Toelichting bij COM(2020)595 - Digitale operationele veerkracht voor de financiële sector - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
dossier | COM(2020)595 - Digitale operationele veerkracht voor de financiële sector. |
---|---|
bron | COM(2020)595 |
datum | 24-09-2020 |
·
Motivering en doel van het voorstel
Dit voorstel maakt deel uit van het pakket digitaal geldwezen, een pakket maatregelen om het potentieel van het digitale geldwezen verder te bevorderen en te ondersteunen en tegelijkertijd de daaruit voortvloeiende risico’s te beperken. Het strookt met de prioriteiten van de Commissie om Europa klaar te maken voor het digitale tijdperk en een toekomstbestendige economie op te bouwen die werkt voor de mensen. Het pakket digitaal geldwezen omvat een nieuwe strategie voor het digitale geldwezen voor de financiële sector van de EU 1 om ervoor te zorgen dat de EU de digitale revolutie omarmt en stimuleert met een leidende rol voor innovatieve Europese bedrijven, zodat de voordelen van het digitale geldwezen beschikbaar komen voor consumenten en bedrijven. Naast dit voorstel omvat het pakket ook een voorstel voor een verordening betreffende markten voor cryptoactiva 2 , een voorstel voor een verordening betreffende een proefregeling voor marktinfrastructuren op basis van “distributed ledger”-technologie (DLT) 3 en een voorstel voor een richtlijn om bepaalde gerelateerde EU-regels inzake financiële diensten te verduidelijken of te wijzigen 4 . Digitalisering en operationele veerkracht in de financiële sector zijn twee kanten van dezelfde medaille. Digitale technologieën of informatie- en communicatietechnologieën (ICT) brengen zowel kansen als risico’s mee. Die moeten goed worden begrepen en beheerd, vooral in tijden van stress.
Beleidsmakers en toezichthouders hebben zich daarom steeds meer gericht op risico’s die voortvloeien uit het gebruik van ICT. Zij hebben met name geprobeerd de veerkracht van bedrijven te vergroten door normen vast te stellen en regelgevings- of toezichtwerkzaamheden te coördineren. Dit werk is op internationaal en Europees niveau verricht, zowel sectoroverkoepelend als voor een aantal specifieke sectoren, waaronder financiële diensten.
ICT-risico’s blijven echter een uitdaging vormen voor de operationele veerkracht, de prestaties en de stabiliteit van het financiële stelsel van de EU. De hervorming die volgde op de financiële crisis van 2008, heeft in de eerste plaats de financiële veerkracht 5 van de financiële sector van de EU versterkt en alleen indirect ICT-risico’s op sommige gebieden aangepakt, als onderdeel van de maatregelen om operationele risico’s in ruimere zin aan te pakken.
Hoewel de na de crisis in de EU-wetgeving inzake financiële diensten aangebrachte wijzigingen uitmondden in een gemeenschappelijk rulebook dat grote delen van de financiële risico’s in verband met financiële diensten regelt, werd de digitale operationele veerkracht niet volledig behandeld. De in verband met dit laatste aspect genomen maatregelen hadden enkele kenmerken die de doeltreffendheid ervan beperkten. Zij waren bijvoorbeeld vaak ontworpen als richtlijnen voor minimumharmonisatie of op beginselen gebaseerde verordeningen, waardoor er aanzienlijke ruimte was voor uiteenlopende benaderingen binnen de eengemaakte markt. Voorts is er vaak slechts in beperkte of onvolledige mate aandacht besteed aan ICT-risico’s in de context van het afdekken van operationeel risico. Tot slot variëren deze maatregelen in de sectorale wetgeving inzake financiële diensten. Het optreden op het niveau van de Unie strookte dus niet volledig met wat Europese financiële entiteiten nodig hadden voor het beheer van operationele risico’s op een wijze die de gevolgen van ICT-incidenten kan weerstaan, tegengaan en goedmaken. Evenmin bood het de financiële toezichthouders de meest geschikte instrumenten om zich te kwijten van hun taak om financiële instabiliteit te voorkomen wanneer die ICT-risico’s werkelijkheid worden.
Het ontbreken van gedetailleerde en alomvattende regels op EU-niveau inzake digitale operationele veerkracht heeft geleid tot een veelheid aan nationale regelgevingsinitiatieven (bv. inzake het testen van digitale operationele veerkracht) en toezichtbenaderingen (bv. het aanpakken van ICT-afhankelijkheid van derden). Maatregelen op het niveau van de lidstaten hebben echter slechts een beperkt effect gezien het grensoverschrijdende karakter van ICT-risico’s. Bovendien hebben de ongecoördineerde nationale initiatieven geleid tot overlappingen, inconsistenties, dubbele vereisten, hoge administratieve en nalevingskosten – met name voor grensoverschrijdende financiële entiteiten – of ICT-risico’s die niet worden ontdekt en dus niet worden aangepakt. Deze situatie versnippert de eengemaakte markt, ondermijnt de stabiliteit en integriteit van de financiële sector van de EU en brengt de bescherming van consumenten en beleggers in gevaar.
Daarom moet een gedetailleerd en alomvattend kader voor digitale operationele veerkracht van financiële entiteiten in de EU worden opgezet. Dit kader zal het onderdeel digitaalrisicobeheer van het gemeenschappelijk rulebook verdiepen. Het zal met name de uitvoering van ICT-risicobeheer door financiële entiteiten verbeteren en stroomlijnen, een grondige toetsing van ICT-systemen invoeren, toezichthouders beter bewust maken van cyberrisico’s en ICT-gerelateerde incidenten waarmee financiële entiteiten te maken krijgen, en financiële toezichthouders bevoegdheden geven om toezicht te houden op risico’s die voortvloeien uit het feit dat financiële entiteiten afhankelijk zijn van derde aanbieders van ICT-diensten. Het voorstel zal zorgen voor een consistent mechanisme voor het melden van incidenten om te helpen de administratieve lasten voor financiële entiteiten te verlichten en de doeltreffendheid van het toezicht te versterken.
·Verenigbaarheid met bestaande bepalingen op het beleidsterrein
Dit voorstel maakt deel uit van bredere werkzaamheden op Europees en internationaal niveau om de cyberbeveiliging van financiële diensten te versterken en bredere operationele risico’s aan te pakken 6 .
Het geeft ook gevolg aan het in 2019 uitgebrachte gezamenlijke technische advies 7 van de Europese toezichthoudende autoriteiten (ETA’s), waarin werd opgeroepen tot een meer samenhangende aanpak van ICT-risico’s in de financiële sector en de Commissie werd aanbevolen om op evenredige wijze de digitale operationele veerkracht van de financiëledienstensector te versterken door middel van een sectorspecifiek EU-initiatief. Het advies van de ETA’s was een reactie op het FinTech-actieplan van de Commissie uit 2018 8 .
·Verenigbaarheid met andere beleidsterreinen van de Unie
Zoals voorzitter Von der Leyen in haar politieke beleidslijnen 9 heeft verklaard en nader is uitgewerkt in de mededeling “De digitale toekomst van Europa vormgeven” 10 , is het van cruciaal belang dat Europa alle vruchten plukt van het digitale tijdperk en zijn industrie en innovatiecapaciteit versterkt, binnen veilige en ethische grenzen. De Europese datastrategie 11 omvat vier pijlers – gegevensbescherming, grondrechten, veiligheid en cyberbeveiliging – als essentiële voorwaarden voor een samenleving die sterk staat door slim datagebruik. Recenter is het werk van het Europees Parlement aan een verslag over het digitale geldwezen, waarin onder meer wordt opgeroepen tot een gemeenschappelijke aanpak inzake cyberveerkracht van de financiële sector 12 .Een wetgevingskader ter versterking van de digitale operationele veerkracht van financiële entiteiten in de EU strookt met deze beleidsdoelstellingen. Het voorstel zou ook beleid ondersteunen dat gericht is op het herstel van de coronapandemie, aangezien het ervoor zou zorgen dat de toegenomen afhankelijkheid van het digitale geldwezen gepaard gaat met operationele veerkracht.
Het initiatief zou de voordelen van het horizontale kader voor cyberbeveiliging (bv. de richtlijn inzake de beveiliging van netwerk- en informatiesystemen, NIS-richtlijn) bewaren door de financiële sector binnen het toepassingsgebied ervan te houden. De financiële sector zou nauw verbonden blijven met het NIS-samenwerkingsorgaan en de financiële toezichthouders zouden relevante informatie kunnen uitwisselen binnen het bestaande NIS-ecosysteem. Het initiatief zou stroken met de richtlijn betreffende Europese kritieke infrastructuur, die momenteel wordt herzien om kritieke infrastructuren beter te beschermen en weerbaarder te maken tegen niet-cybergerelateerde dreigingen. Tot slot is dit voorstel volledig in overeenstemming met de strategie voor de veiligheidsunie 13 , waarin werd opgeroepen tot een initiatief voor de digitale operationele veerkracht van de financiële sector gezien zijn grote afhankelijkheid van ICT-diensten en grote kwetsbaarheid voor cyberaanvallen.
2. RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID
·
Rechtsgrondslag
Dit voorstel voor een verordening is gebaseerd op artikel 114 VWEU.
Het neemt belemmeringen weg voor en verbetert de totstandbrenging en werking van de interne markt voor financiële diensten door de regels te harmoniseren die van toepassing zijn op het gebied van ICT-risicobeheer, rapportage, tests en ICT-risico van derde aanbieders. De huidige verschillen op dit gebied aan de wetgevings- en toezichtzijde en op nationaal en EU-niveau vormen obstakels voor de eengemaakte markt voor financiële diensten, omdat financiële entiteiten die grensoverschrijdende activiteiten verrichten, te maken hebben met verschillende – waar ze elkaar niet overlappen – wettelijke voorschriften of toezichtverwachtingen die de uitoefening van hun vrijheid van vestiging en van dienstverrichting kunnen belemmeren. Verschillende regels verstoren ook de concurrentie tussen hetzelfde type financiële entiteiten in verschillende lidstaten. Bovendien kan op gebieden waar harmonisatie geheel of gedeeltelijk ontbreekt, de ontwikkeling van uiteenlopende nationale regels of benaderingen – ongeacht of ze al gelden of zich nog in het proces van goedkeuring en tenuitvoerlegging op nationaal niveau bevinden – een afschrikkend effect hebben ten aanzien van de uitoefening van de vrijheden van de eengemaakte markt voor financiële diensten. Dit is met name het geval met betrekking tot digitale operationele testkaders en het toezicht op cruciale derde aanbieders van ICT-diensten.
Aangezien het voorstel gevolgen heeft voor verscheidene richtlijnen van het Europees Parlement en de Raad die zijn vastgesteld op basis van artikel 53, lid 1, VWEU, wordt tegelijkertijd ook een voorstel voor een richtlijn goedgekeurd om rekening te houden met de noodzakelijke wijzigingen van die richtlijnen.
·
Subsidiariteit
Omdat financiële diensten sterk met elkaar samenhangen, financiële entiteiten in aanzienlijke mate grensoverschrijdend actief zijn en de financiële sector als geheel sterk afhankelijk is van derde aanbieders van ICT-diensten, moeten de voorwaarden worden geschapen voor een sterke digitale operationele veerkracht als aangelegenheid van gemeenschappelijk belang om de financiële markten van de EU gezond te houden. Verschillen die het gevolg zijn van ongelijke of gedeeltelijke regelingen, overlappingen of uiteenlopende verplichtingen voor dezelfde financiële entiteiten die grensoverschrijdend opereren of meerdere vergunningen 14 hebben op de eengemaakte markt, kunnen alleen efficiënt worden aangepakt op het niveau van de Unie.
Dit voorstel harmoniseert de digitale operationele component van een sterk geïntegreerde en onderling verbonden sector die op de meeste andere belangrijke gebieden reeds profiteert van één enkel geheel van regels en toezicht. Voor zaken als ICT-gerelateerde incidentrapportage kunnen alleen geharmoniseerde regels van de Unie de administratieve lasten en financiële kosten terugdringen die het gevolg zijn van het feit dat hetzelfde ICT-incident aan verschillende autoriteiten van de Unie en de lidstaten moet worden gerapporteerd. EU-optreden is ook nodig om wederzijdse erkenning van resultaten van geavanceerde tests op digitale operationele veerkracht te vergemakkelijken voor entiteiten die grensoverschrijdend actief zijn, waarvoor – wanneer Unieregels ontbreken – in verschillende lidstaten verschillende kaders gelden of kunnen gelden. Alleen optreden op het niveau van de Unie kan verschillen in de door de lidstaten ingevoerde testmethoden aanpakken. EU-breed optreden is ook nodig om het gebrek aan passende toezichtsbevoegdheden aan te pakken voor het monitoren van risico’s die voortvloeien uit derde aanbieders van ICT-diensten, waaronder concentratie- en besmettingsrisico’s voor de financiële sector.
·
Evenredigheid
De voorgestelde regels gaan niet verder dan nodig is om de doelstellingen van het voorstel te verwezenlijken. Zij hebben alleen betrekking op de aspecten die de lidstaten zelf niet kunnen verwezenlijken en waarvoor de administratieve lasten en kosten in verhouding staan tot de specifieke en algemene doelstellingen die moeten worden bereikt.
De evenredigheid wordt qua reikwijdte en intensiteit bepaald aan de hand van kwalitatieve en kwantitatieve beoordelingscriteria. Die moeten ervoor zorgen dat de nieuwe regels enerzijds voor alle financiële entiteiten gelden en anderzijds zijn toegesneden op de risico’s en behoeften van hun specifieke kenmerken qua omvang en bedrijfsprofiel. De evenredigheid is ook ingebed in de regels inzake ICT-risicobeheer, het testen van digitale veerkracht, de rapportage van ernstige ICT-gerelateerde incidenten en het toezicht op cruciale derde aanbieders van ICT-diensten.
·
Keuze van het instrument
De maatregelen die nodig zijn voor ICT-risicobeheer, de rapportage van ICT-gerelateerde incidenten, testen en toezicht op cruciale derde aanbieders van ICT-diensten, moeten in een verordening worden opgenomen om ervoor te zorgen dat de gedetailleerde voorschriften op uniforme en doeltreffende wijze rechtstreeks van toepassing zijn, zonder afbreuk te doen aan de evenredigheid en de specifieke regels waarin deze verordening voorziet. Consistentie bij het aanpakken van digitale operationele risico’s draagt bij tot een groter vertrouwen in het financiële stelsel en zorgt voor het behoud van de stabiliteit ervan. Aangezien het gebruik van een verordening helpt de complexiteit van de regelgeving te verminderen, de convergentie van het toezicht bevordert en de rechtszekerheid vergroot, draagt deze verordening ook bij tot het beperken van de nalevingskosten van financiële entiteiten, met name voor die welke grensoverschrijdend actief zijn, wat op zijn beurt helpt concurrentieverstoringen tegen te gaan.
Deze verordening maakt ook een einde aan verschillen in wetgeving en ongelijke nationale regelgevings- of toezichtsbenaderingen met betrekking tot ICT-risico’s en neemt zo obstakels voor de eengemaakte markt voor financiële diensten weg, met name voor de vlotte uitoefening van de vrijheid van vestiging en het verlenen van diensten voor financiële entiteiten met grensoverschrijdende aanwezigheid.
Tot slot is het gemeenschappelijk rulebook vooral tot stand gekomen door middel van verordeningen, zodat bij de actualisering ervan met het onderdeel digitale operationele veerkracht hetzelfde instrument moet worden gekozen.
3. EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING
·Evaluatie van bestaande wetgeving en controle van de resultaatgerichtheid ervan
Tot dusver is er geen Uniewetgeving inzake financiële diensten die focust op operationele veerkracht of die uit digitalisering voortvloeiende risico’s grondig aanpakt; dat geldt ook voor de voorschriften die meer in het algemeen betrekking hebben op de operationeelrisicodimensie met ICT-risico als subcomponent. Het optreden van de Unie heeft tot nu toe geholpen tegemoet te komen aan de behoeften en problemen die zich voordeden in de nasleep van de financiële crisis van 2008: de kredietinstellingen waren onvoldoende gekapitaliseerd, de financiële markten waren onvoldoende geïntegreerd en de harmonisatie was tot op dat moment minimaal gehouden. ICT-risico werd toen niet als prioriteit beschouwd, en als gevolg daarvan hebben de rechtskaders voor de verschillende financiële subsectoren zich op ongecoördineerde wijze ontwikkeld. Toch heeft het optreden van de Unie zijn doel bereikt van waarborging van de financiële stabiliteit en totstandbrenging van één set geharmoniseerde prudentiële en marktgedragsregels die gelden voor financiële entiteiten in de hele EU. Aangezien de factoren die in het verleden het wetgevende optreden van de Unie aanstuurden, geen aanleiding gaven tot specifieke of alomvattende regels die rekening houden met het wijdverbreide gebruik van digitale technologieën en de daaruit voortvloeiende risico’s in de financiële sector, lijkt het moeilijk om een expliciete evaluatie uit te voeren. Een impliciete evaluatie en de daaruit voortvloeiende wetgevingswijzigingen komen tot uiting in elke pijler van deze verordening.
·
Raadpleging van belanghebbenden
De Commissie heeft de belanghebbenden tijdens het gehele proces van voorbereiding van dit voorstel geraadpleegd:
i) De Commissie heeft een specifieke openbare raadpleging gehouden (19 december 2019 - 19 maart 2020) 15 ;
ii) De Commissie heeft het publiek geraadpleegd via een aanvangseffectbeoordeling (19 december 2019 - 16 januari 2020) 16 ;
iii) De diensten van de Commissie hebben tweemaal (op 18 mei 2020 en 16 juli 2020) deskundigen van de lidstaten geraadpleegd in de Deskundigengroep banken, betalingen en verzekeringen (EGBPI) 17 ;
iv) De diensten van de Commissie hebben een specifiek webinar over digitale operationele veerkracht gehouden als onderdeel van de reeks Digital Finance Outreach-evenementen van 2020 (19 mei 2020).
Het doel van de openbare raadpleging was de Commissie te informeren over de ontwikkeling van een mogelijk sectoroverkoepelend EU-kader voor digitale operationele veerkracht op het gebied van financiële diensten. Uit de reacties bleek dat er brede steun bestaat voor de invoering van een specifiek kader met acties die gericht zijn op de vier gebieden waarop de raadpleging betrekking had. Tegelijkertijd werd benadrukt dat de evenredigheid moet worden gewaarborgd en dat de wisselwerking met de horizontale regels van de NIS-richtlijn zorgvuldig moet worden behandeld en uitgelegd. De Commissie heeft twee reacties op de aanvangseffectbeoordeling ontvangen, waarin de respondenten specifieke aspecten aan de orde stelden die verband houden met hun werkterrein.
De lidstaten hebben tijdens de EGBPI-bijeenkomst van 18 mei 2020 sterke steun uitgesproken voor de versterking van de digitale operationele veerkracht van de financiële sector door middel van de geplande acties op basis van de vier door de Commissie geschetste elementen. De lidstaten hebben ook benadrukt dat de nieuwe regels goed moeten worden afgestemd op die welke operationeel risico behandelen (binnen de EU-wetgeving inzake financiële diensten) en op de horizontale regels inzake cyberbeveiliging (NIS-richtlijn). Tijdens de tweede bijeenkomst hebben sommige lidstaten benadrukt dat de evenredigheid moet worden gewaarborgd en rekening moet worden gehouden met de specifieke situatie van kleine ondernemingen of dochterondernemingen van grotere groepen, en dat ook een sterk mandaat nodig is voor de nationale bevoegde autoriteiten die bij het toezicht betrokken zijn.
Het voorstel bouwt ook voort op en verwerkt de feedback die is vergaard tijdens bijeenkomsten met belanghebbenden en EU-autoriteiten en -instellingen. De belanghebbenden, inclusief derde aanbieders van ICT-diensten, steunen over het geheel genomen het voorstel. Uit een analyse van de ontvangen feedback blijkt dat ertoe werd opgeroepen bij het opstellen van regels de evenredigheid te vrijwaren en een op beginselen en risico’s gebaseerde aanpak te volgen. Wat de instellingen betreft, was de belangrijkste input afkomstig van het Europees Comité voor systeemrisico’s (ESRB), de ETA’s, het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) en de Europese Centrale Bank (ECB), alsook van de bevoegde autoriteiten van de lidstaten.
·Bijeenbrengen en gebruik van expertise
Bij de voorbereiding van dit voorstel heeft de Commissie zich gebaseerd op kwalitatieve en kwantitatieve gegevens uit erkende bronnen, waaronder de twee gezamenlijke technische adviezen van de ETA’s. Deze zijn aangevuld met vertrouwelijke input en openbare verslagen van toezichthoudende autoriteiten, internationale normalisatie-instellingen en toonaangevende onderzoeksinstellingen, alsook kwantitatieve en kwalitatieve input van geïdentificeerde belanghebbenden in de mondiale financiële sector.
·
Effectbeoordeling
Dit voorstel gaat vergezeld van een effectbeoordeling 18 , die op 29 april 2020 aan de Raad voor regelgevingstoetsing (RSB) is voorgelegd en op 29 mei 2020 goedkeuring kreeg. De RSB heeft op sommige gebieden verbeteringen aanbevolen om: i) meer informatie te verstrekken over de wijze waarop evenredigheid zou worden gewaarborgd; ii) beter te belichten in hoeverre de voorkeursoptie verschilt van het gezamenlijke technische advies van de ETA’s en waarom die optie de beste is; en iii) te belichten wat de wisselwerking is tussen het voorstel en de bestaande EU-wetgeving, waaronder regels die momenteel worden herzien. De effectbeoordeling werd in die zin aangepast, waarbij ook rekening werd gehouden met de gedetailleerdere opmerkingen van de RSB.
De Commissie heeft een aantal beleidsopties overwogen voor de ontwikkeling van een kader voor digitale operationele veerkracht:
·“Niets doen”: de regels inzake operationele veerkracht zouden nog steeds voortvloeien uit de huidige uiteenlopende reeks bepalingen inzake financiële diensten, gedeeltelijk uit de NIS-richtlijn, en uit bestaande of toekomstige nationale regelingen;
·Optie 1: versterking van de kapitaalbuffers: er zouden extra kapitaalbuffers worden ingevoerd om de financiële entiteiten beter in staat te stellen verliezen op te vangen die zouden kunnen ontstaan als gevolg van een gebrek aan digitale operationele veerkracht;
·Optie 2: invoering van een wetgevingshandeling inzake digitale operationele veerkracht op het gebied van financiële diensten: de voorwaarden scheppen voor een alomvattend kader op EU-niveau met consistente regels om tegemoet te komen aan de behoeften inzake digitale operationele veerkracht van alle gereglementeerde financiële entiteiten en een kader voor toezicht op cruciale derde aanbieders van ICT-diensten oprichten;
·Optie 3: een wetgevingshandeling inzake digitale operationele veerkracht op het gebied van financiële diensten in combinatie met gecentraliseerd toezicht op cruciale derde aanbieders van ICT-diensten: naast een wetgevingshandeling inzake digitale operationele veerkracht (optie 2) zou een nieuwe autoriteit worden opgericht om toezicht te houden op de verlening van diensten door derde aanbieders van ICT-diensten.
De tweede optie werd gekozen omdat de meeste van de beoogde doelstellingen worden bereikt op een wijze die doeltreffend en doelmatig is en strookt met andere beleidsmaatregelen van de Unie. De meeste belanghebbenden geven ook de voorkeur aan deze optie.
De gekozen optie zou eenmalige en terugkerende kosten meebrengen 19 . De eenmalige kosten houden voornamelijk verband met investeringen in IT-systemen, en als zodanig zijn ze moeilijk te kwantificeren gezien de uiteenlopende staat van de complexe IT-landschappen van bedrijven, en met name van hun bestaande IT-systemen. Toch zullen deze kosten voor grote bedrijven waarschijnlijk beperkt zijn, gezien de aanzienlijke ICT-investeringen die zij reeds hebben gedaan. Ook voor kleinere bedrijven zullen de kosten naar verwachting beperkt zijn, omdat evenredige maatregelen zouden gelden wegens hun lagere risico.
De gekozen optie zou in economisch, sociaal en ecologisch opzicht positieve gevolgen hebben voor kleine en middelgrote bedrijven die in de financiëledienstensector actief zijn. Het voorstel zou kleine en middelgrote bedrijven duidelijkheid verschaffen over de vraag welke regels van toepassing zijn, wat de nalevingskosten zou verminderen.
Vooral consumenten en beleggers zouden te maken krijgen met de sociale gevolgen van de gekozen beleidsoptie. Meer digitale operationele veerkracht van het financiële stelsel van de EU zou het aantal incidenten en de gemiddelde kosten daarvan doen afnemen. De samenleving als geheel zou baat hebben bij het toegenomen vertrouwen in de financiëledienstensector.
Tot slot zou de gekozen beleidsoptie, wat de ecologische gevolgen betreft, een intensiever gebruik van de nieuwste generatie ICT-infrastructuren en -diensten aanmoedigen, die naar verwachting ecologisch duurzamer zullen worden.
·Resultaatgerichtheid en vereenvoudiging
Door een einde te maken aan overlappende vereisten inzake ICT-gerelateerde incidentrapportage, zouden de administratieve lasten en de daarmee gemoeide kosten worden verminderd. Voorts zouden geharmoniseerde tests van de digitale operationele veerkracht met wederzijdse erkenning binnen de eengemaakte markt de kosten doen dalen, met name voor grensoverschrijdende bedrijven die anders met meerdere tests in verschillende lidstaten te maken zouden kunnen krijgen 20 .
·Grondrechten
De EU hecht aan de waarborging van hoge normen inzake de bescherming van grondrechten. Alle vrijwillige regelingen voor het delen van informatie tussen financiële entiteiten die door deze verordening worden bevorderd, zouden worden uitgevoerd in vertrouwde omgevingen met volledige inachtneming van de gegevensbeschermingsregels van de Unie, met name Verordening (EU) 2016/679 van het Europees Parlement en de Raad 21 , vooral wanneer de verwerking van persoonsgegevens noodzakelijk is voor de behartiging van een gerechtvaardigd belang van de verwerkingsverantwoordelijke.
Aangezien de huidige verordening de ETA’s een grotere rol geeft door hun bevoegdheden te verlenen inzake passend toezicht op cruciale derde aanbieders van ICT-diensten, zou het voorstel qua gevolgen voor de begroting betekenen dat extra middelen moeten worden uitgetrokken, met name voor de uitvoering van de toezichttaken (zoals inspecties ter plaatse en online, en audits) en de inschakeling van personeel met specifieke ICT-beveiligingsexpertise.
De omvang en de verdeling van deze kosten zullen afhangen van de omvang van de nieuwe toezichtsbevoegdheden en de (precieze) taken die door de ETA’s moeten worden uitgevoerd. Aan nieuwe personele middelen zullen de EBA, ESMA en Eiopa in totaal 18 voltijdwerknemers (vte) – 6 vte voor elke autoriteit – nodig hebben wanneer de verschillende bepalingen van het voorstel van toepassing worden (geraamd op 15,71 miljoen EUR voor de periode 2022-2027). De ETA's zullen ook extra IT-kosten, kosten van dienstreizen voor inspecties ter plaatse en vertaalkosten (geraamd op 12 miljoen EUR voor de periode 2022-2027), alsook andere administratieve kosten (geraamd op 2,48 miljoen EUR voor de periode 2022-2027) maken. De totale geraamde kosten bedragen dus ongeveer 30,19 miljoen EUR voor de periode 2022-2027.
Hoewel de personeelsbezetting (bv. nieuwe personeelsleden en andere uitgaven in verband met de nieuwe taken) die nodig is voor direct toezicht, in de loop der tijd zal afhangen van de ontwikkeling van het aantal en de omvang van de cruciale derde aanbieders van ICT-diensten, dient erop te worden gewezen dat de desbetreffende uitgaven volledig zullen worden gefinancierd door vergoedingen die bij die marktdeelnemers worden geïnd. Daarom zijn er geen gevolgen voor de EU-begrotingskredieten voorzien (behalve voor het extra personeel), aangezien deze kosten volledig door vergoedingen zullen worden gefinancierd.
De financiële gevolgen en de gevolgen voor de begroting van dit voorstel zijn in detail uiteengezet in het bij dit voorstel gevoegde financieel memorandum.
5. OVERIGE ELEMENTEN
·Uitvoeringsplanning en regelingen betreffende controle, evaluatie en rapportage
Het voorstel bevat een algemeen plan voor het monitoren en evalueren van de gevolgen voor de specifieke doelstellingen, op grond waarvan de Commissie ten minste drie jaar na de inwerkingtreding een evaluatie moet verrichten en aan het Europees Parlement en de Raad verslag moet uitbrengen over haar belangrijkste bevindingen.
Die evaluatie zal worden verricht aan de hand van de richtsnoeren van de Commissie voor betere regelgeving.
·
Artikelsgewijze toelichting
Het voorstel is opgebouwd rond verschillende belangrijke beleidsterreinen die onderling gerelateerde pijlers zijn waarover overeenstemming bestaat in de Europese en internationale richtsnoeren en beste praktijken ter versterking van de cyber- en operationele veerkracht van de financiële sector.
Toepassingsgebied van de verordening en evenredige toepassing van vereiste maatregelen (artikel 2)
Om te zorgen voor consistentie rond de vereisten inzake ICT-risicobeheer, heeft de verordening betrekking op een reeks financiële entiteiten die op Unieniveau worden gereglementeerd, namelijk kredietinstellingen, betalingsinstellingen, instellingen voor elektronisch geld, beleggingsondernemingen, aanbieders van cryptoactivadiensten, centrale effectenbewaarinstellingen, centrale tegenpartijen, handelsplatformen, transactieregisters, beheerders van alternatieve beleggingsinstellingen en beheermaatschappijen, aanbieders van datarapporteringsdiensten, verzekerings- en herverzekeringsondernemingen, verzekeringstussenpersonen, herverzekeringstussenpersonen en nevenverzekeringstussenpersonen, instellingen voor bedrijfspensioenvoorziening, ratingbureaus, beheerders van cruciale benchmarks en aanbieders van crowdfundingdiensten.
Dit vergemakkelijkt een homogene en coherente toepassing van alle onderdelen van het risicobeheer op ICT-gerelateerde gebieden en waarborgt het gelijke speelveld tussen financiële entiteiten ten aanzien van hun wettelijke verplichtingen inzake ICT-risico’s. Tegelijkertijd wordt in de verordening erkend dat er qua omvang, bedrijfsprofiel of blootstelling aan digitaal risico aanzienlijke verschillen tussen financiële entiteiten bestaan. Omdat grotere financiële entiteiten over meer middelen beschikken, zijn bijvoorbeeld alleen financiële entiteiten die niet als micro-onderneming worden aangemerkt, verplicht om complexe governanceregelingen en specifieke beheerfuncties in te stellen, diepgaande evaluaties uit te voeren na grote veranderingen in de infrastructuur van het netwerk en het informatiesysteem, regelmatig risicoanalyses met betrekking tot oude ICT-systemen uit te voeren en in de testplannen voor bedrijfscontinuïteit en respons en herstel scenario’s op te nemen voor de omschakeling tussen de primaire ICT-infrastructuur en de reservefaciliteiten. Bovendien zullen alleen financiële entiteiten die voor geavanceerde tests op digitale veerkracht als significant worden beschouwd, verplicht zijn om dreigingsgestuurde penetratietests uit te voeren.
Het toepassingsgebied is weliswaar ruim, maar dekt niet alle entiteiten. Deze verordening heeft met name geen betrekking op systeemexploitanten in de zin van artikel 2, punt p), van Richtlijn 98/26/EG 22 betreffende het definitieve karakter van de afwikkeling van betalingen en effectentransacties in betalings- en afwikkelingssystemen (“de finaliteitsrichtlijn”), en evenmin op systeemdeelnemers, tenzij die deelnemer zelf een op Unieniveau gereglementeerde financiële entiteit is en als zodanig al onder deze verordening zou vallen (d.w.z. kredietinstelling, beleggingsonderneming, CTP). Bovendien valt het EU-register voor emissierechten dat overeenkomstig Richtlijn 2003/87/EG 23 onder auspiciën van de Europese Commissie wordt beheerd, ook buiten het toepassingsgebied.
Dergelijke uitzonderingen op de finaliteitsrichtlijn houden rekening met de noodzaak van een verdere herziening van juridische en beleidskwesties die gevolgen hebben voor de systeemexploitanten en -deelnemers, en ook met het effect van de kaders die momenteel van toepassing zijn op door centrale banken beheerde betalingssystemen 24 . Aangezien deze kwesties aspecten kunnen omvatten die losstaan van de aangelegenheden die onder deze verordening vallen, zal de Commissie de noodzaak en het effect van een verdere uitbreiding van het toepassingsgebied van deze verordening tot entiteiten en ICT-infrastructuren die er momenteel buiten vallen, blijven beoordelen.
Vereisten in verband met governance (artikel 4)
Deze verordening is bedoeld om de bedrijfsstrategieën van financiële entiteiten en de uitvoering van het ICT-risicobeheer beter op elkaar af te stemmen. Daartoe moet het leidinggevend orgaan een cruciale, actieve rol blijven spelen bij het aansturen van het kader voor ICT-risicobeheer en blijven streven naar de inachtneming van een strikte cyberhygiëne. De volledige verantwoordelijkheid van het leidinggevend orgaan voor het beheer van het ICT-risico van de financiële entiteit zal een overkoepelend beginsel zijn dat verder moet worden vertaald in een reeks specifieke vereisten, zoals de toewijzing van duidelijke taken en verantwoordelijkheden voor alle ICT-gerelateerde functies, een voortdurende betrokkenheid bij de controle van de monitoring van het ICT-risicobeheer alsook bij het volledige spectrum van goedkeurings- en controleprocessen en een passende toewijzing van ICT-investeringen en opleidingen.
Vereisten inzake ICT-risicobeheer (artikelen 5 tot en met 14)
Digitale operationele veerkracht berust op een reeks belangrijke beginselen en vereisten inzake ICT-risicobeheer, in overeenstemming met het gezamenlijke technische advies van de ETA’s. Deze vereisten, die geïnspireerd zijn op relevante internationale, nationale en door de sector vastgestelde normen, richtsnoeren en aanbevelingen, hebben te maken met specifieke functies op het gebied van ICT-risicobeheer (identificatie, bescherming en voorkoming, detectie, respons en herstel, scholing en ontwikkeling en communicatie). Om gelijke tred te houden met een snel evoluerend landschap van cyberdreigingen, zijn financiële entiteiten verplicht om veerkrachtige ICT-systemen en -instrumenten op te zetten en te onderhouden die de impact van ICT-risico’s tot een minimum beperken, permanent alle bronnen van ICT-risico’s te identificeren, beschermings- en preventiemaatregelen op te zetten, specifiek en alomvattend beleid inzake bedrijfscontinuïteit en rampen- en herstelplannen op te stellen als integrerend deel van het operationele bedrijfscontinuïteitsbeleid. De laatstgenoemde componenten zijn nodig voor een snel herstel na ICT-gerelateerde incidenten, met name cyberaanvallen, door de schade te beperken en prioriteit te geven aan een veilige hervatting van de activiteiten. De verordening legt zelf geen specifieke normalisatie op, maar bouwt veeleer voort op Europese en internationaal erkende technische normen of beste praktijken van de sector, voor zover deze volledig in overeenstemming zijn met de toezichtinstructies voor het gebruik en de integratie van dergelijke internationale normen. Deze verordening heeft ook betrekking op de integriteit, veiligheid en veerkracht van fysieke infrastructuren en faciliteiten die het gebruik van technologie en de relevante ICT-gerelateerde processen en personen ondersteunen, als onderdeel van de digitale voetafdruk van de activiteiten van een financiële entiteit.
ICT-gerelateerde incidentrapportage (artikelen 15 tot en met 20)
Harmonisatie en stroomlijning van de rapportage van ICT-gerelateerde incidenten wordt bereikt via, in de eerste plaats, een algemene verplichting voor financiële entiteiten om een beheerproces vast te stellen en uit te voeren om ICT-gerelateerde incidenten te monitoren en te registreren, gevolgd door een verplichting om deze te classificeren aan de hand van criteria die in de verordening zijn uiteengezet en door de ETA’s verder zijn ontwikkeld door de verplichting om materialiteitsdrempels te specificeren. In de tweede plaats moeten alleen ICT-gerelateerde incidenten die belangrijk worden geacht, aan de bevoegde autoriteiten worden gerapporteerd. De rapportage moet worden verwerkt aan de hand van een gemeenschappelijke template volgens een door de ETA’s ontwikkelde geharmoniseerde procedure. Financiële entiteiten moeten eerste, tussentijdse en eindverslagen indienen en hun gebruikers en cliënten informeren wanneer het incident gevolgen heeft of kan hebben voor hun financiële belangen. De bevoegde autoriteiten moeten relevante gegevens over de incidenten doorgeven aan andere instellingen of autoriteiten: aan de ETA’s, de ECB en de krachtens Richtlijn (EU) 2016/1148 aangewezen centrale contactpunten.
Om een dialoog tussen financiële entiteiten en bevoegde autoriteiten op gang te brengen die zou helpen de impact tot een minimum te beperken en passende oplossingen te vinden, moet de rapportage van ernstige ICT-gerelateerde incidenten worden aangevuld met feedback en richtsnoeren van toezichthouders.
Tot slot moet de mogelijkheid van centralisatie op Unieniveau van de rapportage van ICT-gerelateerde incidenten verder worden onderzocht in een gezamenlijk verslag van de ETA’s, de ECB en Enisa waarin de haalbaarheid wordt beoordeeld van de oprichting van één EU-hub voor de melding van ICT-gerelateerde incidenten door financiële entiteiten.
Tests op digitale operationele veerkracht (artikelen 21 tot en met 24)
De capaciteiten en functies van het kader voor ICT-risicobeheer moeten periodiek worden getest op paraatheid en identificatie van zwakke punten, gebreken of lacunes, alsook op de snelle tenuitvoerlegging van corrigerende maatregelen. Deze verordening maakt een evenredige toepassing van vereisten voor het testen van digitale operationele veerkracht mogelijk, afhankelijk van de omvang en het bedrijfs- en risicoprofiel van financiële entiteiten: hoewel alle entiteiten ICT-instrumenten en -systemen moeten testen, moeten alleen entiteiten die door de bevoegde autoriteiten (op basis van in deze verordening opgenomen en door de ETA's verder ontwikkelde criteria) als significant en cybervolwassen zijn aangemerkt, geavanceerde tests op basis van dreigingsgestuurde penetratietests uitvoeren. Deze verordening voorziet ook in vereisten voor testers en de erkenning van resultaten van dreigingsgestuurde penetratietests in de hele Unie voor financiële entiteiten die in verschillende lidstaten actief zijn.
ICT-risico van derde aanbieders (artikelen 25 tot en met 39)
De verordening is bedoeld om te zorgen voor een gedegen monitoring van het ICT-risico van derde aanbieders. Deze doelstelling zal ten eerste worden bereikt door naleving van op beginselen gebaseerde regels voor de monitoring door financiële entiteiten van het risico met betrekking tot derde aanbieders van ICT-diensten. Ten tweede harmoniseert deze verordening de belangrijkste elementen van de dienst en de relatie met derde aanbieders van ICT-diensten. Deze elementen hebben betrekking op minimumaspecten die cruciaal worden geacht om een volledige monitoring door de financiële entiteit van het ICT-risico van derde aanbieders mogelijk te maken gedurende alle fasen van hun relatie (sluiting, uitvoering, beëindiging van de overeenkomst en postcontractuele fase).
Met name moeten de contracten die op die relatie van toepassing zijn, een volledige beschrijving bevatten van de diensten, een vermelding van de locaties waar de gegevens moeten worden verwerkt, beschrijvingen van het niveau van volledige dienstverlening vergezeld van kwantitatieve en kwalitatieve prestatiedoelen, relevante bepalingen inzake toegankelijkheid, beschikbaarheid, integriteit, beveiliging en bescherming van persoonsgegevens, en garanties voor toegang, herstel en teruggave in geval van falen van derde aanbieders van ICT-diensten, kennisgevingstermijnen en rapportageverplichtingen van de derde aanbieders van ICT-diensten, het recht van toegang, inspectie en audit door de financiële entiteit of een daartoe aangestelde derde, een duidelijk beëindigingsrecht en specifieke exitstrategieën. Bovendien bevordert de verordening, aangezien sommige van deze contractuele elementen kunnen worden gestandaardiseerd, een vrijwillig gebruik van modelcontractbepalingen die door de Commissie moeten worden ontwikkeld voor het gebruik van cloudcomputingdiensten.
Tot slot beoogt de verordening convergentie te bevorderen inzake de wijze waarop toezicht wordt gehouden op het ICT-risico van derde aanbieders in de financiële sector, door cruciale derde aanbieders van ICT-diensten aan een toezichtkader van de Unie te onderwerpen. Door middel van een nieuw geharmoniseerd wetgevingskader krijgt de ETA die voor elk van deze cruciale derde aanbieders van ICT-diensten als leidende toezichthouder is aangewezen, bevoegdheden, teneinde te garanderen dat aanbieders van technologiediensten die een cruciale rol vervullen voor de werking van de financiële sector, naar behoren worden gemonitord op pan-Europese schaal. Het toezichtkader waarin deze verordening voorziet, bouwt voort op de bestaande institutionele architectuur op het gebied van financiële diensten: zo zorgt het Gemengd Comité van de ETA’s voor sectoroverschrijdende coördinatie met betrekking tot alle kwesties in verband met ICT-risico, overeenkomstig zijn taken op het gebied van cyberbeveiliging, ondersteund door het desbetreffende subcomité (het toezichtforum), dat voorbereidende werkzaamheden verricht voor individuele besluiten en collectieve aanbevelingen ten aanzien van cruciale derde aanbieders van ICT-diensten.
Uitwisseling van informatie (artikel 40)
Om ICT-risico’s onder de aandacht te brengen, de verspreiding ervan zoveel mogelijk te beperken en de afweercapaciteiten en dreigingsdetectietechnieken van financiële entiteiten te ondersteunen, biedt de verordening aan financiële entiteiten de mogelijkheid regelingen te treffen om onderling informatie en inlichtingen over cyberdreigingen uit te wisselen.