2.   Finančné subjekty klasifikujú kybernetické hrozby ako významné na základe kritickosti služieb vystavených riziku vrátane transakcií a operácií finančného subjektu, počtu a/alebo relevantnosti cieľových klientov alebo finančných protistrán a geografického rozloženia rizikových oblastí.

3.   Európske orgány dohľadu prostredníctvom spoločného výboru a po konzultácii s ECB a agentúrou ENISA vypracuje spoločný návrh regulačných technických predpisov s cieľom bližšie špecifikovať:

4.   Pri vypracúvaní spoločného návrhu regulačných technických predpisov uvedeného v odseku 3 tohto článku európske orgány dohľadu zohľadňujú kritériá uvedené v článku 4 ods. 2, ako aj medzinárodné normy, usmernenia a špecifikácie vypracované a uverejnené agentúrou ENISA vrátane prípadných špecifikácií pre iné hospodárske odvetvia. Na účely uplatňovania kritérií stanovených v článku 4 ods. 2 európske orgány dohľadu náležite zvážia potrebu, aby mikropodniky a malé a stredné podniky mobilizovali dostatočné zdroje a kapacity na zabezpečenie rýchleho riadenia incidentov súvisiacich s IKT.

Európske orgány dohľadu predložia uvedený návrh regulačných technických predpisov Komisii do 17. januára 2024.

Na Komisiu sa deleguje právomoc doplniť toto nariadenie prijatím regulačných technických predpisov uvedených v odseku 3 v súlade s článkami 10 až 14 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1094/2010 a (EÚ) č. 1095/2010.

1.   Finančné subjekty nahlasujú závažné incidenty súvisiace s IKT relevantnému príslušnému orgánu uvedenému v článku 46 v súlade s odsekom 4 tohto článku.

Ak finančný subjekt podlieha dohľadu viac ako jedného príslušného vnútroštátneho orgánu uvedeného v článku 46, členské štáty určia jediný príslušný orgán ako relevantný príslušný orgán zodpovedný za vykonávanie funkcií a povinností stanovených v tomto článku.

Úverové inštitúcie klasifikované ako významné v súlade s článkom 6 ods. 4 nariadenia (EÚ) č. 1024/2013 oznamujú závažné incidenty súvisiace s IKT relevantnému vnútroštátnemu príslušnému orgánu určenému v súlade s článkom 4 smernice 2013/36/EÚ, ktorý uvedenú správu bezodkladne zašle ECB.

Na účely prvého pododseku finančné subjekty vypracujú po získaní a analýze všetkých relevantných informácií počiatočné oznámenie a správy uvedené v odseku 4 tohto článku s použitím vzorov uvedených v článku 20 a predložia ich príslušnému orgánu. V prípade, že nie je technicky možné predložiť počiatočné oznámenia s použitím vzoru, finančné subjekty o tom informujú príslušný orgán alternatívnymi prostriedkami.

Počiatočné oznámenie a správy uvedené v odseku 4 obsahujú všetky informácie, ktoré príslušný orgán potrebuje na určenie významnosti závažného incidentu súvisiaceho s IKT a posúdenie možných cezhraničných vplyvov.

Bez toho, aby bolo dotknuté nahlasovanie podľa prvého pododseku zo strany finančného subjektu relevantnému príslušnému orgánu môžu členské štáty dodatočne stanoviť, aby niektoré alebo všetky finančné subjekty tiež poskytovali počiatočné oznámenie a každú správu uvedenú v odseku 4 tohto článku s použitím vzorov uvedených v článku 20 príslušným orgánom alebo jednotkami pre riešenie počítačových bezpečnostných incidentov (ďalej len „CSIRT“) určeným alebo zriadeným v súlade so smernicou (EÚ) 2022/2555.

2.   Finančné subjekty môžu dobrovoľne oznamovať významné kybernetické hrozby relevantnému príslušnému orgánu, ak sa domnievajú, že hrozba je relevantná pre finančný systém, používateľov služieb alebo klientov. Relevantný príslušný orgán môže poskytnúť takéto informácie iným relevantným orgánom uvedeným v odseku 6.

Úverové inštitúcie klasifikované ako významné v súlade s článkom 6 ods. 4 nariadenia (EÚ) č. 1024/2013 môžu dobrovoľne oznamovať významné kybernetické hrozby relevantnému vnútroštátnemu príslušnému orgánu určenému v súlade s článkom 4 smernice 2013/36/EÚ, ktorý oznámenie bezodkladne zašle ECB.

Členské štáty môžu určiť, že tie finančné subjekty, ktoré dobrovoľne oznamujú v súlade s prvým pododsekom, môžu uvedené oznámenie zaslať aj jednotkám CSIRT určeným alebo zriadeným v súlade so smernicou (EÚ) 2022/2555.

3.   Ak dôjde k závažnému incidentu súvisiacemu s IKT, ktorý má vplyv na finančné záujmy klientov, finančné subjekty bez zbytočného odkladu a čo najskôr po tom, ako o ňom nadobudli vedomosť, informujú svojich klientov o závažnom incidente súvisiacom s IKT a o opatreniach, ktoré boli prijaté na zmiernenie nepriaznivých účinkov takéhoto incidentu.

V prípade významnej kybernetickej hrozby finančné subjekty v náležitých prípadoch informujú svojich klientov, ktorí sú potenciálne dotknutí, o akýchkoľvek vhodných ochranných opatreniach, ktorých prijatie títo klienti môžu zvážiť.

4.   Finančné subjekty v lehotách, ktoré sa stanovia v súlade s článkom 20 prvým odsekom písm. a) bodom ii), predložia relevantnému príslušnému orgánu:

5.   Finančné subjekty môžu v súlade s odvetvovým právom Únie a vnútroštátnym odvetvovým právom zveriť nahlasovacie povinnosti podľa tohto článku externému poskytovateľovi služieb formou outsourcing. V prípade takéhoto outsourcingu je finančný subjekt naďalej plne zodpovedný za plnenie požiadaviek na nahlasovanie incidentov.

6.   Po prijatí počiatočného oznámenia a každej správy uvedenej v odseku 4 príslušný orgán včas poskytne podrobné údaje o závažnom incidente súvisiacom s IKT týmto príjemcom, a to náležite na základe ich príslušných právomocí:

7.   Po prijatí informácií v súlade s odsekom 6 EBA, ESMA alebo EIOPA a ECB po konzultácii s agentúrou ENISA a v spolupráci s relevantným príslušným orgánom posúdia, či je závažný incident súvisiaci s IKT relevantný pre príslušné orgány v iných členských štátoch. Po tomto posúdení EBA, ESMA alebo EIOPA čo najskôr náležite informujú relevantné príslušné orgány v iných členských štátoch. ECB informuje členov Európskeho systému centrálnych bánk o otázkach relevantných pre platobné systémy. Na základe uvedeného oznámenia príslušné orgány v relevantných prípadoch prijmú všetky nevyhnutné opatrenia s cieľom ochrániť bezprostrednú stabilitu finančného systému.

8.   Oznámením, ktoré má orgán ESMA vykonať podľa odseku 7 tohto článku, nie je dotknutá zodpovednosť príslušného orgánu bezodkladne zaslať podrobné údaje o závažnom incidente súvisiacom s IKT relevantnému orgánu v hostiteľskom členskom štáte, ak centrálny depozitár cenných papierov vykonáva významnú cezhraničnú činnosť v hostiteľskom členskom štáte, závažný incident súvisiaci s IKT bude mať pravdepodobne vážne dôsledky pre finančné trhy hostiteľského členského štátu a ak medzi príslušnými orgánmi existujú dohody o spolupráci týkajúce sa dohľadu nad finančnými subjektmi.

1.   Európske úrady dohľadu prostredníctvom spoločného výboru a po konzultácii s ECB a agentúrou ENISA vypracujú spoločnú správu, v ktorej posúdia uskutočniteľnosť ďalšej centralizácie nahlasovania incidentov pomocou zriadenia jednotného centra EÚ pre nahlasovanie závažných incidentov súvisiacich s IKT finančnými subjektmi. V spoločnej správe sa preskúmajú spôsoby, ako uľahčiť tok nahlasovania údajov o incidentoch súvisiacich s IKT, znížiť súvisiace náklady a podporiť tematické analýzy s cieľom posilniť konvergenciu dohľadu.

2.   Spoločná správa uvedená v odseku 1 obsahuje aspoň tieto prvky:

3.   Európske úrady dohľadu predložia správu uvedenú v odseku 1 Európskemu parlamentu, Rade a Komisii do 17. januára 2025.

1.   Bez toho, aby boli dotknuté technické vstupy, poradenstvo alebo nápravné opatrenia a následné úkony, ktoré jednotky CSIRT môžu v súlade s vnútroštátnym právom prípadne vykonať podľa smernice (EÚ) 2022/2555, príslušný orgán po prijatí počiatočného oznámenia a každej správy uvedenej v článku 19 ods. 4 potvrdí prijatie a v prípade, že je to uskutočniteľné, môže včas poskytnúť finančnému subjektu relevantnú a primeranú spätnú väzbu alebo usmernenie na vysokej úrovni, najmä sprístupnením akýchkoľvek relevantných anonymizovaných informácií a spravodajských informácií o podobných hrozbách, a môže prediskutovať nápravné opatrenia uplatnené na úrovni finančného subjektu a spôsoby minimalizovania a zmiernenia nepriaznivého vplyvu v celom finančnom sektore. Bez toho, aby bola dotknutá získaná spätná väzba orgánov dohľadu, finančné subjekty zostávajú plne zodpovedné za riešenie incidentov súvisiacich s IKT nahlásených podľa článku 19 ods. 1 a za ich dôsledky.

2.   Európske úrady dohľadu podávajú každoročne prostredníctvom spoločného výboru anonymizované a súhrnné správy o závažných incidentoch súvisiacich s IKT, o ktorých ich informovali príslušné orgány v súlade s článkom 19 ods. 6, pričom uvedú aspoň počet závažných incidentov súvisiacich s IKT, ich povahu a ich vplyv na operácie finančných subjektov alebo klientov, prijaté nápravné opatrenia a vzniknuté náklady.

Európske úrady dohľadu vydávajú varovania a vypracúvajú štatistiky na vysokej úrovni na podporu posudzovania hrozieb a zraniteľnosti IKT.

1.   Na účely posúdenia pripravenosti riešiť incidenty súvisiace s IKT, identifikácie slabých miest, nedostatkov a medzier v digitálnej prevádzkovej odolnosti a urýchleného vykonania nápravných opatrení finančné subjekty iné ako mikropodniky zriadia, udržiavajú a preskúmavajú spoľahlivý a komplexný program testovania digitálnej prevádzkovej odolnosti ako integrálnu súčasť rámca riadenia IKT rizika uvedeného v článku 6, pričom zohľadňujú kritériá stanovené v článku 4 ods. 2.

2.   Program na testovanie digitálnej prevádzkovej odolnosti zahŕňa celý rad posúdení, testov, metodík, postupov a nástrojov, ktoré sa majú uplatňovať v súlade s článkami 25 a 26.

3.   Pri vykonávaní programu testovania digitálnej prevádzkovej odolnosti uvedeného v odseku 1 tohto článku sa finančné subjekty iné ako mikropodniky riadia prístupom založeným na riziku, zohľadňujúc kritériá stanovené v článku 4 ods. 2, pričom náležite prihliadajú na vyvíjajúce sa prostredie IKT rizika, všetky špecifické riziká, ktorým je alebo by mohol byť dotknutý finančný subjekt vystavený, kritickosť informačných aktív a poskytovaných služieb, ako aj akýkoľvek iný faktor, ktorý finančný subjekt považuje za vhodný.

4.   Finančné subjekty iné ako mikropodniky zabezpečia, aby testy vykonávali nezávislé strany, či už interné alebo externé. Ak testy vykonáva interný testovací subjekt, finančné subjekty vyčlenia dostatočné zdroje a zabezpečia, aby sa vo fáze navrhovania a vykonávania testu zabránilo konfliktom záujmov.

5.   Finančné subjekty iné ako mikropodniky stanovia postupy a politiky na určenie priorít, klasifikáciu a nápravu všetkých problémov odhalených počas vykonávania testov a zavedú interné metodiky validácie s cieľom zabezpečiť úplné riešenie všetkých zistených slabých miest, nedostatkov a medzier.

6.   Finančné subjekty iné ako mikropodniky zabezpečia, aby sa aspoň raz ročne vykonávali vhodné testy všetkých IKT systémov a aplikácií podporujúcich kritické alebo dôležité funkcie.

1.   V rámci programu testovania digitálnej prevádzkovej odolnosti uvedeného v článku 24 sa v súlade s kritériami stanovenými v článku 4 ods. 2 zabezpečí vykonanie vhodných testov, ako sú posúdenia a vyhľadávania zraniteľnosti, analýzy otvorených zdrojov (analýzy open-source riešení), posúdenia bezpečnosti sietí, analýzy nedostatkov, preskúmania fyzickej bezpečnosti, dotazníky a skenovacie softvérové riešenia, preskúmania zdrojových kódov, ak je to možné, testy založené na konkrétnych scenároch, testovania kompatibility, testovania výkonnosti, testovania medzi koncovými bodmi (end-to-end testovania) a penetračné testovania.

2.   Centrálni depozitári cenných papierov a centrálne protistrany vykonávajú posúdenia zraniteľnosti pred akýmkoľvek nasadením alebo opätovným nasadením nových alebo existujúcich aplikácií a zložiek infraštruktúry a IKT služieb podporujúcich kritické alebo dôležité funkcie finančného subjektu.

3.   Mikropodniky vykonávajú testy uvedené v odseku 1 tak, že kombinujú prístup založený na riziku so strategickým plánovaním testovania IKT, pričom náležite zohľadňujú potrebu zachovať vyvážený prístup medzi rozsahom zdrojov a časom, ktorý sa má venovať testovaniu IKT stanovenému v tomto článku, na jednej strane a naliehavosťou, typom rizika, kritickosťou informačných aktív a poskytovaných služieb, ako aj akýmkoľvek iným relevantným faktorom vrátane schopnosti finančného subjektu podstupovať predvídané riziká na strane druhej.

1.   Finančné subjekty iné ako subjekty uvedené v článku 16 ods. 1 prvom pododseku a iné ako mikropodniky, ktoré sú identifikované v súlade s odsekom 8 tretím pododsekom tohto článku, vykonávajú aspoň každé tri roky pokročilé testovanie prostredníctvom TLPT. Na základe rizikového profilu finančného subjektu a s prihliadnutím na prevádzkové okolnosti môže príslušný orgán v prípade potreby požiadať finančný subjekt o zníženie alebo zvýšenie tejto frekvencie.

2.   Každý penetračný test na základe konkrétnej hrozby zahŕňa viaceré alebo všetky kritické alebo dôležité funkcie finančného subjektu a vykonáva sa na živých produkčných systémoch podporujúcich takéto funkcie.

Finančné subjekty identifikujú všetky relevantné podkladové IKT systémy, procesy a technológie podporujúce kritické alebo dôležité funkcie a všetky relevantné IKT služby vrátane tých, ktoré podporujú kritické alebo dôležité funkcie, ktoré sú externe zabezpečované formou outsourcingu alebo zmluvne dohodnuté s externým poskytovateľom IKT služieb.

Finančné subjekty posúdia, na ktoré kritické alebo dôležité funkcie, sa TLPT musí vzťahovať. Výsledok tohto posúdenia určí presný rozsah TLPT a validujú ho príslušné orgány.

3.   Ak sú externí poskytovatelia IKT služieb zahrnutí do rozsahu pôsobnosti TLPT, finančný subjekt prijme potrebné opatrenia a záruky na zabezpečenie účasti takýchto externých poskytovateľov IKT služieb na TLPT a vždy si ponechá plnú zodpovednosť za zabezpečenie súladu s týmto nariadením.

4.   Bez toho, aby bol dotknutý odsek 2 prvý a druhý pododsek, ak sa opodstatnene očakáva, že účasť externého poskytovateľa IKT služieb na TLPT uvedenom v odseku 3, by mala nepriaznivý vplyv na kvalitu alebo bezpečnosť služieb, ktoré externý poskytovateľ IKT služieb poskytuje zákazníkom, ktorí sú subjektmi, na ktoré sa toto nariadenie nevzťahuje, alebo na dôvernosť údajov súvisiacich s takýmito službami, finančný subjekt a externý poskytovateľ IKT služieb sa môžu písomne dohodnúť, že externý poskytovateľ IKT služieb priamo vstúpi do zmluvných dojednaní s externým testovacím subjektom na účely vykonania združeného TLPT riadeného jedným určeným finančným subjektom, ktoré zahŕňa niekoľko finančných subjektov (ďalej len „združené testovanie“), ktorým externý poskytovateľ IKT služieb poskytuje IKT služby.

Toto združené testovanie sa vzťahuje na príslušnú škálu IKT služieb podporujúcich kritické alebo dôležité funkcie, v súvislosti s ktorými finančné subjekty uzavreli zmluvy s príslušným externým poskytovateľom IKT služieb. Združené testovanie sa považuje za TLPT vykonané finančnými subjektmi, ktoré sa zúčastňujú na združenom testovaní.

Počet finančných subjektov zúčastňujúcich sa na združenom testovaní sa náležite kalibruje s prihliadnutím na zložitosť a typy príslušných služieb.

5.   Finančné subjekty v spolupráci s externými poskytovateľmi IKT služieb a inými zainteresovanými stranami vrátane testovacích subjektov, ale s výnimkou príslušných orgánov, uplatňujú účinné kontroly riadenia rizík s cieľom zmierniť riziká akéhokoľvek potenciálneho vplyvu na údaje, poškodenie aktív a narušenie kritických alebo dôležitých funkcií, služieb alebo operácií samotného finančného subjektu, jeho protistrán alebo finančného sektora.

6.   Na konci testovania po schválení správ a plánov nápravy finančný subjekt a v náležitých prípadoch externé testovacie subjekty poskytnú orgánu určenému v súlade s odsekom 9 alebo 10 zhrnutie príslušných zistení, plány nápravy a dokumentáciu preukazujúcu, že TLPT bolo vykonané v súlade s požiadavkami.

7.   Orgány poskytnú finančným subjektom osvedčenie potvrdzujúce, že test bol vykonaný v súlade s požiadavkami uvedenými v dokumentácii, aby mohli príslušné orgány tieto penetračné testy na základe konkrétnej hrozby navzájom uznávať. Finančný subjekt oznámi osvedčenie, zhrnutie relevantných zistení a plány nápravy relevantnému príslušnému orgánu.

Bez toho, aby bolo dotknuté takéto osvedčenie, finančné subjekty zostávajú vždy plne zodpovedné za dôsledky testov uvedených v odseku 4.

8.   Finančné subjekty uzatvárajú zmluvy s testovacími subjektmi na účely vykonávania TLPT v súlade s článkom 27. Ak finančné subjekty využívajú interné testovacie subjekty na účely vykonávania TLPT, uzatvoria zmluvu s externými testovacími subjektmi po každom treťom testovaní.

Úverové inštitúcie, ktoré sú klasifikované ako významné v súlade s článkom 6 ods. 4 nariadenia (EÚ) č. 1024/2013, využívajú len externé testovacie subjekty v súlade s článkom 27 ods. 1 písm. a) až e).

Príslušné orgány určia finančné subjekty, od ktorých sa vyžaduje vykonávanie TLPT, pričom zohľadnia kritériá stanovené v článku 4 ods. 2, a to na základe posúdenia:

9.   Členské štáty môžu určiť jeden verejný orgán vo finančnom sektore, ktorý bude zodpovedný za záležitosti súvisiace s TLPT vo finančnom sektore na vnútroštátnej úrovni, a poveria ho všetkými právomocami a úlohami na tento účel.

10.   Ak neexistuje určenie v súlade s odsekom 9 tohto článku a bez toho, aby bola dotknutá právomoc identifikovať finančné subjekty, od ktorých sa vyžaduje, aby vykonávali TLPT, príslušný orgán môže delegovať vykonávanie niektorých alebo všetkých úloh uvedených v tomto článku a článku 27 na iný vnútroštátny orgán vo finančnom sektore.

11.   Európske orgány dohľadu po dohode s ECB vypracujú spoločný návrh regulačných technických predpisov v súlade s rámcom TIBER–EU s cieľom bližšie špecifikovať:

Pri vypracúvaní tohto návrhu regulačných technických predpisov európske orgány dohľadu náležite zohľadnia všetky špecifické aspekty vyplývajúce z odlišnej povahy činností v rôznych sektoroch finančných služieb.

Európske orgány dohľadu predložia uvedený návrh regulačných technických predpisov Komisii do 17. júla 2024.

Na Komisiu sa deleguje právomoc doplniť toto nariadenie prijatím regulačných technických predpisov uvedených v prvom pododseku v súlade s článkami 10 až 14 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1094/2010 a (EÚ) č. 1095/2010.

1.   Finančné subjekty využívajú na vykonávanie TLPT iba testovacie subjekty, ktoré:

2.   Ak využívajú interné testovacie subjekty, finančné subjekty musia zabezpečiť, aby okrem požiadaviek v odseku 1, boli splnené aj tieto podmienky:

3.   Finančné subjekty zabezpečia, aby sa v zmluvách uzavretých s externými testovacími subjektmi vyžadovalo správne riadenie výsledkov TLPT a aby akékoľvek spracúvanie z toho vyplývajúcich údajov vrátane akéhokoľvek generovania, uchovávania, agregácie, navrhovania, podávania správ, komunikácie alebo likvidácie nevytváralo pre finančný subjekt riziká.

1.   Finančné subjekty riadia externé IKT riziko ako integrálnu súčasť IKT rizika v medziach svojho rámca riadenia IKT rizika, ako je uvedené v článku 6 ods. 1, a v súlade s týmito zásadami:

2.   Finančné subjekty iné ako subjekty uvedené v článku 16 ods. 1 prvom pododseku a iné ako mikropodniky prijmú a pravidelne preskúmavajú stratégiu týkajúcu sa externého IKT rizika ako súčasť svojho rámca riadenia IKT rizika, pričom v náležitých prípadoch zohľadnia stratégiu viacerých dodávateľov uvedenú v článku 6 ods. 9 Stratégia týkajúca sa externého IKT rizika zahŕňa politiku využívania IKT služieb podporujúcich kritické alebo dôležité funkcie poskytované externými poskytovateľmi IKT služieb a uplatňuje sa na individuálnom, a v relevantných prípadoch na subkonsolidovanom a konsolidovanom základe. Riadiaci orgán na základe posúdenia celkového rizikového profilu finančného subjektu a rozsahu a zložitosti obchodných služieb pravidelne preskúmava riziká identifikované v súvislosti so zmluvnými dojednaniami o využívaní IKT služieb podporujúcich kritické alebo dôležité funkcie.

3.   Finančné subjekty ako súčasť svojho rámca riadenia IKT rizika vedú a aktualizujú na úrovni subjektu, ako aj na subkonsolidovanej a konsolidovanej úrovni register informácií v súvislosti so všetkými zmluvnými dojednaniami o využívaní IKT služieb poskytovaných externými poskytovateľmi IKT služieb.

Zmluvné dojednania uvedené v prvom pododseku musia byť náležite zdokumentované, pričom sa rozlišuje medzi tými, ktoré sa vzťahujú na IKT služby podporujúce kritické alebo dôležité funkcie, a tými, ktoré sa na ne nevzťahujú.

Finančné subjekty aspoň raz ročne nahlasujú príslušným orgánom počet nových dojednaní o využívaní IKT služieb, kategórie externých poskytovateľov IKT služieb, druh zmluvných dojednaní a poskytované IKT služby a funkcie.

Finančné subjekty sprístupnia príslušnému orgánu na jeho žiadosť úplný register informácií alebo na požiadanie jeho konkrétne oddiely spolu so všetkými informáciami, ktoré sa považujú za potrebné na umožnenie účinného dohľadu nad finančným subjektom.

Finančné subjekty včas informujú príslušný orgán o každom plánovanom zmluvnom dojednaní o využívaní IKT služieb podporujúcich kritické alebo dôležité funkcie, ako aj o tom, kedy sa funkcia stala kritickou alebo dôležitou.

4.   Pred uzavretím zmluvného dojednania o využívaní IKT služieb finančné subjekty:

5.   Finančné subjekty môžu uzatvárať zmluvné dojednania len s externými poskytovateľmi IKT služieb, ktorí spĺňajú primerané normy v oblasti informačnej bezpečnosti. V prípade, že sa uvedené zmluvné dojednania týkajú kritických alebo dôležitých funkcií, finančné subjekty pred uzatvorením dojednaní náležite zohľadnia, ako externí poskytovatelia IKT služieb využívajú najaktuálnejšie a najprísnejšie normy kvality v oblasti informačnej bezpečnosti.

6.   Pri vykonávaní práv na prístup, inšpekciu a audit, pokiaľ ide o externého poskytovateľa IKT služieb, finančné subjekty na základe prístupu založeného na riziku vopred určia frekvenciu auditov a inšpekcií, ako aj oblasti, v ktorých sa má audit vykonať dodržiavaním všeobecne akceptovaných audítorských štandardov v súlade s akýmikoľvek pokynmi orgánov dohľadu o používaní a začlenení týchto audítorských štandardov.

V prípade, že zmluvné dojednania o využívaní IKT služieb uzatvorené s externými poskytovateľmi IKT služieb so sebou prinášajú vysokú technickú zložitosť, finančný subjekt overí, či audítori, a to interní alebo externí, alebo združenie audítorov, majú primerané zručnosti a znalosti na účinné vykonávanie príslušných auditov a posúdení.

7.   Finančné subjekty zabezpečia, aby sa zmluvné dojednania o využívaní IKT služieb mohli ukončiť za ktorýchkoľvek z týchto okolností:

8.   Pokiaľ ide o IKT služby podporujúce kritické alebo dôležité funkcie, finančné subjekty zavedú stratégie ukončenia angažovanosti. Stratégie ukončenia angažovanosti zohľadňujú riziká, ktoré môžu vzniknúť na úrovni externých poskytovateľov IKT služieb, najmä ich možné zlyhanie, zhoršenie kvality poskytovaných IKT služieb, akékoľvek narušenie obchodnej činnosti v dôsledku neprimeraného alebo neúspešného poskytovania IKT služieb alebo akéhokoľvek závažného rizika vyplývajúceho z primeraného a nepretržitého využívania príslušnej IKT služby, alebo v prípade ukončenia zmluvných dojednaní s externými poskytovateľmi IKT služieb za akýchkoľvek okolností uvedených v odseku 7.

Finančné subjekty zabezpečia, aby mohli ukončiť zmluvné dojednania bez:

Plány ukončenia angažovanosti musia byť komplexné, zdokumentované a v súlade s kritériami stanovenými v článku 4 ods. 2 dostatočne otestované a pravidelne preskúmavané.

Finančné subjekty určia alternatívne riešenia a vypracujú plány transformácie, ktoré im umožnia odstrániť zmluvne dohodnuté IKT služby a príslušné údaje od externého poskytovateľa IKT služieb a bezpečne a úplne ich preniesť na alternatívnych poskytovateľov alebo ich opätovne začleniť medzi interne zabezpečované funkcie.

Finančné subjekty majú zavedené primerané pohotovostné opatrenia na zachovanie kontinuity činností v prípade okolností uvedených v prvom pododseku.

9.   Európske orgány dohľadu vypracujú prostredníctvom spoločného výboru návrh vykonávacích technických predpisov na stanovenie štandardných vzorov na účely registra informácií uvedeného v odseku 3 vrátane informácií, ktoré sú spoločné pre všetky zmluvné dojednania o využívaní IKT služieb. Európske orgány dohľadu predložia uvedený návrh vykonávacích technických predpisov Komisii do 17. januára 2024.

Komisii sa udeľuje právomoc prijať vykonávacie technické predpisy uvedené v prvom pododseku v súlade s článkom 15 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1094/2010 a (EÚ) č. 1095/2010.

10.   Európske orgány dohľadu prostredníctvom spoločného výboru vypracujú návrh regulačných technických predpisov s cieľom bližšie špecifikovať podrobný obsah politiky uvedenej v odseku 2 v súvislosti so zmluvnými dojednaniami o využívaní IKT služieb podporujúcich kritické alebo dôležité funkcie, ktoré poskytujú externí poskytovatelia IKT služieb.

Európske orgány dohľadu pri vypracúvaní tohto návrhu regulačných technických predpisov zohľadňujú veľkosť a celkový rizikový profil finančného subjektu, ako aj povahu, rozsah a zložitosť jeho služieb, činností a operácií. Európske orgány dohľadu predložia uvedený návrh regulačných technických predpisov Komisii do 17. januára 2024.

Na Komisiu sa deleguje právomoc doplniť toto nariadenie prijatím regulačných technických predpisov uvedených v prvom pododseku v súlade s článkami 10 až 14 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1094/2010 a (EÚ) č. 1095/2010.

1.   Pri vykonávaní identifikácie a posudzovania rizík uvedených v článku 28 ods. 4 písm. c) finančné subjekty zohľadňujú aj to, či by plánované uzavretie zmluvného dojednania v súvislosti s IKT službami podporujúcimi kritické alebo dôležité funkcie viedlo k niektorej z týchto skutočností:

Finančné subjekty zvážia prínosy a náklady alternatívnych riešení, ako je využívanie rôznych externých poskytovateľov IKT služieb, a súčasne zohľadnia, či a ako plánované riešenia zodpovedajú obchodným potrebám a cieľom stanoveným v ich stratégii digitálnej odolnosti.

2.   Ak zmluvné dojednania o využívaní IKT služieb podporujúcich kritické alebo dôležité funkcie zahŕňajú možnosť, že externý poskytovateľ IKT služieb ďalej subdodávateľsky zabezpečí IKT služby podporujúce kritickú alebo dôležitú funkciu iným externým poskytovateľom IKT služieb, finančné subjekty zvážia prínosy a riziká, ktoré môžu vzniknúť v súvislosti s takýmto subdodávateľským zabezpečením, najmä v prípade subdodávateľa IKT usadeného v tretej krajine.

Ak sa zmluvné dojednania týkajú IKT služieb podporujúcich kritické alebo dôležité funkcie, finančné subjekty náležite zohľadnia ustanovenia insolvenčného práva, ktoré by sa uplatnili v prípade konkurzu externého poskytovateľa IKT služieb, ako aj akékoľvek obmedzenia, ktoré môžu vzniknúť v súvislosti s naliehavým obnovením údajov finančného subjektu.

Ak sa zmluvné dojednania o využívaní IKT služieb podporujúcich kritické alebo dôležité funkcie uzatvoria s externým poskytovateľom IKT služieb usadeným v tretej krajine, finančné subjekty okrem aspektov uvedených v druhom pododseku zvážia aj súlad s pravidlami Únie v oblasti ochrany údajov a účinné presadzovanie práva v tejto tretej krajine.

Ak zmluvné dojednania o využívaní IKT služieb podporujúcich kritické alebo dôležité funkcie umožňujú využívanie subdodávateľských vzťahov, finančné subjekty posúdia, či a ako môžu potenciálne dlhé alebo zložité subdodávateľské reťazce ovplyvniť ich schopnosť plne monitorovať zmluvne dohodnuté funkcie a schopnosť príslušného orgánu účinne vykonávať dohľad nad finančným subjektom v tejto súvislosti.

1.   Práva a povinnosti finančného subjektu a externého poskytovateľa IKT služieb sa jasne pridelia a stanovia písomne. Úplná zmluva zahŕňa dohody o úrovni poskytovaných služieb a zdokumentuje sa v jednom písomnom dokumente, ktorý majú zmluvné strany k dispozícii v papierovej forme, alebo v dokumente v inom stiahnuteľnom, trvalom a prístupnom formáte.

2.   Zmluvné dojednania o využívaní IKT služieb zahŕňajú aspoň tieto prvky:

3.   Zmluvné dojednania o využívaní IKT služieb podporujúcich kritické alebo dôležité funkcie zahŕňajú okrem prvkov uvedených v odseku 2 aspoň tieto prvky:

Odchylne od písmena e) sa externý poskytovateľ IKT služieb a finančný subjekt, ktorý je mikropodnikom, môžu dohodnúť, že práva finančného subjektu na prístup, inšpekciu a audit možno delegovať na nezávislú tretiu stranu, ktorú určí externý poskytovateľ IKT služieb, a že finančný subjekt môže kedykoľvek od tretej strany požadovať informácie a uistenie o výkonnosti externého poskytovateľa IKT služieb.

4.   Pri rokovaniach o zmluvných dojednaniach finančné subjekty a externí poskytovatelia IKT služieb zvážia použitie štandardných zmluvných doložiek vypracovaných verejnými orgánmi pre konkrétne služby.

5.   Európske orgány dohľadu prostredníctvom spoločného výboru vypracujú návrh regulačných technických predpisov s cieľom bližšie špecifikovať prvky uvedené v odseku 2 písm. a), ktoré musí finančný subjekt určiť a posúdiť pri využívaní subdodávateľov v prípade IKT služieb podporujúcich kritické alebo dôležité funkcie.

Pri vypracúvaní uvedeného návrhu regulačných technických predpisov by Európske orgány dohľadu mali zohľadniť veľkosť a celkový rizikový profil finančného subjektu, ako aj povahu, rozsah a zložitosť jeho služieb, činností a operácií.

Európske orgány dohľadu predložia uvedený návrh regulačných technických predpisov Komisii do 17. júla 2024.

Na Komisiu sa deleguje právomoc doplniť toto nariadenie prijatím regulačných technických predpisov uvedených v prvom pododseku v súlade s článkami 10 až 14 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1094/2010 a (EÚ) č. 1095/2010.

1.   Európske orgány dohľadu prostredníctvom spoločného výboru a na základe odporúčania fóra pre dozor zriadeného podľa článku 32 ods. 1:

2.   Určenie uvedené v odseku 1 písm. a) vychádza v súvislosti s IKT službami poskytovanými externým poskytovateľom IKT služieb zo všetkých týchto kritérií:

3.   Ak externý poskytovateľ IKT služieb patrí do skupiny, kritériá uvedené v odseku 2 sa zohľadňujú vo vzťahu k IKT službám, ktoré poskytuje skupina ako celok.

4.   Kritickí externí poskytovatelia IKT služieb, ktorí sú súčasťou skupiny, určia jednu právnickú osobu ako koordinačné miesto na zabezpečenie primeraného zastúpenia a komunikácie s hlavným orgánom dozoru.

5.   Hlavný orgán dozoru oznámi externému poskytovateľovi IKT služieb výsledok posúdenia vedúceho k určeniu uvedenému v odseku 1 písm. a). Do šiestich týždňov od dátumu oznámenia môže externý poskytovateľ IKT služieb predložiť hlavnému orgánu dozoru odôvodnené vyhlásenie so všetkými relevantnými informáciami na účely posúdenia. Hlavný orgán dozoru zváži odôvodnené vyhlásenie a môže požiadať o predloženie dodatočných informácií do 30 kalendárnych dní od prijatia takéhoto vyhlásenia.

Po určení externého poskytovateľa IKT služieb za kritického európske orgány dohľadu prostredníctvom spoločného výboru oznámia externému poskytovateľovi IKT služieb takéto určenie a dátum, od ktorého bude skutočne podliehať činnostiam dozoru. Uvedený počiatočný dátum nesmie byť neskôr ako jeden mesiac po oznámení. Externý poskytovateľ IKT služieb oznámi finančným subjektom, ktorým poskytuje služby, že bol určený ako kritický.

6.   Komisia je splnomocnená prijať delegovaný akt v súlade s článkom 57 na doplnenie tohto nariadenia bližšou špecifikáciou kritérií uvedených v odseku 2 tohto článku do 17. júla 2024.

7.   Určenie uvedené v odseku 1 písm. a) sa nepoužije dovtedy, kým Komisia neprijme delegovaný akt v súlade s odsekom 6.

8.   Určenie uvedené v odseku 1 písm. a) sa nevzťahuje na:

9.   Európske orgány dohľadu prostredníctvom spoločného výboru vypracujú, uverejnia a každoročne aktualizujú zoznam kritických externých poskytovateľov IKT služieb na úrovni Únie.

10.   Na účely odseku 1 písm. a) príslušné orgány každoročne a súhrnne zasielajú správy uvedené v článku 28 ods. 3 treťom pododseku fóru pre dozor zriadenému podľa článku 32. Fórum pre dozor posudzuje externé závislosti finančných subjektov v oblasti IKT na základe informácií získaných od príslušných orgánov.

11.   Externí poskytovatelia IKT služieb, ktorí nie sú zahrnutí v zozname uvedenom v odseku 9, môžu požiadať, aby boli určení ako kritickí v súlade s odsekom 1 písm. a).

Na účely prvého pododseku externý poskytovateľ IKT služieb predloží odôvodnenú žiadosť orgánom EBA, ESMA alebo EIOPA, ktoré prostredníctvom spoločného výboru rozhodnú o tom, či určiť tohto externého poskytovateľa IKT služieb ako kritického v súlade s odsekom 1 písm. a).

Rozhodnutie uvedené v druhom pododseku sa prijme a oznámi externému poskytovateľovi IKT služieb do šiestich mesiacov od prijatia žiadosti.

12.   Finančné subjekty využívajú služby externého poskytovateľa IKT služieb usadeného v tretej krajine, ktorý bol určený ako kritický v súlade s odsekom 1 písm. a), len ak tento poskytovateľ založil dcérsky podnik v Únii do 12 mesiacov od určenia.

13.   Kritický externý poskytovateľ IKT služieb uvedený v odseku 12 oznámi hlavnému orgánu dozoru všetky zmeny v štruktúre riadenia dcérskeho podniku usadeného v Únii.

1.   Spoločný výbor v súlade s článkom 57 ods. 1 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1094/2010 a (EÚ) č. 1095/2010 zriadi fórum pre dozor ako podvýbor na účely podpory práce spoločného výboru a hlavného orgánu dozoru uvedeného v článku 31 ods. 1 písm. b) v oblasti externého IKT rizika vo všetkých finančných sektoroch. Fórum pre dozor pripravuje návrhy spoločných pozícií a návrhy spoločných aktov spoločného výboru v tejto oblasti.

Fórum pre dozor pravidelne rokuje o relevantnom vývoji v oblasti IKT rizika a zraniteľných miest a podporuje konzistentný prístup pri monitorovaní externého IKT rizika na úrovni Únie.

2.   Fórum pre dozor vykonáva každoročne kolektívne posudzovanie výsledkov a zistení činností dozoru vykonávaných v prípade všetkých kritických externých poskytovateľov IKT služieb a podporuje koordinačné opatrenia s cieľom zvyšovať digitálnu prevádzkovú odolnosť finančných subjektov, podporovať najlepšie postupy týkajúce sa riešenia rizika koncentrácie IKT a skúmať zmierňujúce faktory v prípade medzisektorových presunov rizika.

3.   Fórum pre dozor predkladá komplexné referenčné hodnoty týkajúce sa kritických externých poskytovateľov IKT služieb, ktoré má spoločný výbor prijať ako spoločné pozície Európskych orgánov dohľadu v súlade s článkom 56 ods. 1 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1094/2010 a (EÚ) č. 1095/2010.

4.   Fórum pre dohľad má toto zloženie:

Fórum pre dozor môže v náležitých prípadoch požiadať o radu nezávislých expertov vymenovaných v súlade s odsekom 6.

5.   Každý členský štát určí relevantný príslušný orgán, ktorého zamestnanec bude zástupcom na vysokej úrovni uvedeným v odseku 4 prvom pododseku písm. b), a informuje o tom hlavný orgán dozoru.

Európske orgány dohľadu uverejnia na svojom webovom sídle zoznam zástupcov na vysokej úrovni zo súčasných zamestnancov príslušného orgánu určených členskými štátmi.

6.   Nezávislých expertov uvedených v odseku 4 druhom pododseku vymenúva fórum pre dozor zo skupiny expertov vybraných na základe verejného a transparentného postupu podávania žiadostí.

Nezávislí experti sú vymenovaní na základe svojich odborných znalostí v oblasti finančnej stability, digitálnej prevádzkovej odolnosti a otázok bezpečnosti IKT. Konajú nezávisle a objektívne a výhradne v záujme Únie ako celku a nepožadujú ani neprijímajú pokyny od inštitúcií alebo orgánov Únie, od žiadnej vlády členského štátu ani od akýchkoľvek iných verejných alebo súkromných subjektov.

7.   V súlade s článkom 16 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1094/2010 a (EÚ) č. 1095/2010 európske orgány dohľadu do 17. júla 2024 vydajú na účely tohto oddielu usmernenia o spolupráci medzi európskymi orgánmi dohľadu a príslušnými orgánmi týkajúce sa podrobných postupov a podmienok rozdelenia a vykonávania úloh medzi príslušnými orgánmi a európskymi orgánmi dohľadu a podrobností o výmene informácií, ktoré príslušné orgány potrebujú na zabezpečenie dodržiavania odporúčaní podľa článku 35 ods. 1 písm. d) určených kritickým externým poskytovateľom IKT služieb.

8.   Požiadavkami stanovenými v tomto oddiele nie je dotknuté uplatňovanie smernice (EÚ) 2022/2555 ani iných pravidiel Únie o dozore, ktoré sa vzťahujú na poskytovateľov služieb cloud computingu.

9.   Európske orgány dohľadu prostredníctvom spoločného výboru a na základe prípravných prác, ktoré vykonáva fórum pre dozor, každoročne predkladajú Európskemu parlamentu, Rade a Komisii správu o uplatňovaní tohto oddielu.

1.   Hlavný orgán dozoru vymenovaný v súlade s článkom 31 ods. 1 písm. b) vykonáva dozor nad pridelenými kritickými externými poskytovateľmi IKT služieb a na účely všetkých záležitostí týkajúcich sa dozoru je hlavným kontaktným miestom pre týchto kritických externých poskytovateľov IKT služieb.

2.   Na účely odseku 1 hlavný orgán dozoru posudzuje, či každý kritický externý poskytovateľ IKT služieb zaviedol komplexné, riadne a účinné pravidlá, postupy, mechanizmy a opatrenia na riadenie IKT rizika, ktoré kritický externý poskytovateľ IKT služieb môže predstavovať pre finančné subjekty.

Posúdenie uvedené v prvom pododseku sa zameriava najmä na IKT služby, ktoré poskytuje kritický externý poskytovateľ IKT služieb, podporujúce kritické alebo dôležité funkcie finančných subjektov. Ak je to potrebné na riešenie všetkých relevantných rizík, uvedené posúdenie sa vzťahuje aj na IKT služby podporujúce funkcie, ktoré nie sú kritické alebo dôležité.

3.   Posúdenie uvedené v odseku 2 zahŕňa:

4.   Na základe posúdenia uvedeného v odseku 2 a v koordinácii so spoločnou sieťou dozoru uvedenou v článku 34 ods. 1 hlavný orgán dozoru prijme jasný, podrobný a odôvodnený individuálny plán dozoru opisujúci ročné ciele dozoru a hlavné opatrenia dozoru plánované pre každého kritického externého poskytovateľa IKT služieb. Uvedený plán sa každoročne oznamuje kritickému externému poskytovateľovi IKT služieb.

Pred prijatím plánu dozoru hlavný orgán dozoru oznámi návrh plánu dozoru kritickému externému poskytovateľovi IKT služieb.

Po doručení návrhu plánu dozoru môže kritický externý poskytovateľ IKT služieb do 15 kalendárnych dní predložiť odôvodnené vyhlásenie, v ktorom preukáže očakávaný vplyv na zákazníkov, ktorí sú subjektmi, ktoré nepatria do rozsahu pôsobnosti tohto nariadenia, a v náležitých prípadoch vypracuje riešenia na zmiernenie rizík.

5.   Keď sa ročné plány dozoru uvedené v odseku 4 prijmú a oznámia kritickým externým poskytovateľom IKT služieb, príslušné orgány môžu prijať opatrenia týkajúce sa takýchto kritických externých poskytovateľov IKT služieb len po dohode s hlavným orgánom dozoru.

1.   S cieľom zabezpečiť jednotný prístup k činnostiam dozoru a s cieľom umožniť koordinované stratégie všeobecného dozoru a súdržné operatívne prístupy a pracovné metodiky tri hlavné orgány dozoru vymenované v súlade s článkom 31 ods. 1 písm. b) zriadia spoločnú sieť dozoru na vzájomnú koordináciu v prípravných fázach a koordináciu vykonávania činností dozoru nad ich príslušnými kritickými externými poskytovateľmi IKT služieb, nad ktorými vykonávajú dozor, ako aj koordináciu počas akéhokoľvek postupu, ktorý môže byť potrebný podľa článku 42.

2.   Na účely odseku 1 hlavné orgány dozoru vypracujú spoločný protokol o dozore, v ktorom sa stanovia podrobné postupy, ktoré sa majú dodržiavať pri vykonávaní každodennej koordinácie a na zabezpečenie rýchlych výmen a reakcií. Protokol sa pravidelne reviduje s cieľom zohľadniť operatívne potreby, najmä vývoj praktických opatrení dozoru.

3.   Hlavné orgány dozoru môžu ad hoc vyzvať ECB a agentúru ENISA, aby poskytli technické poradenstvo, vymieňali si praktické skúsenosti alebo sa zapojili do konkrétnych koordinačných zasadnutí spoločnej siete dozoru.

1.   Hlavný orgán dozoru má na účely plnenia povinností stanovených v tomto oddiele tieto právomoci, pokiaľ ide o kritických externých poskytovateľov IKT služieb:

2.   Hlavný orgán dozoru pri výkone právomocí uvedených v tomto článku:

3.   Hlavný orgán dozoru konzultuje fórum pre dozor pred vykonávaním právomocí uvedených v odseku 1.

Pred adresovaním odporúčaní v súlade s odsekom 1 písm. d) hlavný orgán dozoru poskytne externému poskytovateľovi IKT služieb príležitosť predložiť do 30 kalendárnych dní relevantné informácie preukazujúce očakávaný vplyv na zákazníkov, ktorí sú subjektmi, ktoré nepatria do rozsahu pôsobnosti tohto nariadenia, a v náležitých prípadoch vypracuje riešenia na zmiernenie rizík.

4.   Hlavný orgán dozoru informuje spoločnú sieť dozoru o výsledku výkonu právomocí uvedených v odseku 1 písm. a) a b). Hlavný orgán dozoru bez zbytočného odkladu postúpi správy uvedené v odseku 1 písm. c) spoločnej sieti dozoru a príslušným orgánom finančných subjektov využívajúcich IKT služby daného kritického externého poskytovateľa IKT služieb.

5.   Kritickí externí poskytovatelia IKT služieb spolupracujú v dobrej viere s hlavným orgánom dozoru a pomáhajú mu pri plnení jeho úloh.

6.   Hlavný orgán dozoru v prípade úplného alebo čiastočného nedodržiavania opatrení, ktorých prijatie sa vyžaduje na základe výkonu právomocí podľa odseku 1 písm. a), b a c), a po uplynutí lehoty najmenej 30 kalendárnych dní odo dňa, keď bolo kritickému externému poskytovateľovi IKT služieb doručené oznámenie o príslušných opatreniach, prijme rozhodnutie, ktorým sa ukladá pravidelná platba penále s cieľom prinútiť kritického externého poskytovateľa IKT služieb, aby uvedené opatrenia dodržiaval.

7.   Pravidelná platba penále uvedená v odseku 6 sa ukladá za každý deň až do dosiahnutia súladu a nie dlhšie ako šesť mesiacov po oznámení rozhodnutia o uložení pravidelnej platby penále kritickému externému poskytovateľovi IKT služieb.

8.   Výška pravidelnej platby penále vypočítaná od dátumu stanoveného v rozhodnutí, ktorým sa ukladá pravidelná platba penále, predstavuje najviac 1 % priemerného denného celosvetového obratu kritického externého poskytovateľa IKT služieb v predchádzajúcom finančnom roku. Hlavný orgán dozoru pri určovaní výšky penále zohľadní tieto kritériá týkajúce sa nedodržania opatrení uvedených v odseku 6:

Na účely prvého pododseku sa hlavný orgán dozoru v záujme zabezpečenia jednotného prístupu zapája do konzultácií v rámci spoločnej siete dozoru.

9.   Platba penále je administratívnej povahy a je vymáhateľná. Vymáhanie sa riadi platnými predpismi občianskeho práva procesného členského štátu, na území ktorého sa inšpekcie a prístup uskutočňujú. Súdy dotknutého členského štátu majú právomoc rozhodovať o sťažnostiach týkajúcich sa protiprávneho výkonu vymáhania. Platby penále sa odvádzajú do všeobecného rozpočtu Európskej únie.

10.   Hlavný orgán dozoru zverejňuje verejnosti všetky pravidelné platby penále, ktoré boli uložené, pokiaľ ich zverejnenie vážne neohrozuje finančné trhy alebo nespôsobuje neprimeranú škodu zúčastneným stranám.

11.   Pred uložením pravidelnej platby penále podľa odseku 6 hlavný orgán dozoru poskytne zástupcom kritického externého poskytovateľa IKT služieb, voči ktorému sa vedie konanie, príležitosť vyjadriť sa k zisteniam a pri svojich rozhodnutiach vychádza len zo zistení, ku ktorým mal kritický externý poskytovateľ IKT služieb, voči ktorému sa vedie konanie, možnosť vyjadriť sa.

Právo na obhajobu osôb, voči ktorým sa vedie konanie, sa počas konania plne rešpektuje. Kritický externý poskytovateľ IKT služieb, voči ktorému sa vedie konanie, má právo na prístup k spisu s výhradou oprávnených záujmov iných osôb na ochranu ich obchodného tajomstva. Právo na prístup k spisu sa nevzťahuje na dôverné informácie alebo interné prípravné dokumenty hlavného orgánu dozoru.

1.   Ak ciele dozoru nemožno dosiahnuť prostredníctvom interakcie s dcérskym podnikom založeným na účely článku 31 ods. 12 alebo vykonávaním činností dozoru v priestoroch nachádzajúcich sa v Únii, hlavný orgán dozoru môže vykonávať právomoci uvedené v nasledujúcich ustanoveniach, v akýchkoľvek priestoroch nachádzajúcich sa v tretej krajine, ktoré vlastní alebo akýmkoľvek spôsobom používa na účely poskytovania služieb finančným subjektom Únie kritický externý poskytovateľ IKT služieb v súvislosti so svojimi obchodnými operáciami, funkciami alebo službami vrátane akýchkoľvek administratívnych, obchodných alebo prevádzkových úradov, priestorov, pozemkov, budov alebo iných nehnuteľností:

Právomoci uvedené v prvom pododseku sa môžu vykonávať za predpokladu, že sú splnené všetky tieto podmienky:

2.   Bez toho, aby boli dotknuté príslušné právomoci inštitúcií Únie a členských štátov, na účely odseku 1 EBA, ESMA alebo EIOPA uzatvoria dohody o administratívnej spolupráci s príslušným orgánom tretej krajiny s cieľom umožniť plynulé vykonávanie inšpekcií v dotknutej tretej krajine hlavným orgánom dozoru a jeho tímom určeným na jeho misiu v danej tretej krajine. Uvedenými dohodami o spolupráci sa pre Úniu a jej členské štáty nevytvárajú právne záväzky ani sa členským štátom a ich príslušným orgánom nebráni uzatvárať dvojstranné alebo viacstranné dohody s týmito tretími krajinami a ich príslušnými orgánmi.

V uvedených dohodách o spolupráci sa stanovia aspoň tieto prvky:

3.   Ak hlavný orgán dozoru nie je schopný vykonávať činnosti dozoru mimo Únie uvedené v odsekoch 1 a 2, hlavný orgán dozoru:

Potenciálne dôsledky uvedené v písmene b) tohto odseku sa zohľadnia v odporúčaniach hlavného orgánu dozoru vydaných podľa článku 35 ods. 1 písm. d).

1.   Hlavný orgán dozoru môže jednoduchou žiadosťou alebo rozhodnutím požadovať od kritických externých poskytovateľov IKT služieb, aby poskytli všetky informácie, ktoré hlavný orgán dozoru potrebuje na vykonávanie svojich povinností podľa tohto nariadenia, vrátane všetkých príslušných obchodných alebo prevádzkových dokumentov, zmlúv, politík, dokumentácie, audítorských správ o bezpečnosti IKT, správ o incidentoch súvisiacich s IKT, ako aj akýchkoľvek informácií týkajúcich sa strán, prostredníctvom ktorých na základe outsourcingu kritický externý poskytovateľ IKT služieb zabezpečuje prevádzkové funkcie alebo činnosti.

2.   Pri zasielaní jednoduchej žiadosti o informácie podľa odseku 1 hlavný orgán dozoru:

3.   Pri žiadosti o poskytnutie informácií podľa odseku 1 na základe rozhodnutia hlavný orgán dozoru:

4.   Zástupcovia kritického externého poskytovateľa IKT služieb poskytujú požadované informácie. Riadne splnomocnení právnici môžu poskytovať informácie v mene svojich klientov. Za poskytnutie neúplných, nesprávnych alebo zavádzajúcich informácií ostávajú plne zodpovední kritickí externí poskytovatelia IKT služieb.

5.   Hlavný orgán dozoru bezodkladne zašle kópiu rozhodnutia o poskytnutí informácií príslušným orgánom finančných subjektov využívajúcich služby relevantných kritických externých poskytovateľov IKT služieb a spoločnej sieti dozoru.

1.   Ak je to potrebné, hlavný orgán dozoru, ktorému pomáha spoločný prieskumný tím uvedený v článku 40 ods. 1, môže na účely plnenia svojich povinností podľa tohto nariadenia vykonávať vyšetrovania kritických externých poskytovateľov IKT služieb.

2.   Hlavný orgán dozoru je oprávnený:

3.   Úradníci a iné osoby poverené hlavným orgánom dozoru na účely vyšetrovania uvedeného v odseku 1 vykonávajú svoje právomoci na základe písomného poverenia, v ktorom je uvedený predmet a účel vyšetrovania.

V uvedenom poverení sa takisto upozorní na pravidelné platby penále stanovené v článku 35 ods. 6, ak poskytnuté požadované záznamy, údaje, zdokumentované postupy alebo akékoľvek iné materiály, alebo odpovede na otázky položené zástupcom externého poskytovateľa IKT služieb nie sú poskytnuté alebo sú neúplné.

4.   Zástupcovia kritických externých poskytovateľov IKT služieb sú povinní podrobiť sa vyšetrovaniu na základe rozhodnutia hlavného orgánu dozoru. V rozhodnutí sa uvádza predmet a dôvod vyšetrovania, pravidelné platby penále stanovené v článku 35 ods. 6, opravné prostriedky dostupné na základe nariadení (EÚ) č. 1093/2010, (EÚ) č. 1094/2010 a (EÚ) č. 1095/2010, ako aj právo požiadať o preskúmanie rozhodnutia Súdnym dvorom.

5.   Hlavný orgán dozoru informuje v primeranom čase pred začatím vyšetrovania príslušné orgány finančných subjektov využívajúcich IKT služby kritického externého poskytovateľa IKT služieb o plánovanom vyšetrovaní a o totožnosti poverených osôb.

Hlavný orgán dozoru oznámi spoločnej sieti dozoru všetky informácie zaslané podľa prvého pododseku.

1.   Na účely vykonávania svojich povinnosti podľa tohto nariadenia môže hlavný orgán dozoru za pomoci spoločných prieskumných tímov uvedených v článku 40 ods. 1 vykonávať všetky potrebné inšpekcie na mieste, pokiaľ ide o akékoľvek obchodné priestory, pozemky alebo majetok externých poskytovateľov IKT služieb, ako sú napríklad ústredia, prevádzkové strediská, vedľajšie priestory, a vstupovať do týchto priestorov, na pozemky alebo do majetku, ako aj vykonávať všetky potrebné inšpekcie na diaľku.

Na účely vykonávania právomocí uvedených v prvom pododseku vedie hlavný orgán dozoru konzultácie so spoločnou sieťou dozoru.

2.   Úradníci a ostatné osoby oprávnené hlavným orgánom dozoru vykonať inšpekciu na mieste majú právomoc:

Úradníci a ostatné osoby oprávnené hlavným orgánom dozoru vykonávajú svoje právomoci na základe písomného poverenia, v ktorom sa uvádza predmet a účel inšpekcie a pravidelné platby penále stanovené v článku 35 ods. 6, ak sa zástupcovia dotknutých kritických externých poskytovateľov IKT služieb nepodrobia inšpekcii.

3.   Hlavný orgán dozoru informuje v primeranom čase pred začatím inšpekcie príslušné orgány finančných subjektov využívajúcich tohto externého poskytovateľa IKT služieb.

4.   Inšpekcie sa vzťahujú na celú škálu relevantných IKT systémov, sietí, zariadení, informácií a údajov, ktoré sa používajú na poskytovanie IKT služieb finančným subjektom alebo k nemu prispievajú.

5.   Pred každou plánovanou inšpekciou na mieste hlavný orgán dozoru primerane informuje kritických externých poskytovateľov IKT služieb s výnimkou prípadu, keď takéto informovanie nie je možné z dôvodu núdzovej alebo krízovej situácie, alebo ak by to viedlo k situácii, keď by inšpekcia alebo audit už neboli účinné.

6.   Kritický externý poskytovateľ IKT služieb sa podrobí inšpekciám na mieste nariadeným na základe rozhodnutia hlavného orgánu dozoru. V rozhodnutí sa uvádza predmet a účel inšpekcie, stanoví sa v ňom dátum, kedy inšpekcia začne, a upozorní sa na pravidelné platby penále stanovené v článku 35 ods. 6, opravné prostriedky dostupné na základe nariadení (EÚ) č. 1093/2010, (EÚ) č. 1094/2010 a (EÚ) č. 1095/2010, ako aj na právo požiadať o preskúmanie rozhodnutia Súdnym dvorom.

7.   Ak úradníci a iné osoby poverené hlavným orgánom dozoru zistia, že kritický externý poskytovateľ IKT služieb sa bráni inšpekcii nariadenej podľa tohto článku, hlavný orgán dozoru informuje kritického externého poskytovateľa IKT služieb o dôsledkoch takéhoto správania vrátane možnosti, aby príslušné orgány relevantných finančných subjektov vyžadovali od finančných subjektov, aby ukončili zmluvné dojednania uzavreté s týmto kritickým externým poskytovateľom IKT služieb.

1.   Pri vykonávaní činností dozoru, najmä všeobecných vyšetrovaní alebo inšpekcií, pomáha hlavnému orgánu dozoru spoločný prieskumný tím zriadený pre každého kritického externého poskytovateľa IKT služieb.

2.   Spoločný prieskumný tím uvedený v odseku 1 sa skladá zo zamestnancov:

Členovia spoločného prieskumného tímu musia mať odborné znalosti v oblasti IKT záležitostí a prevádzkového rizika. Prácu spoločného prieskumného tímu koordinuje určený zamestnanec hlavného orgánu dozoru (ďalej len „koordinátor hlavného orgánu dozoru“).

3.   Hlavný orgán dozoru po konzultácii s fórom pre dozor prijme do troch mesiacov od ukončenia vyšetrovania alebo inšpekcie odporúčania, ktoré sa majú adresovať kritickému externému poskytovateľovi IKT služieb v súlade s právomocami uvedenými v článku 35.

4.   Odporúčania uvedené v odseku 3 sa okamžite oznámia kritickému externému poskytovateľovi IKT služieb a príslušným orgánom finančných subjektov, ktorým tento kritický externý poskytovateľ IKT služieb poskytuje IKT služby.

Hlavný orgán dozoru môže na účely plnenia činností dozoru zohľadniť akékoľvek príslušné certifikácie tretej strany a správy o internom alebo externom audite IKT tretej strany, ktoré sprístupnil kritický externý poskytovateľ IKT služieb.

1.   Európsky orgán dohľadu vypracujú prostredníctvom spoločného výboru návrh regulačných technických predpisov s cieľom upresniť:

2.   Európske orgány dohľadu predložia uvedený návrh regulačných technických predpisov Komisii do 17. júla 2024.

Na Komisiu sa deleguje právomoc doplniť toto nariadenie prijatím regulačných technických predpisov uvedených v odseku 1 v súlade postupmi stanovenými v článkoch 10 až 14 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1094/2010 a (EÚ) č. 1095/2010.

1.   Do 60 kalendárnych dní od prijatia odporúčaní vydaných hlavným orgánom dozoru podľa článku 35 ods. 1 písm. d) kritickí externí poskytovatelia IKT služieb oznámia hlavnému orgánu dozoru, že majú v úmysle postupovať podľa týchto odporúčaní, alebo poskytnú odôvodnené vysvetlenie, ak podľa týchto odporúčaní postupovať nebudú. Hlavný orgán dozoru okamžite postúpi tieto informácie príslušným orgánom dotknutých finančných subjektov.

2.   Hlavný orgán dozoru zverejní verejnosti, ak kritický externý poskytovateľ IKT služieb neinformuje hlavný orgán dozoru v súlade s odsekom 1 alebo ak sa vysvetlenie, ktoré poskytol kritický externý poskytovateľ IKT služieb, nepovažuje za dostatočné. V uverejnených informáciách sa uvedie totožnosť kritického externého poskytovateľa IKT služieb, ako aj informácie o druhu a povahe nesúladu. Takéto informácie sa obmedzujú na to, čo je relevantné a primerané na účely zabezpečenia informovanosti verejnosti, s výnimkou situácie, keď by takéto uverejnenie spôsobilo neprimeranú škodu zúčastneným stranám alebo by mohlo vážne ohroziť riadne fungovanie a integritu finančných trhov alebo stabilitu celého finančného systému Únie alebo jeho časti.

Hlavný orgán dozoru informuje externého poskytovateľa IKT služieb o tomto zverejnení.

3.   Príslušné orgány informujú relevantné finančné subjekty o rizikách identifikovaných v odporúčaniach adresovaných kritickým externým poskytovateľom IKT služieb v súlade s článkom 35 ods. 1 písm. d).

Pri riadení externého IKT rizika finančné subjekty zohľadňujú riziká uvedené v prvom pododseku.

4.   Ak sa príslušný orgán domnieva, že finančný subjekt v rámci svojho riadenia externého IKT rizika nezohľadňuje alebo dostatočne nerieši špecifické riziká identifikované v odporúčaniach, oznámi finančnému subjektu možnosť prijatia rozhodnutia podľa odseku 6 do 60 kalendárnych dní od prijatia takého oznámenia, ak neexistujú primerané zmluvné dojednania zamerané na riešenie takýchto rizík.

5.   Po doručení správ uvedených v článku 35 ods. 1 písm. c) a pred prijatím rozhodnutia ako sa uvádza v odseku 6 tohto článku môžu príslušné orgány dobrovoľne konzultovať s príslušnými orgánmi určenými alebo zriadenými v súlade so smernicou (EÚ) 2022/2555, ktoré sú zodpovedné za dohľad nad kľúčovým alebo dôležitým subjektom, na ktorý sa vzťahuje uvedená smernica, ktorý bol určený ako kritický externý poskytovateľ IKT služieb.

6.   Príslušné orgány môžu ako krajné opatrenie, v nadväznosti na oznámenie a prípadne po konzultácii, ako sa stanovuje v odsekoch 4 a 5 tohto článku, v súlade s článkom 50 prijať rozhodnutie, ktorým sa od finančných subjektov požaduje, aby čiastočne alebo úplne dočasne pozastavili používanie alebo zavádzanie služby, ktorú poskytuje kritický externý poskytovateľ IKT služieb, a to dovtedy, pokiaľ sa nevyriešia riziká identifikované v odporúčaniach, ktoré boli adresované kritickým externým poskytovateľom IKT služieb. Príslušné orgány môžu v prípade potreby od finančných subjektov požadovať, aby čiastočne alebo úplne ukončili príslušné zmluvné dojednania uzavreté s kritickými externými poskytovateľmi IKT služieb.

7.   Ak kritický externý poskytovateľ IKT služieb odmietne súhlasiť s odporúčaniami na základe odlišného prístupu od prístupu odporúčaného hlavným orgánom dozoru a takýto odlišný prístup môže mať nepriaznivý vplyv na veľký počet finančných subjektov alebo významnú časť finančného sektora a individuálne varovania vydané príslušnými orgánmi neviedli ku konzistentným prístupom zmierňujúcim potenciálne riziko pre finančnú stabilitu, hlavný orgán dozoru môže po konzultácii s fórom pre dozor vydať nezáväzné a neverejné stanoviská pre príslušné orgány s cieľom podporiť konzistentné a konvergentné následné opatrenia dohľadu, podľa toho, ako je to vhodné.

8.   Na základe doručenia správ uvedených v článku 35 ods. 1 písm. c) príslušné orgány pri prijímaní rozhodnutí uvedených v odseku 6 tohto článku zohľadňujú druh a rozsah rizika, ktoré kritický externý poskytovateľ IKT služieb nerieši, ako aj závažnosť nedodržiavania odporúčaní, a to so zreteľom na tieto kritériá:

Príslušné orgány poskytnú finančným subjektom lehotu potrebnú na to, aby mohli upraviť zmluvné dojednania s kritickými externými poskytovateľmi IKT služieb s cieľom zabrániť škodlivým účinkom na ich digitálnu prevádzkovú odolnosť a umožniť im zaviesť stratégie ukončenia angažovanosti a plány transformácie ako sa uvádza v článku 28.

9.   Rozhodnutie uvedené v odseku 6 tohto článku sa oznámi členom fóra pre dozor uvedeným v článku 32 ods. 4 písm. a), b) a c) a spoločnej sieti dozoru.

Kritickí externí poskytovatelia IKT služieb, ktorých sa týkajú rozhodnutia stanovené v odseku 6, plne spolupracujú s dotknutými finančnými subjektmi, najmä v kontexte procesu pozastavenia alebo ukončenia ich zmluvných dojednaní.

10.   Príslušné orgány pravidelne informujú hlavné orgány dozoru o prístupoch a opatreniach prijatých v rámci ich úloh dohľadu vo vzťahu k finančným subjektom, ako aj o zmluvných dojednaniach uzavretých finančnými subjektmi, ak kritickí externí poskytovatelia IKT služieb čiastočne alebo úplne nesúhlasili s im adresovanými odporúčaniami hlavného orgánu dozoru.

11.   Hlavný orgán dozoru môže na požiadanie poskytnúť ďalšie objasnenia odporúčaní vydaných s cieľom usmerniť príslušné orgány v súvislosti s následnými opatreniami.

1.   Hlavný orgán dozoru účtuje v súlade s delegovaným aktom uvedeným v odseku 2 tohto článku kritickým externým poskytovateľom IKT služieb poplatky, ktoré v plnej miere pokrývajú nevyhnutné výdavky hlavného orgánu dozoru v súvislosti s vykonávaním úloh dozoru podľa tohto nariadenia, vrátane úhrady všetkých nákladov, ktoré môžu vzniknúť v dôsledku práce vykonanej spoločným prieskumným tímom uvedeným v článku 40, ako aj nákladov na poradenstvo poskytnuté nezávislými expertmi, ako sa uvádza v článku 32 ods. 4 druhom pododseku, v súvislosti so záležitosťami, ktoré patria do pôsobnosti priamych činností dozoru.

Výška poplatku účtovaného kritickému externému poskytovateľovi IKT služieb pokrýva všetky náklady vyplývajúce z vykonávania povinností stanovených v tomto oddiele a je úmerná jeho obratu.

2.   Komisia je splnomocnená prijať do 17. júla 2024 delegovaný akt v súlade s článkom 57 s cieľom doplniť toto nariadenie určením výšky poplatkov a spôsobu ich úhrady.

1.   Bez toho, aby bol dotknutý článok 36, orgány EBA, ESMA a EIOPA môžu v súlade s článkom 33 nariadení (EÚ) č. 1093/2010, (EÚ) č. 1095/2010 a (EÚ) č. 1094/2010 uzatvárať administratívne dojednania s regulačnými orgánmi a orgánmi dohľadu tretích krajín s cieľom posilniť medzinárodnú spoluprácu v oblasti externého IKT rizika v rôznych finančných sektoroch, a to najmä vypracovaním najlepších postupov na preskúmanie postupov a kontrol riadenia IKT rizika, zmierňujúcich opatrení a reakcií na incidenty.

2.   Európske orgány dohľadu predkladajú prostredníctvom spoločného výboru každých päť rokov Európskemu parlamentu, Rade a Komisii spoločnú dôvernú správu, v ktorej zhrnú zistenia príslušných diskusií s orgánmi tretích krajín uvedenými v odseku 1, pričom sa zamerajú na vývoj externého IKT rizika a dôsledky pre finančnú stabilitu, integritu trhu, ochranu investorov a fungovanie vnútorného trhu.

1.   Finančné subjekty si môžu medzi sebou vymieňať informácie a spravodajské informácie o kybernetických hrozbách vrátane ukazovateľov ohrozenia, taktík, techník a postupov, kybernetických bezpečnostných varovaní a konfiguračných nástrojov v takom rozsahu, aby sa takáto výmena informácií a spravodajských informácií:

2.   Na účely odseku 1 písm. c) sa v dojednaniach o výmene informácií vymedzia podmienky účasti a podľa vhodnosti sa v nich stanovia podrobnosti o zapojení verejných orgánov a rozsah, v ktorom sa tieto orgány môžu pridružiť k dojednaniam o výmene informácií, o zapojení externých poskytovateľov IKT služieb a o prevádzkových prvkoch vrátane využívania špecializovaných platforiem IT.

3.   Finančné subjekty oznámia príslušným orgánom svoju účasť na dojednaniach o výmene informácií uvedených v odseku 1 po potvrdení svojho členstva alebo prípadne ukončenie svojho členstva, keď nadobudne účinnosť.

1.   S cieľom podporiť spoluprácu a umožniť výmenu informácií v oblasti dohľadu medzi príslušnými orgánmi určenými podľa tohto nariadenia a skupinou pre spoluprácu zriadenou článkom 14 smernice (EÚ) 2022/2555 sa môžu európske orgány dohľadu a príslušné orgány zúčastňovať na činnostiach skupiny pre spoluprácu v prípade záležitostí, ktoré sa týkajú ich činností súvisiacich s finančnými subjektmi. Európske orgány dohľadu a príslušné orgány môžu požiadať, aby boli prizvané zúčastniť sa na činnostiach skupiny pre spoluprácu v prípade záležitostí, ktoré sa týkajú kľúčových alebo dôležitých subjektov, na ktoré sa vzťahuje uvedená smernica (EÚ) 2022/2555, ktoré boli zároveň určené ako kritickí externí poskytovatelia IKT služieb podľa článku 31 tohto nariadenia.

2.   Ak je to vhodné, príslušné orgány môžu konzultovať a zdieľať informácie s jednotnými kontaktnými miestami a jednotkami CSIRT určenými alebo zriadenými v súlade so smernicou (EÚ) 2022/2555.

3.   Ak je to vhodné, príslušné orgány môžu požiadať o akékoľvek relevantné technické poradenstvo a pomoc zo strany príslušných orgánov určených alebo stanovených v súlade so smernicou (EÚ) 2022/2555 a stanoviť dojednania v oblasti spolupráce s cieľom umožniť zriadenie účinných a rýchlo reagujúcich koordinačných mechanizmov.

4.   V dojednaniach uvedených v odseku 3 tohto článku sa môžu okrem iného upresniť postupy koordinácie činností dohľadu a dozoru vo vzťahu ku kľúčovým alebo dôležitým subjektom, na ktoré sa vzťahuje smernica (EÚ) 2022/2555, ktoré boli určené ako kritickí externí poskytovatelia IKT služieb podľa článku 31 tohto nariadenia, vrátane vedenia vyšetrovaní a inšpekcií na mieste v súlade s vnútroštátnym právom, ako aj mechanizmov výmeny informácií medzi príslušnými orgánmi podľa tohto nariadenia a príslušnými orgánmi určenými alebo zriadenými v súlade s uvedenou smernicou, čo zahŕňa prístup k informáciám požadovaným príslušnými orgánmi určenými alebo zriadenými v súlade s uvedenou smernicou.

1.   Príslušné orgány úzko spolupracujú vzájomne a v náležitých prípadoch s hlavným orgánom dozoru.

2.   Príslušné orgány a hlavný orgán dozoru si včas navzájom vymieňajú všetky relevantné informácie týkajúce sa kritických externých poskytovateľov IKT služieb, ktoré sú pre nich potrebné na plnenie ich príslušných povinností podľa tohto nariadenia, najmä v súvislosti so zistenými rizikami, prístupmi a opatreniami prijatými v rámci úloh hlavného orgánu dozoru v oblasti dozoru.

1.   Európske orgány dohľadu môžu prostredníctvom spoločného výboru a v spolupráci s príslušnými orgánmi, vnútroštátnymi orgánmi pre riešenie krízových situácií uvedenými v článku 3 smernice 2014/59/EÚ, ECB, Jednotnou radou pre riešenie krízových situácií, pokiaľ ide o informácie týkajúce sa subjektov, ktoré patria do rozsahu pôsobnosti nariadenia (EÚ) č. 806/2014, výborom ESRB a agentúrou ENISA, podľa toho, ktorý z týchto subjektov je relevantný, vytvoriť mechanizmy, ktoré umožnia výmenu účinných postupov vo finančných sektoroch s cieľom zlepšiť situačnú informovanosť a identifikovať spoločné kybernetické zraniteľné miesta a riziká naprieč sektormi.

Môžu vypracovať cvičenia týkajúce sa krízového riadenia a aj krízových udalostí zahŕňajúce scenáre kybernetického útoku, aby sa vyvinuli komunikačné kanály a postupne umožnila účinná koordinovaná reakcia na úrovni Únie v prípade závažného cezhraničného incidentu súvisiaceho s IKT alebo súvisiacej hrozby majúcej systémový vplyv na finančný sektor Únie ako celok.

Týmito cvičeniami sa náležite môžu takisto testovať závislosti finančného sektora od ostatných hospodárskych odvetví.

2.   Príslušné orgány, európske orgány dohľadu a ECB navzájom úzko spolupracujú a vymieňajú si informácie na plnenie svojich povinností podľa článkov 47 až 54. Úzko koordinujú dohľad, ktorý vykonávajú, s cieľom identifikovať a odstrániť porušenia tohto nariadenia, rozvíjať a podporovať najlepšie postupy, uľahčovať spoluprácu, posilňovať jednotnosť výkladu a v prípade akýchkoľvek sporov vykonávať posúdenia na základe viacerých jurisdikcií.

1.   Príslušné orgány musia mať všetky potrebné právomoci v oblasti dohľadu, vyšetrovania a ukladania sankcií na zabezpečenie uplatňovania tohto nariadenia.

2.   Právomoci uvedené v odseku 1 zahŕňajú aspoň tieto právomoci:

3.   Bez toho, aby bolo dotknuté právo členských štátov ukladať trestnoprávne sankcie v súlade s článkom 52, členské štáty stanovia pravidlá, ktorými sa zavádzajú primerané administratívne sankcie a nápravné opatrenia za porušenia tohto nariadenia, a zabezpečia ich účinné vykonávanie.

Tieto sankcie a opatrenia musia byť účinné, primerané a odrádzajúce.

4.   Členské štáty udelia príslušným orgánom právomoc uplatňovať aspoň tieto administratívne sankcie alebo nápravné opatrenia za porušenia tohto nariadenia:

5.   Ak sa odsek 2 písm. c) a odsek 4 vzťahujú na právnické osoby, členské štáty udelia príslušným orgánom právomoc uplatňovať administratívne sankcie a nápravné opatrenia, s výhradou podmienok stanovených vo vnútroštátnom práve, voči členom riadiaceho orgánu a voči ďalším osobám, ktoré sú podľa vnútroštátneho práva zodpovedné za porušenie.

6.   Členské štáty zabezpečia, aby každé rozhodnutie o uložení administratívnych sankcií alebo nápravných opatrení stanovených v odseku 2 písm. c) bolo riadne odôvodnené a podliehalo právu odvolať sa.

1.   Príslušné orgány vykonávajú právomoc ukladať administratívne sankcie a nápravné opatrenia uvedené v článku 50 v súlade so svojimi vnútroštátnymi právnymi rámcami, ak je to vhodné, týmto spôsobom:

2.   Pri určovaní druhu a úrovne administratívnej sankcie alebo nápravného opatrenia, ktoré sa majú uložiť podľa článku 50, príslušné orgány zohľadňujú rozsah, v ktorom je porušenie úmyselné alebo vyplýva z nedbanlivosti, a všetky iné relevantné okolnosti, a to aj, ak je to relevantné:

1.   Členské štáty sa môžu rozhodnúť, že nestanovia pravidlá týkajúce sa administratívnych sankcií alebo nápravných opatrení za porušenia, na ktoré sa podľa ich vnútroštátneho práva vzťahujú trestnoprávne sankcie.

2.   Ak sa členské štáty rozhodli, že stanovia trestnoprávne sankcie za porušenia tohto nariadenia, zabezpečia zavedenie primeraných opatrení, aby príslušné orgány mali všetky právomoci potrebné na spoluprácu so súdnymi orgánmi, orgánmi prokuratúry alebo trestnoprávnymi orgánmi v rámci ich jurisdikcie na získanie konkrétnych informácií týkajúcich sa vyšetrovaní trestných činov alebo konaní začatých v prípade porušení tohto nariadenia a na poskytovanie rovnakých informácií ostatným príslušným orgánom, ako aj orgánom EBA, ESMA alebo EIOPA, aby si splnili povinnosť spolupracovať na účely tohto nariadenia.

1.   Príslušné orgány uverejnia na svojich oficiálnych webových sídlach bez zbytočného odkladu každé rozhodnutie o uložení administratívnej sankcie, proti ktorému nie je možné podať odvolanie po tom, ako bol adresát sankcie informovaný o tomto rozhodnutí.

2.   Uverejnenie uvedené v odseku 1 musí obsahovať informácie o druhu a povahe porušenia, o totožnosti zodpovedných osôb a o uložených sankciách.

3.   Ak sa príslušný orgán po individuálnom posúdení domnieva, že zverejnenie totožnosti v prípade právnických osôb alebo totožnosti a osobných údajov v prípade fyzických osôb by bolo neprimerané, vrátane rizika súvisiaceho s ochranou osobných údajov, ohrozilo by stabilitu finančných trhov alebo prebiehajúce vyšetrovanie trestného činu, alebo by spôsobilo dotknutej osobe neprimeranú škodu, pokiaľ túto možno určiť, prijme v súvislosti s rozhodnutím o uložení administratívnej sankcie jedno z týchto riešení:

4.   V prípade rozhodnutia uverejniť administratívnu sankciu alebo iné opatrenie anonymne podľa odseku 3 písm. b) možno uverejnenie príslušných informácií odložiť.

5.   Ak príslušný orgán uverejní rozhodnutie o uložení administratívnej sankcie, voči ktorému sa podalo odvolanie na príslušné súdne orgány, príslušné orgány okamžite uvedú na svojom oficiálnom webovom sídle túto informáciu a neskôr akékoľvek následné informácie o výsledku takéhoto odvolania. Takisto sa uverejní každé súdne rozhodnutie o zrušení rozhodnutia o uložení administratívnej sankcie.

6.   Príslušné orgány zabezpečia, aby akékoľvek informácie uverejnené v súlade s odsekmi 1 až 4 zostali na ich oficiálnych webových sídlach len kým je to potrebné na uplatnenie tohto článku. Toto obdobie nesmie presiahnuť päť rokov po uverejnení.

1.   Na všetky dôverné informácie prijaté, vymieňané alebo prenášané podľa tohto nariadenia sa vzťahujú podmienky služobného tajomstva stanovené v odseku 2.

2.   Povinnosť zachovávania služobného tajomstva sa vzťahuje na všetky osoby, ktoré pracujú alebo pracovali pre príslušné orgány podľa tohto nariadenia, alebo pre akýkoľvek orgán alebo trhový podnik alebo fyzickú alebo právnickú osobu, na ktoré tieto príslušné orgány delegovali právomoci, vrátane ich zmluvných audítorov a expertov.

3.   Informácie, na ktoré sa vzťahuje služobné tajomstvo, vrátane výmeny informácií medzi príslušnými orgánmi podľa tohto nariadenia a príslušnými orgánmi určenými alebo zriadenými v súlade so smernicou (EÚ) 2022/2555, sa nesmú poskytnúť žiadnej inej osobe ani orgánu s výnimkou poskytnutia na základe ustanovení práva Únie alebo vnútroštátneho práva.

4.   Všetky informácie vymieňané medzi príslušnými orgánmi podľa tohto nariadenia, ktoré sa týkajú obchodných alebo prevádzkových podmienok a iných ekonomických či personálnych záležitostí, sa považujú za dôverné a vzťahujú sa na ne požiadavky na služobné tajomstvo s výnimkou prípadov, keď príslušný orgán v čase oznámenia uvedie, že takéto informácie môžu byť zverejnené, alebo ak je takéto zverejnenie potrebné pre súdne konanie.

1.   Európske orgány dohľadu a príslušné orgány môžu spracúvať osobné údaje len vtedy, ak je to potrebné na účely plnenia ich príslušných povinností a úloh podľa tohto nariadenia, najmä pokiaľ ide o vyšetrovanie, inšpekciu, žiadosť o informácie, komunikáciu, uverejňovanie, hodnotenie, overovanie, posudzovanie a vypracúvanie plánov dozoru. Osobné údaje sa spracúvajú v súlade s nariadením (EÚ) 2016/679 alebo nariadením (EÚ) 2018/1725, podľa toho, ktoré je uplatniteľné.

2.   Pokiaľ nie je v iných odvetvových aktoch stanovené inak, osobné údaje uvedené v odseku 1 sa uchovávajú až do vykonania príslušných povinností v oblasti dohľadu a v každom prípade najviac 15 rokov, s výnimkou prebiehajúceho súdneho konania, ktoré si vyžaduje ďalšie uchovávanie takýchto údajov.

1.   Komisii sa udeľuje právomoc prijímať delegované akty za podmienok stanovených v tomto článku.

2.   Právomoc prijímať delegované akty uvedené v článku 31 ods. 6 a článku 43 ods. 2 sa Komisii udeľuje na obdobie piatich rokov od 17. januára 2024. Komisia vypracuje správu týkajúcu sa delegovania právomoci najneskôr deväť mesiacov pred uplynutím tohto päťročného obdobia. Delegovanie právomoci sa automaticky predlžuje o rovnako dlhé obdobia, pokiaľ Európsky parlament alebo Rada nevznesú voči takémuto predĺženiu námietku najneskôr tri mesiace pred koncom každého obdobia.

3.   Delegovanie právomoci uvedené v článku 31 ods. 6 a článku 43 ods. 2 môže Európsky parlament alebo Rada kedykoľvek odvolať. Rozhodnutím o odvolaní sa ukončuje delegovanie právomoci, ktoré sa v ňom uvádza. Rozhodnutie nadobúda účinnosť dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie alebo k neskoršiemu dátumu, ktorý je v ňom určený. Nie je ním dotknutá platnosť delegovaných aktov, ktoré už nadobudli účinnosť.

4.   Komisia pred prijatím delegovaného aktu konzultuje s expertmi určenými jednotlivými členskými štátmi v súlade so zásadami stanovenými v Medziinštitucionálnej dohode z 13. apríla 2016 o lepšej tvorbe práva.

5.   Komisia oznamuje delegovaný akt hneď po jeho prijatí súčasne Európskemu parlamentu a Rade.

6.   Delegovaný akt prijatý podľa článku 31 ods. 6 a článku 43 ods. 2 nadobudne účinnosť, len ak Európsky parlament alebo Rada voči nemu nevzniesli námietku v lehote troch mesiacov odo dňa oznámenia uvedeného aktu Európskemu parlamentu a Rade, alebo ak pred uplynutím uvedenej lehoty Európsky parlament a Rada informovali Komisiu o svojom rozhodnutí nevzniesť námietku. Na podnet Európskeho parlamentu alebo Rady sa táto lehota predĺži o tri mesiace.

1.   Do 17. januára 2028 Komisia po konzultáciách s európskymi orgánmi dohľadu a výborom ESRB, podľa toho, ktorý z týchto subjektov je relevantný, vykoná preskúmanie a predloží Európskemu parlamentu a Rade správu, ku ktorej v náležitých prípadoch pripojí legislatívny návrh. Preskúmanie zahŕňa aspoň:

2.   V kontexte preskúmania smernice (EÚ) 2015/2366 Komisia posúdi potrebu zvýšenej kybernetickej odolnosti platobných systémov a činností spracovania platieb a vhodnosť rozšírenia rozsahu pôsobnosti tohto nariadenia na prevádzkovateľov platobných systémov a subjekty zapojené do činností spracovania platieb. Na základe tohto posúdenia Komisia v rámci preskúmania smernice (EÚ) 2015/2366 predloží Európskemu parlamentu a Rade správu najneskôr do 17. júla 2023.

Na základe uvedenej správy a po konzultácii s európskymi orgánmi dohľadu, ECB a ESRB môže Komisia v náležitých prípadoch a ako súčasť legislatívneho návrhu, ktorý môže prijať podľa článku 108 druhého odseku smernice (EÚ) 2015/2366, predložiť návrh na zabezpečenie toho, aby všetci prevádzkovatelia platobných systémov a subjekty zapojené do činností spracovania platieb podliehali primeranému dozoru, pričom sa zohľadní existujúci dohľad centrálnej banky.

3.   Do 17. januára 2026 Komisia po konzultácii s európskymi orgánmi dohľadu a Výborom európskych orgánov pre dohľad nad výkonom auditu vykoná preskúmanie a predloží správu Európskemu parlamentu a Rade, ku ktorej v náležitých prípadoch pripojí legislatívny návrh, týkajúcu sa vhodnosti posilnených požiadaviek pre štatutárnych audítorov a audítorské spoločnosti, pokiaľ ide o digitálnu prevádzkovú odolnosť, prostredníctvom zahrnutia štatutárnych audítorov a audítorských spoločností do rozsahu pôsobnosti tohto nariadenia alebo prostredníctvom zmien smernice Európskeho parlamentu a Rady 2006/43/ES (39).