DELEGIERTE VERORDNUNG (EU) 2025/295 DER KOMMISSION
vom 24. Oktober 2024
zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Harmonisierung der Bedingungen für die Durchführung von Überwachungstätigkeiten
(Text von Bedeutung für den EWR)
DIE EUROPÄISCHE KOMMISSION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (1), insbesondere auf Artikel 41 Absatz 2 Unterabsatz 2,
in Erwägung nachstehender Gründe:
|
(1) |
Mit dem durch die Verordnung (EU) 2022/2554 geschaffenen Rahmen für die digitale operationale Resilienz im Finanzsektor wird ein Überwachungsrahmen der Union für die gemäß Artikel 31 der genannten Verordnung als kritisch eingestuften Drittdienstleister der Informations- und Kommunikationstechnologie (im Folgenden „IKT-Drittdienstleister“) im Finanzsektor eingeführt. |
|
(2) |
IKT-Drittdienstleister, die sich dafür entscheiden, einen freiwilligen Antrag auf Einstufung als kritisch zu stellen, sollten der betreffenden Europäischen Aufsichtsbehörde (ESA) alle erforderlichen Informationen zum Nachweis ihrer Kritikalität gemäß den in der Verordnung (EU) 2022/2554 festgelegten Grundsätzen und Kriterien zur Verfügung stellen. Aus diesem Grund sollten die in dem freiwilligen Antrag enthaltenen Informationen hinreichend detailliert und vollständig sein, um eine präzise und umfassende Bewertung der Kritikalität gemäß Artikel 31 Absatz 11 der genannten Verordnung zu ermöglichen. Die zuständige ESA sollte unvollständige Anträge ablehnen und die fehlenden Informationen anfordern. |
|
(3) |
Die rechtliche Identifizierung von IKT-Drittdienstleistern, die in den Anwendungsbereich dieses technischen Regulierungsstandards fallen, sollte der Kennung entsprechen, die in der gemäß Artikel 28 Absatz 9 der Verordnung (EU) 2022/2554 erlassenen Durchführungsverordnung der Kommission festgelegt ist. |
|
(4) |
Nachdem die federführende Überwachungsbehörde ihre Empfehlungen an kritische IKT-Drittdienstleister abgegeben hat, sollte sie als Folgemaßnahme deren Einhaltung durch die kritischen IKT-Drittdienstleister überwachen. Im Interesse einer effizienten und wirksamen Überwachung der von den kritischen IKT-Drittdienstleistern im Zusammenhang mit diesen Empfehlungen ergriffenen Maßnahmen oder Abhilfemaßnahmen sollte es der federführenden Überwachungsbehörde möglich sein, die in Artikel 35 Absatz 1 Buchstabe c der Verordnung (EU) 2022/2554 genannten Berichte anzufordern, die als Zwischenberichte über erzielte Fortschritte und Abschlussberichte konzipiert sein sollten. |
|
(5) |
Für die Zwecke der Bewertung gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2022/2554, wonach die federführende Überwachungsbehörde zu beurteilen hat, ob die von einem kritischen IKT-Drittdienstleister vorgelegte Erklärung ausreichend ist, sollte mit der Mitteilung des kritischen IKT-Drittdienstleisters über seine Absicht, den erhaltenen Empfehlungen Folge zu leisten, eine Beschreibung der Schritte und Maßnahmen, die zur Minderung der in den Empfehlungen dargelegten Risiken ergriffen wurden, einschließlich der entsprechenden Fristen, an die federführende Überwachungsbehörde übermittelt werden. Diese Erklärung sollte in Form eines Plans mit Abhilfemaßnahmen vorgelegt werden. |
|
(6) |
Da die federführende Überwachungsbehörde die Vereinbarungen der kritischen IKT-Drittdienstleister über die Unterauftragsvergabe bewerten soll, muss eine Vorlage für die Bereitstellung von Informationen über diese Vereinbarungen ausgearbeitet werden. In der Vorlage sollte der Tatsache Rechnung getragen werden, dass kritische IKT-Drittdienstleister anders als Finanzunternehmen strukturiert sind. |
|
(7) |
Nachdem die federführende Überwachungsbehörde ihre Empfehlungen an einen kritischen IKT-Drittdienstleister abgegeben hat und die zuständigen Behörden die betreffenden Finanzunternehmen über die in diesen Empfehlungen ermittelten Risiken in Kenntnis gesetzt haben, sollte die federführende Überwachungsbehörde die Umsetzung der Maßnahmen und der Abhilfemaßnahmen, mit denen der betreffende kritische IKT-Drittdienstleister den Empfehlungen nachkommt, überwachen und bewerten. Die zuständigen Behörden sollten überwachen und bewerten, inwieweit die Finanzunternehmen den in diesen Empfehlungen ermittelten Risiken ausgesetzt sind. Damit bei der Wahrnehmung ihrer jeweiligen Aufgaben die gleichen Voraussetzungen bestehen, sollten sich die zuständigen Behörden und die federführende Überwachungsbehörde über alle wesentlichen Erkenntnisse austauschen, die sie für die Wahrnehmung ihrer jeweiligen Aufgaben benötigen, insbesondere wenn die in den Empfehlungen ermittelten Risiken schwerwiegend sind und bei einer großen Zahl von Finanzunternehmen in mehreren Mitgliedstaaten auftreten. Durch den Informationsaustausch soll sichergestellt werden, dass bei der Rückmeldung der federführenden Überwachungsbehörde an den kritischen IKT-Drittdienstleister über die Umsetzung der Maßnahmen und Abhilfemaßnahmen die Auswirkungen auf die Risiken für Finanzunternehmen berücksichtigt werden und dass die Aufsichtstätigkeiten der zuständigen Behörden auf der Grundlage der Bewertung durch die federführende Überwachungsbehörde durchgeführt werden. |
|
(8) |
Um einen effizienten und wirksamen Informationsaustausch zu ermöglichen, sollten die zuständigen Behörden im Rahmen ihrer Aufsichtstätigkeiten bewerten, inwieweit die von ihnen beaufsichtigten Finanzunternehmen den in den Empfehlungen ermittelten Risiken ausgesetzt sind. Diese Bewertung sollte verhältnismäßig und risikobasiert erfolgen. Die federführende Überwachungsbehörde sollte die zuständigen Behörden in konkreten Fällen, in denen die in den Empfehlungen dargelegten Risiken schwerwiegend sind und bei einer großen Zahl von Finanzunternehmen in mehreren Mitgliedstaaten auftreten, um Übermittlung der Ergebnisse dieser Bewertung ersuchen. Im Sinne der bestmöglichen Nutzung der Ressourcen der zuständigen Behörden sollte die federführende Überwachungsbehörde bei der Anforderung der Ergebnisse dieser Bewertung stets berücksichtigen, dass der Zweck dieser Auskunftsersuchen darin bestehen sollte, die Umsetzung der Maßnahmen und Abhilfemaßnahmen der kritischen IKT-Drittdienstleister zu bewerten. |
|
(9) |
Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (2) angehört und hat am 22. Juli 2024 eine Stellungnahme abgegeben. |
|
(10) |
Die vorliegende Verordnung beruht auf dem Entwurf technischer Regulierungsstandards, der der Kommission von den ESA vorgelegt wurde. |
|
(11) |
Der Gemeinsame Ausschuss der ESA hat zu dem Entwurf technischer Regulierungsstandards, auf den sich diese Verordnung stützt, offene öffentliche Konsultationen durchgeführt, die damit verbundenen potenziellen Kosten- und Nutzeneffekte analysiert und die Stellungnahmen der nach Artikel 37 der Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates (3) eingesetzten Interessengruppe „Bankensektor“, der nach Artikel 37 der Verordnung (EU) Nr. 1094/2010 des Europäischen Parlaments und des Rates (4) eingesetzten Interessengruppen „Versicherung und Rückversicherung“ und „Betriebliche Altersversorgung“ sowie der nach Artikel 37 der Verordnung (EU) Nr. 1095/2010 des Europäischen Parlaments und des Rates (5) eingesetzten Interessengruppe „Wertpapiere und Wertpapiermärkte“ eingeholt — |
HAT FOLGENDE VERORDNUNG ERLASSEN:
(1) ABl. L 333 vom 27.12.2022, S. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.
(2) Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(3) Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Bankenaufsichtsbehörde), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/78/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).
(4) Verordnung (EU) Nr. 1094/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/79/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 48. ELI: http://data.europa.eu/eli/reg/2010/1094/oj).
(5) Verordnung (EU) Nr. 1095/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Wertpapier- und Marktaufsichtsbehörde), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/77/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).