11.05.2022.
Nova
pravila prvenstveno imaju za cilj uskladiti i ojačati zahtjeve digitalne
operativne otpornosti u cijelom sektoru financijskih usluga, kao što su zahtjevi za zaštitu
od incidenata povezanih s informacijskom i komunikacijskom tehnologijom (ICT),
otkrivanje, zadržavanje, oporavak i popravak. Ti bi zahtjevi bili upareni s
mogućnostima izvješćivanja i digitalnog testiranja.
Pravila
bi se primjenjivala na financijske subjekte regulirane na razini EU-a,
kao što su banke, davatelji usluga plaćanja, izdavatelji elektroničkog novca,
investicijska društva, pružatelji usluga kripto-imovine i pružatelje ICT
usluga treće strane.
Suzakonodavci
su se privremeno dogovorili da će uključivanje revizora i revizorskih tvrtki
u područje primjene Uredbe biti predmet revizije u roku od tri godine.
Pripremljenost
za rizik, izvješćivanje o velikim incidentima vezanim uz ICT i testiranje
Zastupnici
Europskog parlamenta osigurali su da okvir upravljanja rizikom ICT-a treba
uzeti u obzir značajne razlike između financijskih subjekata u pogledu
veličine, prirode, složenosti i profila rizika. Pregovarači su se složili da
zahtjevi za upravljanje ICT rizikom ne bi trebali spriječiti financijske
subjekte da budu inovativni kada se moraju nositi s pitanjima digitalne
operativne otpornosti.
Što
se tiče spremnosti financijskih subjekata za kibernetičku sigurnost,
pregovarači su se složili da i interni i vanjski testovi imaju ulogu u
naprednom testiranju, stoga bi jedan od tri testa trebao obaviti vanjski
pružatelj usluga.
Kako
bi se postigao snažan režim izvješćivanja o incidentima vezanim uz ICT za
financijske subjekte s manjim administrativnim opterećenjem i bez
preklapanja u izvješćivanju, pregovarači su se složili da bi trebali
izvještavati svoja nadležna tijela na centraliziran i usklađen način. Omogućili
su fleksibilne vremenske rokove za izvješćivanje o incidentima povezanim
s ICT-om, pod uvjetom da postoji opravdanje za odstupanje od vremenskog okvira.
Zastupnici
Europskog parlamenta također su uvjeravali da će se uspostava jedinstvenog
EU čvorišta za izvještavanje o velikim incidentima povezanim s ICT-om istražiti
u roku od dvije godine.
Nadzor
ICT rizika treće strane
Financijski
subjekti mogu sklopiti ugovor samo s pružateljima ICT usluga koji imaju
odgovarajuće, ažurne sigurnosne standarde. Zastupnici Europskog parlamenta
naglasili su da su pružatelji ICT usluga trećih strana ključni za
funkcioniranje financijskog sektora i da ih stoga treba pravilno nadzirati na
razini EU-a. Pregovarači su se složili da kritični pružatelji ICT usluga trećih
strana s poslovnim nastanom u trećoj zemlji trebaju imati podružnicu u EU-u,
a europska nadzorna tijela (ESA) trebaju biti obaviještena o svakoj promjeni
njihove upravljačke strukture.
Zastupnici
Europskog parlamenta inzistirali su na preispitivanju funkcioniranja i
učinkovitosti Zajedničke nadzorne mreže u roku od pet godina kako bi se
osiguralo da je nadzor od strane glavnih nadzornika bude dosljedan te da je
razmjena informacija unutar okvira nadzora učinkovita.
Konačno,
pregovarači su se složili da se pravila trebaju primijeniti 24
mjeseca nakon stupanja na snagu.
Osim
toga, pregovarači su se složili da će nastaviti s tehničkim radom na
izmjenama i dopunama koje donose pravnu jasnoću i dosljednost postojećim
pravilima EU-a o financijskim uslugama te osigurati da su pravila u uredbi i
direktivi međusobno usklađena.
Dodatne
informacije dostupne su na poveznicama:
the regulation
the directive