EUROPA-KOMMISSIONEN
Bruxelles, den 24.9.2020
COM(2020) 596 final
2020/0268(COD)
Forslag til
EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV
om ændring af direktiv 2006/43/EF, 2009/65/EF, 2009/138/EU, 2011/61/EU, 2013/36/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341
(EØS-relevant tekst)
{SEC(2020) 309 final} - {SWD(2020) 203 final} - {SWD(2020) 204 final}
BEGRUNDELSE
1.BAGGRUND FOR FORSLAGET
·Begrundelse for og målene med forslaget
Dette forslag er en del af en pakke af foranstaltninger, der skal muliggøre og understøtte det potentiale, der ligger i digital finans med hensyn til innovation og konkurrence, samtidig med at de risiciene reduceres. Det er i overensstemmelse med Kommissionens prioriteter om at gøre Europa klar til den digitale tidsalder og opbygge en fremtidssikret økonomi, der tjener alle. Pakken om digital finans indeholder en ny strategi for digital finans for EU's finansielle sektor 1 med det formål at sikre, at EU tager den digitale revolution til sig og fremmer den med innovative europæiske virksomheder i front, og give de europæiske forbrugere og virksomheder adgang til fordelene ved digital finans. Ud over dette forslag indeholder pakken også et forslag til forordning om markeder for kryptoaktiver 2 , et forslag til forordning om en pilotordning for markedsinfrastrukturer baseret på distributed ledger-teknologi (DLT) 3 og et forslag til forordning om digital operationel modstandsdygtighed i den finansielle sektor 4 .
Begrundelsen for og målene med disse to sæt lovgivningsmæssige foranstaltninger er blevet fastsat i begrundelsen for henholdsvis forslaget til forordning om en pilotordning for markedsinfrastrukturer baseret på distributed ledger-teknologi, forslaget til forordning om markeder for kryptoaktiver og forslaget til forordning om digital operationel modstandsdygtighed, og de finder ligeledes anvendelse her. Den særlige begrundelse for dette forslag til direktiv er, at det for at give retssikkerhed for så vidt angår kryptoaktiver og nå de tilstræbte mål om at styrke den digitale operationel modstandsdygtighed er nødvendigt at indføre midlertidige undtagelser for multilaterale handelsfaciliteter samt at ændre eller præcisere visse bestemmelser i EU's eksisterende direktiver om finansielle tjenesteydelser.
·Sammenhæng med de gældende regler på samme område
Dette forslag indgår ligesom de forslag til forordning, der ledsager det, som led i et større igangværende arbejde på europæisk og internationalt plan, der har til formål i) at styrke cybersikkerheden i forbindelse med finansielle tjenesteydelser og imødegå bredere operationelle risici og ii) at fastlægge en klar, forholdsmæssigt afpasset retlig EU-ramme med muligheder for udbydere af kryptoaktivtjenester.
·Sammenhæng med Unionens politik på andre områder
Som Kommissionens formand, Ursula von der Leyen, erklærede i sine politiske retningslinjer 5 og som beskrevet i meddelelsen "Europas digitale fremtid i støbeskeen" 6 er det afgørende for Europa at høste alle fordelene ved den digitale tidsalder og styrke sin industri- og innovationskapacitet inden for sikre og etiske grænser.
For så vidt angår kryptoaktiver hænger dette forslag tæt sammen med Kommissionens bredere politikker for blockchainteknologi, da kryptoaktiver som den primære applikation i blockchainteknologier er uløseligt forbundet med fremme af blockchainteknologi i hele Europa.
Med hensyn til operationel modstandsdygtighed fastsættes der i den europæiske strategi for data 7 fire søjler — databeskyttelse, grundlæggende rettigheder, sikkerhed og cybersikkerhed — som vigtige forudsætninger for et samfund, der styrkes ved brugen af data. En lovramme, der øger den digitale operationelle modstandsdygtighed i Unionens finansielle enheder, er i overensstemmelse med disse politikmål. Forslaget vil også understøtte politikker, der sigter mod genopretning efter covid-19, da det vil sikre, at øget afhængighed af digital finans går hånd i hånd med operationel modstandsdygtighed. Begge forslag imødekommer ligeledes opfordringer fra Forummet på Højt Plan om Kapitalmarkedsunionen til at fastlægge klare regler for brugen af kryptoaktiver (henstilling 7) og til at indføre nye regler om cyberrobusthed (henstilling 10) 8 .
2. RETSGRUNDLAG, NÆRHEDSPRINCIPPET OG PROPORTIONALITETSPRINCIPPET
·Retsgrundlag
Retsgrundlag for dette forslag til direktiv er artikel 53, stk. 1, og artikel 114 i TEUF.
·Nærhedsprincippet (for områder, der ikke er omfattet af enekompetence)
Se begrundelserne i forslagene til forordning om henholdsvis markeder for kryptoaktiver, en midlertidig ordning for DLT-markedsinfrastrukturer og digital operationel modstandsdygtighed.
·Proportionalitetsprincippet
Se begrundelserne i forslagene til forordning om henholdsvis markeder for kryptoaktiver, en midlertidig ordning for DLT-markedsinfrastrukturer og digital operationel modstandsdygtighed.
·Valg af retsakt
Dette forslag til direktiv ledsager forslagene til forordning om henholdsvis markeder for kryptoaktiver, en midlertidig ordning for DLT-markedsinfrastrukturer og digital operationel modstandsdygtighed. Disse forordninger fastlægger i) de vigtigste regler, der gælder for udbydere af kryptoaktivtjenester, ii) de betingelser, der gælder for pilotordningen for DLT-markedsinfrastrukturer, og iii) de vigtigste regler, der gælder for IKT-risikostyring, indberetning af hændelser, afprøvning og tilsyn. For at nå de tilstræbte mål, der er fastsat i disse forordninger, er det også nødvendigt indføre en midlertidig undtagelse for multilaterale handelsfaciliteter og at ændre flere af Europa-Parlamentets og Rådets direktiver, som er vedtaget på grundlag af artikel 53, stk. 1, og artikel 114 i TEUF. Dette forslag til direktiv er derfor nødvendigt for at ændre disse direktiver.
3.RESULTATER AF EFTERFØLGENDE EVALUERINGER, HØRINGER AF INTERESSEREDE PARTER OG KONSEKVENSANALYSER
·Efterfølgende evalueringer/kvalitetskontrol af gældende lovgivning
Se begrundelserne i forslagene til forordning om henholdsvis markeder for kryptoaktiver, en midlertidig ordning for DLT-markedsinfrastrukturer og digital operationel modstandsdygtighed.
·Høringer af interesserede parter
Se begrundelserne i forslagene til forordning om henholdsvis markeder for kryptoaktiver, en midlertidig ordning for DLT-markedsinfrastrukturer og digital operationel modstandsdygtighed.
·Indhentning og brug af ekspertbistand
Se begrundelserne i forslagene til forordning om henholdsvis markeder for kryptoaktiver, en midlertidig ordning for DLT-markedsinfrastrukturer og digital operationel modstandsdygtighed.
·Konsekvensanalyse
Se begrundelserne i forslagene til forordning om henholdsvis markeder for kryptoaktiver, en midlertidig ordning for DLT-markedsinfrastrukturer og digital operationel modstandsdygtighed.
·Målrettet regulering og forenkling
Se begrundelserne i forslagene til forordning om henholdsvis markeder for kryptoaktiver, en midlertidig ordning for DLT-markedsinfrastrukturer og digital operationel modstandsdygtighed.
·Grundlæggende rettigheder
Se begrundelserne i forslagene til forordning om henholdsvis markeder for kryptoaktiver, en midlertidig ordning for DLT-markedsinfrastrukturer og digital operationel modstandsdygtighed.
4.VIRKNINGER FOR BUDGETTET
Se begrundelserne i forslagene til forordning om henholdsvis markeder for kryptoaktiver, en midlertidig ordning for DLT-markedsinfrastrukturer og digital operationel modstandsdygtighed.
5.ANDRE FORHOLD
·Planer for gennemførelsen og foranstaltninger til overvågning, evaluering og rapportering
Se begrundelserne i forslagene til forordning om henholdsvis markeder for kryptoaktiver, en midlertidig ordning for DLT-markedsinfrastrukturer og digital operationel modstandsdygtighed.
·Nærmere redegørelse for de enkelte bestemmelser i forslaget
Alle artikler vedrører og supplerer forslaget til forordning om digital operationel modstandsdygtighed. De ændrer de forskellige krav til operationelle risici eller risikostyring, som er fastsat i Europa-Parlamentets og Rådets direktiv 2006/43/EF, 2009/65/EF, 2009/138/EU, 2011/61/EU, 2013/36/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341, ved at indføre præcise krydshenvisninger i disse bestemmelser og dermed opnå juridisk klarhed. Nærmere bestemt:
–Artikel 2-4, 6 og 8, ændrer direktiv 2009/65/EF om samordning af love og administrative bestemmelser om visse institutter for kollektiv investering i værdipapirer (investeringsinstitutter) 9 , direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) 10 , direktiv 2011/61/EU om forvaltere af alternative investeringsfonde 11 , direktiv 2014/56/EU om lovpligtig revision af årsregnskaber og konsoliderede regnskaber 12 og direktiv (EU) 2016/2341 om arbejdsmarkedsrelaterede pensionskassers (IORP'ers) aktiviteter og tilsynet hermed 13 og har til formål i hvert af disse direktiver at indføre specifikke krydshenvisninger til forordning (EU) 20xx/xx [DORA] med henblik på disse finansielle enheders styring af IKT-systemer og -værktøjer, som bør ske i overensstemmelse med bestemmelserne i nævnte forordning.
–Artikel 5 ændrer kravene i direktiv 2013/36/EU (kapitalkravsdirektivet) 14 vedrørende beredskabs- og kontinuitetsplaner, som skal omfatte planer for IKT-driftsstabilitet og katastrofeberedskabsplaner udarbejdet i overensstemmelse med bestemmelserne i forordning (EU) 20xx/xx [DORA].
–Artikel 6 ændrer direktiv 2014/65/EU om markeder for finansielle instrumenter (MiFID II) ved at tilføje krydshenvisninger til forordning (EU) 20xx/xx [DORA] og ved at ændre bestemmelser vedrørende kontinuitet og regelmæssighed i ydelsen af investeringsservice og udførelsen af investeringsaktiviteter, modstandsdygtige handelssystemer med tilstrækkelig kapacitet, effektive ordninger til sikring af driftsstabilitet og risikostyring.
–Artikel 7 ændrer direktiv (EU) 2015/2366 om betalingstjenester i det indre marked (andet betalingstjenestedirektiv) 15 og nærmere betegnet reglerne om tilladelse ved at tilføje en henvisning til forordning (EU) 20xx/xx [DORA]. Reglerne om indberetning af hændelser i nævnte direktiv bør desuden udelukke indberetning af IKT-relaterede hændelser, som harmoniseres fuldt ud i forordning (EU) 2021/xx [DORA].
Artikel 6, stk. 1, bidrager yderligere til at præcisere den retlige behandling af kryptoaktiver, der betragtes som finansielle instrumenter. Det gør den ved at ændre definitionen af "finansielle instrumenter" i direktiv 2014/65/EU om markeder for finansielle instrumenter for at præcisere ud over enhver retlig tvivl, at sådanne instrumenter kan udstedes baseret på en distributed ledger-teknologi.
Artikel 6, stk. 4, supplerer forslaget til forordning om en pilotordning for markedsinfrastrukturer baseret på distributed ledger-teknologi ved midlertidigt at undtage markedsinfrastrukturer baseret på distributed ledger-teknologi fra visse bestemmelser i direktiv 2014/65/EU, således at de kan udvikle løsninger med henblik på handel og afvikling af transaktioner med kryptoaktiver, der kan betragtes som finansielle instrumenter.
2020/0268 (COD)
Forslag til
EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV
om ændring af direktiv 2006/43/EF, 2009/65/EF, 2009/138/EU, 2011/61/EU, 2013/36/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341
(EØS-relevant tekst)
EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 53, stk. 1, og artikel 114,
under henvisning til forslag fra Europa-Kommissionen,
efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,
under henvisning til udtalelse fra Den Europæiske Centralbank 16 ,
under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg 17 ,
efter den almindelige lovgivningsprocedure, og
ud fra følgende betragtninger:
(1)Unionen skal på fyldestgørende og fuldstændig vis imødegå digitale risici for alle finansielle enheder som følge af en øget anvendelse af informations- og kommunikationsteknologi (IKT) i forbindelse med levering og forbrug af finansielle tjenesteydelser.
(2)Operatører i den finansielle sektor afhænger i høj grad af brugen af digitale teknologier i deres daglige aktiviteter, og det er derfor yderst vigtigt at sikre deres digitale aktiviteters operationelle modstandsdygtighed over for IKT-risici. Dette behov er blevet endnu mere presserende på grund af væksten på markedet for banebrydende teknologier, og navnlig de teknologier, der skaber mulighed for, at digitale repræsentationer af værdier eller rettigheder kan overføres og lagres elektronisk ved hjælp af distributed ledger-teknologi eller lignende teknologi ("kryptoaktiver"), og teknologier for tjenesteydelser forbundet med disse aktiver.
(3)På EU-plan er kravene vedrørende IKT-risici for den finansielle sektor fordelt på Europa-Parlamentets og Rådets direktiv 2006/43/EF 18 , 2009/66/EF 19 , 2009/138/EF 20 , 2011/61/EF 21 , EU/2013/36, 22 2014/65/EU 23 , (EU) 2015/2366 24 og (EU) 2016/2341 25 ; de er forskellige og i nogle tilfælde ufuldstændige. I visse tilfælde er IKT-risikoen kun implicit omhandlet som en del af den operationelle risiko, mens den i andre overhovedet ikke er omhandlet. Dette bør udbedres ved at skabe overensstemmelse mellem Europa-Parlamentets og Rådets forordning (EU) 20xx/xx [DORA] 26 og disse retsakter. Nærværende direktiv introducerer en række ændringer, som forekommer nødvendige for at skabe juridisk klarhed og sammenhæng, når finansielle enheder, som er meddelt tilladelse og underlagt tilsyn i overensstemmelse med nævnte direktiver, anvender forskellige krav vedrørende digital operationel modstandsdygtighed, som er nødvendige for udøvelsen af deres aktiviteter og dermed garanterer et velfungerende indre marked.
(4)På området for bankydelser fastsætter direktiv 2013/36/EU om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber kun generelle regler vedrørende intern ledelse og bestemmelser om operationel risiko, der omfatter krav vedrørende beredskabs- og kontinuitetsplaner, som implicit udgør grundlaget for håndtering af IKT-risikostyring. For at sikre, at IKT-risici er eksplicit omhandlet bør kravene vedrørende beredskabs- og kontinuitetsplaner imidlertid ændres, således at de ligeledes omfatter driftskontinuitetsplaner og katastrofeberedskabsplaner i forbindelse med IKT-risici i overensstemmelse med kravene i forordning (EU) 20xx/xx [DORA].
(5)Direktiv 2014/65/EU om markeder for finansielle instrumenter fastsætter kun strengere IKT-regler for investeringsselskaber og markedspladser, når disse benytter sig af algoritmisk handel. Mindre detaljerede krav finder anvendelse på dataindberetningstjenester og transaktionsregistre. Det indeholder også begrænsede henvisninger til kontrol- og sikkerhedsforanstaltninger for informationsbehandlingssystemer og om anvendelsen af passende systemer, ressourcer og procedurer for at sikre kontinuiteten og regelmæssigheden i forbindelse med erhvervstjenester. Nævnte direktiv bør bringes i overensstemmelse med forordning (EU) 2021/xx [DORA] for så vidt angår kontinuitet og regelmæssighed i ydelsen af investeringsservice og udførelsen af investeringsaktiviteter, operationel modstandsdygtighed, handelssystemers kapacitet, effektivitet i forbindelse med ordninger til sikring af driftsstabilitet og risikostyring.
(6)For indeværende omfatter definitionen af "finansielle instrumenter" i direktiv 2014/65/EU ikke eksplicit finansielle instrumenter, som udstedes ved anvendelse af en teknologitype, der understøtter den distribuerede registrering af krypterede data (distributed ledger-teknologi, "DLT") Med henblik på at sikre, at sådanne finansielle instrumenter kan handles på markedet i henhold til den nuværende lovramme bør definitionen i direktiv 2014/65/EU ændres for at omfatte disse.
(7)For at gøre det muligt navnlig at udvikle kryptoaktiver, der kan betragtes som finansielle instrumenter og DLT, og samtidig bevare et højt niveau af finansiel stabilitet, markedsintegritet, gennemsigtighed og investorbeskyttelse, ville det være fordelagtigt at indføre en midlertidig ordning for DLT-markedsinfrastrukturer. Denne midlertidige lovramme bør give kompetente myndigheder mulighed for midlertidigt at tillade, at DLT-markedsinfrastrukturer kan drives i henhold til et alternativt sæt krav, der vedrører adgang til disse, i forhold til de krav, der ellers er gældende i henhold EU-lovgivningen om finansielle tjenesteydelser, og som ellers kunne forhindre dem i at udvikle løsninger med henblik på handel med og afvikling af transaktioner i kryptoaktiver, der betragtes som finansielle instrumenter. Denne lovramme bør være midlertidig for at gøre det muligt for de europæiske tilsynsmyndigheder (ESA'er) og de nationale kompetente myndigheder at få erfaring med de muligheder og særlige risici, der er forbundet med kryptoaktiver, som handles i disse infrastrukturer. Nærværende direktiv ledsager dermed forordning [om en pilotordning for markedsinfrastrukturer baseret på distributed ledger-teknologi], idet det understøtter denne nye EU-lovramme om DLT-markedsinfrastrukturer med et målrettet undtagelse fra specifikke bestemmelser i EU-lovgivningen om finansielle tjenesteydelser, som finder anvendelse på aktiviteter og tjenesteydelser forbundet med finansielle instrumenter som defineret i artikel 4, stk. 1, nr. 15), i direktiv 2014/65/EU, og som ellers ikke ville give den fulde fleksibilitet, som er nødvendig ved ibrugtagning af løsninger i henholdsvis handels- og efterhandelsleddet i transaktioner, der involverer kryptoaktiver.
(8)En DLT-baseret multilateral handelsfacilitet bør være et multilateralt system, der drives af et investeringsselskab eller en markedsoperatør, som er meddelt tilladelse i henhold til direktiv 2014/65/EU, og som har fået en særlig tilladelse i henhold til Europa-Parlamentets og Rådets forordning (EU) 20xx/xx 27 [forslag til forordning om en pilotordning for DLT-markedsinfrastrukturer]. DLT-baserede multilaterale handelsfaciliteter bør være underlagt de krav, som finder anvendelse på en multilateral handelsfacilitet i henhold til nævnte direktiv, undtagen hvis en sådan af sin nationale kompetente myndighed indrømmes en undtagelse i overensstemmelse med nærværende direktiv. En potentiel reguleringsmæssig hindring for udviklingen af en multilateral handelsfacilitet for værdipapirer, der udstedes i en DLT, kunne være forpligtelsen til at anvende en formidler, jf. direktiv 2014/65/EU. En traditionel multilateral handelsfacilitet kan som medlemmer og deltagere kun acceptere investeringsselskaber, kreditinstitutter og andre personer, som har en tilstrækkelig grad af handelsevne og kompetence, og som råder over passende administrative organisatoriske procedurer og ressourcer. En DLT-baseret multilateral handelsfacilitet bør have mulighed for at anmode om undtagelse fra en sådan forpligtelse, således at den kan give detailinvestorer let adgang til markedspladsen, forudsat at der er indført passende garantier med hensyn til investorbeskyttelse.
(9)Direktiv (EU) 2015/2366 om betalingstjenester fastsætter særlige regler for IKT-sikkerhedskontroller og begrænsende elementer med henblik på tilladelse til at udføre betalingstjenester. Disse regler om tilladelse bør ændres for at bringe dem i overensstemmelse med forordning (EU) 20xx/xx [DORA]. Reglerne om indberetning af hændelser i nævnte direktiv bør desuden ikke finde anvendelse på indberetninger af IKT-relaterede hændelser, som harmoniseres fuldt ud i forordning (EU) 2021/xx [DORA].
(10)Direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed og direktiv (EU) 2016/2341 om arbejdsmarkedsrelaterede pensionskassers aktiviteter og tilsynet hermed omhandler delvist IKT-risici i deres almindelige bestemmelser om ledelse og risikostyring, idet de overlader det til delegerede forordninger at præcisere visse krav med eller uden specifikke henvisninger til IKT-risici. Da Europa-Parlamentets og Rådets direktiv 2014/56/EU 28 kun indeholder almindelige bestemmelser om intern organisation, er de bestemmelser, der finder anvendelse på revisorer og revisionsfirmaer, endnu mindre specifikke. På tilsvarende vis er de regler, der finder anvendelse på forvaltere af alternative investeringsfonde administrationsselskaber som omhandlet i direktiv 2011/61/EU og direktiv 2009/65/EF, meget generelle. Nævnte direktiver bør derfor bringes i overensstemmelse med de krav, der er fastsat i forordning (EU) 20xx/xx [DORA] for så vidt angår styringen af IKT-systemer og -værktøjer.
(11)I mange tilfælde er der allerede fastlagt IKT-krav i delegerede retsakter og gennemførelsesretsakter, som er vedtaget på grundlag af udkast til reguleringsmæssige tekniske standarder og gennemførelsesmæssige tekniske standarder, som er udviklet af den kompetente ESA. For at skabe juridisk klarhed om det faktum, at retsgrundlaget for bestemmelser om IKT-risici fremover udelukkende findes i forordning (EU) 2021/xx [DORA] bør beføjelserne i nævnte direktiver ændres, idet det præciseres, at bestemmelser om IKT-risici falder uden for anvendelsesområdet for de pågældende beføjelser.
(12)For at sikre en sammenhængende og samtidig anvendelse af forordning (EU) 20xx/xx [DORA] og af nærværende direktiv, som tilsammen udgør den nye ramme for digital operationel modstandsdygtighed i den finansielle sektor, bør medlemsstaterne anvende bestemmelserne i national ret om gennemførelse af nærværende direktiv fra datoen for anvendelse af nævnte forordning.
(13)Direktiv 2006/43/EF, 2009/66/EF, 2009/138/EF, 2011/61/EF, EU/2013/36, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341 er vedtaget på grundlag af artikel 53, stk. 1, og artikel 114 i traktaten om Den Europæiske Unions funktionsmåde. Ændringerne i nærværende direktiv bør indarbejdes i én enkelt retsakt, da genstanden for og målene med ændringerne er indbyrdes forbundet, og denne samlede retsakt bør vedtages på grundlag af både artikel 53, stk. 1, og artikel 114 i traktaten om Den Europæiske Unions funktionsmåde.
(14)Målene for dette direktiv kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, da de indebærer harmonisering gennem ajourføringer og ændringer af krav, der allerede er indeholdt i direktiver, men kan på grund af foranstaltningens omfang og virkninger bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke videre, end hvad der er nødvendigt for at nå disse mål.
(15)I henhold til den fælles politiske erklæring af 28. september 2011 fra medlemsstaterne og Kommissionen om forklarende dokumenter 29 har medlemsstaterne forpligtet sig til i tilfælde, hvor det er berettiget, at lade meddelelsen om gennemførelsesforanstaltninger ledsage af et eller flere dokumenter, der forklarer forholdet mellem et direktivs bestanddele og de tilsvarende dele i de nationale gennemførelsesinstrumenter. I forbindelse med dette direktiv finder lovgiver, at fremsendelse af sådanne dokumenter er berettiget —
VEDTAGET DETTE DIREKTIV:
Artikel 1
Ændringer af direktiv 2006/43/EF
Artikel 24a, stk. 1, litra b), i direktiv 2006/43/EF affattes således:
"b) en revisor eller et revisionsfirma skal have en sund administrativ og regnskabsmæssig praksis, interne kvalitetskontrolmekanismer, effektive procedurer til risikovurdering og effektive kontrol- og sikkerhedsforanstaltninger med henblik på styring af sine IKT-systemer og ‑værktøjer i overensstemmelse med artikel 6 i Europa-Parlamentets og Rådets forordning (EU) 20xx/xx [DORA]*.
___________________________________
* [fuld titel] EUT L […] af […], s. […]."
Artikel 2
Ændringer af direktiv 2009/65/EF
I artikel 12 i direktiv 2009/65/EF foretages følgende ændringer:
1) Stk. 1, andet afsnit, litra a), affattes således:
"a) har en sund administrativ og regnskabsmæssig praksis samt kontrol- og sikringsforanstaltninger på edb-området samt fyldestgørende interne kontrolprocedurer, herunder informations- og kommunikationsteknologisystemer, som oprettes og styres i overensstemmelse med artikel 6 i Europa-Parlamentets og Rådets forordning (EU) 20xx/xx [DORA]*, samt fyldestgørende interne kontrolprocedurer, herunder regler for de ansattes personlige transaktioner eller for besiddelse og administration af investeringer i finansielle instrumenter med henblik på investering for egen regning, som mindst sikrer, at enhver transaktion, der implicerer investeringsinstituttet, kan rekonstrueres med hensyn til oprindelse, implicerede parter, art samt tid og sted for gennemførelsen, og at aktiver i investeringsinstitutter, der administreres af administrationsselskaber, investeres i overensstemmelse med fondsbestemmelserne eller vedtægterne og gældende ret
________________________________
* [fuld titel] EUT L […] af […], s. […]."
2) Stk. 3 affattes således:
"3. Uden at det berører artikel 116, vedtager Kommissionen ved hjælp af delegerede retsakter i overensstemmelse med artikel 112a, foranstaltninger, der fastsætter
a) den praksis og de foranstaltninger, der er omhandlet i stk. 1, andet afsnit, litra a), bortset fra den praksis og de foranstaltninger, der vedrører risikostyring af informations- og kommunikationsteknologi
b) de strukturer og organisatoriske krav med henblik på minimering af interessekonflikter, som er omhandlet i stk. 1, andet afsnit, litra b)."
Artikel 3
Ændringer af direktiv 2009/138/EF
I direktiv 2009/138/EF foretages følgende ændringer:
1)Artikel 41, stk. 4, affattes således:
"4. Forsikrings- og genforsikringsselskaber træffer passende foranstaltninger til at sikre kontinuitet og regelmæssighed i udøvelsen af deres virksomhed, inklusive udarbejdelse af beredskabsplaner. Selskabet anvender med henblik herpå hensigtsmæssige og rimeligt afpassede systemer, ressourcer og procedurer og opretter informations- og kommunikationsteknologisystemer og styrer disse i overensstemmelse med artikel 6 i Europa-Parlamentets og Rådets forordning (EU) 20xx/xx [DORA]*.
____________________________
* [fuld titel] EUT L […] af […], s. […]."
2)Artikel 50, stk. 1, litra a) og b), affattes således:
"a) elementerne i de systemer, der er omhandlet i artikel 41, 44, 46 og 47, bortset fra de elementer, der vedrører risikostyring af informations- og kommunikationsteknologi, og de områder, der er omhandlet i artikel 44, stk. 2
b) de funktioner, der er omhandlet i artikel 44, 46, 47 og 48, bortset fra de funktioner, der er forbundet med risikostyring af informations- og kommunikationsteknologi."
Artikel 4
Ændringer af direktiv 2011/61/EF
Artikel 18 i direktiv 2011/61/EF affattes således:
"Artikel 18
Generelle principper
1. Medlemsstaterne kræver, at FAIF'er til enhver tid anvender tilstrækkelige og egnede menneskelige og tekniske ressourcer for at sikre korrekt forvaltning af AIF'er.
Især skal de kompetente myndigheder i FAIF'ens hjemland under hensyntagen til karakteren af de AIF'er, der forvaltes af FAIF'en, kræve, at FAIF'en har sunde administrative og regnskabsmæssige procedurer, kontrol- og beskyttelsesforanstaltninger med henblik på styring af informations- og kommunikationsteknologisystemer, jf. kravene i artikel 6 i [Europa-Parlamentets og Rådets forordning (EU) 20xx/xx [DORA]*], samt fyldestgørende interne kontrolmekanismer, herunder navnlig regler for sine arbejdstageres personlige transaktioner eller for besiddelse eller forvaltning af investeringer med henblik på investering for egen regning, som mindst sikrer, at enhver transaktion, der implicerer AIF'er, kan rekonstrueres med hensyn til oprindelse, involverede parter, art samt tid og sted for gennemførelsen, og at aktiver i de AIF'er, som forvaltes af FAIF'en, investeres i overensstemmelse med AIF'ens regler eller vedtægter og gældende ret.
2. Kommissionen vedtager ved hjælp af delegerede retsakter i overensstemmelse med artikel 56 og på de i artikel 57 og 58 anførte betingelser foranstaltninger til præcisering af de procedurer og foranstaltninger, der er omhandlet i stk. 1, bortset fra dem, der vedrører informations- og kommunikationsteknologisystemer.
_________________________________
* [fuld titel] EUT L […] af […], s. […]."
Artikel 5
Ændringer af direktiv 2013/36/EU
Artikel 85, stk. 2, i direktiv 2013/36/EU affattes således:
"2. De kompetente myndigheder sikrer, at institutter råder over fyldestgørende beredskabs- og driftskontinuitetsplaner, herunder driftskontinuitetsplaner og katastrofeberedskabsplaner i forbindelse med den teknologi, som de anvender til formidling af oplysninger ("informations- og kommunikationsteknologi"), og som er udarbejdet i overensstemmelse med artikel 6 i Europa-Parlamentets og Rådets forordning (EU) 20xx/xx [DORA]*, således at de kan videreføre driften i tilfælde af alvorlige driftsforstyrrelser og begrænse tab som følge af sådanne forstyrrelser.
* [fuld titel] EUT L […] af […], s. […]."
Artikel 6
Ændringer af direktiv 2014/65/EU
I direktiv 2014/65/EU foretages følgende ændringer:
1)Artikel 4, stk. 1, nr. 15), affattes således:
"finansielle instrumenter": de i bilag I, afsnit C, anførte instrumenter, herunder sådanne instrumenter, som er udstedt ved anvendelse af distributed ledger-teknologi".
(2)I artikel 16 foretages følgende ændringer:
a)Stk. 4 affattes således:
"4. Et investeringsselskab skal, inden for rimelighedens grænser, træffe sådanne foranstaltninger, som måtte være nødvendige for at sikre kontinuitet og regelmæssighed i ydelsen af investeringsservice og udførelsen af investeringsaktiviteter. Investeringsselskabet anvender med henblik herpå hensigtsmæssige og forholdsmæssigt afpassede systemer, herunder informations- og kommunikationsteknologisystemer ("IKT-systemer"), som oprettes og styres i overensstemmelse med artikel 6 i Europa-Parlamentets og Rådets forordning (EU) 20xx/xx [DORA]*, samt hensigtsmæssige og forholdsmæssigt afpassede ressourcer og procedurer."
b)Stk. 5, andet og tredje afsnit, affattes således:
"Et investeringsselskab skal have en sund administrativ og regnskabsmæssig praksis, interne kontrolmekanismer og effektive procedurer til risikovurdering.
Uden at det berører kompetente myndigheders mulighed for at kræve adgang til kommunikation i overensstemmelse med dette direktiv og forordning (EU) nr. 600/2014 skal et investeringsselskab have etableret forsvarlige sikkerhedsmekanismer med henblik på i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 20xx/xx [DORA] at garantere sikring og autentificering af midlerne til overførsel af information, minimere risikoen for dataforvanskning og uautoriseret adgang og forhindre lækage af oplysninger, så datasikkerheden garanteres til enhver tid."
3)I artikel 17 foretages følgende ændringer:
a)Stk. 1 affattes således:
"1. Et investeringsselskab, der benytter sig af algoritmisk handel, skal have effektive systemer og risikokontrolforanstaltninger, som svarer til den virksomhed, som selskabet driver, med henblik på at sikre, at dets handelssystemer er modstandsdygtige og har tilstrækkelig kapacitet i overensstemmelse med kravene i kapitel II i Europa-Parlamentets og Rådets forordning (EU) 202x/xx [DORA], er underlagt passende handelstærskler og -begrænsninger og forhindrer, at der afgives fejlagtige ordrer, eller at systemerne på anden måde fungerer dårligt, så det skaber eller bidrager til forstyrrelser på markedet.
Et sådant selskab skal også have effektive systemer og risikokontrolforanstaltninger med henblik på at sikre, at handelssystemerne ikke kan anvendes til formål, som strider mod forordning (EU) nr. 596/2014 eller mod de regler, der gælder for en markedsplads, som det er knyttet til.
Investeringsselskabet skal have effektive ordninger for forretningskontinuitet med henblik på at kunne håndtere en brist i dets handelssystemer, herunder planer for driftsstabilitet og katastrofeberedskabsplaner i forbindelse med informations- og kommunikationsteknologi, som er udarbejdet i overensstemmelse med artikel 6 i forordning (EU) 2021/xx [DORA], og skal desuden sørge for, at dets systemer er grundigt afprøvet og underlagt behørig overvågning med henblik på at sikre, at de opfylder kravene fastsat i dette stykke og eventuelle specifikke krav fastsat i kapitel II og IV i forordning (EU) 20xx/xx [DORA]."
b) Stk. 7, litra a), affattes således:
"a) enkelthederne i de i stk. 1-6 fastsatte organisatoriske krav, bortset fra de organisatorisk krav, der vedrører IKT-risikostyring, som skal opfyldes af investeringsselskaber, som udfører forskellige former for investeringsservice, investeringsaktiviteter, accessoriske tjenesteydelser eller kombinationer heraf, hvorved præciseringerne vedrørende de organisatoriske krav i stk. 5 skal fastlægge de specifikke krav for direkte markedsadgang og sponsoreret adgang, således at det sikres, at kontrolforanstaltningerne i forbindelse med sponsoreret adgang mindst svarer til dem, der anvendes i forbindelse med direkte markedsadgang".
4)I artikel 19 tilføjes følgende stykke:
"3. Hvis investeringsselskabet eller markedsoperatøren driver en multilateral handelsfacilitet baseret på distributed ledger-teknologi ("DLT-baseret multilateral handelsfacilitet") som defineret i artikel 2, nr. 3), i forordning 20xx/xx [forslag til forordning om en pilotordning for markedsinfrastrukturer baseret på distributed ledger-teknologi], kan den kompetente myndighed i henhold til sine regler for adgang i artikel 18, stk. 3, og i højst fire år tillade, at investeringsselskabet eller markedsoperatøren giver fysiske personer adgang til den DLT-baserede multilaterale handelsfacilitet som medlemmer eller deltagere, forudsat at disse personer opfylder følgende krav:
a)de skal have et tilstrækkeligt godt omdømme og være egnede og hæderlige og
b)de skal have en tilstrækkelig grad af handelsevne, kompetence og erfaring, herunder viden med hensyn til handel og den måde, som distributed ledger-teknologi ("DLT") fungerer på.
Hvis en kompetent myndighed indrømmer en undtagelse som omhandlet i første afsnit, kan den træffe yderligere investorbeskyttelsesforanstaltninger til beskyttelse af fysiske personer, som har fået adgang til den DLT-baserede multilaterale handelsfacilitet som medlemmer eller deltagere. Sådanne foranstaltninger skal stå i rimeligt forhold til deltagernes eller medlemmernes risikoprofil."
5)I artikel 47, stk. 1, foretages følgende ændringer:
a) Litra b) affattes således:
"b) er tilstrækkeligt rustet til at styre de risici, markedet udsættes for, herunder til at styre risici i forbindelse med IKT-systemer og -værktøjer i overensstemmelse med artikel 6 i forordning (EU) 20xx/xx [DORA]*, anvender fyldestgørende ordninger og systemer med henblik på at påvise alle væsentlige risici for markedets drift og har indført effektive foranstaltninger til at mindske disse risici".
b) Litra c) udgår.
6)I artikel 48 foretages følgende ændringer:
a)Stk. 1 affattes således:
"1. Medlemsstaterne stiller krav om, at et reguleret marked skal opbygge sin operationelle modstandsdygtighed i overensstemmelse med kravene i kapital II i forordning (EU) 20xx/xx [DORA] for at sikre, at dets handelssystemer er fleksible, har tilstrækkelig kapacitet til at klare spidsbelastninger med hensyn til ordrer og meddelelser, kan sikre korrekt handel i tilfælde af alvorlig markedsstress, er fuldt gennemprøvede for at sikre, at sådanne betingelser er opfyldt, og er omfattet af effektive ordninger til sikring af driftsstabilitet (business continuity) til at sikre opretholdelsen af markedets tjenester i tilfælde af et svigt af dets handelssystemer."
b)Stk. 6 affattes således:
"6. Medlemsstaterne stiller krav om, at et reguleret marked skal have etableret effektive systemer, procedurer og ordninger, som bl.a. kræver, at medlemmer eller deltagere gennemfører passende afprøvning af algoritmer, og skaber rammer, der letter en sådan afprøvning i overensstemmelse med kravene i kapital II og IV i forordning (EU) 20xx/xx [DORA], til at sikre, at algoritmiske handelssystemer ikke kan skabe eller bidrage til ureglementerede handelsvilkår på markedet og til at håndtere eventuelle ureglementerede handelsvilkår, der opstår på grund af sådanne algoritmiske handelssystemer, herunder systemer, der begrænser forholdet mellem ikke-udførte ordrer og transaktioner, der kan indføres i systemet af et medlem eller en deltager, således at det bliver muligt at bremse ordrestrømmen, hvis der er risiko for, at man når op på systemets maksimale kapacitet, og at den minimumskursændring (tick size), der kan anvendes på markedet, begrænses og håndhæves."
c)I stk. 12 foretages følgende ændringer:
i) Litra a) affattes således:
"a) forpligtelsen til at sikre, at regulerede markeders handelssystemer er fleksible og har en tilstrækkelig kapacitet, med undtagelse af de krav, som vedrører digital operationel modstandsdygtighed"
ii) Litra g) affattes således:
"g) forpligtelserne til at sikre tilstrækkelig afprøvning af algoritmer, bortset fra afprøvning af digital operationel modstandsdygtighed, med henblik på at sikre, at algoritmiske handelssystemer, herunder algoritmiske højfrekvenshandelssystemer, ikke kan skabe eller bidrage til ureglementerede handelsvilkår på markedet."
Artikel 7
Ændringer af direktiv (EU) 2015/2366
I direktiv (EU) 2015/2366 foretages følgende ændringer:
7)Artikel 5, stk. 1, tredje afsnit, første punktum, affattes således:
"Det skal i tilknytning til de i første afsnits litra j) omhandlede sikkerhedskontrolforanstaltninger og begrænsende foranstaltninger angives, hvordan de sikrer et højt niveau af teknisk sikkerhed og databeskyttelse, herunder vedrørende de software- og IT-systemer, der anvendes af ansøgeren eller de virksomheder, som ansøgeren outsourcer hele eller dele af sine aktiviteter til, i overensstemmelse med kapitel II i Europa-Parlamentets og Rådets forordning (EU) 20xx/xx [DORA]*.Disse foranstaltninger skal også omfatte de sikkerhedsforanstaltninger, der er fastsat i artikel 95, stk. 1. Foranstaltningerne skal tage højde for EBA's retningslinjer om sikkerhedsforanstaltninger som omhandlet i artikel 95, stk. 3, når de foreligger. ____________________________
* [fuld titel] EUT L […] af […], s. […]."
8)I artikel 95 foretages følgende ændringer:
a)Stk. 1 affattes således:
"1. Medlemsstaterne sikrer, at betalingstjenesteudbydere fastlægger en ramme med passende begrænsende foranstaltninger og kontrolmekanismer til styring af drifts- og sikkerhedsrisici, der er forbundet med de betalingstjenester, som de udbyder. Som en del af denne ramme fastlægger og opretholder betalingstjenesteudbydere effektive procedurer for håndtering af hændelser, herunder for opdagelse og klassificering af større drifts- og sikkerhedshændelser, samtidig med at de imødegår risici i forbindelse med informations- og kommunikationsteknologi i overensstemmelse med kapital II i forordning (EU) 2021/xx [DORA]."
b)Stk. 4 udgår.
c)Stk. 5 affattes således:
"5. EBA fremmer samarbejde, herunder udveksling af oplysninger, inden for driftsrisici i forbindelse med betalingstjenester mellem de kompetente myndigheder samt mellem de kompetente myndigheder og ECB."
9)I artikel 96 foretages følgende ændringer:
a)Stk. 1 affattes således:
"1. I tilfælde af en større drifts- eller sikkerhedshændelse, som ikke er en IKT-relateret hændelse som defineret i artikel 3, nr. 6), i forordning (EU) 20xx/xx [DORA], underretter betalingstjenesteudbydere uden unødig forsinkelse den kompetente myndighed i sit hjemland."
b)Stk. 5 udgår.
10)Artikel 98, stk. 5, affattes således:
"5. EBA gennemgår og ajourfører om nødvendigt regelmæssigt de reguleringsmæssige tekniske standarder i overensstemmelse med artikel 10 i forordning (EU) nr. 1093/2010 for bl.a. at tage højde for innovation og den teknologiske udvikling og for bestemmelserne i kapital II i forordning (EU) 20xx/xx [DORA]."
Artikel 8
Ændring af direktiv (EU) 2016/2341
Artikel 21, stk. 5, andet punktum, i direktiv (EU) 2016/2341 affattes således:
"IORP'er anvender med henblik herpå hensigtsmæssige og rimeligt afpassede systemer, ressourcer og procedurer og styrer disse i overensstemmelse med artikel 6 i Europa-Parlamentets og Rådets forordning (EU) 20xx/xx [DORA]*."
_________________________________
* [fuld titel] EUT L […] af […], s. […]."
Artikel 9
Gennemførelse
1.Medlemsstaterne vedtager og offentliggør senest den [ét år efter vedtagelsen] de love og administrative bestemmelser, der er nødvendige for at efterkomme dette direktiv. De meddeler straks Kommissionen disse love og bestemmelser.
De anvender disse love og bestemmelser fra den [ikrafttrædelsesdato for DORA/datoen for dens anvendelse, hvis de er forskellige].
Disse love og bestemmelser skal ved vedtagelsen indeholde en henvisning til dette direktiv eller skal ved offentliggørelsen ledsages af en sådan henvisning. De nærmere regler for henvisningen fastsættes af medlemsstaterne.
2.Medlemsstaterne meddeler Kommissionen teksten til de vigtigste nationale retsforskrifter, som de udsteder på det område, der er omfattet af dette direktiv.
Artikel 10
Ikrafttræden
Dette direktiv træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Artikel 11
Adressater
Dette direktiv er rettet til medlemsstaterne.
Udfærdiget i Bruxelles, den […].
På Europa-Parlamentets vegne På Rådets vegne
Formand Formand