(1) Unia musi odpowiednio i kompleksowo uwzględnić ryzyko cyfrowe dla wszystkich podmiotów finansowych w związku ze wzrostem wykorzystania technologii informacyjno-komunikacyjnych (ICT) na potrzeby świadczenia usług finansowych i korzystania z takich usług, przyczyniając się tym samym do wykorzystania potencjału finansów cyfrowych pod względem zwiększenia innowacyjności i promowania konkurencji w bezpiecznym środowisku cyfrowym.

(2) W swojej codziennej działalności podmioty finansowe w dużej mierze wykorzystują technologie cyfrowe. W związku z tym kwestią najwyższej wagi jest zapewnienie odporności operacyjnej ich operacji cyfrowych na ryzyko związane z ICT. Potrzeba zapewnienia odporności operacyjnej stała się jeszcze pilniejsza ze względu na rosnącą obecność przełomowych technologii na rynku, w szczególności technologii umożliwiających cyfrowe przedstawienia wartości lub praw, które można przenosić i przechowywać w formie elektronicznej z wykorzystaniem technologii rozproszonego rejestru lub podobnej technologii (kryptoaktywa), oraz rosnącą obecność usług związanych z takimi aktywami.

(3) Na poziomie Unii wymogi dotyczące zarządzania ryzykiem związanym z ICT w sektorze finansowym są obecnie określone w dyrektywach Parlamentu Europejskiego i Rady 2009/65/WE 4 , 2009/138/WE 5 , 2011/61/UE 6 , 2013/36/UE 7 , 2014/59/UE 8 , 2014/65/UE 9 , (UE) 2015/2366 10  i (UE) 2016/2341 11 .

Wymogi te są różnorodne i czasami niekompletne. W niektórych przypadkach ryzyko związane z ICT uwzględniono wyłącznie w sposób pośredni - w ramach ryzyka operacyjnego, natomiast w innych przypadkach ryzyko takie w ogóle nie zostało uwzględnione. Problemom tym zaradzono, przyjmując rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 12 .Należy zatem zmienić powyższe dyrektywy w celu zapewnienia spójności z tym rozporządzeniem. W niniejszej dyrektywie przyjęto szereg zmian, które są niezbędne do zapewnienia jasności prawa i spójności w zakresie stosowania przez podmioty finansowe - upoważnione i nadzorowane zgodnie z powyższymi dyrektywami - różnych wymogów w zakresie operacyjnej odporności cyfrowej, które są konieczne do prowadzenia działalności przez te podmioty i do świadczenia usług, co gwarantuje sprawne funkcjonowanie rynku wewnętrznego. Konieczne jest zapewnienie adekwatności tych wymogów do zmian na rynku, przy jednoczesnym wspieraniu proporcjonalności, w szczególności w odniesieniu do wielkości podmiotów finansowych i szczególnych systemów, którym podlegają, w celu zmniejszenia kosztów przestrzegania przepisów.

(4) W obszarze usług bankowych w dyrektywie 2013/36/UE określa się obecnie wyłącznie ogólne zasady dotyczące zarządzania wewnętrznego i przepisy dotyczące ryzyka operacyjnego, zawierające wymogi w zakresie planów awaryjnych i planów utrzymania ciągłości działania, które w sposób pośredni służą jako podstawa do uwzględniania ryzyka związanego z ICT. Aby jednak uwzględnić ryzyko związane z ICT w sposób bezpośredni i jasny, należy zmienić wymogi dotyczące planów awaryjnych i planów utrzymania ciągłości działania w celu uwzględnienia również planów ciągłości działania oraz planów reagowania i przywracania sprawności w odniesieniu do ryzyka związanego z ICT, zgodnie z wymogami określonymi w rozporządzeniu (UE) 2022/2554. Ponadto ryzyko związane z ICT jest jedynie pośrednio uwzględniane, w ramach ryzyka operacyjnego, w procesie przeglądu i oceny nadzorczej (SREP), przeprowadzanym przez właściwe organy, a kryteria jego oceny są obecnie określone w wytycznych w sprawie oceny ryzyka technologii informacyjno-komunikacyjnych w ramach procesu przeglądu i oceny nadzorczej (SREP), wydanych przez Europejski Urząd Nadzoru (Europejskiego Urzędu Nadzoru Bankowego) (EUNB), ustanowiony rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 1093/2010 13 . W celu zapewnienia jasności prawa i zagwarantowania, że organy nadzoru bankowego skutecznie identyfikują ryzyko związane z ICT i monitorują zarządzanie nim przez podmioty finansowe, zgodnie z nowymi ramami dotyczącymi operacyjnej odporności cyfrowej, należy również zmienić zakres SREP, poprzez wyraźne odesłanie do wymogów określonych w rozporządzeniu (UE) 2022/ 2554 i objęcie nim w szczególności ryzyka ujawnionego w zgłoszeniach dotyczących poważnych incydentów związanych z ICT oraz w wynikach testowania operacyjnej odporności cyfrowej przeprowadzanego przez podmioty finansowe zgodnie z tym rozporządzeniem.

(5) Operacyjna odporność cyfrowa jest niezbędna do zachowania krytycznych funkcji i głównych linii biznesowych podmiotu finansowego w przypadku jego restrukturyzacji i uporządkowanej likwidacji, a tym samym uniknięcia zakłóceń w gospodarce realnej i systemie finansowym. Poważne incydenty operacyjne mogą ograniczyć zdolność podmiotu finansowego do kontynuowania działalności i mogą zagrozić realizacji celów restrukturyzacji i uporządkowanej likwidacji. Niektóre ustalenia umowne dotyczące korzystania z usług ICT mają zasadnicze znaczenie dla zapewnienia ciągłości operacyjnej i dostarczenia niezbędnych danych w przypadku restrukturyzacji i uporządkowanej likwidacji. Aby dostosować się do celów unijnych ram odporności operacyjnej, należy odpowiednio zmienić dyrektywę 2014/59/UE w celu zapewnienia, by informacje dotyczące odporności operacyjnej były uwzględniane w kontekście planowania i oceny możliwości przeprowadzenia skutecznej restrukturyzacji i uporządkowanej likwidacji podmiotów finansowych.

(6) W dyrektywie 2014/65/UE określono bardziej rygorystyczne zasady dotyczące ryzyka związanego z ICT w odniesieniu do firm inwestycyjnych i systemów obrotu, które prowadzą handel algorytmiczny. Mniej szczegółowe wymogi mają zastosowanie do usług w zakresie udostępniania informacji i repozytoriów transakcji. Dyrektywa 2014/65/UE zawiera ponadto jedynie ograniczone odniesienia do mechanizmów kontroli i zabezpieczenia dotyczących systemów przetwarzania informacji oraz do wykorzystania odpowiednich systemów, zasobów i procedur w celu zapewnienia ciągłości i regularności świadczenia usług biznesowych. Ponadto dyrektywę tę należy dostosować do rozporządzenia (UE) 2022/2554 w odniesieniu do ciągłości i regularności świadczenia usług inwestycyjnych i prowadzenia działalności inwestycyjnych, odporności operacyjnej, zdolności systemów obrotu oraz skuteczności rozwiązań w zakresie ciągłości działania i zarządzania ryzykiem.

(7) W dyrektywie (UE) 2015/2366 określono zasady szczególne dotyczące elementów kontroli bezpieczeństwa i ograniczania ryzyka w zakresie ICT na potrzeby uzyskania zezwolenia na świadczenie usług płatniczych. Te zasady dotyczące zezwoleń należy zmienić, aby dostosować je do rozporządzenia (UE) 2022/2554. Ponadto, aby zmniejszyć obciążenia administracyjne oraz uniknąć złożoności i powielania wymogów w zakresie sprawozdawczości, zawarte w tej dyrektywie przepisy dotyczące zgłaszania incydentów powinny przestać mieć zastosowanie do dostawców usług płatniczych, którzy są uregulowani w tej dyrektywie, i którzy także podlegają rozporządzeniu (UE) 2022/ 2554, umożliwiając tym samym tym dostawcom usług płatniczych korzystanie z jednolitego, w pełni zharmonizowanego mechanizmu zgłaszania incydentów w odniesieniu do wszystkich incydentów operacyjnych lub incydentów w zakresie bezpieczeństwa związanych z płatnościami, niezależnie od tego, czy takie incydenty są związane z ICT.

(8) W dyrektywie 2009/138/WE i dyrektywie (UE) 2016/2341 częściowo uwzględniono ryzyko związane z ICT w przepisach ogólnych dotyczących zarządzania i zarządzania ryzykiem oraz przewidziano określenie niektórych wymogów w drodze aktów delegowanych ze szczególnym odniesieniem do ryzyka związanego z ICT albo bez takiego odniesienia. Podobnie jedynie bardzo ogólne zasady mają zastosowanie do zarządzających alternatywnymi funduszami inwestycyjnymi, którzy podlegają dyrektywie 2011/61/UE, oraz do spółek zarządzających, które podlegają dyrektywie 2009/65/WE. Dyrektywy te należy zatem dostosować do wymogów określonych w rozporządzeniu (UE) 2022/2554 w odniesieniu do zarządzania systemami i narzędziami ICT.

(9) W wielu przypadkach dodatkowe wymogi dotyczące ryzyka związanego z ICT zostały już określone w aktach delegowanych i wykonawczych przyjętych na podstawie projektów regulacyjnych standardów technicznych i projektów wykonawczych standardów technicznych opracowanych przez właściwy Europejski Urząd Nadzoru. Ponieważ przepisy rozporządzenia (UE) 2022/2554 stanowią odtąd ramy prawne dotyczące ryzyka związanego z ICT w sektorze finansowym, należy zmienić niektóre umocowania dotyczące uprawnienia do przyjmowania aktów delegowanych i wykonawczych w dyrektywach 2009/65/WE, 2009/138/WE, 2011/61/UE i 2014/65/UE w celu usunięcia przepisów dotyczących ryzyka związanego z ICT z zakresu tych umocowań.

(10) Aby zapewnić spójne wdrożenie nowych ram dotyczących operacyjnej odporności cyfrowej sektora finansowego, państwa członkowskie powinny stosować przepisy prawa krajowego transponujące niniejszą dyrektywę od dnia rozpoczęcia stosowania rozporządzenia (UE) 2022/2554.

(11) Dyrektywy 2009/65/WE, 2009/138/WE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 i (UE) 2016/2341 zostały przyjęte na podstawie art. 53 ust. 1 lub art. 114 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) lub na obu tych podstawach. Zmiany określone w niniejszej dyrektywie zostały ujęte w jednym akcie ustawodawczym ze względu na wzajemne powiązania przedmiotu i celów tych zmian. W rezultacie niniejszą dyrektywę należy przyjąć na podstawie zarówno art. 53 ust. 1, jak i art. 114 TFUE.

(12) Ponieważ cele niniejszej dyrektywy nie mogą zostać osiągnięte w sposób wystarczający przez państwa członkowskie, ponieważ wymagają one harmonizacji wymogów już zawartych w dyrektywach, natomiast ze względu na rozmiary, jak i skutki działania możliwe jest ich lepsze osiągnięcie na poziomie Unii, może ona podjąć działania zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności określoną w tym artykule niniejsza dyrektywa nie wykracza poza to, co jest konieczne do osiągnięcia tych celów.

(13) Zgodnie ze wspólną deklaracją polityczną państw członkowskich i Komisji z dnia 28 września 2011 r. dotyczącą dokumentów wyjaśniających 14  państwa członkowskie zobowiązały się do złożenia, w uzasadnionych przypadkach, wraz z powiadomieniem o transpozycji, jednego lub większej liczby dokumentów wyjaśniających związki między elementami dyrektywy a odpowiadającymi im częściami krajowych instrumentów transpozycyjnych. W odniesieniu do niniejszej dyrektywy prawodawca uznaje, że przekazanie takich dokumentów jest uzasadnione,

PRZYJMUJĄ NINIEJSZĄ DYREKTYWĘ: