Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14.12.2022 о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011

Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14 декабря 2022 г.
о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011*(1)

(Действие Регламента распространяется на Европейское экономическое пространство)

Европейский Парламент и Совет Европейского Союза,

Руководствуясь Договором о функционировании Европейского Союза и, в частности, Статьей 114 Договора,

На основании предложения Европейской Комиссии,

После передачи проекта законодательного акта национальным парламентам,

С учетом заключения Европейского Центрального Банка*(2),

С учетом заключения Европейского комитета по социальным и экономическим вопросам*(3),

Действуя в соответствии с обычной законодательной процедурой*(4),

Принимая во внимание следующие обстоятельства:

(1) В цифровую эпоху информационные и коммуникационные технологии (ICT) поддерживают сложные системы, используемые в повседневной деятельности. Они обеспечивают работу ключевых секторов экономики, включая финансовый сектор, и улучшают функционирование внутреннего рынка. Растущая цифровизация и взаимосвязанность также усиливают ICT-риски, делая общество в целом и финансовую систему в частности более уязвимыми для киберугроз или сбоев в работе ICT. Если повсеместное использование систем ICT, а также высокий уровень цифровизации и возможностей сетевого взаимодействия в настоящее время являются основными чертами деятельности финансовых организаций Европейского Союза, то вопросы их цифровой устойчивости по-прежнему требуют более эффективного решения и интеграции в более широкую организационную структуру.

(2) Использование ICT в последние десятилетия приобрело настолько ключевую роль в оказании финансовых услуг, что в настоящее время ICT критически значимы для выполнения типичных повседневных операций всех финансовых организаций. Цифровизация охватывает, например, платежи, при совершении которых вместо наличных и бумажных средств все чаще используются цифровые решения, а также клиринг и расчеты по ценным бумагам, электронную и алгоритмическую торговлю, операции кредитования и финансирования, одноранговое финансирование, оценку кредитоспособности, работу с претензиями и обработку документации. Сектор страхования также претерпел изменения благодаря использованию ICT: от появления страховых посредников, предлагающих свои услуги онлайн с технологиями InsurTech, до цифрового страхового андеррайтинга. Во всем секторе финансирование в значительной степени стало цифровым; кроме того, цифровизация усилила взаимосвязи и зависимости внутри финансового сектора, а также со сторонними поставщиками инфраструктуры и услуг.

(3) Европейский совет по системным рискам (ESRB) в отчете за 2020 год, посвященном системным киберрискам, подтвердил, что существующий высокий уровень взаимосвязанности финансовых организаций, финансовых рынков и инфраструктур финансовых рынков, особенно взаимозависимости их ICT-систем, может представлять собой системную уязвимость, поскольку локализованные киберинциденты могут быстро распространиться из любой из около 22 000 финансовых организаций Европейского Союза на всю финансовую систему, не ограниченную географическими границами. Серьезные сбои в работе ICT, которые имели место в финансовом секторе, затрагивают не только отдельные финансовые организации. Они также облегчают распространение локальных уязвимых факторов по финансовым каналам передачи и потенциально влекут за собой неблагоприятные последствия для стабильности финансовой системы Европейского Союза, например генерацию утечек ликвидности и общую утрату уверенности и доверия к финансовым рынкам.

(4) В последние годы ICT-риски привлекли внимание международных, европейских и национальных политиков, регуляторов и органов по установлению стандартов, которые принимают усилия по повышению цифровой устойчивости, установлению стандартов и координации регуляторной или надзорной деятельности. На международном уровне Базельский комитет по банковскому надзору, Комитет по платежам и рыночной инфраструктуре, Совет по финансовой стабильности, Институт финансовой стабильности, а также группы стран G7 и G20 стремятся предоставить компетентным органам и операторам рынков в различных юрисдикциях инструменты для повышения устойчивости их финансовых систем. Эта работа также была обусловлена необходимостью должным образом учитывать ICT-риски в контексте сильно взаимосвязанной глобальной финансовой системы и добиваться большей согласованности соответствующих передовых практик.

(5) Несмотря на целенаправленную политику Европейского Союза и отдельных стран, а также на законодательные инициативы, ICT-риски продолжают создавать сложности для операционной устойчивости, производительности и стабильности финансовой системы Европейского Союза. Реформы, последовавшие за финансовым кризисом 2008 года, в первую очередь укрепили финансовую устойчивость финансового сектора Европейского Союза и были направлены на защиту конкурентоспособности и стабильности Европейского Союза в экономическом, пруденциальном и рыночном аспектах. Хотя безопасность ICT и цифровая устойчивость составляют часть операционного риска, им уделялось меньше внимания в посткризисной регуляторной повестке дня, и они развивались только в некоторых областях политики и нормативной правовой базы Европейского Союза, касающихся финансовых услуг, или только в некоторых государствах-членах ЕС.

(6) В своем сообщении от 8 марта 2018 г. под названием "План действий по использованию технологий в сфере финансовых услуг: создавая более конкурентоспособный и инновационный европейский финансовый сектор", Европейская Комиссия подчеркнула первостепенную важность повышения устойчивости финансового сектора Европейского Союза, в том числе с операционной точки зрения, для обеспечения его технологической безопасности и надлежащего функционирования, его быстрого восстановления после сбоев и инцидентов, связанных с ICT, что в конечном счете обеспечивает эффективное и бесперебойное оказание финансовых услуг на всей территории Европейского Союза, в том числе в ситуациях стресса, а также позволяет сохранить доверие и уверенность потребителей и рынка.

(7) В апреле 2019 года Европейский надзорный орган (Европейский банковский орган) (EBA), учрежденный Регламентом (ЕС) 1093/2010 Европейского Парламента и Совета ЕС*(5), Европейский надзорный орган (Европейский орган по страхованию и профессиональному пенсионному обеспечению) (EIOPA), учрежденный Регламентом (ЕС) 1094/2010 Европейского Парламента и Совета ЕС*(6), и Европейский надзорный орган (Европейский орган по ценным бумагам и рынкам) (ESMA), учрежденный Регламентом (ЕС) 1095/2010 Европейского Парламента и Совета ЕС*(7) (совместно именуемые "Европейские надзорные органы"или ESA), выпустили совместные технические рекомендации, где призвали к согласованному подходу к ICT-рискам в финансовой сфере и рекомендовали соразмерно укреплять цифровую операционную устойчивость оказания финансовых услуг посредством отраслевой инициативы Европейского Союза.

(8) Финансовый сектор Европейского Союза регулируется Единым сводом правил и подпадает под Европейскую систему финансового надзора. Тем не менее положения, касающиеся цифровой операционной устойчивости и безопасности ICT, еще не гармонизированы в полной мере или последовательно, несмотря на высокую значимость цифровой операционной устойчивости для обеспечения финансовой стабильности и целостности рынка в цифровую эпоху и не меньшую важность, чем, например, общие стандарты пруденциального или рыночного поведения. В этой связи необходимо разработать Единый свод правил и систему надзора, которые также будут охватывать цифровую операционную устойчивость, путем усиления полномочий компетентных органов, позволяющих им контролировать управление ICT-рисками в финансовом секторе для защиты целостности и эффективности внутреннего рынка и содействия его упорядоченному функционированию.

(9) Несоответствия в законодательстве и различные подходы к регулированию ICT-рисков или надзору за ними на национальном уровне создают препятствия для функционирования внутреннего рынка финансовых услуг, затрудняя бесперебойное осуществление права на свободу учреждения и оказание услуг финансовыми организациями, работающими на трансграничной основе. Конкуренция между финансовыми организациями одного и того же типа, действующими в разных государствах-членах ЕС, также может быть искажена. В частности, это касается областей, в которых гармонизация на уровне европейского Союза была достаточно ограниченной (например, испытания на цифровую операционную устойчивость) или отсутствовала (например, мониторинг ICT-рисков третьих сторон). Несоответствия вследствие изменений, происходящих на национальном уровне, могут создавать дополнительные препятствия для функционирования внутреннего рынка в ущерб участникам рынка и финансовой стабильности.

(10) Ввиду того, что на сегодняшний день положения, связанные с ICT-рисками, лишь частично рассматриваются на уровне Европейского Союза, имеют место пробелы или пересечения в важных областях, таких как отчетность об инцидентах, связанных с ICT, и испытания на цифровую операционную устойчивость, а также несоответствия ввиду появления различающихся национальных норм или экономически неэффективного применения частично пересекающихся норм. Это наносит особенный вред интенсивным пользователям ICT, таким как финансовый сектор, поскольку технологические риски не имеют границ, а финансовый сектор предоставляет свои услуги на широкой трансграничной основе как внутри, так и за пределами Европейского Союза. Отдельные финансовые организации, действующие на трансграничной основе или имеющие несколько разрешений (например, одна финансовая организация может иметь банковскую лицензию, лицензию инвестиционной фирмы и лицензию платежной организации, каждая из которых выдана отдельным компетентным органом в одном или нескольких государствах-членах ЕС), сталкиваются с операционными проблемами в устранении ICT-рисков и в минимизации неблагоприятных последствий инцидентов в области ICT самостоятельно, последовательно и экономически эффективно.

(11) Поскольку Единый свод правил не сопровождался всеобъемлющей системой оценки ICT-рисков или операционных рисков, требуется дальнейшая гармонизация ключевых требований цифровой операционной устойчивости для всех финансовых организаций. Развитие потенциала в области ICT и общей устойчивости финансовых организаций на основе таких ключевых требований, чтобы противостоять перебоям в работе, поможет сохранить стабильность и целостность финансовых рынков Европейского Союза и, таким образом, будет способствовать обеспечению высокого уровня защиты инвесторов и потребителей в Европейском Союзе. Поскольку настоящий Регламент направлен на обеспечение бесперебойного функционирования внутреннего рынка, он должен основываться на положениях Статьи 114 Договора о функционировании Европейского Союза (TFEU) в толковании согласно сложившейся прецедентной практике Суда Европейского Союза (далее - Суд ЕС).

(12) Настоящий Регламент направлен на консолидацию и актуализацию требований к ICT-рискам в рамках требований к операционным рискам, которые прежде рассматривались отдельно в различных правовых актах Европейского Союза. Хотя указанные акты охватывали основные категории финансовых рисков (например, кредитный риск, рыночный риск, кредитный риск контрагента и риск ликвидности, риск рыночного поведения), на момент их принятия они не отражали в полном объеме все компоненты операционной устойчивости. В нормах, касающихся операционных рисков, получивших дальнейшее развитие в указанных правовых актах Европейского Союза, предпочтение зачастую отдавалось традиционному количественному подходу к устранению риска (а именно установлению требований к капиталу для покрытия ICT-риска), а не целевым качественным нормам, направленным на защиту, обнаружение, сдерживание инцидентов, связанных с ICT, на возможности восстановления и ремонта или на отчетность и возможности проведения цифровых испытаний. Такие акты в первую очередь предназначались для охвата и актуализации основных норм, касающихся пруденциального надзора, целостности рынка или рыночного поведения. Путем консолидации и актуализации различных норм, касающихся ICT-рисков, все положения, затрагивающие цифровые риски в финансовом секторе, впервые должны быть последовательно объединены в одном законодательном акте. Таким образом, настоящий Регламент устраняет пробелы или несоответствия в некоторых предшествующих правовых актах, в том числе в части используемой в них терминологии, и прямо учитывает ICT-риски посредством целевых норм о способностях управления ICT-рисками, предоставлении отчетности об инцидентах, испытаниях на операционную устойчивость и о мониторинге ICT-рисков третьей стороны. Таким образом, настоящий Регламент должен также повышать уровень осведомленности об ICT-рисках и признавать, что инциденты, связанные с ICT, и отсутствие операционной устойчивости могут поставить под угрозу надежность финансовых организаций.

(13) Финансовые организации должны придерживаться одного и того же подхода и одних и тех же основанных на принципах норм при рассмотрении ICT-рисков, с учетом их размера и общего профиля рисков, а также характера, масштаба и сложности их услуг, деятельности и операций. Последовательность способствует повышению доверия к финансовой системе и сохранению ее стабильности, особенно во времена высокой зависимости от систем, платформ и инфраструктуры ICT, что влечет за собой повышенные цифровые риски. Соблюдение элементарной кибергигиены также позволит избежать больших затрат для экономики за счет минимизации последствий и затрат, связанных со сбоями в работе ICT.

(14) Регламент способствует снижению сложности регулирования, способствует сближению в надзорной сфере и повышает правовую определенность, а также позволяет ограничить издержки, связанные с соблюдением требований, особенно для финансовых организаций, осуществляющих трансграничную деятельность, и уменьшить искажения конкуренции. Таким образом, выбор Регламента для установления общих рамок цифровой операционной устойчивости финансовых организаций является наиболее подходящим способом гарантировать однородное и последовательное применение всех компонентов управления ICT-рисками со стороны финансового сектора Европейского Союза.

(15) Директива (ЕС) 2016/1148 Европейского Парламента и Совета ЕС*(8) представляла собой первый горизонтальный инструмент в области кибербезопасности, который был принят на уровне Европейского Союза и применялся к финансовым организациям трех видов, а именно к кредитным организациям, торговым площадкам и центральным контрагентам. Однако в силу того, что Директива (ЕС) 2016/1148 устанавливала механизм идентификации операторов наиболее важных услуг на национальном уровне, на практике ее сфера действия охватывала только определенные кредитные организации, торговые площадки и определенных центральных контрагентов, которые были идентифицированы государствами-членами ЕС и, следовательно, должны были соблюдать изложенные в ней требования к безопасности ICT и к уведомлению об инцидентах. Директива (ЕС) 2022/2555 Европейского Парламента и Совета ЕС*(9) устанавливает единый критерий для определения организаций, подпадающих под сферу ее применения (правило максимального размера), сохраняя при этом свое действие в отношении финансовых организаций трех видов.

(16) При этом поскольку настоящий Регламент повышает уровень гармонизации различных компонентов цифровой устойчивости путем введения требований к управлению ICT-рисками и предоставлению отчетности об инцидентах, связанных с ICT, которые являются более строгими по сравнению с теми, что изложены в действующем законодательстве Европейского Союза о финансовых услугах, такой более высокий уровень обеспечивает гармонизацию в большей степени также по сравнению с требованиями, изложенными в Директиве (ЕС) 2022/2555. Следовательно, настоящий Регламент представляет собой lex specialis по отношению к Директиве (ЕС) 2022/2555. В то же время крайне важно сохранить тесную взаимосвязь между финансовым сектором и горизонтальным инструментом в области кибербезопасности Европейского Союза, как в настоящее время изложено в Директиве (ЕС) 2022/2555, чтобы обеспечить соответствие стратегиям кибербезопасности, принятым государствами-членами ЕС, и позволить органам финансового надзора получать информацию о киберинцидентах, затрагивающих другие отрасли, подпадающие под действие указанной Директивы.

(17) В соответствии со Статьей 4(2) Договора о Европейском Союзе и без ущерба для судебного пересмотра со стороны Суда ЕС, настоящий Регламент не должен затрагивать ответственность государств-членов ЕС в части осуществления основных государственных функций, касающихся публичной безопасности, обороны и обеспечения национальной безопасности, например, в том, что касается предоставления информации, которая будет противоречить обеспечению национальной безопасности.

(18) В целях обеспечения межотраслевого обучения и эффективного использования опыта других отраслей в борьбе с киберугрозами финансовые организации, указанные в Директиве (ЕС) 2022/2555, должны оставаться частью "экосистемы" этой Директивы (например, Группы по сотрудничеству и группы реагирования на инциденты, связанные с компьютерной безопасностью (CSIRT)). ESA и национальные компетентные органы должны иметь возможность участвовать в обсуждениях стратегической политики и в технических совещаниях Групп по сотрудничеству в соответствии с указанной Директивой, а также обмениваться информацией и сотрудничать с единым контактным центром, назначенным или учрежденным в соответствии с указанной Директивой. Компетентные органы в соответствии с настоящим Регламентом также должны консультироваться и сотрудничать с CSIRT. Компетентные органы также должны иметь возможность запрашивать технические рекомендации у компетентных органов, назначенных или учрежденных в соответствии с Директивой (ЕС) 2022/2555, и устанавливать механизмы сотрудничества, направленные на обеспечение эффективных координационных механизмов быстрого реагирования.

(19) Учитывая тесную взаимосвязь между цифровой устойчивостью и физической устойчивостью финансовых организаций, в настоящем Регламенте и в Директиве (ЕС) 2022/2557 Европейского Парламента и Совета ЕС*(10) необходим последовательный подход в отношении устойчивости критически значимых организаций. Учитывая, что физическая устойчивость финансовых организаций комплексно рассматривается в рамках обязательств по управлению ICT-рисками и по предоставлению отчетности, охватываемых настоящим Регламентом, обязательства, изложенные в Главах III и IV Директивы (ЕС) 2022/2557, не должны применяться к финансовым организациям, подпадающим под действие указанной Директивы.

(20) Поставщики сервисов облачных вычислений представляют собой одну из категорий цифровой инфраструктуры, подпадающей под действие Директивы (ЕС) 2022/2555. Система надзора в рамках Европейского Союза (далее - Система надзора), установленная настоящим Регламентом, применяется ко всем стратегическим сторонним поставщикам услуг ICT, включая поставщиков сервисов облачных вычислений, предоставляющих услуги ICT финансовым организациям, и должна рассматриваться как дополнительная по отношению к надзору, осуществляемому в соответствии с Директивой (ЕС) 2022/2555. Кроме того, Система надзора, установленная настоящим Регламентом, должна охватывать поставщиков сервисов облачных вычислений в отсутствие горизонтального инструмента Европейского Союза, учреждающего орган цифрового надзора.

(21) В целях обеспечения полного контроля ICT-рисков финансовые организации должны иметь всесторонние возможности для надежного и эффективного управления ICT-рисками, а также специальные механизмы и принципы обработки всех инцидентов, связанных с ICT, и предоставления отчетности о крупных инцидентах, связанных с ICT. Аналогичным образом, финансовые организации должны разработать принципы проведения испытаний систем, средств контроля и процессов ICT, а также управления ICT-рисками третьих сторон. Необходимо повысить базовую цифровую операционную устойчивость для финансовых организаций, а также обеспечить соразмерное применение требований к определенным финансовым организациям, особенно к микропредприятиям и к финансовым организациям, на которые распространяется упрощенная система управления ICT-рисками. Для содействия эффективному надзору за учреждениями профессионального пенсионного страхования, который является соразмерным и удовлетворяет потребность в снижении административной нагрузки на компетентные органы, соответствующие национальные механизмы надзора в отношении таких финансовых организаций должны учитывать их размер и общий профиль риска, а также характер, масштаб и сложность их услуг, деятельности и операций, даже если превышены соответствующие пороговые значения, установленные в Статье 5 Директивы (ЕС) 2016/2341 Европейского Парламента и Совета ЕС*(11). В частности, надзорная деятельность должна быть направлена в первую очередь на необходимость устранения серьезных рисков, связанных с управлением ICT-рисками конкретной организации.

Компетентные органы также должны сохранять внимательность и проявлять соразмерность в отношении надзора за учреждениями профессионального пенсионного страхования, которые в соответствии со Статьей 31 Директивы (ЕС) 2016/2341 привлекают поставщиков услуг для осуществления значительного объема своей основной деятельности, такой как управление активами, актуарные расчеты, бухгалтерский учет и управление данными.

(22) Пороговые значения и классификации случаев представления отчетности об инцидентах, связанных с ICT, значительно различаются на национальном уровне. Хотя точки соприкосновения могут быть достигнуты в рамках соответствующей работы, проводимой Агентством Европейского Союза по кибербезопасности (ENISA), учрежденным Регламентом (ЕС) 2019/881 Европейского Парламента и Совета ЕС*(12), и Группой по сотрудничеству в соответствии с Директивой (ЕС) 2022/2555, различные подходы к установлению пороговых значений и использованию классификаций по-прежнему существуют или могут возникнуть для остальных финансовых организаций. Ввиду таких расхождений существует множество требований, которым должны соответствовать финансовые организации, особенно при осуществлении своей деятельности в нескольких государствах-членах ЕС и при входе в состав финансовой группы. Кроме того, такие расхождения могут помешать созданию дополнительных унифицированных или централизованных механизмов на уровне Европейского Союза, которые ускоряют процесс предоставления отчетности и поддерживают быстрый и беспрепятственный обмен информацией между компетентными органами, что имеет решающее значение для устранения ICT-рисков в случае крупномасштабных атак, имеющих потенциально значимые системные последствия.

(23) Чтобы снизить административную нагрузку и устранить потенциально дублирующие друг друга обязательства по предоставлению отчетности для определенных финансовых организаций, требование отчитываться об инцидентах в соответствии с Директивой (ЕС) 2015/2366 Европейского Парламента и Совета ЕС*(13) не должно более применяться к поставщикам платежных услуг, которые подпадают под действие настоящего Регламента. Следовательно, кредитные организации, эмитенты электронных денег, платежные организации и операторы доступа к информации по счетам пользователей, как указано в Статье 33(1) этой Директивы, должны с даты применения настоящего Регламента сообщать в соответствии с настоящим Регламентом обо всех инцидентах, связанных с операционным или обеспечительным платежом, о которых они ранее сообщали в соответствии с указанной Директивой, независимо от того, связаны ли такие инциденты с ICT или нет.

(24) Чтобы компетентные органы могли выполнять надзорные функции, получая полное представление о характере, частоте, значимости и влиянии инцидентов, связанных с ICT, а также в целях совершенствования обмена информацией между соответствующими органами власти, включая правоохранительные органы и органы по разрешению споров, настоящий Регламент должен установить надежный режим предоставления отчетности об инцидентах, связанных с ICT, чтобы путем применения соответствующих требований устранить имеющиеся пробелы в законодательстве о финансовых услугах, а также случаи пересечения и дублирования для снижения затрат. Крайне важно гармонизировать режим предоставления отчетности об инцидентах, связанных с ICT, требуя, чтобы все финансовые организации отчитывались перед своими компетентными органами в рамках единой упрощенной системы, как установлено настоящим Регламентом. В дополнение, ESA должны быть наделены полномочиями для дальнейшего определения соответствующих элементов структуры отчетности об инцидентах, связанных с ICT, таких как классификация, сроки, массивы данных, шаблоны и применимые пороговые значения. Для обеспечения полного соответствия Директиве (ЕС) 2022/2555 финансовым организациям должно быть разрешено в добровольном порядке уведомлять соответствующий компетентный орган о существенных киберугрозах, если, по их мнению, киберугроза представляет значимость для финансовой системы, пользователей услуг или для клиентов.

(25) В некоторых финансовых подотраслях были разработаны требования к проведению испытаний на цифровую операционную устойчивость, устанавливающие правила, которые не всегда согласованы в полном объеме. Это приводит к потенциальному дублированию затрат для трансграничных финансовых организаций и затрудняет взаимное признание результатов испытаний на цифровую операционную устойчивость, что, в свою очередь, может привести к фрагментации внутреннего рынка.

(26) Кроме того, в отсутствие требования проводить испытания ICT факторы уязвимости остаются необнаруженными, в результате чего финансовая организация подвергается ICT-риску, что в конечном итоге создает повышенный риск для стабильности и целостности финансового сектора. Без вмешательства Европейского Союза испытания на цифровую операционную устойчивость по-прежнему будут непоследовательными, и не будет создана система взаимного признания результатов испытаний ICT в разных юрисдикциях. Кроме того, поскольку маловероятно, что другие финансовые подотрасли внедрят механизмы проведения испытаний в крупных масштабах, они упустят потенциальные преимущества механизма проведения испытаний в части выявления факторов уязвимости ICT и ICT-рисков, а также в части испытания способностей защиты и обеспечения непрерывности бизнеса, что способствует повышению доверия со стороны клиентов, поставщиков и деловых партнеров. В целях устранения указанных случаев пересечения, расхождения, а также для устранения пробелов необходимо установить нормы для согласованного режима проведения испытаний и тем самым способствовать взаимному признанию расширенных испытаний для финансовых организаций, отвечающих критериям, изложенным в настоящем Регламенте.

(27) Зависимость финансовых организаций от использования услуг ICT отчасти обусловлена необходимостью адаптироваться к формирующейся конкурентной цифровой глобальной экономике, повышать эффективность своей деятельности и удовлетворять потребительский спрос. Характер и степень такой зависимости в последние годы постоянно менялись, что привело к сокращению затрат на финансовое посредничество, расширению бизнеса и масштабируемости при осуществлении финансовой деятельности, а также к предложению широкого спектра инструментов ICT для управления сложными внутренними процессами.

(28) О широком использовании услуг ICT свидетельствуют сложные договорные отношения, вследствие чего финансовые организации зачастую сталкиваются с трудностями при обсуждении договорных условий, адаптированных к пруденциальным стандартам или иным регулятивным требованиям, которые применяются к ним, либо иным образом при осуществлении конкретных прав, таких как право на доступ или право на проведение аудита, даже если последние закреплены в их соглашениях. Кроме того, многие договорные отношения не предусматривают достаточных гарантий, позволяющих проводить развернутый мониторинг процессов субподряда, что лишает финансовую организацию возможности оценивать связанные с этим риски. В дополнение, поскольку сторонние поставщики услуг ICT зачастую предоставляют стандартизированные услуги различным клиентам, такие договорные отношения не всегда надлежащим образом учитывают индивидуальные или специфические потребности субъектов финансовой отрасли.

(29) Несмотря на то, что законодательство Европейского Союза о финансовых услугах содержит определенные общие нормы об аутсорсинге, мониторинг договорных аспектов не полностью закреплен в законодательстве Европейского Союза. В отсутствие четких и уникальных стандартов Европейского Союза, применимых к договорным соглашениям со сторонними поставщиками услуг ICT, внешний источник ICT-риска не устраняется в полном объеме. Следовательно, необходимо установить определенные ключевые принципы управления финансовыми организациями ICT-рисками третьих сторон, которые имеют особое значение, когда финансовые организации обращаются к сторонним поставщикам услуг ICT для поддержки своих критических или важных функций. Указанные принципы должны сопровождаться совокупностью основных договорных прав в отношении нескольких элементов исполнения и расторжения соглашений в целях предоставления определенных минимальных гарантий для повышения способности финансовых организаций эффективно отслеживать все ICT-риски, возникающие на уровне сторонних поставщиков услуг. Такие принципы дополняют отраслевое законодательство, применимое к аутсорсингу.

(30) На сегодняшний день очевидно некоторое отсутствие однородности и согласованности в части мониторинга ICT-рисков третьих сторон и зависимости от третьих сторон в области ICT. Несмотря на усилия по решению проблемы аутсорсинга, в частности Руководство EBA по аутсорсингу от 2019 года и Руководство ESMA по аутсорсингу для поставщиков облачных сервисов от 2021 года, более широкая проблема противодействия системному риску, который может возникать вследствие возможности финансового сектора привлекать лишь ограниченное число стратегических сторонних поставщиков услуг ICT, недостаточно рассматривается в законодательстве Европейского Союза. Отсутствие норм на уровне Европейского Союза усугубляется отсутствием национальных норм в отношении мандатов и инструментов, которые позволяли бы органам финансового надзора в полной мере осознавать зависимость от третьих сторон в области ICT и должным образом отслеживать риски, возникающие в результате концентрации зависимости от третьих сторон в области ICT.

(31) Принимая во внимание потенциальный системный риск, связанный с расширением практики аутсорсинга и концентрацией третьих сторон в области ICT, а также учитывая недостаточность национальных механизмов для предоставления органам финансового надзора надлежащих инструментов для количественной оценки, квалификации и устранения последствий ICT-риска, возникающего у стратегического стороннего поставщика услуг ICT, необходимо создать соответствующую Систему надзора, позволяющую осуществлять постоянный мониторинг деятельности сторонних поставщиков услуг ICT, которые являются стратегическими сторонними поставщиками услуг ICT для финансовых организаций, при обеспечении конфиденциальности и безопасности клиентов, отличных от финансовых организаций. Хотя оказание услуг ICT внутри группы влечет за собой определенные риски и преимущества, оно не должно автоматически считаться менее рискованным, чем оказание услуг ICT поставщиками, не входящими в состав финансовой группы, и к нему должны применяться те же правовые рамки. Однако, когда услуги ICT предоставляются внутри одной и той же финансовой группы, финансовые организации могут осуществлять более высокий уровень контроля над поставщиками внутри группы, что следует учитывать при общей оценке рисков.

(32) Поскольку ICT-риски становятся все более сложными и нетривиальными, эффективные меры по их обнаружению и предотвращению в значительной степени зависят от регулярного обмена между финансовыми организациями аналитическими данными и информацией об угрозах и о факторах уязвимости. Обмен информацией способствует повышению уровня осведомленности о киберугрозах. В свою очередь, это расширяет возможности финансовых организаций предотвращать превращение киберугроз в реальные инциденты, связанные с ICT, и позволяет им более эффективно сдерживать влияние инцидентов, связанных с ICT, и быстрее восстанавливаться. В отсутствие руководящих принципов на уровне Европейского Союза несколько факторов, по-видимому, препятствовали такому обмену аналитическими данными и информацией об угрозах, в частности, неуверенность в его совместимости с нормами о защите данных, нормами антимонопольного законодательства и положениями об ответственности.

(33) Кроме того, сомнения относительно видов информации, которой можно обмениваться с другими участниками рынка или с неконтролирующими органами (например, с ENISA для предоставления аналитических данных или с Европолом в целях правоприменения), приводят к сокрытию полезной информации. Таким образом, объем и качество обмена информацией в настоящее время остаются ограниченными и фрагментарными, при этом соответствующий обмен в основном осуществляется на местном уровне (посредством национальных инициатив) в отсутствие согласованных на уровне Европейского Союза механизмов обмена информацией, адаптированных к потребностям интегрированной финансовой системы. В связи с этим важно укреплять такие каналы взаимодействия.

(34) Следует поощрять финансовые организации к обмену информацией и аналитическими данными о киберугрозах, а также к коллективному использованию своих индивидуальных знаний и практического опыта на стратегическом, тактическом и оперативном уровнях в целях расширения их потенциала для надлежащей оценки, мониторинга, защиты и реагирования на киберугрозы путем участия в соглашениях об обмене информацией. В связи с этим необходимо обеспечить появление на уровне Европейского Союза механизмов добровольного обмена информацией, которые при проведении в доверенной среде помогли бы финансовому сектору предотвращать киберугрозы и совместно реагировать на них путем оперативного ограничения распространения ICT-рисков и предотвращения их потенциального распространения по финансовым каналам. Указанные механизмы должны соответствовать применимым нормам антимонопольного законодательства Европейского Союза, изложенным в Сообщении Европейской Комиссии от 14 января 2011 г., под названием "Руководящие принципы применения Статьи 101 Договора о функционировании Европейского Союза к соглашениям о горизонтальном сотрудничестве", а также нормам Европейского Союза о защите данных, в частности Регламенту (ЕС) 2016/679 Европейского Парламента и Совета ЕС*(14). Такие механизмы должны опираться на использование одного или нескольких правовых оснований, изложенных в Статье 6 настоящего Регламента, например, в контексте обработки персональных данных, которая необходима для целей законных интересов контролера или третьей стороны, как указано в пункте (f) Статьи 6(1) настоящего Регламента, а также в контексте обработки персональных данных, необходимой для исполнения возложенного на контролера правового обязательства, для выполнения задачи, осуществляемой в общественных интересах или в порядке осуществления возложенных на контролера официальных полномочий, как указано в пунктах (c) и (e) Статьи 6(1) настоящего Регламента соответственно.

(35) Чтобы поддерживать высокий уровень цифровой операционной устойчивости для всего финансового сектора и в то же время чтобы идти в ногу с технологическим развитием, настоящий Регламент должен учитывать риски, связанные со всеми видами услуг ICT. В указанных целях услуги ICT в контексте настоящего Регламента следует понимать в широком смысле, в том числе как цифровые услуги и услуги передачи данных, предоставляемые через системы ICT одному или нескольким внутренним или внешним пользователям на постоянной основе. Например, такое определение должно включать в себя так называемые услуги, предоставляемые посредством технологии OTT*(15), которые относятся к категории услуг электронной связи. Определение должно исключать только ограниченную категорию традиционных аналоговых телефонных услуг, квалифицируемых как услуги коммутируемой телефонной сети общего пользования (PSTN), услуги стационарной телефонной связи, услуги обычной телефонной сети (POTS) или услуги фиксированной телефонной связи.

(36) Несмотря на широкий охват, предусмотренный настоящим Регламентом, применение правил цифровой операционной устойчивости должно учитывать существенные различия между финансовыми организациями в части их размера и общего профиля рисков. Как правило, при распределении ресурсов и потенциала для внедрения системы управления ICT-рисками финансовые организации должны надлежащим образом сопоставлять свои связанные с ICT потребности со своим размером и общим профилем рисков, а также с характером, масштабом и сложностью их услуг, деятельности и операций, в то время как компетентные органы должны продолжать оценивать и пересматривать подход к такому распределению.

(37) Операторы доступа к информации по счетам пользователей, указанные в Статье 33(1) Директивы (ЕС) 2015/2366, прямо включены в сферу действия настоящего Регламента с учетом специфики их деятельности и связанных с ней рисков. Кроме того, эмитенты электронных денег и платежные организации, получившие освобождение в соответствии со Статьей 9(1) Директивы 2009/110/ЕС Европейского Парламента и Совета ЕС*(16) и Статьей 32(1) Директивы (ЕС) 2015/2366, включены в сферу действия настоящего Регламента, даже если им не было предоставлено разрешение в соответствии с Директивой 2009/110/ЕС на выпуск электронных денег или если им не было предоставлено разрешение в соответствии с Директивой (ЕС) 2015/2366 на оказание и осуществление платежных услуг. При этом почтовые учреждения для жирорасчетов, указанные в пункте (3) Статьи 2(5) Директивы 2013/36/ЕС Европейского Парламента и Совета ЕС*(17), исключены из сферы применения настоящего Регламента. Компетентным органом для платежных организаций, получивших освобождение в соответствии с Директивой (ЕС) 2015/2366, эмитентов электронных денег, получивших освобождение в соответствии с Директивой 2009/110/EC, и операторов доступа к информации по счетам пользователей, как указано в Статье 33(1) Директивы (ЕС) 2015/2366, должен являться компетентный орган, назначенный в соответствии со Статьей 22 Директивы (ЕС) 2015/2366.

(38) Поскольку более крупные финансовые организации могут располагать более широкими ресурсами и оперативнее направлять средства на развитие структур управления и внедрение различных корпоративных стратегий, только финансовые организации, которые не являются микропредприятиями в значении настоящего Регламента, должны внедрять более сложные механизмы управления. Такие организации лучше оснащены, в частности, для создания специальных управленческих функций в целях надзора за соглашениями со сторонними поставщиками услуг ICT или в целях кризисного управления, для организации управления ICT-рисками в соответствии с моделью трех линий защиты или для создания внутренней модели управления рисками и контроля, а также для того, чтобы подвергать свою систему управления ICT-рисками внутреннему аудиту.

(39) Некоторые финансовые организации пользуются исключениями или подпадают под действие очень упрощенной нормативной правовой базы в соответствии с применимым отраслевым законодательством Европейского Союза. К таким финансовым организациям относятся менеджеры альтернативных инвестиционных фондов, указанные в Статье 3(2) Директивы 2011/61/ЕС Европейского Парламента и Совета ЕС*(18), страховые компании и организации по перестрахованию, указанные в Статье 4 Директивы 2009/138/EC Европейского Парламента и Совета ЕС*(19), а также учреждения профессионального пенсионного страхования, которые управляют программами пенсионного обеспечения, насчитывающими в общей сложности не более 15 членов. Ввиду таких исключений было бы несоразмерно включать такие финансовые организации в сферу применения настоящего Регламента. Кроме того, настоящий Регламент признает особенности структуры рынка страхового посредничества, в результате чего посредники в области страхования, посредники в области перестрахования и посредники в области дополнительного страхования, которые относятся к микропредприятиям либо к малым или средним предприятиям, не должны подпадать под действие настоящего Регламента.

(40) Поскольку организации, указанные в пунктах (4)-(23) Статьи 2(5) Директивы 2013/36/ЕС, исключены из сферы действия данной Директивы, государства-члены ЕС должны иметь возможность предусмотреть освобождение таких организаций, расположенных на их соответствующих территориях, от действия настоящего Регламента.

(41) Аналогичным образом, чтобы привести настоящий Регламент в соответствие со сферой действия Директивы 2014/65/ЕС Европейского Парламента и Совета ЕС*(20), целесообразно также исключить из сферы действия настоящего Регламента физических и юридических лиц, указанных в Статьях 2 и 3 данной Директивы, которым разрешено предоставлять инвестиционные услуги без получения разрешения в соответствии с Директивой 2014/65/ЕС. Однако Статья 2 Директивы 2014/65/ЕС также исключает из сферы действия данной Директивы организации, которые относятся к финансовым организациям для целей настоящего Регламента, например центральные депозитарии ценных бумаг, предприятия коллективного инвестирования или страховые компании и организации по перестрахованию. Освобождение лиц и организаций, указанных в Статьях 2 и 3 данной Директивы, от сферы применения настоящего Регламента не должно распространяться на такие центральные депозитарии ценных бумаг, предприятия коллективного инвестирования или страховые компании и организации по перестрахованию.

(42) В соответствии с отраслевым законодательством Европейского Союза к некоторым финансовым организациям применяются менее строгие требования или исключения по причинам, связанным с их размером или предоставляемыми ими услугами. К такой категории финансовых организаций относятся малые и невзаимосвязанные инвестиционные фирмы, малые учреждения профессионального пенсионного страхования, которые могут быть исключены соответствующим государством-членом ЕС из сферы действия Директивы (ЕС) 2016/2341 на условиях, изложенных в Статье 5 указанной Директивы, и которые управляют программами пенсионного обеспечения, насчитывающими в общей сложности не более 100 членов, а также учреждения, получившие освобождение в соответствии с Директивой 2013/36/ЕС. Таким образом, в соответствии с принципом пропорциональности и для сохранения духа отраслевого законодательства Европейского Союза также целесообразно распространить на такие финансовые организации упрощенную систему управления ICT-рисками в соответствии с настоящим Регламентом. Соразмерный характер системы управления ICT-рисками, которая применяется к таким финансовым организациям, не должен изменяться регулятивными техническими стандартами, которые должны быть разработаны ESA. Кроме того, в соответствии с принципом пропорциональности также целесообразно применять упрощенную систему управления ICT-рисками, предусмотренную настоящим Регламентом, к платежным организациям, указанным в Статье 32(1) Директивы (ЕС) 2015/2366, и эмитентам электронных денег, указанным в Статье 9 Директивы 2009/110/ЕС, которые получили освобождение в соответствии с национальным законодательством, преобразующим указанные правовые акты Европейского Союза. При этом платежные организации и эмитенты электронных денег, которые не получили освобождение в соответствии с их национальным законодательством, преобразующим отраслевое законодательство Европейского Союза, должны соблюдать общие правовые рамки, установленные настоящим Регламентом.

(43) Аналогичным образом, финансовые организации, которые относятся к микропредприятиям или подпадают под действие упрощенной системы управления ICT-рисками в соответствии с настоящим Регламентом, не должны учреждать должностную позицию для мониторинга своих договоров со сторонними поставщиками услуг ICT относительно использования услуг ICT; или назначать какого-либо члена высшего руководства ответственным за осуществление надзора за связанными рисками и соответствующей документацией; возлагать ответственность за управление ICT-рисками и надзор за ними на подразделение по контролю и обеспечивать надлежащий уровень независимости такого подразделения во избежание конфликта интересов; документировать и пересматривать как минимум один раз в год систему управления ICT-рисками; регулярно проводить внутренний аудит системы управления ICT-рисками; проводить глубокую оценку после серьезных изменений, затрагивающих инфраструктуру и процессы их сетевых и информационных систем; регулярно проводить анализ рисков в унаследованных системах ICT; проводить независимый внутренний аудит в отношении внедрения планов мероприятий по реагированию и восстановлению ICT; иметь подразделение по антикризисному управлению, расширять испытания на непрерывность бизнеса и планы мероприятий по реагированию и восстановлению в целях охвата сценариев переключения между основной инфраструктурой ICT и резервными объектами; передавать компетентным органам по их запросу оценку совокупных годовых затрат и убытков, вызванных крупными инцидентами, связанными с ICT, поддерживать резервные мощности ICT; сообщать национальным компетентным органам об изменениях, внесенных после анализа инцидентов, связанных с ICT; отслеживать на постоянной основе значимые технологические изменения, учреждать комплексную программу проведения испытаний на цифровую операционную устойчивость как неотъемлемую часть системы управления ICT-рисками, предусмотренной настоящим Регламентом, или принимать и регулярно пересматривать стратегию в отношении ICT-рисков третьих сторон. Кроме того, микропредприятия должны оценивать необходимость поддержания таких резервных мощностей ICT только на основе их профилей рисков. Микропредприятия должны пользоваться преимуществом гибкого режима в отношении программ проведения испытаний на цифровую операционную устойчивость. При анализе вида и частоты проведения испытаний они должны надлежащим образом учитывать цель поддержания высокой цифровой операционной устойчивости, доступные ресурсы и их общий профиль рисков. Микропредприятия и финансовые организации, на которые распространяется упрощенная система управления ICT-рисками в соответствии с настоящим Регламентом, должны быть освобождены от требования проводить расширенные испытания инструментов, систем и процессов ICT на основе обусловленного угрозой испытания на проникновение (TLPT), поскольку только финансовые организации, которые отвечают критериям, изложенным в настоящем Регламенте, должны быть обязаны проводить такие испытания. Ввиду их ограниченных мощностей микропредприятия должны иметь возможность договариваться со сторонним поставщиком услуг ICT о делегировании прав финансовой организации на доступ, проведение проверки и аудита независимой третьей стороне, назначаемой сторонним поставщиком услуг ICT, при условии, что финансовая организация может в любое время запросить всю релевантную информацию и гарантии в отношении деятельности стороннего поставщика услуг ICT у соответствующей независимой третьей стороны.

(44) Поскольку только те финансовые организации, которые были определены для целей проведения расширенных испытаний на цифровую устойчивость, должны проводить обусловленные угрозой испытания на проникновение, то небольшой процент финансовых организаций должны внедрять административные процессы и нести финансовые затраты, связанные с проведением таких испытаний.

(45) Для обеспечения полной совместимости и общей согласованности между бизнес-стратегиями финансовых организаций, с одной стороны, и управлением ICT-рисками, с другой стороны, необходимо, чтобы органы управления финансовых организаций сохраняли ключевую и активную роль в руководстве и адаптации системы управления ICT-рисками и общей стратегии в области цифровой операционной устойчивости. Подход органов управления должен быть сосредоточен не только на средствах обеспечения устойчивости систем ICT, но также должен охватывать людей и процессы через совокупность стратегий, которые на каждом корпоративном уровне культивируют для всего персонала глубокое понимание киберрисков и приверженность строгому соблюдению кибергигиены на всех уровнях. Конечная ответственность органа управления за управление ICT-риском финансовой организации должна быть основополагающим принципом этого комплексного подхода, что в дальнейшем выражается в постоянном участии органа управления в контроле за мониторингом управления ICT-риском.

(46) Кроме того, принцип полной и окончательной ответственности органа управления за управление ICT-рисками финансовой организации тесно связан с необходимостью обеспечить такой уровень связанных с ICT вложений и такой общий бюджет финансовой организации, который позволил бы ей достичь высокого уровня цифровой операционной устойчивости.

(47) Под влиянием соответствующих международных, национальных и отраслевых передовых практик, руководств, рекомендаций и подходов к управлению киберрисками настоящий Регламент поддерживает ряд принципов, которые упрощают общую систему управления ICT-рисками. Следовательно, до тех пор, пока основные инструменты, внедряемые финансовыми организациями, решают различные задачи управления ICT-рисками (идентификация, защита и предотвращение, обнаружение, реагирование и восстановление, получение опыта и развитие, а также передача информации), изложенные в настоящем Регламенте, финансовые организации вправе свободно использовать модели управления ICT-рисками, которые построены или классифицированы по-другому.

(48) Чтобы не отставать от меняющейся панорамы киберугроз, финансовые организации должны поддерживать в актуальном состоянии надежные системы ICT, которые способны не только гарантировать обработку данных, необходимых для оказания их услуг, но и обеспечивать достаточную технологическую устойчивость, чтобы они могли надлежащим образом удовлетворить дополнительные потребности в обработке данных, возникающие вследствие сложных рыночных условий или других неблагоприятных ситуаций.

(49) Эффективные планы по обеспечению непрерывности бизнеса и по восстановлению необходимы для того, чтобы финансовые организации могли своевременно и оперативно устранять инциденты, связанные с ICT, в частности, кибератаки, ограничивая ущерб и отдавая приоритет возобновлению деятельности и мероприятиям по восстановлению в соответствии с их политикой в области создания резервных копий. При этом возобновление работы никоим образом не должно ставить под угрозу целостность и безопасность сетевых и информационных систем либо доступность, подлинность, целостность или конфиденциальность данных.

(50) Хотя настоящий Регламент позволяет финансовым организациям гибко определять целевое время и целевые точки восстановления и, следовательно, устанавливать такие целевые показатели, в полной мере учитывая характер и критичность соответствующих функций, а также конкретные потребности бизнеса, он тем не менее должен требовать проведения оценки потенциального общего влияния на эффективность рынка при определении таких целевых показателей.

(51) Распространители кибератак, как правило, преследуют цели извлечения финансовой прибыли непосредственно у источника, тем самым создавая для финансовых организаций серьезные последствия. Чтобы предотвратить нарушение целостности или недоступность систем ICT и, следовательно, избежать утечек данных и повреждения физической инфраструктуры ICT, отчетность финансовых организаций о крупных инцидентах, связанных с ICT, должна быть значительно усовершенствована и упорядочена. Отчетность об инцидентах, связанных с ICT, должна быть гармонизирована путем введения требования ко всем финансовым организациям предоставлять отчетность непосредственно соответствующим компетентным органам. Если финансовая организация подлежит надзору со стороны нескольких национальных компетентных органов, то государства-члены ЕС должны назначить один компетентный орган в качестве адресата такой отчетности. Кредитные организации, признанные значимыми в соответствии со Статьей 6(4) Регламента (ЕС) 1024/2013 Совета ЕС*(21), должны представлять такую отчетность национальным компетентным органам, которые впоследствии должны направлять отчет в Европейский центральный банк (ECB).

(52) Прямая отчетность должна обеспечивать немедленный доступ органов финансового надзора к информации о крупных инцидентах, связанных с ICT. Органы финансового надзора, в свою очередь, должны передавать информацию о крупных инцидентах, связанных с ICT, государственным нефинансовым органам (например, компетентным органам и единым контактным центрам в соответствии с Директивой (ЕС) 2022/2555, национальным органам по защите данных и правоохранительным органам, если речь идет о крупных инцидентах, связанных с ICT, которые имеют уголовный характер) для повышения уровня осведомленности указанных органов власти о таких инцидентах, а в случае CSIRT - для облегчения оперативной помощи, которая может быть оказана финансовым организациям при необходимости. Кроме того, государства-члены ЕС должны иметь возможность обязать финансовые организации самостоятельно передавать такую информацию органам власти за пределами сферы финансовых услуг. Такие информационные потоки должны позволять финансовым организациям своевременно пользоваться релевантными техническими данными, рекомендациями относительно средств правовой защиты, а также извлекать преимущества из последующих мероприятий, проводимых такими органами. Информация о крупных инцидентах, связанных с ICT, должна быть направлена в обе стороны: органы финансового надзора должны предоставлять финансовой организации необходимые комментарии или рекомендации, в то время как ESA должны передавать обезличенные данные о киберугрозах и факторах уязвимости, связанные с инцидентом, чтобы способствовать более широкой коллективной защите.

(53) Хотя все финансовые организации должны представлять отчеты об инцидентах, данное требование, как представляется, окажет на них разное влияние. Действительно, соответствующие пороговые значения существенности, а также сроки представления отчетности должны быть скорректированы в контексте делегированных актов на основе регулятивных технических стандартов, которые должны быть разработаны ESA, в целях охвата только крупных инцидентов, связанных с ICT. Кроме того, при установлении сроков исполнения обязательств по предоставлению отчетности следует учитывать специфику финансовых организаций.

(54) Настоящий Регламент должен требовать, чтобы кредитные организации, платежные организации, операторы доступа к информации по счетам пользователей и эмитенты электронных денег сообщали обо всех инцидентах, связанных с операционными или обеспечительными платежами, о которых ранее сообщалось в соответствии с Директивой (ЕС) 2015/2366, независимо от характера инцидента, связанного с ICT.

(55) На ESA должна быть возложена задача оценить осуществимость и условия для возможной централизации отчетов об инцидентах, связанных с ICT, на уровне Европейского Союза. Такая централизация может представлять собой создание единого Центра на уровне ЕС для отчетности о крупных инцидентах, связанных с ICT, который будет напрямую получать соответствующие отчеты и автоматически уведомлять национальные компетентные органы или просто обеспечивать централизацию соответствующих отчетов, направляемых национальными компетентными органами, выполняя тем самым координирующую роль. На ESA должна быть возложена задача по подготовке совместно с ECB и ENISA совместного отчета, исследующего возможность создания единого Центра на уровне ЕС.

(56) Для достижения высокого уровня цифровой операционной устойчивости и в соответствии с применимыми международными стандартами (такими как Фундаментальные элементы G7 для обусловленного угрозой испытания на проникновение), а также с механизмами, применимыми в Европейском Союзе, такими как платформа TIBER-EU, финансовые организации должны регулярно подвергать испытаниям свои системы ICT и сотрудников, отвечающих за ICT, на предмет эффективности их потенциала в части предотвращения, обнаружения, реагирования и восстановления в целях выявления и устранения потенциальных факторов уязвимости ICT. Чтобы отразить различия, существующие между различными финансовыми подотраслями и внутри них в части уровня готовности финансовых организаций к кибербезопасности, испытания должны включать в себя широкий спектр инструментов и мероприятий, начиная от оценки основных требований (например, оценка уязвимости и сканирования, анализ открытых исходных кодов, оценка сетевой безопасности, анализ пробелов, проверки физической безопасности, опросы и программное обеспечение для сканирования, проверки исходного кода по возможности, испытания на основе сценариев, испытания на совместимость, эксплуатационные испытания или сквозное тестирование) до более сложных испытаний посредством TLPT. Необходимо требовать проведения таких расширенных испытаний только от тех финансовых организаций, которые достаточно развиты в части ICT, чтобы иметь объективную возможность проводить такие испытания. В связи с этим требование настоящего Регламента о проведении испытаний на цифровую операционную устойчивость должно быть более строгим по отношению к тем финансовым организациям, которые соответствуют критериям, изложенным в настоящем Регламенте (например, крупные, системные и развитые в части ICT кредитные организации, фондовые биржи, центральные депозитарии ценных бумаг и центральные контрагенты), по сравнению с требованиями к другим финансовым организациям. При этом испытания на цифровую операционную устойчивость посредством TLPT должно быть более актуальным для финансовых организаций, работающих в основных подотраслях финансовых услуг и играющих системную роль (например, платежи, банковский сектор, клиринг и расчеты), и менее актуальным для других подотраслей (например, распорядители активов и кредитные рейтинговые агентства).

(57) Финансовые организации, участвующие в трансграничной деятельности и осуществляющие право на свободу учреждения или оказания услуг в пределах Европейского Союза, должны соблюдать единый ряд требований к проведению расширенных испытаний (то есть TLPT) в государстве-члене ЕС своего происхождения. Такой ряд требований должен охватывать инфраструктуры ICT во всех юрисдикциях, в которых работает трансграничная финансовая группа в пределах Европейского Союза, что позволит таким трансграничным финансовым группам нести соответствующие расходы, связанные с испытаниями ICT, только в одной юрисдикции.

(58) Чтобы опираться на опыт, уже накопленный некоторыми компетентными органами, в частности в связи с внедрением платформы TIBER-EU, настоящий Регламент должен позволять государствам-членам ЕС назначать единый орган власти в качестве органа, ответственного за финансовый сектор на национальном уровне, по всем вопросам, связанным с TLPT, или компетентные органы либо в отсутствие такого назначения делегировать выполнение задач, связанных с TLPT, другому национальному компетентному финансовому органу.

(59) Поскольку настоящий Регламент не требует, чтобы финансовые организации охватывали все критические или важные функции в рамках одного обусловленного угрозой испытания на проникновение, финансовые организации должны иметь право определять, какие и сколько критических или важных функций должны быть охвачены таким испытанием.

(60) Общие испытания в значении настоящего Регламента, предполагающие участие нескольких финансовых организаций в TLPT, в отношении которых сторонний поставщик услуг ICT может напрямую устанавливать договорные отношения с внешним специалистом по проведению испытаний, должны быть разрешены только в том случае, если можно обоснованно ожидать неблагоприятных последствий для качества или безопасности услуг, оказываемых сторонним поставщиком услуг ICT клиентам, которые не подпадают под сферу действия настоящего Регламента, или для конфиденциальности данных, связанных с такими услугами. На общие испытания также должны распространяться меры предосторожности (управление со стороны одной назначенной финансовой организации, установление числа участвующих финансовых организаций), в целях обеспечения для участвующих финансовых организаций тщательного проведения испытаний, которые отвечают целям TLPT в соответствии с настоящим Регламентом.

(61) Чтобы воспользоваться внутренними ресурсами, доступными на корпоративном уровне, настоящий Регламент должен предусматривать привлечение внутренних специалистов для проведения TLPT при условии одобрения со стороны надзорного органа, отсутствия конфликта интересов и попеременного привлечения внутренних и внешних специалистов по проведению испытаний (чередование через каждые три испытания); при этом поставщик аналитических данных и информации об угрозах в рамках TLPT всегда должен быть внешним по отношению к финансовой организации. Ответственность за проведение TLPT должна полностью оставаться за финансовой организацией. Подтверждения, предоставляемые органами власти, должны быть предназначены исключительно для целей взаимного признания и не должны исключать проведения каких-либо последующих мероприятий, необходимых для устранения ICT-риска, которому подвержена финансовая организация, а также не должны рассматриваться как одобрение со стороны надзорных органов системы финансовой организации по управлению ICT-рисками и ее возможностей по минимизации последствий таких рисков.

(62) Для обеспечения надежного мониторинга ICT-рисков третьих сторон в финансовом секторе необходимо установить ряд принципиальных правил, чтобы финансовые организации руководствовались ими при мониторинге рисков, возникающих в контексте функций, переданных на аутсорсинг сторонним поставщикам услуг ICT, особенно услуг ICT, поддерживающих выполнение критических или важных функций, а также в более общем смысле в контексте всех видов зависимости от третьих сторон в области ICT.

(63) Для устранения сложности различных источников ICT-рисков, принимая во внимание множество и разнообразие поставщиков технологических решений, которые обеспечивают беспрепятственное предоставление финансовых услуг, настоящий Регламент должен охватывать широкий круг сторонних поставщиков услуг ICT, включая поставщиков сервисов облачных вычислений, программного обеспечения, услуг по анализу данных, а также поставщиков услуг центров обработки данных. Аналогичным образом, поскольку финансовые организации должны эффективно и последовательно выявлять все виды рисков и управлять ими, в том числе в связи с услугами ICT, приобретаемыми в рамках финансовой группы, следует уточнить, что предприятия, которые входят в состав финансовой группы и оказывают услуги ICT преимущественно своим материнским компаниям, дочерним компаниям или филиалам их материнской компании, а также финансовые организации, предоставляющие услуги ICT другим финансовым организациям, также следует рассматривать в качестве сторонних поставщиков услуг ICT в соответствии с настоящим Регламентом. Наконец, в свете того, что развивающийся рынок платежных услуг все больше зависит от сложных технических решений, а также ввиду появления новых платежных услуг и решений, касающихся платежей, участники экосистемы платежных услуг, обеспечивающие деятельность по обработке платежей или управляющие платежными инфраструктурами, также должны считаться сторонними поставщиками услуг ICT в соответствии с настоящим Регламентом, за исключением центральных банков, когда они управляют платежными системами или системами расчетов по ценным бумагам, и органов власти при предоставлении услуг ICT в рамках выполнения государственных функций.

(64) Финансовая организация должна при любых условиях нести полную ответственность за соблюдение своих обязательств, изложенных в настоящем Регламенте. Финансовые организации должны применять пропорциональный подход к мониторингу рисков, возникающих на уровне сторонних поставщиков услуг ICT, должным образом учитывая характер, масштаб, сложность и значимость их зависимости в области ICT, критичность или важность услуг, процессов или функций в соответствии с договоренностями и, в конечном счете, на основе тщательной оценки любого потенциального воздействия на непрерывность и качество финансовых услуг на индивидуальном и групповом уровне, в зависимости от обстоятельств.

(65) При проведении такого мониторинга необходимо следовать стратегическому подходу к ICT-рискам третьих сторон, формализованному посредством принятия органом управления финансовой организации специальной стратегии в отношении ICT-рисков третьих сторон, на основе постоянного анализа всех видов зависимости от третьих сторон в области ICT. Для повышения уровня осведомленности надзорных органов о зависимости от третьих сторон в области ICT, а также в целях дальнейшей поддержки работы в рамках Системы надзора, установленной настоящим Регламентом, все финансовые организации должны вести информационный реестр, содержащий все договоры об использовании услуг ICT, предоставляемых сторонними поставщиками услуг ICT. Органы финансового надзора должны иметь возможность запрашивать реестр в полном объеме или информацию из его отдельных разделов и, таким образом, получать необходимую информацию для более широкого понимания зависимости финансовых организаций в области ICT.

(66) Тщательный предварительный анализ должен лежать в основе и предшествовать формальному установлению договорных отношений, в частности, путем уделения особого внимания таким элементам, как критичность или важность услуг, поддерживаемых предполагаемым договором на услуги ICT, необходимые разрешения надзорных органов или иные условия, возможная концентрация связанных с этим рисков, проведение комплексной проверки при отборе и оценке сторонних поставщиков услуг ICT, а также оценка потенциальных конфликтов интересов. Что касается договорных отношений по поводу критических или важных функций, финансовые организации должны учитывать использование сторонними поставщиками услуг ICT самых современных и самых высоких стандартов информационной безопасности. Прекращение договорных отношений может быть вызвано как минимум рядом обстоятельств, свидетельствующих о недостатках на уровне стороннего поставщика услуг ICT, в частности существенные нарушения законодательства или договорных условий, обстоятельства, свидетельствующие о потенциальных изменениях в выполнении задач, предусмотренных договорными отношениями, свидетельства о недостатках стороннего поставщика услуг ICT, связанных с его общим управлением ICT-рисками, или обстоятельства, указывающие на неспособность соответствующего компетентного органа эффективно контролировать финансовую организацию.

(67) Для устранения системного воздействия риска концентрации третьих сторон в области ICT настоящий Регламент предлагает сбалансированное решение посредством применения гибкого и постепенного подхода к такому риску концентрации, поскольку введение каких-либо жестких максимальных значений или строгих ограничений может препятствовать ведению бизнеса и ограничивать договорную свободу. Финансовые организации должны тщательно оценить свои предполагаемые договорные отношения, чтобы определить вероятность возникновения такого риска, в том числе посредством глубокого анализа договоров субподряда, в особенности если они заключаются со сторонними поставщиками услуг ICT, учрежденными в третьей стране. На данном этапе и в целях достижения справедливого баланса между требованием сохранения договорной свободы и требованием обеспечения финансовой стабильности не считается целесообразным устанавливать правила в отношении жестких максимальных значений и ограничений на подверженность ICT-рискам третьих сторон. В рамках Системы надзора Ведущий контролер, назначаемый в соответствии с настоящим Регламентом, должен в отношении стратегических сторонних поставщиков услуг ICT уделять особое внимание тому, чтобы в полной мере осознать масштабы зависимости, выявить конкретные случаи, когда высокая степень концентрации стратегических сторонних поставщиков услуг ICT в Европейском Союзе может создать нагрузку на стабильность и целостность финансовой системы Европейского Союза, а также поддерживать диалог со стратегическими сторонними поставщиками услуг ICT в случае выявления конкретного риска.

(68) Для регулярной оценки и мониторинга способности стороннего поставщика услуг ICT безопасно предоставлять услуги финансовой организации без неблагоприятного воздействия на цифровую операционную устойчивость финансовой организации необходимо гармонизировать несколько ключевых элементов договоров со сторонними поставщиками услуг ICT. Такая гармонизация должна охватывать минимальные области, которые имеют решающее значение для того, чтобы финансовые организации могли провести полный мониторинг рисков, которые могут возникнуть со стороны стороннего поставщика услуг ICT, с точки зрения потребности финансовой организации в обеспечении своей цифровой устойчивости, поскольку она в значительной степени зависит от стабильности, функциональности, доступности и безопасности полученных услуг ICT.

(69) При пересмотре договорных отношений в целях приведения их в соответствие с требованиями настоящего Регламента финансовые организации и сторонние поставщики услуг ICT должны обеспечить охват ключевых договорных положений, предусмотренных настоящим Регламентом.

(70) Определение "критической или важной функции", предусмотренное настоящим Регламентом, включает в себя "критические функции", как определено в пункте (35) Статьи 2(1) Директивы 2014/59/ЕС Европейского Парламента и Совета ЕС*(22). Соответственно, функции, считающиеся критическими в соответствии с Директивой 2014/59/ЕС, включены в определение критических функций в значении настоящего Регламента.

(71) Независимо от критичности или важности функции, поддерживаемой услугами ICT, договорные отношения должны, в частности, предусматривать спецификацию полного описания функций и услуг, мест осуществления таких функций и мест обработки данных, а также описание уровня обслуживания. Другими важными элементами, позволяющими финансовой организации осуществлять мониторинг ICT-рисков третьих сторон, являются: договорные положения, определяющие, каким образом сторонний поставщик услуг ICT обеспечивает доступность, наличие, целостность, безопасность и защиту персональных данных; положения, устанавливающие соответствующие гарантии для обеспечения доступа, восстановления и возврата данных в случае неплатежеспособности, финансового оздоровления или прекращения деятельности стороннего поставщика услуг ICT; а также положения, требующие от стороннего поставщика услуг ICT оказания помощи в случае инцидентов, связанных с ICT, в рамках предоставляемых услуг без дополнительных затрат или по стоимости, установленной ex-ante; положения об обязательствах стороннего поставщика услуг ICT в полном объеме сотрудничать с компетентными органами и органами по финансовому оздоровлению финансовой организации; а также положения о правах на расторжение и о соответствующих минимальных сроках уведомления о расторжении договорных отношений в соответствии с ожиданиями компетентных органов и органов по финансовому оздоровлению.

(72) В дополнение к таким договорным положениям и в целях сохранения за финансовыми организациями полного контроля над всеми изменениями, происходящими на уровне третьих сторон, которые могут нанести ущерб безопасности их ICT, контракты на оказание услуг ICT, которые поддерживают выполнение критических или важных функций, также должны содержать следующие элементы: полное описание уровня обслуживания с точными количественными и качественными целевыми показателями, позволяющими без лишнего промедления принимать надлежащие корректирующие меры в случае несоблюдения согласованных уровней обслуживания; соответствующие периоды уведомления и обязательства стороннего поставщика услуг ICT по представлению отчетности в случае наступления событий, которые могут оказать существенное влияние на способность стороннего поставщика услуг ICT эффективно оказывать соответствующие услуги ICT; требование, чтобы сторонний поставщик услуг ICT внедрил и подверг испытаниям планы действий на случай непредвиденных обстоятельств, а также имел в распоряжении меры, инструменты и принципы безопасности ICT, позволяющие безопасно оказывать услуги, а также участвовать и в полной мере сотрудничать в рамках TLPT, проводимого финансовой организацией.

(73) Контракты на предоставление услуг ICT, которые поддерживают выполнение критических или важных функций, должны также содержать положения, обеспечивающие право финансовой организации или назначенной третьей стороны на доступ, проведение проверки и аудита, а также право снимать копии в качестве важнейших инструментов при проведении финансовыми организациями постоянного мониторинга деятельности стороннего поставщика услуг ICT в сочетании с полноценным сотрудничеством со стороны поставщика услуг в ходе проверок. Аналогичным образом, компетентный орган финансовой организации должен иметь право на основании уведомлений инспектировать и проверять стороннего поставщика услуг ICT при условии защиты конфиденциальной информации.

(74) Такие договорные отношения должны также предусматривать специальные стратегии их прекращения, чтобы обеспечить, в частности, обязательные переходные периоды, в течение которых сторонние поставщики услуг ICT должны продолжать оказывать соответствующие услуги в целях снижения риска нарушения работы финансовой организации, или чтобы позволить последним эффективно переключиться на использование других сторонних поставщиков услуг ICT или, в качестве альтернативы, перейти на собственные решения с учетом сложности оказываемых услуг ICT. Кроме того, финансовые организации, подпадающие под действие Директивы 2014/59/ЕС, должны гарантировать, что соответствующие контракты на услуги ICT являются надежными и могут быть приведены в исполнение в полном объеме в случае финансового оздоровления таких финансовых организаций. Таким образом, в соответствии с ожиданиями органов по финансовому оздоровлению, такие финансовые организации должны гарантировать, что соответствующие контракты на услуги ICT устойчивы к реструктуризации. Пока они продолжают выполнять свои платежные обязательства, такие финансовые организации должны гарантировать, среди прочих требований, что соответствующие контракты на услуги ICT содержат положения о запрете на расторжение, приостановление действия или на внесение изменений на основании реструктуризации или финансового оздоровления.

(75) Кроме того, добровольное использование стандартных договорных положений, разработанных органами власти или учреждениями Европейского Союза, в частности использование договорных положений, разработанных Европейской Комиссией для сервисов облачных вычислений, может создавать дополнительные удобства для финансовых организаций и сторонних поставщиков услуг ICT за счет расширения правовой определенности в отношении использования сервисов облачных вычислений в финансовом секторе в полном соответствии с требованиями и ожиданиями, установленными законодательством Европейского Союза о финансовых услугах. Разработка стандартных договорных положений основана на мерах, уже предусмотренных в Плане действий по использованию технологий в сфере финансовых услуг от 2018 года, в котором объявлено о намерении Европейской Комиссии поощрять и облегчать разработку стандартных договорных положений об аутсорсинге сервисов облачных вычислений финансовыми организациями, опираясь на усилия заинтересованных сторон в области межотраслевых сервисов облачных вычислений, которым Европейская Комиссия способствовала посредством привлечения финансового сектора.

(76) В целях содействия сближению и эффективности в части надзорных подходов при устранении ICT-рисками третьих сторон в финансовом секторе, в целях укрепления цифровой операционной устойчивости финансовых организаций, которые полагаются на стратегических сторонних поставщиков услуг ICT для оказания услуг ICT, которые поддерживают оказание финансовых услуг, а также в целях содействия сохранению стабильности финансовой системы Европейского Союза и целостности внутреннего рынка финансовых услуг, стратегические сторонние поставщики услуг ICT должны подпадать под действие Системы надзора Европейского Союза. Хотя создание Системы надзора оправдано дополнительными преимуществами в виде принятия мер на уровне Европейского Союза и в силу характерной роли и специфики использования услуг ICT при оказании финансовых услуг, следует помнить, что такое решение представляется целесообразным только в контексте настоящего Регламента, который касается именно цифровой операционной устойчивости в финансовом секторе. При этом такую Систему надзора не следует рассматривать как новую модель надзора на уровне Европейского Союза в других областях финансовых услуг и деятельности.

(77) Система надзора должна применяться только к стратегическим сторонним поставщикам услуг ICT. В связи с этим необходимо предусмотреть механизм присвоения соответствующего статуса с учетом размера и характера зависимости финансового сектора от таких сторонних поставщиков услуг ICT. Такой механизм должен включать набор количественных и качественных критериев для установления параметров критичности в качестве основы для включения в Систему надзора. Чтобы обеспечить точность такой оценки и независимость от корпоративной структуры стороннего поставщика услуг ICT, такие критерии в отношении стороннего поставщика услуг ICT, который входит в состав более широкой группы, должны учитывать всю структуру группы стороннего поставщика услуг ICT. С одной стороны, стратегические сторонние поставщики услуг ICT, которым статус не присваивается автоматически в силу применения таких критериев, должны иметь возможность добровольно присоединиться к Системе надзора. С другой стороны, следует предусмотреть освобождение для сторонних поставщиков услуг ICT, которые уже подпадают под действие механизмов надзора, поддерживающих выполнение задач Европейской системы центральных банков, как указано в статье 127(2) TFEU.

(78) Аналогичным образом, финансовые организации, предоставляющие услуги ICT другим финансовым организациям, хотя и относятся к категории сторонних поставщиков услуг ICT в соответствии с настоящим Регламентом, также должны быть освобождены от применения Системы надзора, поскольку к ним уже применяются надзорные механизмы, установленные соответствующим законодательством Европейского Союза о финансовых услугах. Если применимо, компетентные органы должны принимать во внимание в контексте своей надзорной деятельности ICT-риски, которые представляют для финансовых организаций другие финансовые организации, оказывающие услуги ICT. Аналогичным образом, ввиду существующих механизмов мониторинга рисков на уровне группы такое же исключение следует ввести для сторонних поставщиков услуг ICT, оказывающих услуги преимущественно организациям, входящим в состав их собственной группы. Сторонние поставщики услуг ICT, оказывающие услуги ICT исключительно в одном государстве-члене ЕС финансовым организациям, которые осуществляют свою деятельность только в этом государстве-члене ЕС, также должны быть освобождены от механизма присвоения статуса в силу ограниченности их деятельности и отсутствия трансграничного влияния.

(79) Цифровая трансформация финансовых услуг привела к беспрецедентному уровню использования услуг ICT и зависимости от них. Поскольку в настоящее время оказание финансовых услуг без использования сервисов облачных вычислений, программных решений и услуг, связанных с обработкой данных, немыслимо, финансовая экосистема Европейского Союза стала по своему характеру зависимой от определенных услуг ICT, оказываемых поставщиками услуг ICT. Некоторые из этих поставщиков, будучи новаторами в разработке и применении технологий на основе ICT, играют важную роль в оказании финансовых услуг или стали частью цепочки создания стоимости финансовых услуг. Таким образом, они приобрели стратегическое значение для обеспечения стабильности и целостности финансовой системы Европейского Союза. Столь широко распространенная зависимость от услуг, предоставляемых стратегическими сторонними поставщиками услуг ICT, в сочетании с взаимозависимостью информационных систем различных операторов рынка создают прямой и потенциально серьезный риск для системы финансовых услуг Европейского Союза и непрерывности предоставления финансовых услуг, если на уровне стратегических сторонних поставщиков услуг ICT возникают нарушения в работе или крупные киберинциденты. Киберинциденты обладают отличительной способностью воспроизводиться и распространяться по всей финансовой системе значительно быстрее, чем другие виды рисков, мониторинг которых осуществляется в финансовом секторе, и могут выходить за пределы отдельных отраслей и географических границ. Они могут перерасти в системный кризис, когда доверие к финансовой системе будет подорвано вследствие нарушения функций, поддерживающих реальную экономику, или в результате значительных финансовых потерь, достигших такого уровня, который финансовая система не в состоянии выдержать или который требует принятия мер по амортизации сильных шоков. Чтобы предотвратить возникновение таких сценариев и создание угрозы для финансовой стабильности и целостности Европейского Союза, важно обеспечить сближение надзорных практик, связанных с ICT-рисками третьих сторон в финансовой сфере, в частности, посредством принятия новых норм, позволяющих Европейскому Союзу осуществлять надзор за стратегическими сторонними поставщиками услуг ICT.

(80) Система надзора существенно зависит от степени сотрудничества между Ведущим контролером и стратегическим сторонним поставщиком услуг ICT, который оказывает финансовым организациям услуги, влияющие на оказание финансовых услуг. Успешный надзор зависит, inter alia, от способности Ведущего контролера эффективно осуществлять задачи по проведению мониторинга и проверок в целях оценки правил, механизмов контроля и процессов, используемых стратегическими сторонними поставщиками услуг ICT, а также для оценки потенциального совокупного влияния их деятельности на финансовую стабильность и целостность финансовой системы. В то же время крайне важно, чтобы стратегические сторонние поставщики услуг ICT следовали рекомендациям Ведущего контролера и реагировали на имеющиеся у него вопросы. В силу того, что отсутствие сотрудничества со стороны стратегического стороннего поставщика услуг ICT, который оказывает услуги, влияющие на оказание финансовых услуг, например, отказ в доступе к своим помещениям или отказ в предоставлении информации, в конечном итоге лишает Ведущего контролера его основных инструментов в оценке ICT-рисков третьих сторон и может отрицательно сказаться на финансовой стабильности и целостности финансовой системы, необходимо предусмотреть соразмерный режим санкций.

(81) На этом фоне необходимость введения Ведущим контролером штрафных санкций, чтобы обязать стратегических сторонних поставщиков услуг ICT соблюдать изложенные в настоящем Регламенте обязательства, связанные с обеспечением прозрачности и доступа, не должна подвергаться риску ввиду сложностей, вызванных необходимостью взыскания таких штрафных платежей со стратегических сторонних поставщиков услуг ICT, учрежденных в третьих странах. В целях обеспечения приведения таких санкций в исполнение, а также оперативного введения в действие процедур, поддерживающих право стратегических сторонних поставщиков услуг ICT на защиту в контексте механизма присвоения статуса и выдачи рекомендаций, такие стратегические сторонние поставщики услуг ICT, которые оказывают финансовым организациям услуги, влияющие на оказание финансовых услуг, должны обеспечивать надлежащее коммерческое присутствие в Европейском Союзе. Ввиду характера надзора и отсутствия сопоставимых механизмов в других юрисдикциях не существует подходящих альтернативных механизмов, обеспечивающих достижение этой цели путем эффективного сотрудничества с органами финансового надзора в третьих странах в части мониторинга воздействия цифровых операционных рисков со стороны учрежденных в третьих странах системных сторонних поставщиков услуг ICT, которым присвоен статус стратегических сторонних поставщиков услуг ICT. Таким образом, для продолжения оказания услуг ICT финансовым организациям в Европейском Союзе сторонний поставщик услуг ICT, учрежденный в третьей стране, которому был присвоен статус стратегического в соответствии с настоящим Регламентом, должен в течение 12 месяцев после присвоения такого статуса принять все необходимые меры для обеспечения его учреждения в Европейском Союзе путем создания дочерней компании, как определено в законодательстве Европейского Союза, а именно в Директиве 2013/34/ЕС Европейского Парламента и Совета ЕС*(23).

(82) Требование о создании дочерней компании в Европейском Союзе не должно препятствовать тому, чтобы стратегический сторонний поставщик услуг ICT оказывал услуги ICT и соответствующую техническую поддержку из объектов и инфраструктуры, расположенных за пределами Европейского Союза. Настоящий Регламент не налагает обязательства по локализации персональных данных, поскольку он не требует хранения или обработки персональных данных в Европейском Союзе.

(83) Стратегические сторонние поставщики услуг ICT должны иметь возможность оказывать услуги ICT из любой точки мира, не обязательно или не только из помещений, расположенных в Европейском Союзе. Надзорная деятельность должна сначала осуществляться в помещениях, расположенных в Европейском Союзе, и путем взаимодействия с организациями, расположенными в Европейском Союзе, включая дочерние компании, учрежденные стратегическими сторонними поставщиками услуг ICT в соответствии с настоящим Регламентом. Однако таких действий в пределах Европейского Союза может быть недостаточно, чтобы Ведущий контролер мог эффективно и в полном объеме исполнять свои обязанности в соответствии с настоящим Регламентом. Таким образом, Ведущий контролер также должен иметь возможность осуществлять свои соответствующие надзорные полномочия в третьих странах. Осуществление таких полномочий в третьих странах должно позволять Ведущему контролеру осматривать объекты, из которых стратегический сторонний поставщик услуг ICT фактически оказывает или управляет услугами ICT или услугами технической поддержки, а также должно способствовать всестороннему и фактическому пониманию Ведущим контролером системы управления ICT-рисками стратегического стороннего поставщика услуг ICT. Возможность для Ведущего контролера как учреждения Европейского Союза осуществлять полномочия за пределами территории Европейского Союза должна быть надлежащим образом оформлена соответствующими условиями, в частности, согласием соответствующего стратегического стороннего поставщика услуг ICT. Аналогичным образом, соответствующие органы третьей страны должны быть проинформированы об осуществлении на их территории деятельности Ведущего контролера и не должны возражать против этого. Однако для обеспечения эффективного осуществления таких полномочий и без ущерба для соответствующих полномочий учреждений Европейского Союза и государств-членов ЕС такие полномочия также должны быть в полном объеме закреплены при заключении соглашений об административном сотрудничестве с соответствующими органами власти третьей страны. Таким образом, настоящий Регламент должен предусматривать право ESA заключать соглашения об административном сотрудничестве с соответствующими органами власти третьих стран, которые в иных отношениях не должны создавать правовых обязательств для Европейского Союза и государств-членов ЕС.

(84) Для облегчения взаимодействия с Ведущим контролером и для обеспечения надлежащего представительства стратегические сторонние поставщики услуг ICT, входящие в состав группы, должны назначить одно юридическое лицо в качестве своего координационного центра.

(85) Система надзора не должна затрагивать полномочия государств-членов ЕС в области выполнения собственных задач по надзору или мониторингу в отношении сторонних поставщиков услуг ICT, которым не присвоен статус стратегических в соответствии с настоящим Регламентом, но которые считаются важными на национальном уровне.

(86) Чтобы использовать многоуровневую институциональную архитектуру в сфере финансовых услуг, Совместный комитет ESA должен продолжать обеспечивать общую межотраслевую координацию по всем вопросам, касающимся ICT-рисков, в рамках выполнения своих задач в области кибербезопасности. Такой комитет должен действовать при поддержке нового подкомитета (Форум по надзору), выполняющего подготовительную работу как для отдельных решений, адресованных стратегическим сторонним поставщикам услуг ICT, так и для выдачи коллективных рекомендаций, в частности, в отношении сравнительного анализа программ надзора для стратегических сторонних поставщиков услуг ICT, а также в части выявления передового опыта для решения проблем, связанных с риском концентрации ICT.

(87) Для обеспечения надлежащего и эффективного надзора за стратегическими сторонними поставщиками услуг ICT на уровне Европейского Союза настоящий Регламент предусматривает, что любой из трех ESA может быть назначен Ведущим контролером. Индивидуальное прикрепление стратегического стороннего поставщика услуг ICT к одному из трех ESA должно быть результатом оценки преобладания финансовых организаций, работающих в финансовых секторах, за которые отвечает ESA. Такой подход должен приводить к сбалансированному распределению задач и обязанностей между тремя ESA в контексте осуществления надзорных функций и должен обеспечивать наиболее эффективное использование кадровых ресурсов и технической компетентности каждого из трех ESA.

(88) Ведущие контролеры должны быть наделены необходимыми полномочиями по проведению расследований, проведению документарных проверок и проверок на местах в помещениях и местах расположения стратегических сторонних поставщиков услуг ICT, а также по получению полной и актуальной информации. Такие полномочия должны позволять Ведущему контролеру получать реальное представление о типе, масштабах и влиянии ICT-рисков третьих сторон, которым подвергаются финансовые организации и, в конечном счете, финансовая система Европейского Союза. Возложение на ESA функции ведущего контролера является предпосылкой для понимания и устранения системности ICT-рисков в финансовом секторе. Влияние стратегических сторонних поставщиков услуг ICT на финансовый сектор Европейского Союза и потенциальные проблемы, вызванные риском концентрации ICT, повлекли за собой призыв к применению коллективного подхода на уровне Европейского Союза. Одновременное проведение нескольких аудитов и осуществление прав доступа по отдельности многочисленными компетентными органами практически в отсутствие координации между ними препятствует органам финансового надзора получить полный и всесторонний обзор ICT-рисков третьих сторон в Европейском Союзе, а также создает избыточность, нагрузку и сложность для стратегических сторонних поставщиков услуг ICT, которые сталкиваются с многочисленными запросами на проведение мониторинга и проверки.

(89) Ввиду значительного влияния, которое возникает в связи с присвоением сторонним поставщикам услуг ICT статуса стратегических, настоящий Регламент должен гарантировать соблюдение прав стратегических сторонних поставщиков услуг ICT в процессе внедрения Системы надзора. Например, до их признания стратегическими такие поставщики должны иметь право представить Ведущему контролеру мотивированное заявление, содержащее любую информацию, релевантную для целей оценки, связанной с присвоением им такого статуса. Поскольку Ведущий контролер должен быть уполномочен представлять рекомендации по вопросам ICT-рисков и соответствующих мер по их устранению, включая право возражать против конкретных соглашений, которые в конечном итоге влияют на стабильность финансовой организации или финансовой системы, то стратегическим сторонним поставщикам услуг ICT также следует дать возможность - до окончательного оформления таких рекомендаций - предоставлять пояснения относительно ожидаемого воздействия предусмотренных в рекомендациях решений на клиентов, которые не подпадают под действие настоящего Регламента, и формулировать решения по снижению рисков. Стратегические сторонние поставщики услуг ICT, не согласные с рекомендациями, должны представить мотивированное объяснение своего намерения не утверждать рекомендацию. Если такое мотивированное объяснение не представлено или считается недостаточным, Ведущий контролер должен опубликовать публичное уведомление с кратким описанием случая несоблюдения требований.

(90) Компетентные органы должны надлежащим образом включить задачу по проверке соблюдения рекомендаций Ведущего контролера по существу в состав своих функций в части пруденциального надзора за финансовыми организациями. Компетентные органы должны иметь возможность требовать от финансовых организаций принятия дополнительных мер по устранению рисков, обозначенных в рекомендациях Ведущего контролера, и своевременно направлять соответствующие уведомления. Если Ведущий контролер адресует рекомендации стратегическим сторонним поставщикам услуг ICT, надзор над которыми осуществляется в соответствии с Директивой (ЕС) 2022/2555, то компетентные органы должны иметь возможность в добровольном порядке и до принятия дополнительных мер проводить консультации с компетентными органами в соответствии с указанной Директивой в целях обеспечения скоординированного подхода к работе с соответствующими стратегическими сторонними поставщиками услуг ICT.

(91) Осуществление надзора должно быть основано на трех операционных принципах, направленных на обеспечение: (a) тесного сотрудничества между ESA, выполняющими функции Ведущих контролеров, в рамках совместной надзорной сети (JON), (b) соблюдения рамок, установленных Директивой (ЕС) 2022/2555 (путем добровольных консультаций органов в соответствии с указанной Директивой во избежание дублирования мер, направленных на стратегических сторонних поставщиков услуг ICT), и (c) проявления осмотрительности для сведения к минимуму потенциального риска сбоев в предоставлении услуг стратегическими сторонними поставщиками услуг ICT для клиентов, которые не подпадают под действие настоящего Регламента.

(92) Система надзора не должна заменять или каким-либо образом или в какой-либо части вытеснять требование к финансовым организациям самостоятельно управлять рисками, связанными с привлечением сторонних поставщиков услуг ICT, включая обязательство проводить постоянный мониторинг договоров, заключенных со стратегическими сторонними поставщиками услуг ICT. Аналогичным образом, Система надзора не должна затрагивать полную ответственность финансовых организаций за соблюдение и исполнение всех правовых обязательств, изложенных в настоящем Регламенте и в соответствующем законодательстве о финансовых услугах.

(93) Во избежание случаев дублирования и пересечения компетентные органы должны воздерживаться от принятия в индивидуальном порядке каких-либо мер, направленных на мониторинг рисков стратегического стороннего поставщика услуг ICT, и должны полагаться в этом отношении на оценку соответствующего Ведущего контролера. В любом случае любые меры должны быть заранее согласованы и скоординированы с Ведущим контролером в контексте выполнения задач в рамках Системы надзора.

(94) В целях большего сближения на международном уровне в том, что касается использования передового опыта в области проведения проверок и мониторинга системы управления цифровыми рисками сторонних поставщиков услуг ICT, следует поощрять ESA к заключению соглашений о сотрудничестве с соответствующими надзорными и регуляторными органами третьих стран.

(95) Для того, чтобы извлечь преимущество из специальных компетенций, технических навыков и опыта сотрудников, специализирующихся на операционных рисках и ICT-рисках, в составе компетентных органах, трех ESA и - в добровольном порядке - в компетентных органах в соответствии с Директивой (ЕС) 2022/2555, Ведущий контролер должен опираться на надзорные возможности и знания, имеющиеся на национальном уровне, и создавать специальные группы по проверке для каждого стратегического стороннего поставщика услуг ICT, объединяя междисциплинарные группы для поддержки подготовки и осуществления надзорной деятельности, включая общие расследования и проверки стратегических сторонних поставщиков услуг ICT, а также для любых необходимых последующих действий.

(96) Хотя расходы, возникающие в результате выполнения задач по надзору, будут полностью финансироваться за счет сборов, взимаемых со стратегических сторонних поставщиков услуг ICT, ESA, по всей видимости, до запуска Системы надзора понесут расходы на внедрение специализированных систем ICT, поддерживающих проведение предстоящего надзора, поскольку необходимо будет заранее разработать и внедрить специализированные системы ICT. Таким образом, настоящий Регламент предусматривает гибридную модель финансирования, в соответствии с которой Система надзора как таковая полностью финансируется за счет сборов, в то время как разработка ESA систем ICT финансируется за счет взносов Европейского Союза и национальных компетентных органов.

(97) Компетентные органы должны иметь все необходимые надзорные полномочия, полномочия по расследованию и санкционные полномочия для обеспечения надлежащего исполнения своих обязанностей в соответствии с настоящим Регламентом. По общему правилу, они должны публиковать уведомления о налагаемых ими административных санкциях. Поскольку финансовые организации и сторонние поставщики услуг ICT могут быть учреждены в разных государствах-членах ЕС и находиться под контролем разных компетентных органов, применению настоящего Регламента должно способствовать, с одной стороны, тесное сотрудничество между соответствующими компетентными органами, включая ECB в части выполнения конкретных задач, возложенных на него Регламентом (ЕС) 1024/2013 Совета ЕС, и, с другой стороны, путем консультаций с ESA посредством взаимного обмена информацией и оказания помощи в контексте соответствующей надзорной деятельности.

(98) В целях дальнейшей количественной оценки и квалификации критериев для присвоения сторонним поставщикам услуг ICT статуса стратегических и для гармонизации надзорных сборов полномочия по принятию актов в соответствии со Статьей 290 TFEU должны быть делегированы Европейской Комиссии для дополнения настоящего Регламента путем более детального указания на системное воздействие, которое сбои или перебои в работе стороннего поставщика услуг ICT могут оказать на финансовые организации, которым он предоставляет услуги ICT, указания на количество глобальных системно значимых организаций (G-SII) или других системно значимых организаций (O-SII), которые полагаются на данного стороннего поставщика услуг ICT, количество сторонних поставщиков услуг ICT, действующих на конкретном рынке, затраты на перенос данных и рабочих нагрузок ICT к другим сторонним поставщикам услуг ICT, а также размер надзорных сборов и порядок их уплаты. Особенно важно, чтобы Европейская Комиссия в ходе своей подготовительной работы проводила соответствующие консультации, в том числе на уровне экспертов, и чтобы такие консультации проводились в соответствии с принципами, изложенными в Межинституциональном соглашении по совершенствованию законодательной работы от 13 апреля 2016 г.*(24). В частности, для обеспечения равного участия в подготовке делегированных актов Европейский Парламент и Совет ЕС должны получать все документы одновременно с экспертами государств-членов ЕС, а их эксперты должны систематически иметь доступ на заседания групп экспертов Европейской Комиссии, занимающихся подготовкой делегированных актов.

(99) Регулятивные технические стандарты должны обеспечивать последовательную гармонизацию требований, изложенных в настоящем Регламенте. Будучи органами, обладающими узкоспециализированным опытом, ESA должны разработать проекты регулятивных технических стандартов, которые не предполагают выбора политики, для представления их Европейской Комиссии. Следует разработать регулятивные технические стандарты в области управления ICT-рисками, представления отчетности о крупных инцидентах, связанных с ICT, проведения испытаний, а также в отношении ключевых требований к надежному мониторингу ICT-рисков третьих сторон. Европейская Комиссия и ESA должны гарантировать, что такие стандарты и требования могут применяться всеми финансовыми организациями таким образом, который пропорционален их размеру и общему профилю рисков, а также характеру, масштабу и сложности их услуг, деятельности и операций. Европейская Комиссия должна быть уполномочена принимать такие регулятивные технические стандарты посредством делегированных актов в соответствии со Статьей 290 TFEU и в соответствии со Статьями 10-14 Регламентов (ЕС) 1093/2010, (ЕС) 1094/2010 и (ЕС) 1095/2010.

(100) Для облегчения сопоставимости отчетов о крупных инцидентах, связанных с ICT, и крупных инцидентах, связанных с операционными или обеспечительными платежами, а также для обеспечения прозрачности в отношении договоров об использовании услуг ICT, предоставляемых сторонними поставщиками услуг ICT, ESA должны разработать проекты имплементационных технических стандартов, устанавливающих стандартные шаблоны, формы и процедуры для финансовых организаций в целях представления отчетности о крупных инцидентах, связанных с ICT, и о крупных инцидентах, связанных с операционными или обеспечительными платежами, а также стандартные шаблоны для информационного реестра. При разработке таких стандартов ESA должны учитывать размер и общий профиль риска финансовых организаций, а также характер, масштаб и сложность их услуг, деятельности и операций. Европейская Комиссия должна быть уполномочена принимать такие имплементационные технические стандарты посредством имплементационных актов в соответствии со Статьей 291 TFEU и в соответствии со Статьей 15 Регламентов (ЕС) 1093/2010, (ЕС) 1094/2010 и (ЕС) 1095/2010.

(101) Поскольку дополнительные требования уже определены посредством делегированных и имплементационных актов на основе регулятивных и имплементационных технических стандартов в Регламентах (EC) 1060/2009*(25), (ЕС) 648/2012*(26), (ЕС) 600/2014*(27) и (ЕС) 909/2014*(28) Европейского Парламента и Совета ЕС, целесообразно уполномочить ESA, индивидуально или совместно через Совместный комитет, направлять регулятивные и имплементационные технические стандарты Европейской Комиссии для принятия делегированных и имплементационных актов в целях переноса и актуализации существующих правил управления ICT-рисками.

(102) Поскольку настоящий Регламент вместе с Директивой (ЕС) 2022/2556 Европейского Парламента и Совета ЕС*(29) предполагает консолидацию положений по управлению ICT-рисками, содержащихся в нескольких регламентах и директивах Европейского Союза, касающихся финансовых услуг, включая Регламенты (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014 и (ЕС) 909/2014, а также Регламент (ЕС) 2016/1011 Европейского Парламента и Совета ЕС*(30), для обеспечения полной согласованности в указанные Регламенты следует внести изменения, разъясняющие, что применимые положения, связанные с ICT-рисками, изложены в настоящем Регламенте.

(103) Следовательно, сферу применения соответствующих статей, касающихся операционных рисков, в отношении которых полномочия, предусмотренные Регламентами (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011, предписывали принятие делегированных и имплементационных актов, следует сузить в целях переноса в настоящий Регламент всех положений, касающихся цифровой операционной устойчивости, которые на настоящий момент являются частью указанных Регламентов.

(104) Потенциальный системный киберриск, связанный с использованием инфраструктур ICT, которые обеспечивают работу платежных систем и деятельность по обработке платежей, должен быть надлежащим образом устранен на уровне Европейского Союза с помощью гармонизированных норм о цифровой устойчивости. В указанных целях Европейская Комиссия должна оперативно оценить необходимость пересмотра сферы применения настоящего Регламента, приводя такой пересмотр в соответствие с результатами всестороннего пересмотра, предусмотренного Директивой (ЕС) 2015/2366. Многочисленные крупномасштабные атаки за последнее десятилетие демонстрируют, насколько платежные системы стали уязвимы для киберугроз. Занимая центральное место в цепочке платежных услуг и демонстрируя тесную взаимосвязь с общей финансовой системой, платежные системы и деятельность по обработке платежей приобрели решающее значение для функционирования финансовых рынков Европейского Союза. Кибератаки на такие системы могут привести к серьезным сбоям в работе с прямыми последствиями для ключевых экономических функций, таких как содействие платежам, и косвенным воздействием на связанные экономические процессы. До введения на уровне Европейского Союза гармонизированного режима и надзора за операторами платежных систем и процессинговыми организациями государства-члены ЕС могут в целях применения аналогичных рыночных практик ориентироваться на требования к цифровой операционной устойчивости, изложенные в настоящем Регламенте, при применении норм к операторам платежных систем и процессинговым организациям, контроль над которыми осуществляется в пределах их юрисдикции.

(105) Поскольку цель настоящего Регламента, а именно достижение высокого уровня цифровой операционной устойчивости регулируемого финансового сектора, не может быть надлежащим образом достигнута государствами-членами ЕС, поскольку требует гармонизации различных норм законодательства Европейского Союза и национального законодательства, но ввиду своего масштаба и последствий с большей эффективностью может быть достигнута на уровне Европейского Союза, постольку Европейский Союз вправе принимать меры в соответствии с принципом субсидиарности, предусмотренным Статьей 5 Договора о Европейском Союзе. В соответствии с принципом пропорциональности, предусмотренным указанной Статьей, настоящий Регламент ограничивается мерами, необходимыми для достижения данной цели.

(106) В соответствии со Статьей 42(1) Регламента (ЕС) 2018/1725 Европейского Парламента и Совета ЕС*(31) были проведены консультации с Европейским инспектором по защите данных, который вынес свое заключение 10 мая 2021 г.*(32),

приняли настоящий Регламент:

Совершено в Страсбурге 14 декабря 2022 г.

От имени Европейского Парламента

Председатель

R. METSOLA

От имени Совета ЕС

Председатель

M. BEK

------------------------------

*(1) Regulation (EU) 2022/2554 of the European Parliament and of the Council of 14 December 2022 on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014, (EU) No 909/2014 and (EU) 2016/1011 (Text with EEA relevance). Опубликован в Официальном Журнале (далее - ОЖ) N L 333, 27.12.2022, стр. 1.

*(2) ОЖ N C 343, 26.8.2021, стр. 1.

*(3) ОЖ N C 155, 30.4.2021, стр. 38.

*(4) Позиция Европейского Парламента от 10 ноября 2022 г. (еще не опубликована в ОЖ) и Решение Совета ЕС от 28 ноября 2022 г.

*(5) Регламент (ЕС) 1093/2010 Европейского Парламента и Совета ЕС от 24 ноября 2010 г. об учреждении Европейского надзорного органа (Европейский банковский орган), об изменении Решения 716/2009/ЕC и об отмене Решения 2009/78/EC Европейской Комиссии (ОЖ N L 331, 15.12.2010, стр. 12).

*(6) Регламент (ЕС) 1094/2010 Европейского Парламента и Совета ЕС от 24 ноября 2010 г. об учреждении Европейского надзорного органа (Европейского органа по страхованию и профессиональному пенсионному обеспечению), а также о внесении изменений в Решение 716/2009/EC и об отмене Решения Европейской Комиссии 2009/79/EC (ОЖ N L 331, 15.12.2010, стр. 48).

*(7) Регламент (ЕС) 1095/2010 Европейского Парламента и Совета ЕС от 24 ноября 2010 г. об учреждении Европейского надзорного органа (Европейский орган по ценным бумагам и рынкам), а также об изменении Решения 716/2009/EC и об отмене Решения 2009/77/EC Европейской Комиссии (ОЖ N L 331, 15.12.2010, стр. 84).

*(8) Директива (ЕС) 2016/1148 Европейского Парламента и Совета ЕС от 6 июля 2016 г. о мерах по достижению высокого общего уровня безопасности сетевых и информационных систем Союза (ОЖ N L 194, 19.7.2016, стр. 1).

*(9) Директива (ЕС) 2022/2555 Европейского Парламента и Совета ЕС от 14 декабря 2022 г. о мерах по обеспечению высокого общего уровня кибербезопасности на территории Европейского Союза, о внесении изменений в Регламент (ЕС) 910/2014 и Директиву (ЕС) 2018/1972, а также об отмене Директивы (ЕС) 2016/1148 (Директива NIS 2) (см. стр. 80 настоящего ОЖ).

*(10) Директива (ЕС) 2022/2557 Европейского Парламента и Совета ЕС от 14 декабря 2022 г. об устойчивости критически важных организаций, а также об отмене Директивы 2008/114/EC Совета ЕС (см. стр. 164 настоящего ОЖ).

*(11) Директива (ЕС) 2016/2341 Европейского Парламента и Совета ЕС от 14 декабря 2016 г. о деятельности учреждений профессионального пенсионного страхования и о надзоре за этой деятельностью (IORPs) (ОЖ N L 354, 23.12.2016, стр. 37).

*(12) Регламент (ЕС) 2019/881 Европейского Парламента и Совета ЕС от 17 апреля 2019 г. об Агентстве Европейского Союза по обеспечению кибербезопасности (ENISA) и сертификации кибербезопасности информационно-коммуникационных технологий, а также об отмене Регламента (ЕС) 526/2013 Акт о кибербезопасности) (ОЖ N L 151, 07.06.2019, стр. 15).

*(13) Директива (ЕС) 2015/2366 Европейского Союза и Совета ЕС от 25 ноября 2015 г. о платежных услугах на внутреннем рынке, о внесении изменений в Директивы 2002/65/EC, 2009/110/EC и 2013/36/ЕС и в Регламент (ЕС) 1093/2010, а также об отмене Директивы 2007/64/EC (ОЖ N L 337, 23.12.2015, стр. 35).

*(14) Регламент (ЕС) 2016/679 Европейского Парламента и Совета ЕС от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/EC (Общий Регламент о защите персональных данных) (ОЖ N L 119, 4.5.2016, стр. 1).

*(15) Технология OTT (англ.: over the top) - метод предоставления видеоуслуг через интернет, при котором доставка видеосигнала от провайдера контента на устройство пользователя осуществляется по сетям передачи данных, часто без прямого контакта с оператором связи - прим. перевод.

*(16) Директива 2009/110/EC Европейского Парламента и Совета ЕС от 16 сентября 2009 г. об учреждении и деятельности организаций, эмитирующих электронные деньги, о пруденциальном надзоре за их деятельностью, а также об изменении Директив 2005/60/EC и 2006/48/EC и об отмене Директивы 2000/46/EC (ОЖ N L 267, 10.10.2009, стр. 7).

*(17) Директива 2013/36/ЕС Европейского Парламента и Совета ЕС от 26 июня 2013 г. о доступе к деятельности кредитных организаций и пруденциальном контроле над кредитными организациями и инвестиционными фирмами, вносящая изменения в Директиву 2002/87/EC и отменяющая Директивы 2006/48/EC и 2006/49/EC (ОЖ N L 176, 27.6.2013, стр. 338).

*(18) Директива 2011/61/ЕС Европейского Парламента и Совета ЕС от 8 июня 2011 г. о менеджерах альтернативных инвестиционных фондов и о внесении изменений в Директивы 2003/41/EC и 2009/65/EC и в Регламенты (EC) 1060/2009 и (ЕС) 1095/2010 (ОЖ N L 174, 1.7.2011, стр. 1).

*(19) Директива 2009/138/EC Европейского Парламента и Совета ЕС от 25 ноября 2009 г. об учреждении и осуществлении бизнеса в области страхования и перестрахования (Директива о платежеспособности страховых компаний II) (ОЖ N L 335, 17.12.2009, стр. 1).

*(20) Директива 2014/65/ЕС Европейского Парламента и Совета ЕС от 15 мая 2014 г. о рынках финансовых инструментов и внесении изменений в Директиву 2002/92/EC и в Директиву 2011/61/ЕС (ОЖ N L 173, 12.6.2014, стр. 349).

*(21) Регламент (ЕС) 1024/2013 Совета ЕС от 15 октября 2013 г. о возложении на Европейский Центральный Банк специальных функций в части политики, относящейся к пруденциальному надзору за кредитными организациями (ОЖ N L 287, 29.10.2013, стр. 63).

*(22) Директива 2014/59/ЕС Европейского Парламента и Совета ЕС от 15 мая 2014 г. об установлении основ для стабилизации деятельности и финансового оздоровления кредитных организаций и инвестиционных фирм, о внесении изменений в Директиву 82/891/EЭC Совета ЕС, Директивы 2001/24/EC, 2002/47/EC, 2004/25/EC, 2005/56/EC, 2007/36/EC, 2011/35/EС, 2012/30/ЕС и 2013/36/ЕС и Регламенты (ЕС) 1093/2010 и (ЕС) 648/2012 Европейского Парламента и Совета ЕС (OЖ N L 173, 12.06.2014 г., стр. 190) (OЖ N L 173, 12.06.2014, стр. 190).

*(23) Директива 2013/34/ЕС Европейского Парламента и Совета ЕС от 26 июня 2013 г. о годовой финансовой отчетности, консолидированной финансовой отчетности и связанных с ними отчетах некоторых типов компаний, о внесении изменений в Директиву 2006/43/ЕС Европейского Парламента и Совета ЕС и об отмене Директив 78/660/EЭC и 83/349/EЭC Совета ЕС (ОЖ N L 182, 29.6.2013, стр. 19).

*(24) ОЖ N L 123, 12.5.2016, стр. 1.

*(25) Регламент (EC) 1060/2009 Европейского Парламента и Совета ЕС от 16 сентября 2009 г. о кредитных рейтинговых агентствах (ОЖ N L 302, 17.11.2009, стр. 1).

*(26) Регламент (ЕС) 648/2012 Европейского Парламента и Совета ЕС от 4 июля 2012 г. о внебиржевых деривативах, центральных контрагентах и торговых репозитариях (ОЖ N L 201, 27.7.2012, стр. 1).

*(27) Регламент (ЕС) 600/2014 Европейского Парламента и Совета ЕС от 15 мая 2014 г. о рынках финансовых инструментов и об изменении Регламента (ЕС) 648/2012 (ОЖ N L 173, 12.6.2014, стр. 84).

*(28) Регламент (ЕС) 909/2014 Европейского Парламента и Совета ЕС от 23 июля 2014 г. о совершенствовании расчетов по ценным бумагам на территории Европейского Союза и о центральных депозитариях ценных бумаг, а также о внесении изменений в Директивы 98/26/ЕС и 2014/65/ЕС и в Регламент (ЕС) 236/2012 (ОЖ N L 257, 28.8.2014, стр. 1).

*(29) Директива (ЕС) 2022/2556 Европейского Парламента и Совета ЕС от 14 декабря 2022 г. о внесении изменений в Директивы 2009/65/EC, 2009/138/EC, 2011/61/ЕС, 2013/36/ЕС, 2014/59/ЕС, 2014/65/ЕС, (ЕС) 2015/2366 и (ЕС) 2016/2341 в части цифровой операционной устойчивости финансового сектора (см. стр. 153 настоящего ОЖ).

*(30) Регламент (ЕС) 2016/1011 Европейского Парламента и Совета ЕС от 8 июня 2016 г. об индексах, используемых в качестве контрольных показателей (бенчмарков) в финансовых инструментах и финансовых договорах или для оценки деятельности инвестиционных фондов, об изменении Директив 2008/48/EC и 2014/17/ЕС и Регламента (ЕС) 596/2014 (ОЖ N L 171, 29.6.2016, стр. 1).

*(31) Регламент (ЕС) 2018/1725 Европейского Парламента и Совета ЕС от 23 октября 2018 г. о защите физических лиц при обработке персональных данных, осуществляемой учреждениями, органами, службами и агентствами Союза, и о свободном обращении таких данных, а также об отмене Регламента (ЕС) 45/2001 и Решения 1247/2002/EC (ОЖ N L 295, 21.11.2018, стр. 39).

*(32) ОЖ N C 229, 15.6.2021, стр. 16.

*(33) Директива 2009/65/EC Европейского Парламента и Совета ЕС от 13 июля 2009 г. о координации законодательных, регламентарных и административных положений в отношении предприятий для коллективного инвестирования в обращаемые ценные бумаги (UCITS) (ОЖ N L 302, 17.11.2009, стр. 32).

*(34) Регламент (ЕС) 575/2013 Европейского Парламента и Совета ЕС от 26 июня 2013 г. о пруденциальных требованиях к кредитным организациям и инвестиционным фирмам и внесении изменений в Регламент (ЕС) 648/2012 (ОЖ N L 176, 27.6.2013, стр. 1).

*(35) Регламент (ЕС) 2019/2033 Европейского Парламента и Совета ЕС от 27 ноября 2019 г. о пруденциальном надзоре за инвестиционными фирмами, а также об изменении Регламентов (ЕС) 1093/2010, (ЕС) 575/2013, (ЕС) 600/2014 и (ЕС) 806/2014 (ОЖ N L 314, 5.12.2019, стр. 1).

*(36) Директива (ЕС) 2016/97 Европейского Парламента и Совета ЕС от 20 января 2016 г. о дистрибуции страховых услуг (ОЖ N L 26, 2.2.2016, стр. 19).

*(37) Регламент (ЕС) 2020/1503 Европейского Парламента и Совета ЕС от 7 октября 2020 г. о европейских поставщиках услуг краудфандинга для бизнеса, а также об изменении Регламента (ЕС) 2017/1129 и Директивы (ЕС) 2019/1937 (ОЖ N L 347, 20.10.2020, стр. 1).

*(38) Регламент (ЕС) 2017/2402 Европейского Парламента и Совета ЕС от 12 декабря 2017 г. об установлении общих правовых рамок для секьюритизации и о создании специальных правовых рамок для простой, прозрачной и стандартизированной секьюритизации, а также об изменении Директив 2009/65/EC, 2009/138/EC, 2011/61/ЕС и Регламентов (EC) 1060/2009 и (ЕС) 648/2012 (ОЖ N L 347, 28.12.2017, стр. 35).

*(39) Регламент (ЕС) 806/2014 Европейского Парламента и Совета ЕС от 15 июля 2014 г. об учреждении единых правил и единой процедуры для урегулирования несостоятельности кредитных учреждений и определенных инвестиционных компаний в рамках Единого механизма урегулирования несостоятельности и Единого фонда урегулирования несостоятельности, а также об изменении Регламента (ЕС) 1093/2010 (ОЖ N L 225, 30.7.2014, стр. 1).

*(40) Директива (ЕС) 2019/2034 Европейского Парламента и Совета ЕС от 27 ноября 2019 г. о пруденциальном надзоре за инвестиционными фирмами и внесении изменений в Директивы 2002/87/EC, 2009/65/EC, 2011/61/ЕС, 2013/36/ЕС, 2014/59/ЕС и 2014/65/ЕС (ОЖ N L 314, 5.12.2019, стр. 64).

*(41) Директива 2006/43/EC Европейского Парламента и Совета ЕС от 17 мая 2006 г. об обязательном аудите годовой и консолидированной бухгалтерской отчетности, изменении Директив 78/660/ЕЭС и 83/349/ЕЭС Совета ЕС и отмене Директивы 84/253/ЕЭС Совета ЕС (ОЖ N L 157, 9.6.2006, стр. 87).

*(42) Регламент (ЕС) 2022/2554 Европейского Парламента и Совета ЕС от 14 декабря 2022 г. о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011 (ОЖ N L 333, 27.12.2022, стр. 1)";

*(43) Регламент (ЕС) 2022/2554 Европейского Парламента и Совета ЕС от 14 декабря 2022 г. о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011 (ОЖ N L 333, 27.12.2022, стр. 1)".

*(44) Регламент (ЕС) 2022/2554 Европейского Парламента и Совета ЕС от 14 декабря 2022 г. о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011 (ОЖ N L 333, 27.12.2022, стр. 1)".

*(45) Регламент (ЕС) 2022/2554 Европейского Парламента и Совета ЕС от 14 декабря 2022 г. о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011 (ОЖ N L 333, 27.12.2022, стр. 1)".

*(46) Регламент (ЕС) 2022/2554 Европейского Парламента и Совета ЕС от 14 декабря 2022 г. о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011 (ОЖ N L 333, 27.12.2022, стр. 1)".