Článek: AN0002556Aktualizováno:: 07.02.2025
NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2022/2554
ze dne 14. prosince 2022
o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011
Předmět
Za účelem dosažení vysoké společné úrovně digitální provozní odolnosti stanoví toto nařízení následující jednotné požadavky týkající se bezpečnosti sítí a informačních systémů podporujících obchodní procesy finančních subjektů:
a) požadavky vztahující se na finanční subjekty týkající se:
i) řízení rizika v oblasti informačních a komunikačních technologií (IKT);
ii) hlášení závažných incidentů souvisejících s IKT a dobrovolné oznamování významných kybernetických hrozeb příslušným orgánům;
iii) hlášení závažných provozních nebo bezpečnostních incidentů souvisejících s platbami příslušným orgánům ze strany finančních subjektů uvedených v čl. 2 odst. 1 písm. a) až d);
iv) testování digitální provozní odolnosti;
v) sdílení operativních a jiných informací souvisejících s kybernetickými hrozbami a zranitelnostmi;
vi) opatření pro řádné řízení rizika v oblasti IKT spojeného s třetími stranami;
b) požadavky týkající se smluvních ujednání uzavřených mezi poskytovateli služeb IKT z řad třetích stran a finančními subjekty;
c) pravidla pro stanovení a fungování rámce dohledu nad kritickými poskytovateli služeb IKT z řad třetích stran při poskytování služeb finančním subjektům;
d) pravidla spolupráce mezi příslušnými orgány a pravidla pro dohled a vymáhání ze strany příslušných orgánů v souvislosti se všemi otázkami upravenými tímto nařízením.
Oblast působnosti
a) úvěrové instituce;
b) platební instituce, včetně platebních institucí vyňatých podle směrnice (EU) 2015/2366;
c) poskytovatele služeb informování o účtu;
d) instituce elektronických peněz, včetně institucí elektronických peněz vyňatých podle směrnice 2009/110/ES;
e) investiční podniky;
f) poskytovatele služeb souvisejících s kryptoaktivy, kterým bylo uděleno povolení podle nařízení Evropského parlamentu a Rady o trzích s kryptoaktivy a o změně nařízení (EU) č. 1093/2010 a (EU) č. 1095/2010 a směrnic 2013/36/EU a (EU) 2019/1937 („nařízení o trzích s kryptoaktivy“), a vydavatele tokenů vázaných na aktiva;
g) centrální depozitáře cenných papírů;
h) ústřední protistrany;
i) obchodní systémy;
j) registry obchodních údajů;
k) správce alternativních investičních fondů;
l) správcovské společnosti;
m) poskytovatele služeb hlášení údajů;
n) pojišťovny a zajišťovny;
o) zprostředkovatele pojištění, zprostředkovatele zajištění a zprostředkovatele doplňkového pojištění;
p) instituce zaměstnaneckého penzijního pojištění;
q) ratingové agentury;
r) správce kritických referenčních hodnot;
s) poskytovatele služeb skupinového financování;
t) registry sekuritizací;
u) poskytovatele služeb IKT z řad třetích stran.
Toto nařízení se nevztahuje na:
a) správce alternativních investičních fondů podle čl. 3 odst. 2 směrnice 2011/61/EU;
b) pojišťovny a zajišťovny podle článku 4 směrnice 2009/138/ES;
c) instituce zaměstnaneckého penzijního pojištění, které provozují penzijní plány, které dohromady nemají více než 15 účastníků;
d) fyzické nebo právnické osoby vyňaté podle článků 2 a 3 směrnice 2014/65/EU;
e) zprostředkovatele pojištění, zprostředkovatele zajištění a zprostředkovatele doplňkového pojištění, kteří jsou mikropodniky, malými nebo středními podniky;
f) žirové instituce poštovních úřadů podle čl. 2 odst. 5 bodu 3 směrnice 2013/36/EU.
EUR-Lex