(1)

Digiaikana tieto- ja viestintätekniikalla, jäljempänä ’TVT’, tuetaan monimutkaisia järjestelmiä, joita käytetään jokapäiväisissä toiminnoissa. Se pitää taloutemme toiminnassa keskeisillä aloilla, mukaan lukien finanssiala, ja tehostaa sisämarkkinoiden toimintaa. Lisääntyvä digitalisaatio ja yhteenliitettävyys laajentavat myös TVT-riskin mahdollisuutta, mikä tekee koko yhteiskunnasta ja erityisesti finanssijärjestelmästä alttiimman kyberuhkille tai TVT-häiriöille. Vaikka TVT-järjestelmien yleinen käyttö sekä pitkälle menevä digitalisaatio ja yhteenliitettävyys ovat nykypäivänä unionin finanssiyhteisöjen toiminnan keskeisiä piirteitä, niiden digitaalista häiriönsietokykyä on vielä käsiteltävä paremmin ja se on sisällytettävä osaksi niiden laajempia toimintapuitteita.

(2)

TVT:n käyttö on viime vuosikymmeninä noussut keskeiseen asemaan finanssipalvelujen tarjoamisessa siinä määrin, että nykyään sen merkitys kaikkien finanssiyhteisöjen tavanomaisissa arkipäivän toiminnoissa on kriittinen. Digitalisaatio kattaa nykyään esimerkiksi maksut, joissa on siirrytty yhä enemmän käteis- ja paperipohjaisista menetelmistä digitaalisten ratkaisujen käyttöön, sekä arvopaperien määrityksen ja toimituksen, sähköisen ja algoritmisen kaupankäynnin, lainaus- ja rahoitustoiminnot, vertaisrahoituksen, luottokelpoisuusluokituksen, saatavien hoidon ja back-office-toiminnot. TVT:n käyttö on muuttanut myös vakuutusalaa vakuutusteknologian (InsurTech) avulla verkossa palvelujaan tarjoavien digitaalisten vakuutusedustajien markkinoille tulosta aina digitaaliseen vakuutusten merkintään saakka. Koko finanssiala on pitkälti digitalisoitunut, mutta digitalisaatio on myös syventänyt finanssialan sisäisiä yhteyksiä ja keskinäistä riippuvuutta myös kolmansista infrastruktuurin ja palvelujen tarjoajista.

(3)

Euroopan järjestelmäriskikomitea (EJRK) vahvisti vuonna 2020 antamassaan systeemistä kyberriskiä käsittelevässä raportissaan, kuinka nykyiset finanssiyhteisöjen, -markkinoiden ja -markkinainfrastruktuurin tiiviit keskinäiset kytkökset ja etenkin niiden TVT-järjestelmien keskinäiset riippuvuussuhteet saattavat muodostaa systeemisen haavoittuvuuden, sillä paikalliset kyberhäiriötilanteet voivat nopeasti levitä mistä tahansa unionin noin 22 000 finanssiyhteisöstä koko finanssijärjestelmään maantieteellisten rajojen estämättä. Finanssialalla ilmenevät vakavat TVT-rikkomukset eivät vaikuta pelkästään finanssiyhteisöihin yksinään. Ne luovat maaperää myös paikallisten haavoittuvuuksien leviämiselle rahoituksen välityskanaviin ja voivat heikentää unionin finanssijärjestelmän vakautta esimerkiksi aiheuttamalla likviditeettipakoja ja rapauttamalla yleisesti uskoa ja luottamusta rahoitusmarkkinoihin.

(4)

Viime vuosina kansainvälisen, unionin ja kansallisen tason poliittiset päättäjät, sääntelyviranomaiset ja standardointielimet ovat kiinnittäneet huomiota TVT-riskiin pyrkimyksessään tehostaa digitaalista häiriönsietokykyä, asettaa standardeja ja koordinoida sääntely- tai valvontatoimia. Kansainvälisellä tasolla Baselin pankkivalvontakomitea, maksujärjestelmä- ja markkinainfrastruktuurikomitea, finanssimarkkinoiden vakauden valvontaryhmä, rahoitusjärjestelmän vakautta valvova instituutti sekä G7- ja G20-maat pyrkivät tarjoamaan toimivaltaisille viranomaisille ja markkinatoimijoille useilla eri lainkäyttöalueilla välineitä, joiden avulla ne voivat vahvistaa finanssijärjestelmiensä häiriönsietokykyä. Kyseistä työtä on ohjannut myös tarve ottaa TVT-riski asianmukaisesti huomioon tiiviisti yhteenliitetyssä maailmanlaajuisessa rahoitusjärjestelmässä ja pyrkiä edelleen yhdenmukaistamaan asiaan liittyviä parhaita käytäntöjä.

(5)

Unionin ja kansallisen tason kohdennetuista politiikka- ja lainsäädäntöaloitteista huolimatta TVT-riski muodostaa edelleen haasteen unionin rahoitusjärjestelmän häiriönsietokyvylle, toiminnalle ja vakaudelle. Vuoden 2008 finanssikriisin jälkeen toteutetuilla uudistuksilla vahvistettiin ensisijaisesti unionin finanssialan finanssipoliittista häiriönsietokykyä ja pyrittiin turvaamaan unionin kilpailukyky ja vakaus talouden, vakavaraisuuden ja markkinakäyttäytymisen kannalta. Vaikka TVT-turvallisuus ja digitaalinen häiriönsietokyky ovat osa operatiivista riskiä, ne ovat jääneet vähemmälle huomiolle finanssikriisin jälkeisessä sääntelyohjelmassa, ja niitä on kehitetty vain joillakin unionin finanssipalvelupolitiikan ja sääntely-ympäristön osa-alueilla tai vain muutamassa jäsenvaltiossa.

(6)

Komission 8 päivänä maaliskuuta 2018 julkaisemassa tiedonannossa ”FinTech-toimintasuunnitelma Euroopan rahoitusalan kilpailukyvyn ja innovatiivisuuden parantamiseksi” korostettiin, että on ensiarvoisen tärkeää parantaa unionin finanssialan häiriönsietokykyä myös operatiivisesta näkökulmasta, jotta voidaan varmistaa sen teknologinen turvallisuus ja toimivuus ja sen nopea toipuminen TVT-rikkomusten ja -poikkeamien jälkeen, mikä viime kädessä mahdollistaa finanssipalvelujen tehokkuuden ja niiden sujuvan tarjoamisen koko unionissa, myös stressitilanteissa, siten, että samalla säilytetään kuluttajien ja markkinoiden usko ja luottamus.

(7)

Euroopan parlamentin ja neuvoston asetuksella (EU) N:o 1093/2010 (4) perustettu Euroopan valvontaviranomainen (Euroopan pankkiviranomainen (EPV)), Euroopan parlamentin ja neuvoston asetuksella (EU) N:o 1094/2010 (5) perustettu Euroopan valvontaviranomainen (Euroopan vakuutus- ja lisäeläkeviranomainen (EIOPA)) ja asetuksella (EU) N:o 1095/2010 (6) perustettu Euroopan valvontaviranomainen (Euroopan arvopaperimarkkinaviranomainen (ESMA)) (joita kutsutaan yhteisesti nimellä ’Euroopan valvontaviranomaiset’) antoivat yhdessä huhtikuussa 2019 teknisiä neuvoja, joissa peräänkuulutettiin johdonmukaista lähestymistapaa TVT-riskiin finanssialalla ja suositettiin finanssipalvelualan digitaalisen häiriönsietokyvyn vahvistamista oikeasuhteisella tavalla unionin alakohtaisen aloitteen avulla.

(8)

Unionin finanssialaa säännellään yhteisellä sääntökirjalla ja hallinnoidaan Euroopan finanssivalvontajärjestelmällä. Tästä huolimatta digitaalista häiriönsietokykyä ja TVT-turvallisuutta koskevia säännöksiä ei ole vielä täysin tai johdonmukaisesti yhdenmukaistettu siitä huolimatta, että digitaalinen häiriönsietokyky on ratkaisevan tärkeä rahoitusvakauden ja markkinoiden eheyden varmistamiseksi digiaikana, minkä lisäksi se on aivan yhtä merkityksellinen kuin esimerkiksi toiminnan vakautta tai markkinakäyttäytymistä koskevat yhteiset standardit. Yhteistä sääntökirjaa ja valvontajärjestelmää olisi sen vuoksi kehitettävä, jotta se kattaisi myös digitaalisen häiriönsietokyvyn, vahvistamalla toimivaltaisten viranomaisten toimivaltuuksia niin, että ne voivat valvoa finanssialan TVT-riskin hallitsemista sisämarkkinoiden eheyden ja tehokkuuden suojelemiseksi ja sen säännönmukaisen toiminnan helpottamiseksi.

(9)

Lainsäädännölliset erot ja epätasaiset kansalliset TVT-riskin sääntelyä tai valvontaa koskevat lähestymistavat muodostavat esteitä finanssipalvelujen sisämarkkinoiden toiminnalle ja hankaloittavat sijoittautumisvapauden sujuvaa harjoittamista sekä palvelujen tarjoamista rajatylittävää toimintaa harjoittaville finanssiyhteisöille. Eri jäsenvaltioissa toimivien samantyyppisten finanssiyhteisöjen välinen kilpailu saattaa myös vääristyä. Tämä koskee erityisesti aloja, joilla yhdenmukaistaminen unionissa on ollut hyvin vähäistä, kuten digitaalisen häiriönsietokyvyn testaus, tai olematonta, kuten kolmansiin osapuoliin liittyvän TVT-riskin seuranta. Kansallisella tasolla ennakoidusta kehityksestä johtuvat erot voisivat luoda lisäesteitä sisämarkkinoiden toiminnalle, mikä haittaisi markkinatoimijoita ja rahoitusvakautta.

(10)

Koska TVT-riskiin liittyviä säännöksiä on tähän mennessä käsitelty unionin tasolla vain osittain, tärkeillä osa-alueilla, kuten TVT:hen liittyvien poikkeamien raportoinnissa ja digitaalisen häiriönsietokyvyn testauksessa, esiintyy puutteita tai päällekkäisyyksiä sekä epäjohdonmukaisuuksia, jotka johtuvat uusista toisistaan poikkeavista kansallisista säännöistä tai päällekkäisten sääntöjen kustannustehottomasta soveltamisesta. Tämä on erityisen haitallista TVT-intensiivisille käyttäjille, kuten finanssialalle, koska teknologiariskeillä ei ole rajoja ja finanssiala käyttää sen palveluja laajalti rajojen yli unionissa ja sen ulkopuolella. Yksittäiset finanssiyhteisöt, jotka toimivat rajojen yli tai joilla on useita toimilupia (esimerkiksi yhdellä finanssiyhteisöllä voi olla pankki-, sijoituspalveluyritys- ja maksulaitostoimilupa, joista jokainen on eri toimivaltaisen viranomaisen myöntämä yhdessä tai useammassa jäsenvaltiossa), joutuvat vastaamaan operatiivisiin haasteisiin niiden torjuessa yksin TVT-riskiä ja hillitessä TVT-poikkeamien kielteisiä vaikutuksia johdonmukaisella ja kustannustehokkaalla tavalla.

(11)

Koska yhteiseen sääntökirjaan ei ole liitetty kattavaa TVT- tai operatiivisen riskin kehystä, keskeisiä digitaalista häiriönsietokykyä koskevia vaatimuksia on yhdenmukaistettava edelleen kaikkien finanssiyhteisöjen osalta. Se, että finanssiyhteisöt kehittäisivät TVT-valmiuksia ja yleistä häiriönsietokykyä kyseisten keskeisten vaatimusten pohjalta selvitäkseen operatiivisista käyttökeskeytyksistä, auttaisi säilyttämään unionin finanssimarkkinoiden vakauden ja eheyden, mikä edistäisi myös sijoittajien ja kuluttajien suojan korkean tason varmistamista unionissa. Koska tämän asetuksen tarkoituksena on edistää sisämarkkinoiden moitteetonta toimintaa, sen olisi perustuttava Euroopan unionin toiminnasta tehdyn sopimuksen, jäljempänä ’SEUT’, 114 artiklaan, sellaisena kuin sitä tulkitaan Euroopan unionin tuomioistuimen vakiintuneessa oikeuskäytännössä.

(12)

Tällä asetuksella pyritään lujittamaan ja parantamaan TVT-riskiä koskevia vaatimuksia osana operatiivista riskiä koskevia vaatimuksia, joita tähän mennessä on käsitelty erikseen useissa unionin säädöksissä. Vaikka kyseiset säädökset kattoivat rahoitusriskin pääluokat (esimerkiksi luotto-, markkina-, vastapuoliluotto- ja likviditeetti- sekä markkinakäyttäytymisriski), niissä ei hyväksymisajankohtanaan kokonaisvaltaisesti puututtu kaikkiin toiminnallisen häiriönsietokyvyn osatekijöihin. Operatiivista riskiä koskevissa säännöissä, sellaisena kuin ne ovat edelleen täsmennettyinä kyseisissä unionin säädöksissä, suosittiin usein perinteistä kvantitatiivista lähestymistapaa riskeihin puuttumiseksi (eli pääomavaatimuksen asettamista TVT-riskin kattamiseksi) kohdennettujen laadullisten sääntöjen sijasta, jotka koskevat suojelu-, havaitsemis-, käyttöönotto-, toipumis- ja korjausvalmiuksia TVT:hen liittyvien poikkeamien torjumiseksi tai raportointi- ja digitaalisia testausvalmiuksia. Kyseisten säädösten ensisijainen tarkoitus oli kattaa toiminnan vakauden valvontaa, markkinoiden eheyttä tai toimintaa koskevat keskeiset säännöt ja päivittää niitä. Vahvistamalla TVT-riskiä koskevia eri sääntöjä ja päivittämällä niitä kaikki finanssialan digitaalista riskiä koskevat säännökset pitäisi saada ensimmäistä kertaa koottua johdonmukaisella tavalla yhteen säädökseen. Näin ollen tällä asetuksella korjataan joidenkin aiempien säädösten puutteet tai epäjohdonmukaisuudet, myös niissä käytetyn terminologian osalta, ja siinä nimenomaisesti viitataan TVT-riskiin kohdennetuilla säännöillä, jotka koskevat TVT-riskinhallintavalmiuksia, poikkeamien raportointia, toiminnallisen häiriönsietokyvyn testausta sekä ulkopuolisiin TVT-palveluntarjoajiin liittyvän riskin seurantaa. Tällä asetuksella olisi näin ollen myös lisättävä tietoisuutta TVT-riskistä ja otettava huomioon, että TVT-poikkeamat ja toiminnallisen häiriönsietokyvyn puute saattavat vaarantaa finanssiyhteisöjen vakauden.

(13)

Finanssiyhteisöjen olisi noudatettava samaa lähestymistapaa ja samoja periaatteisiin perustuvia sääntöjä käsitellessään TVT-riskiä ottaen huomioon kokonsa ja yleisen riskiprofiilinsa sekä palvelujensa, toimintojensa ja toimintansa luonne, laajuus ja monitahoisuus. Johdonmukaisuus lisää osaltaan luottamusta finanssijärjestelmään ja auttaa sen vakauden säilyttämisessä erityisesti sellaisina aikoina, jolloin TVT-järjestelmistä, -alustoista ja -infrastruktuurista ollaan erittäin riippuvaisia, mihin liittyy suurempi digitaalisen riskin vaara. Peruskyberhygieniaa noudattamalla pitäisi myös voida välttää taloudelle aiheutuvia raskaita kustannuksia, kun TVT-häiriöiden vaikutukset ja kustannukset minimoidaan.

(14)

Asetus auttaa vähentämään sääntelyn monimutkaisuutta, edistää valvontakäytäntöjen lähentymistä ja lisää oikeusvarmuutta sekä myös auttaa rajoittamaan säännösten noudattamisesta aiheutuvia kustannuksia, erityisesti niiden finanssiyhteisöjen osalta, jotka toimivat rajojen yli, sekä vähentämään kilpailun vääristymisiä. Asetuksen valinta finanssiyhteisöjen digitaalista häiriönsietokykyä koskevan yhteisen kehyksen käyttöönottamiseksi on näin ollen asianmukaisin tapa taata, että unionin finanssiala soveltaa kaikkia TVT-riskinhallinnan osatekijöitä yhteisesti ja johdonmukaisesti.

(15)

Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/1148 (7) oli ensimmäinen unionin tasolla toteutettu horisontaalinen kyberturvallisuuskehys, jota sovelletaan myös kolmeen finanssiyhteisön tyyppiin: luottolaitoksiin, kauppapaikkoihin ja keskusvastapuoliin. Koska direktiivissä (EU) 2016/1148 kuitenkin otettiin käyttöön keskeisten palvelujen tarjoajien määrittämismekanismi kansallisella tasolla, ainoastaan tietyt luottolaitokset, kauppapaikat ja keskusvastapuolet, jotka jäsenvaltiot määrittivät, on käytännössä saatettu sen soveltamisalan piiriin ja näin ollen niiden on noudatettava siinä säädettyjä TVT-turvallisuutta ja -poikkeamien ilmoittamista koskevia vaatimuksia. Euroopan parlamentin ja neuvoston direktiivissä (EU) 2022/2555 (8) vahvistetaan yhdenmukainen peruste, jolla määritetään direktiivin soveltamisalaan kuuluvat yhteisöt (ns. size-cap-sääntö), ja samalla myös säilytetään edellä mainitut kolme finanssiyhteisön tyyppiä direktiivin soveltamisalan piirissä.

(16)

Koska tällä asetuksella kuitenkin lisätään digitaalisen häiriönsietokyvyn useiden eri osatekijöiden yhdenmukaistamisen tasoa ottamalla käyttöön TVT-riskinhallintaa ja TVT:hen liittyvien poikkeamien raportointia koskevia vaatimuksia, jotka ovat tiukempia kuin voimassa olevassa unionin finanssipalvelulainsäädännössä säädetyt vaatimukset, tämä korkeampi taso merkitsee vielä pidemmälle vietyä yhdenmukaistamista myös verrattuna direktiivissä (EU) 2022/2555 säädettyihin vaatimuksiin. Näin ollen tämä asetus on erityissäädös (lex specialis) suhteessa direktiiviin (EU) 2022/2555. Samalla on tärkeää säilyttää vahva yhteys finanssialan ja unionin horisontaalisen kyberturvallisuuskehyksen, sellaisena kuin se on nyt vahvistettuna direktiivissä (EU) 2022/2555, välillä, jotta voidaan varmistaa johdonmukaisuus jäsenvaltioiden hyväksymien kyberturvallisuusstrategioiden kanssa ja saattaa finanssivalvojien tietoon kyberturvallisuuspoikkeamat, jotka vaikuttavat kyseisen direktiivin piiriin kuuluviin muihin aloihin.

(17)

Euroopan unionista tehdyn sopimuksen 4 artiklan 2 kohdan mukaisesti ja rajoittamatta Euroopan unionin tuomioistuimen harjoittamaa oikeudellista valvontaa, tämä asetus ei saisi vaikuttaa jäsenvaltioiden vastuuseen valtion keskeisistä tehtävistä, jotka koskevat yleistä turvallisuutta, puolustusta ja kansallisen turvallisuuden suojaamista, esimerkiksi sellaisen tietojen toimittamisen osalta, joka olisi ristiriidassa kansallisen turvallisuuden suojaamisen kanssa.

(18)

Jotta voitaisiin mahdollistaa monialainen oppiminen ja hyödyntää tehokkaasti muilta aloilta saatuja kokemuksia kyberuhkiin vastaamisesta, direktiivissä (EU) 2022/2555 tarkoitettujen finanssiyhteisöjen olisi pysyttävä osana kyseisen direktiivin ”ekosysteemiä” (esimerkiksi verkko- ja tietoturva-alan yhteistyöryhmä ja tietoturvaloukkauksiin reagoivat ja niitä tutkivat yksiköt, jäljempänä ’CSIRT-yksiköt’). Euroopan valvontaviranomaisten ja kansallisten toimivaltaisten viranomaisten olisi voitava osallistua kyseisen direktiivin mukaisiin strategisiin toimintapoliittisiin keskusteluihin sekä verkko- ja tietoturva-alan yhteistyöryhmän tekniseen työhön ja vaihtaa tietoja ja tehdä edelleen yhteistyötä kyseisen direktiivin mukaisesti nimettyjen tai perustettujen keskitettyjen yhteyspisteiden kanssa. Tämän asetuksen mukaisten toimivaltaisten viranomaisten olisi myös kuultava kansallisia CSIRT-yksiköitä ja tehtävä niiden kanssa yhteistyötä. Toimivaltaisten viranomaisten olisi myös voitava pyytää teknisiä neuvoja direktiivin (EU) 2022/2555 mukaisesti nimetyiltä tai perustetuilta toimivaltaisilta viranomaisilta ja ottaa käyttöön yhteistyöjärjestelyjä, joilla pyritään varmistamaan tehokkaat ja nopeat koordinointimekanismit.

(19)

Koska finanssiyhteisöjen digitaalisen häiriönsietokyvyn ja fyysisen häiriönsietokyvyn välillä on vahvat yhteydet, tässä asetuksessa ja Euroopan parlamentin ja neuvoston direktiivissä (EU) 2022/2557 (9) on omaksuttava johdonmukainen lähestymistapa kriittisten yhteisöjen häiriönsietokykyyn. Koska finanssiyhteisöjen fyysistä häiriönsietokykyä käsitellään kattavasti tämän asetuksen soveltamisalaan kuuluvissa TVT-riskinhallinta- ja -raportointivelvoitteissa, direktiivin (EU) 2022/2557 III ja IV luvussa säädettyjä velvoitteita ei pitäisi soveltaa kyseisen direktiivin soveltamisalaan kuuluviin finanssiyhteisöihin.

(20)

Pilvipalvelujen tarjoajat on yksi direktiivin (EU) 2022/2555 piiriin kuuluva digitaalisen infrastruktuurin ryhmä. Tällä asetuksella perustettua unionin valvontakehystä, jäljempänä ’valvontakehys’, sovelletaan kaikkiin kriittisiin TVT-palveluntarjoajana oleviin kolmansiin osapuoliin, myös pilvipalvelun tarjoajiin, jotka tarjoavat TVT-palveluita finanssiyhteisöille, ja sen olisi katsottava täydentävän direktiivin (EU) 2022/2555 nojalla suoritettavaa valvontaa. Lisäksi tällä asetuksella perustettavan valvontakehyksenolisi katettava pilvipalvelujen tarjoajat, koska unionin horisontaalinen kehys, jolla perustetaan digitaalinen valvontaviranomainen, puuttuu.

(21)

TVT-riskin täyden hallinnan säilyttämiseksi finanssiyhteisöillä on oltava käytössään kattavat valmiudet, jotka mahdollistavat vahvan ja tehokkaan TVT-riskinhallinnan, ja niiden ohella erityismekanismeja ja -toimintaperiaatteita kaikkien TVT:hen liittyvien poikkeamien käsittelemiseksi ja laajavaikutteisista TVT:hen liittyvistä poikkeamista raportoimiseksi. Samoin finanssiyhteisöillä olisi oltava toimintaperiaatteet TVT-järjestelmien, -valvontatoimien ja -prosessien testausta sekä kolmansiin osapuoliin liittyvän TVT-riskin hallintaa varten. Finanssiyhteisöjen digitaalisen häiriönsietokyvyn perustasoa olisi nostettava samalla kun myös mahdollistetaan vaatimusten oikeasuhteinen soveltaminen tietyille finanssiyhteisöille, erityisesti mikroyrityksille, sekä sellaisille finanssiyhteisöille, joihin sovelletaan yksinkertaistettua TVT-riskinhallintakehystä. Jotta helpotettaisiin ammatillisia lisäeläkkeitä tarjoavien laitosten tehokasta valvontaa, joka on oikeasuhteista ja jolla vastataan tarpeeseen vähentää toimivaltaisiin viranomaisiin kohdistuvaa hallinnollista rasitusta, tällaisten finanssiyhteisöjen asiaankuuluvissa kansallisissa valvontajärjestelyissä olisi otettava huomioon niiden koko ja yleinen riskiprofiili sekä niiden palvelujen, toimintojen ja toiminnan luonne, laajuus ja monitahoisuus, jopa silloin kun Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/2341 (10) 5 artiklassa vahvistetut asianomaiset kynnysarvot ylittyvät. Valvontatoimissa olisi erityisesti keskityttävä ensisijaisesti tarpeeseen puuttua tietyn yhteisön TVT-riskinhallintaan liittyviin vakaviin riskeihin.

Toimivaltaisten viranomaisten olisi myös noudatettava tarkkaavaista mutta oikeasuhteista lähestymistapaa ammatillisia lisäeläkkeitä tarjoavien laitosten valvonnassa, sillä nämä ulkoistavat direktiivin (EU) 2016/2341 31 artiklan mukaisesti palveluntarjoajille merkittävän osan ydinliiketoiminnastaan, kuten omaisuudenhoidon, vakuutusmatemaattiset laskelmat, kirjanpidon ja tiedonhallinnan.

(22)

TVT:hen liittyvien poikkeamien raportointikynnyksissä ja luokituksissa on kansallisella tasolla huomattavia eroja. Vaikka yhteinen pohja voidaan saavuttaa Euroopan parlamentin ja neuvoston asetuksella (EU) 2019/881 (11) perustetun EU:n kyberturvallisuusviraston (ENISA) ja direktiivin (EU) 2022/2555 mukaisen yhteistyöryhmän tekemän asiaankuuluvan työn avulla, kynnysarvojen asettamista ja luokitusten käyttöä koskevia erilaisia lähestymistapoja on edelleen tai voi ilmetä jatkossa jäljelle jäävien finanssiyhteisöjen osalta. Kyseisistä eroista johtuen on useita vaatimuksia, joita finanssiyhteisöjen on noudatettava erityisesti silloin, kun ne toimivat useissa jäsenvaltioissa tai ovat osa finanssikonsernia. Lisäksi tällaiset erot voivat haitata sellaisten yhdenmukaisten tai keskitettyjen unionin lisämekanismien luomista, joilla nopeutetaan raportointiprosessia ja tuetaan nopeaa ja sujuvaa toimivaltaisten viranomaisten välistä tietojenvaihtoa, joka on erittäin tärkeää TVT-riskin torjumiseksi mahdollisissa suuren mittakaavan hyökkäyksissä, joilla voi olla järjestelmätason vaikutuksia.

(23)

Jotta voitaisiin vähentää tiettyjen finanssiyhteisöjen hallinnollista rasitetta ja mahdollisesti päällekkäisiä raportointivelvoitteita, Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/2366 (12) mukaista raportointivaatimusta poikkeamista olisi lakattava soveltamasta maksupalveluntarjoajiin, jotka kuuluvat tämän asetuksen soveltamisalaan. Näin ollen kyseisen direktiivin 33 artiklan 1 kohdassa tarkoitettujen luottolaitosten, sähköisen rahan liikkeeseenlaskijalaitosten, maksulaitosten ja tilitietopalvelun tarjoajien olisi tämän asetuksen soveltamispäivästä alkaen ilmoitettava tämän asetuksen mukaisesti kaikista toiminnan harjoittamiseen tai turvallisuuteen vaikuttavista maksuihin liittyvistä poikkeamista, joista on aiemmin ilmoitettu kyseisen direktiivin mukaisesti, riippumatta siitä, liittyvätkö tällaiset poikkeamat TVT:hen.

(24)

Jotta toimivaltaiset viranomaiset voivat täyttää valvontatehtävät hankkimalla kattavan yleiskuvan TVT:hen liittyvien poikkeamien luonteesta, yleisyydestä, merkityksestä ja vaikutuksista ja jotta voidaan tehostaa tietojenvaihtoa asiaankuuluvien viranomaisten, myös lainvalvonta- ja kriisinratkaisuviranomaisten, välillä, tässä asetuksessa olisi säädettävä vankasta TVT:hen liittyvien poikkeamien raportointijärjestelmästä, jonka myötä asiaankuuluvilla vaatimuksilla puututaan rahoituspalvelulainsäädännön nykyisiin puutteisiin, ja sillä olisi poistettava olemassa olevat päällekkäisyydet kustannusten vähentämiseksi. On olennaista yhdenmukaistaa TVT:hen liittyvien poikkeamien raportointijärjestelmää vaatimalla, että kaikki finanssiyhteisöt raportoivat toimivaltaisille viranomaisilleen tässä asetuksessa säädetyn yhteisen virtaviivaistetun kehyksen avulla. Lisäksi Euroopan valvontaviranomaisille olisi annettava mahdollisuus täsmentää edelleen TVT:hen liittyvien poikkeamien raportointikehykseen liittyviä olennaisia osatekijöitä, kuten luokitusta, aikatauluja, datajoukkoja, malleja ja sovellettavia kynnysarvoja. Täyden yhdenmukaisuuden varmistamiseksi direktiivin (EU) 2022/2555 kanssa finanssiyhteisöjen olisi voitava vapaaehtoisesti ilmoittaa merkittävistä kyberuhkista asianomaiselle toimivaltaiselle viranomaiselle, kun ne katsovat, että kyberuhka on merkityksellinen rahoitusjärjestelmän, palvelujen käyttäjien tai asiakkaiden kannalta.

(25)

Tietyillä rahoitusalan alasektoreilla on kehitetty digitaalisen häiriönsietokyvyn testausvaatimuksia, joissa vahvistetaan kehykset, jotka eivät aina ole täysin yhdenmukaisia. Tämä johtaa mahdollisiin päällekkäisiin kustannuksiin rajojen yli toimiville finanssiyhteisöille ja tekee digitaalisen häiriönsietokyvyn testauksen tulosten vastavuoroisesta tunnustamisesta monimutkaista, mikä puolestaan voi hajauttaa sisämarkkinoita.

(26)

Lisäksi silloin, kun TVT-testausta ei vaadita, haavoittuvuudet jäävät havaitsematta ja näin altistavat finanssiyhteisön TVT-riskille sekä lisäävät viime kädessä finanssialan vakauteen ja eheyteen kohdistuvaa riskiä. Ilman unionin toimia digitaalisen häiriönsietokyvyn testaus olisi edelleen epäjohdonmukaista ja siitä puuttuisi järjestelmä TVT-testitulosten vastavuoroiseksi tunnustamiseksi eri lainkäyttöalueilla. Lisäksi koska on epätodennäköistä, että muut finanssialan alasektorit ottaisivat testausjärjestelmät käyttöön mielekkäässä määrin, ne jäisivät vaille testauskehyksen mahdollisia hyötyjä, joita ovat TVT-haavoittuvuuksien ja -riskien paljastuminen sekä puolustautumisvalmiuksien ja liiketoiminnan jatkuvuuden testaus, joka lisää sekä asiakkaiden, toimittajien että liikekumppaneiden luottamusta. Kyseisten päällekkäisyyksien, eroavuuksien ja aukkojen poistamiseksi on tarpeen vahvistaa koordinoitua testausjärjestelmää koskevat säännöt ja siten helpottaa tässä asetuksessa säädetyt vaatimukset täyttävien finanssiyhteisöjen kehittyneen testauksen vastavuoroista tunnustamista.

(27)

Finanssiyhteisöjen riippuvuus TVT-palvelujen käytöstä johtuu osittain niiden tarpeesta mukautua kehittyvään kilpailukykyiseen digitaaliseen maailmantalouteen, parantaa liiketoimintansa tehokkuutta ja vastata kuluttajien kysyntään. Tällaisen riippuvuuden luonne ja laajuus ovat muuttuneet jatkuvasti viime vuosina, mikä on johtanut rahoituksen välityksen kustannusten alenemiseen, mahdollistanut liiketoiminnan laajentamisen ja skaalattavuuden rahoitustoiminnan käyttöönotossa ja tarjonnut samalla monenlaisia TVT-välineitä monimutkaisten sisäisten prosessien hallintaan.

(28)

TVT-palvelujen laajasta käytöstä ovat osoituksena monimutkaiset sopimusjärjestelyt, joiden vuoksi finanssiyhteisöillä on usein vaikeuksia neuvotella sopimusehdoista, jotka on räätälöity vakavaraisuusnormien tai muiden niihin sovellettavien sääntelyvaatimusten mukaisiksi, tai muutoin panna täytäntöön erityisiä oikeuksia, kuten pääsy- tai auditointioikeuksia, jopa silloin kun viimeksi mainitut on kirjattu niiden sopimusjärjestelyihin. Monet kyseisistä sopimusjärjestelyistä eivät myöskään tarjoa riittäviä takeita, jotka mahdollistaisivat alihankintaprosessien täysimittaisen seurannan, mikä poistaa finanssiyhteisöiltä mahdollisuuden arvioida niihin liittyviä riskejä. Lisäksi koska TVT-palveluntarjoajana olevat kolmannet osapuolet tarjoavat usein standardoituja palveluja erityyppisille asiakkaille, tällaisissa sopimusjärjestelyissä ei aina oteta riittävästi huomioon finanssialan toimijoiden yksilöllisiä tai erityisiä tarpeita.

(29)

Vaikka finanssipalveluja koskevassa unionin oikeudessa on tiettyjä ulkoistamista koskevia yleisiä sääntöjä, sopimusulottuvuuden seurantaa ei ole täysin sisällytetty unionin oikeuteen. TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa tehtyihin sopimusjärjestelyihin sovellettavien selkeiden ja räätälöityjen unionin standardien puuttuessa TVT-riskin ulkoiseen lähteeseen ei voida puuttua kokonaisvaltaisesti. Siksi on välttämätöntä vahvistaa tietyt keskeiset periaatteet, jotka ohjaavat finanssiyhteisöjen kolmansiin osapuoliin liittyvän TVT-riskin hallintaa ja jotka ovat erityisen tärkeitä, kun finanssiyhteisöt turvautuvat TVT-palveluntarjoajana oleviin kolmansiin osapuoliin tukeakseen kriittisiä tai tärkeitä toimintojaan. Kyseisiin periaatteisiin olisi liitettävä joukko keskeisiä sopimusperusteisia oikeuksia, jotka liittyvät useisiin sopimusjärjestelyjen täyttämisen ja päättämisen osatekijöihin, jotta voidaan vahvistaa tietyt vähimmäistakeet, jotta vahvistetaan finanssiyhteisöjen kykyä seurata tehokkaasti kaikkia kolmansien palveluntarjoajien tasolla ilmeneviä TVT-riskejä. Kyseiset periaatteet täydentävät ulkoistamiseen sovellettavaa alakohtaista lainsäädäntöä.

(30)

Tällä hetkellä on ilmeistä, että kolmansiin osapuoliin liittyvien TVT-riskin ja -riippuvuuksien seuranta on jossain määrin epäyhtenäistä ja lähentymätöntä. Vaikka ulkoistamiseen on yritetty puuttua, muun muassa EPV:n vuoden 2019 suuntaviivoilla ulkoistamisesta ja ESMAn vuoden 2021 suuntaviivoilla ulkoistamisesta pilvipalvelujen tarjoajille, unionin oikeudessa ei riittävästi puututa laajempaan kysymykseen sellaisen järjestelmäriskin torjumisesta, joka voi aiheutua finanssialalle sen hyödyntämien kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten vähäisestä määrästä. Tätä unionin tason sääntöjen puutetta kärjistää se, että käytössä ei ole kansallisia sääntöjä toimeksiannoista ja välineistä, joiden avulla finanssivalvojat voisivat saada selkeän kuvan riippuvuudesta, joka liittyy TVT-palveluntarjoajana oleviin kolmansiin osapuoliin, ja seurata riittävästi riskejä, joita aiheutuu kyseisten riippuvuussuhteiden keskittymisestä.

(31)

Kun otetaan huomioon mahdollinen järjestelmäriski, joka liittyy ulkoistamiskäytäntöjen yleistymiseen sekä kolmansiin osapuoliin liittyvien TVT-riippuvuuksien keskittymiseen, ja kansallisten mekanismien riittämättömyys tarjota finanssivalvojille riittävät välineet, joilla voidaan määrittää kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten toiminnasta aiheutuvan TVT-riskin seurauksien määrää ja laatua ja korjata niitä, on välttämätöntä ottaa käyttöön asianmukainen valvontakehys, joka mahdollistaa sellaisten TVT-palveluntarjoajana olevien kolmansien osapuolten toiminnan seurannan, jotka ovat finanssiyhteisöjen kannalta kriittisiä TVT-palveluja tarjoavia kolmansia osapuolia, samalla kun varmistetaan, että muiden asiakkaiden kuin finanssiyhteisöjen luottamuksellisuus ja turvallisuus säilyy. Vaikka TVT-palvelujen tarjoamiseen konsernin sisällä liittyy erityisiä riskejä ja hyötyjä, sitä ei pitäisi automaattisesti pitää vähemmän riskialttiina kuin sitä, että finanssikonsernin ulkopuoliset palveluntarjoajat tarjoavat TVT-palveluja, minkä vuoksi konsernin sisäiseen TVT-palvelujen tarjoamiseen olisi sovellettava samaa sääntelykehystä. Jos TVT-palveluja tarjotaan konsernin sisällä, finanssiyhteisöillä saattaa kuitenkin olla suurempi määräysvalta konsernin sisäisiin palveluntarjoajiin, mikä olisi otettava huomioon yleisessä riskinarvioinnissa.

(32)

Kun TVT-riski muuttuu yhä monimutkaisemmaksi ja kehittyneemmäksi, asianmukaiset toimenpiteet TVT-riskin havaitsemiseksi ja ehkäisemiseksi riippuvat suurelta osin siitä, miten finanssiyhteisöt jakavat säännöllisesti uhkia ja haavoittuvuutta koskevia tiedustelutietoja. Tietojen jakaminen lisää tietoisuutta kyberuhkista. Tämä puolestaan parantaa finanssiyhteisöjen valmiuksia estää kyberuhkia kehittymästä todellisiksi TVT:hen liittyviksi poikkeamiksi ja mahdollistaa sen, että finanssiyhteisöt voivat hillitä tehokkaammin TVT:hen liittyvien poikkeamien vaikutuksia ja palautua niistä nopeammin. Näyttää siltä, että unionin tason ohjeistuksen puuttuessa tällaista tiedonvaihtoa ovat vaikeuttaneet useat seikat, erityisesti epävarmuus siitä, onko tiedonvaihto tietosuoja-, kilpailu- ja vastuusääntöjen mukaista.

(33)

Lisäksi epävarmuus siitä, minkä tyyppisiä tietoja voidaan jakaa muille markkinatoimijoille tai muille kuin valvontaviranomaisille (kuten ENISAlle analyysejä varten tai Europolille lainvalvontatarkoituksia varten) on johtanut siihen, että hyödyllisiä tietoja ei ole toimitettu eteenpäin. Tietojenvaihto on näin ollen edelleen määrältään ja laadultaan suppeaa ja hajanaista; merkityksellistä vaihtoa tehdään lähinnä paikallisesti (kansallisten aloitteiden kautta), eikä käytössä ole yhtenäisiä unionin laajuisia tiedonvaihtojärjestelyjä, jotka olisi räätälöity yhdentyneen rahoitusjärjestelmän tarpeisiin. Sen vuoksi on tärkeää vahvistaa kyseisiä viestintäkanavia.

(34)

Finanssiyhteisöjä olisi kannustettava vaihtamaan keskenään tietoja ja tiedustelutietoa kyberuhkista ja hyödyntämään yhdessä erikseen hankittua tietämystään ja käytännön kokemustaan strategisella, taktisella ja operatiivisella tasolla, jotta ne voivat parantaa valmiuksiaan arvioida ja seurata kyberuhkia sekä puolustautua niiltä ja reagoida niihin riittävällä tavalla osallistumalla tiedonvaihtojärjestelyihin. Siksi on tarpeen mahdollistaa sellaisten vapaaehtoisten unionin tason tiedonvaihtojärjestelmien luominen, jotka luotettavissa toimintaympäristöissä toteutettuina auttaisivat finanssialaa ehkäisemään kyberuhkia ja reagoimaan yhteisesti niihin rajoittamalla nopeasti TVT-riskin leviämistä laajemmalle rahoituskanaviin. Kyseisten mekanismien olisi oltava sovellettavien, komission 14 päivänä tammikuuta 2011 julkaisemassa tiedonannossa ”Suuntaviivat Euroopan unionin toiminnasta tehdyn sopimuksen 101 artiklan soveltamisesta horisontaalista yhteistyötä koskeviin sopimuksiin” vahvistettujen unionin kilpailuoikeuden sääntöjen sekä unionin tietosuojasääntöjen, erityisesti Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (13), mukaisia. Niiden toiminnan olisi perustuttava yhden tai useamman kyseisen asetuksen 6 artiklassa säädetyn oikeusperustan käyttöön, kuten sellaisen henkilötietojen käsittelyn yhteydessä, joka on tarpeen kyseisen asetuksen 6 artiklan 1 kohdan f alakohdassa tarkoitetun rekisterinpitäjän tai kolmannen osapuolen oikeutetun edun toteuttamiseksi, sekä sellaisen henkilötietojen käsittelyn yhteydessä, joka on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi, kyseisen asetuksen 6 artiklan 1 kohdan c ja e alakohdassa tarkoitetun yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi.

(35)

Jotta voidaan säilyttää digitaalisen häiriönsietokyvyn korkea taso koko finanssialalla ja pysyä samalla tekniikan kehityksen tasalla, tällä asetuksella olisi puututtava kaikentyyppisistä TVT-palveluista aiheutuviin riskeihin. Tätä varten tämän asetuksen mukainen TVT-palvelujen määritelmä olisi ymmärrettävä laajasti siten, että se kattaa TVT-järjestelmien kautta yhdelle tai useammalle sisäiselle tai ulkopuoliselle käyttäjälle jatkuvasti tarjottavat digitaaliset ja datapalvelut. Kyseiseen määritelmään olisi sisällyttävä esimerkiksi niin kutsutut avoimen internetin kautta tarjottavat (over the top) palvelut, jotka kuuluvat sähköisten viestintäpalvelujen luokkaan. Sen ulkopuolelle olisi jätettävä ainoastaan sellaisten perinteisten analogisten puhelinpalvelujen ryhmä, joita voidaan pitää yleisen kytkentäisen puhelinverkon (PSTN) palveluina, lankaverkkopalveluina, perinteisinä puhelinpalveluina tai kiinteän puhelinverkon palveluina.

(36)

Tässä asetuksessa kaavaillusta laajasta kattavuudesta huolimatta digitaalista häiriönsietokykyä koskevien sääntöjen soveltamisessa olisi otettava huomioon, että finanssiyhteisöjen välillä on merkittäviä eroja, jotka liittyvät niiden kokoon ja yleiseen riskiprofiiliin. Yleisenä periaatteena, kun resursseja ja valmiuksia jaetaan TVT-riskinhallintajärjestelmän toteuttamiseksi, finanssiyhteisöjen olisi arvioitava TVT:hen liittyvät tarpeensa kokonsa ja yleisen riskiprofiilinsa sekä palvelujensa, toimintojensa ja toimintansa luonteen, laajuuden ja monitahoisuuden mukaan ja samalla toimivaltaisten viranomaisten olisi edelleen arvioitava ja tarkistettava tällaiseen jakamiseen liittyvää lähestymistapaa.

(37)

Direktiivin (EU) 2015/2366 33 artiklan 1 kohdassa tarkoitetut tilitietopalvelun tarjoajat on nimenomaisesti sisällytetty tämän asetuksen soveltamisalaan ottaen huomioon niiden toiminnan erityisluonne ja siitä aiheutuvat riskit. Lisäksi sähköisen rahan liikkeeseenlaskijalaitokset ja maksulaitokset, joihin sovelletaan Euroopan parlamentin ja neuvoston direktiivin 2009/110/EY (14) 9 artiklan 1 kohdan ja direktiivin (EU) 2015/2366 32 artiklan 1 kohdan nojalla vapautuksia, kuuluvat tämän asetuksen soveltamisalaan, vaikka niille ei ole myönnetty direktiivin 2009/110/EY mukaista toimilupaa sähköisen rahan liikkeeseenlaskuun tai niille ei ole myönnetty direktiivin (EU) 2015/2366 mukaista toimilupaa maksupalvelujen tarjoamiseen ja toteuttamiseen. Euroopan parlamentin ja neuvoston direktiivin 2013/36/EU (15) 2 artiklan 5 kohdan 3 alakohdassa tarkoitetut postisiirtoa hoitavat laitokset eivät kuitenkaan kuulu tämän asetuksen soveltamisalaan. Direktiivin (EU) 2015/2366 nojalla vapautettujen maksulaitosten, direktiivin 2009/110/EY nojalla vapautettujen sähköisen rahan liikkeeseenlaskijalaitosten ja direktiivin (EU) 2015/2366 33 artiklan 1 kohdassa tarkoitettujen tilitietopalvelun tarjoajien osalta toimivaltaisen viranomaisen olisi oltava direktiivin (EU) 2015/2366 22 artiklan mukaisesti nimetty toimivaltainen viranomainen.

(38)

Kun otetaan huomioon, että suuremmilla finanssiyhteisöillä saattaa olla käytettävissään laajempia resursseja ja ne voivat nopeasti ottaa käyttöön varoja hallintorakenteiden kehittämiseen ja erilaisten yritysstrategioiden käyttöönottamiseen, ainoastaan sellaisilta finanssiyhteisöiltä, jotka eivät ole tässä asetuksessa tarkoitettuja mikroyrityksiä, olisi vaadittava monimutkaisempien hallintojärjestelyjen käyttöönottoa. Tällaisilla yhteisöillä on paremmat edellytykset erityisesti ottaa käyttöön kohdennettuja hallinnointitoimintoja TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa sovittujen järjestelyjen valvomista varten tai kriisinhallinnan hoitamiseksi, järjestää TVT-riskinhallintansa kolmen puolustuslinjan mallin mukaisesti tai ottaa käyttöön sisäisen riskinhallinnan ja valvonnan malli, ja toimittaa TVT-riskin hallintajärjestelmänsä sisäisen tarkastuksen piiriin.

(39)

Jotkin finanssiyhteisöt hyötyvät vapautuksista tai niihin sovelletaan hyvin kevyttä sääntelykehystä asiaa koskevan alakohtaisen unionin oikeuden nojalla. Tällaisia finanssiyhteisöjä ovat muun muassa Euroopan parlamentin ja neuvoston direktiivin 2011/61/EU (16) 3 artiklan 2 kohdassa tarkoitetut vaihtoehtoisten sijoitusrahastojen hoitajat, Euroopan parlamentin ja neuvoston direktiivin 2009/138/EY (17) 4 artiklassa tarkoitetut vakuutus- ja jälleenvakuutusyritykset ja ammatillisia lisäeläkkeitä tarjoavat laitokset, jotka hallinnoivat eläkejärjestelmiä, joissa on yhteensä enintään 15 jäsentä. Kyseisten vapautusten perusteella ei olisi oikeasuhteista sisällyttää tällaisia finanssiyhteisöjä tämän asetuksen soveltamisalaan. Lisäksi tässä asetuksessa otetaan huomioon vakuutusten välityksen markkinarakenteen erityispiirteet, minkä vuoksi tätä asetusta ei pitäisi soveltaa vakuutus- ja jälleenvakuutusedustajiin ja sivutoimisiin vakuutusedustajiin, jotka katsotaan mikroyrityksiksi taikka pieniksi tai keskisuuriksi yrityksiksi.

(40)

Koska direktiivin 2013/36/EU 2 artiklan 5 kohdan 4–23 alakohdassa tarkoitetut yhteisöt eivät kuulu kyseisen direktiivin soveltamisalaan, jäsenvaltioiden olisi näin ollen voitava päättää tällaisten omalla alueellaan sijaitsevien laitosten vapauttamisesta tämän asetuksen soveltamisen suhteen.

(41)

Vastaavasti tämän asetuksen mukauttamiseksi Euroopan parlamentin ja neuvoston direktiivin 2014/65/EU (18) soveltamisalaan, on myös aiheellista jättää tämän asetuksen soveltamisalan ulkopuolelle kyseisen direktiivin 2 ja 3 artiklassa tarkoitetut luonnolliset henkilöt ja oikeushenkilöt, joilla on lupa tarjota sijoituspalveluja ilman direktiivin 2014/65/EU mukaista toimilupaa. Direktiivin 2014/65/EU 2 artiklassa kuitenkin myös jätetään kyseisen direktiivin soveltamisalan ulkopuolelle yhteisöt, jotka katsotaan tätä asetusta sovellettaessa finanssiyhteisöiksi, kuten arvopaperikeskukset, yhteissijoitusyritykset tai vakuutus- ja jälleenvakuutusyritykset. Mainitun direktiivin 2 ja 3 artiklassa tarkoitettujen henkilöiden ja yhteisöjen jättäminen tämän asetuksen soveltamisalan ulkopuolelle ei saisi koskea kyseisiä arvopaperikeskuksia, yhteissijoitusyrityksiä eikä vakuutus- ja jälleenvakuutusyrityksiä.

(42)

Alakohtaisen unionin oikeuden nojalla joihinkin finanssiyhteisöihin sovelletaan kevyempiä vaatimuksia tai vapautuksia niiden kokoon tai niiden tarjoamiin palveluihin liittyvistä syistä. Kyseiseen finanssiyhteisöjen kategoriaan kuuluvat muun muassa pienet ja ilman sidossuhteita olevat sijoituspalveluyritykset, pienet ammatillisia lisäeläkkeitä tarjoavat laitokset, jotka asianomainen jäsenvaltio voi jättää direktiivin (EU) 2016/2341 soveltamisalan ulkopuolelle kyseisen direktiivin 5 artiklassa säädetyin edellytyksin ja jotka hallinnoivat eläkejärjestelmiä, joissa on yhteensä enintään 100 jäsentä, sekä direktiivin 2013/36/EU nojalla vapautetut laitokset. Sen vuoksi suhteellisuusperiaatteen mukaisesti ja alakohtaisen unionin oikeuden hengen säilyttämiseksi on myös aiheellista soveltaa kyseisiin finanssiyhteisöihin yksinkertaistettua TVT-riskinhallintajärjestelmää tämän asetuksen mukaisesti. Kyseisiä finanssiyhteisöjä koskevan TVT-riskinhallintajärjestelmän oikeasuhteisuutta ei pitäisi muuttaa teknisillä sääntelystandardeilla, jotka Euroopan valvontaviranomaisten on määrä laatia. Suhteellisuusperiaatteen mukaisesti on lisäksi aiheellista soveltaa direktiivin (EU) 2015/2366 32 artiklan 1 kohdassa tarkoitettuihin maksulaitoksiin ja direktiivin 2009/110/EY 9 artiklassa tarkoitettuihin sähköisen rahan liikkeeseenlaskijalaitoksiin, jotka on vapautettu näiden unionin säädösten osaksi kansallista lainsäädäntöä saattamisen mukaisesti, tämän asetuksen mukaista yksinkertaistettua TVT-riskinhallintajärjestelmää, kun taas maksulaitosten ja sähköisen rahan liikkeeseenlaskijalaitosten, joita ei ole vapautettu osaksi kansallista lainsäädäntöä saatetun alakohtaisen unionin oikeuden mukaisesti, olisi noudatettava tässä asetuksessa säädettyä yleistä kehystä.

(43)

Finanssiyhteisöjä, jotka katsotaan mikroyrityksiksi tai joihin sovelletaan tämän asetuksen mukaista yksinkertaistettua TVT-riskinhallintajärjestelmää, ei myöskään tulisi velvoittaa perustamaan tehtävää TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa tehtyjen TVT-palvelujen käyttöä koskevien järjestelyjensä valvomiseksi, tai nimeämään ylemmän johdon jäsentä vastaamaan asiaan liittyvän riskialttiuden ja sitä koskevan dokumentaation valvonnasta, eikä osoittamaan vastuuta TVT-riskin hallinnasta ja valvonnasta valvontatoiminnolle ja varmistamaan tällaisen valvontatoiminnon riittävän tasoinen riippumattomuus eturistiriitojen välttämiseksi, eikä dokumentoimaan ja tarkistamaan TVT-riskinhallintajärjestelmää vähintään kerran vuodessa, eikä ottamaan säännöllisesti sisäisen tarkastuksen piiriin TVT-riskin hallintajärjestelmää, eikä tekemään perusteellisia arviointeja niiden verkko- ja tietojärjestelmäinfrastruktuuriin ja -prosesseihin tehtyjen merkittävien muutosten jälkeen, eikä tekemään säännöllisesti aiemman sukupolven TVT-järjestelmiä koskevia riskianalyysejä, eikä saattamaan TVT:tä koskevia reagointi- ja palautumissuunnitelmien täytäntöönpanoa riippumattoman sisäisen tarkastuksen piiriin, eikä ylläpitämään kriisinhallintatoimintoa, eikä laajentamaan liiketoiminnan jatkuvuuden sekä reagointi- ja palautumissuunnitelmien testausta, jotta voidaan kattaa skenaariot, jotka koskevat vaihtoa ensisijaisen TVT-infrastruktuurin ja TVT-varakapasiteetin välillä, eikä raportoimaan niiden pyynnöstä toimivaltaisille viranomaisille arviota merkittävien TVT-poikkeamien aiheuttamista yhteenlasketuista vuosittaisista kustannuksista ja tappioista, eikä pitämään yllä TVT-varakapasiteettia, eikä ilmoittamaan kansallisille toimivaltaisille viranomaisille TVT:hen liittyvien poikkeamien jälkeisten tarkistusten pohjalta toteutetuista muutoksista, eikä valvomaan jatkuvasti asiaan kuuluvaa teknologista kehitystä, eikä perustamaan kattavaa digitaalisen häiriönsietokyvyn testausohjelmaa erottamattomana osana tässä asetuksessa säädettyä TVT-riskinhallintajärjestelmää eikä hyväksymään kolmansiin osapuoliin liittyvää TVT-riskiä koskevaa strategiaa ja tarkistamaan sitä säännöllisesti. Lisäksi mikroyrityksiä olisi vaadittava ainoastaan arvioimaan tarve säilyttää tällainen TVT-varakapasiteetti niiden riskiprofiilin perusteella. Mikroyritysten olisi hyödyttävä joustavammasta järjestelmästä digitaalisen häiriönsietokyvyn testausohjelmien osalta. Kun tarkastellaan suoritettavan testauksen tyyppiä ja suoritustiheyttä, näiden olisi oltava asianmukaisessa tasapainossa korkean digitaalisen häiriönsietokyvyn säilyttämistä koskevan tavoitteen, mikroyritysten käytettävissä olevien resurssien ja niiden yleisen riskiprofiilin välillä. Mikroyritykset ja finanssiyhteisöt, joihin sovelletaan tämän asetuksen mukaista yksinkertaistettua TVT-riskinhallintajärjestelmää, olisi vapautettava vaatimuksesta suorittaa TVT-välineiden, järjestelmien ja -prosessien kehittynyttä testausta uhkaperusteisen tunkeutumistestauksen perusteella, koska vain tässä asetuksessa säädetyt vaatimukset täyttäviä finanssiyhteisöjä olisi vaadittava tekemään tällainen testaus. Koska mikroyritysten valmiudet ovat rajalliset, niiden olisi voitava sopia TVT-palveluntarjoajana olevan kolmannen osapuolen kanssa siitä, että finanssiyhteisön pääsy-, tarkastus- ja auditointioikeudet siirretään TVT-palveluntarjoajana olevan kolmannen osapuolen nimittämälle riippumattomalle kolmannelle osapuolelle edellyttäen, että finanssiyhteisö voi milloin tahansa pyytää kyseiseltä riippumattomalta kolmannelta osapuolelta kaikki asiaankuuluvat tiedot ja vakuutukset TVT-palveluntarjoajana olevan kolmannen osapuolen toiminnasta.

(44)

Koska ainoastaan digitaalisen häiriönsietokyvyn kehittyneen testauksen kannalta tunnistetuilta finanssiyhteisöiltä olisi vaadittava uhkaperusteisia tunkeutumistestejä, tällaisten testien suorittamiseen liittyvien hallinnollisten prosessien ja kustannusten olisi oltava finanssiyhteisöjen pienen prosenttiosuuden vastuulla.

(45)

Jotta voidaan varmistaa finanssiyhteisöjen liiketoimintastrategioiden yhdenmukaisuus kaikilta osin ja yleinen johdonmukaisuus sekä TVT-riskinhallinnan toteuttaminen, finanssiyhteisöjen ylimmiltä hallintoelimiltä olisi edellytettävä, että ne säilyttävät keskeisen ja aktiivisen roolin TVT-riskinhallintajärjestelmän ja digitaalisen häiriönsietokyvyn yleisen strategian ohjaamisessa ja mukauttamisessa. Ylimpien hallintoelinten lähestymistavassa ei pitäisi keskittyä ainoastaan TVT-järjestelmien häiriönsietokyvyn varmistamiskeinoihin, vaan sen olisi katettava myös ihmiset ja prosessit sellaisten toimintaperiaatteiden kautta, joilla edistetään kaikilla yrityksen tasoilla ja koko henkilöstön osalta, vahvaa tiedostamista kyberriskeistä ja sitoutumista tiukkaan kyberhygieniaan kaikilla tasoilla. Ylimmän hallintoelimen lopullisena vastuuna finanssiyhteisön TVT-riskin hallinnassa olisi oltava kyseisen kokonaisvaltaisen lähestymistavan yleisperiaate, joka näkyisi ylimmän hallintoelimen jatkuvana sitoutumisena TVT-riskinhallinnan valvontaan.

(46)

Lisäksi periaate, jonka mukaan ylimmällä hallintoelimellä on täysi ja lopullinen vastuu finanssiyhteisön TVT-riskin hallinnasta, on sidoksissa tarpeeseen varmistaa sellaiset TVT:hen liittyvien investointien taso ja finanssiyhteisön kokonaisbudjetti, joiden avulla finanssiyhteisö voi saavuttaa korkeatasoisen digitaalisen häiriönsietokyvyn.

(47)

Kyberriskien hallintaa koskeviin kansainvälisiin, kansallisiin ja toimialan parhaisiin käytäntöihin, suuntaviivoihin, suosituksiin ja lähestymistapoihin perustuen tällä asetuksella edistetään periaatteita, joilla helpotetaan TVT-riskinhallinnan kokonaisrakennetta. Näin ollen niin kauan kuin finanssiyhteisöjen tässä asetuksessa säädetyn TVT-riskinhallinnan eri tehtävien (tunnistus, suojelu ja ennaltaehkäisy, havaitseminen, reagointi ja toipuminen, oppiminen ja kehitys sekä viestintä) huomioon ottamiseksi käyttöönottamilla keskeisillä valmiuksilla, finanssiyhteisöjen olisi saatava vapaasti käyttää TVT-riskinhallintamalleja, jotka on määritelty tai luokiteltu eri tavoin.

(48)

Jotta voidaan pysyä nopeasti muuttuvan kyberuhkaympäristön kehityksen tahdissa, finanssiyhteisöjen olisi ylläpidettävä ajantasaisia TVT-järjestelmiä, jotka ovat luotettavia ja joilla on kyky paitsi taata niiden palvelujen edellyttämä tietojen käsittely myös varmistaa, että ne ovat teknisesti riittävän kestäviä selviytyäkseen asianmukaisesti tavallista suuremman tietomäärän käsittelystä, joka johtuu stressikausien markkinaolosuhteista tai muista vaikeista tilanteista.

(49)

Tehokkaita liiketoiminnan jatkuvuus- ja palautumissuunnitelmia tarvitaan, jotta finanssiyhteisöt voivat nopeasti ratkaista TVT:hen liittyvät poikkeamat, erityisesti kyberhyökkäykset, rajoittamalla vahinkoja ja antamalla etusijan toiminnan jatkamiselle ja palautustoimille niiden varmuuskopiointikäytäntöjen mukaisesti. Tällainen toiminnan jatkaminen ei kuitenkaan saisi millään tavoin vaarantaa verkko- ja tietojärjestelmien eheyttä ja turvallisuutta eikä tietojen saatavuutta, aitoutta, eheyttä tai luottamuksellisuutta.

(50)

Vaikka tässä asetuksessa sallitaan se, että finanssiyhteisöt määrittävät toipumisaika- ja toipumispistetavoitteensa joustavasti ja voivat näin ollen asettaa tällaiset tavoitteet ottamalla täysin huomioon asianomaisten toimintojen luonteen ja kriittisyyden sekä liiketoiminnan mahdolliset erityistarpeet, siinä olisi kuitenkin edellytettävä, että finanssiyhteisöt tällaisia tavoitteita määrittäessään suorittavat arvion mahdollisesta kokonaisvaikutuksesta markkinoiden tehokkuuteen.

(51)

Kyberhyökkäysten levittäjillä on taipumus pyrkiä hyötymään taloudellisesti suoraan lähteellä, mikä näin ollen altistaa finanssiyhteisöt merkittäville seurauksille. Jotta TVT-järjestelmät eivät menettäisi eheyttään tai eivät enää olisi käytettävissä, ja jotta näin ollen vältettäisiin tietoturvaloukkaukset ja fyysiselle TVT-infrastruktuurille aiheutuvat vahingot, finanssiyhteisöjen raportointia merkittävistä TVT-poikkeamista olisi merkittävästi parannettava ja virtaviivaistettava. TVT:hen liittyvien poikkeamien raportointi olisi yhdenmukaistettava ottamalla käyttöön vaatimus, jonka mukaan kaikkien finanssiyhteisöjen on raportoitava suoraan asianomaisille toimivaltaisille viranomaisilleen. Jos finanssiyhteisöä valvoo useampi kuin yksi kansallinen toimivaltainen viranomainen, jäsenvaltioiden olisi nimettävä yksi toimivaltainen viranomainen tällaisen raportoinnin vastaanottajaksi. Luottolaitosten, jotka on luokiteltu merkittäviksi neuvoston asetuksen (EU) N:o 1024/2013 (19) 6 artiklan 4 kohdan mukaisesti, olisi toimitettava tällainen raportti kansallisille toimivaltaisille viranomaisille, joiden olisi sen jälkeen toimitettava se Euroopan keskuspankille (EKP).

(52)

Suoran raportoinnin pitäisi antaa finanssivalvojille mahdollisuus saada välittömästi tietoja laajavaikutteisista TVT:hen liittyvistä poikkeamista. Finanssivalvojien olisi puolestaan toimitettava yksityiskohtaiset tiedot laajavaikutteisista TVT:hen liittyvistä poikkeamista finanssialan ulkopuolisille viranomaisille (kuten direktiivin (EU) 2022/2555 mukaisille toimivaltaisille viranomaisille ja keskitetyille yhteyspisteille, kansallisille tietosuojaviranomaisille ja lainvalvontaviranomaisille sellaisten laajavaikutteisten TVT:hen liittyvien poikkeamien osalta, jotka ovat luonteeltaan rikosoikeudellisia), jotta voidaan lisätä tällaisten viranomaisten tietoisuutta tällaisista poikkeamista ja CSIRT-yksiköiden tapauksessa helpottaa nopeaa apua, jota voidaan tarvittaessa antaa finanssiyhteisöille. Jäsenvaltioiden olisi lisäksi voitava päättää, että finanssiyhteisöjen olisi itse annettava tällaisia tietoja rahoituspalvelualan ulkopuolella toimiville viranomaisille. Kyseisten tietovirtojen ansiosta finanssiyhteisöjen pitäisi voida nopeasti hyötyä kaikesta asiaankuuluvasta teknisestä asiantuntemuksesta, korjaustoimenpiteitä koskevasta neuvonnasta ja tällaisten viranomaisten jatkotoimista. Laajavaikutteisia TVT:hen liittyviä poikkeamia koskevia tietoja olisi ohjattava eteenpäin vastavuoroisesti: finanssivalvojien olisi annettava kaikki tarvittavat huomiot tai ohjeet finanssiyhteisölle ja samalla Euroopan valvontaviranomaisten olisi jaettava nimettömiksi tehtyjä tietoja poikkeamaan liittyvistä kyberuhkista ja haavoittuvuuksista laajemman kollektiivisen puolustuksen edistämiseksi.

(53)

Vaikka kaikkia finanssiyhteisöjä olisi vaadittava raportoimaan poikkeamista, kyseisen vaatimuksen ei odoteta vaikuttavan niihin kaikkiin samalla tavalla. Asiaankuuluvia olennaisuusrajoja ja raportoinnin määräaikoja olisikin asianmukaisesti mukautettava Euroopan valvontaviranomaisten laatimiin teknisiin sääntelystandardeihin perustuvien delegoitujen säädösten yhteydessä, jotta ne kattaisivat ainoastaan laajavaikutteiset TVT:hen liittyvät poikkeamat. Lisäksi finanssiyhteisöjen erityispiirteet olisi otettava huomioon raportointivelvoitteiden määräaikoja asetettaessa.

(54)

Tässä asetuksessa olisi edellytettävä, että luottolaitokset, maksulaitokset, tilitietopalvelun tarjoajat ja sähköisen rahan liikkeeseenlaskijalaitokset ilmoittavat kaikista toiminnan harjoittamiseen tai turvallisuuteen vaikuttavista maksuihin liittyvistä poikkeamista, joista on aiemmin ilmoitettu direktiivin (EU) 2015/2366 nojalla, poikkeaman TVT-luonteesta riippumatta.

(55)

Euroopan valvontaviranomaisille olisi annettava tehtäväksi arvioida TVT:hen liittyviä poikkeamia koskevien raporttien mahdollisen keskittämisen toteutettavuutta ja edellytyksiä unionin tasolla. Tällainen keskittäminen voisi koostua siitä, että laaja-alaisia TVT:hen liittyviä poikkeamia koskevaa raportointia varten otetaan käyttöön yksi EU:n keskus, joka joko vastaanottaisi asiaankuuluvat raportit suoraan ja ilmoittaisi niistä automaattisesti kansallisille toimivaltaisille viranomaisille tai pelkästään keskittäisi kansallisten toimivaltaisten viranomaisten välittämät asiaankuuluvat raportit ja suorittaisi siten koordinointitehtävää. Euroopan valvontaviranomaisille olisi annettava tehtäväksi laatia EKP:tä ja ENISAa kuullen yhteinen raportti, jossa tarkasteltaisiin yhden EU:n keskuksen käyttöönoton toteutettavuutta.

(56)

Korkeatasoisen digitaalisen häiriönsietokyvyn saavuttamiseksi sekä asiaankuuluvia kansainvälisiä standardeja (esimerkiksi G7-työryhmän uhkaperusteisen tunkeutumistestauksen peruselementit) että unionissa sovellettuja kehyksiä, kuten TIBER–EU, noudattaen finanssiyhteisöjen olisi säännöllisesti testattava TVT-järjestelmiään ja henkilöstöään, jolla on TVT:n kannalta merkittäviä vastuualueita, niiden ennaltaehkäisy-, havaitsemis-, reagointi- ja toipumisvalmiuksien tehokkuuden osalta, jotta mahdolliset TVT-haavoittuvuudet voitaisiin havaita ja niihin voitaisiin reagoida. Jotta voidaan ottaa huomioon finanssialan eri alasektoreiden keskinäiset ja sisäiset erot finanssiyhteisöjen kyberturvallisuuden valmiustason osalta, testaukseen olisi sisällytettävä monia erilaisia välineitä ja toimia, jotka ulottuvat perusvaatimusten arvioinnista (esimerkiksi haavoittuvuusarvioinnit ja -luotaukset, avoimen lähdekoodin analyysit, verkkoturvallisuusarvioinnit, puuteanalyysit, fyysisen turvallisuuden tarkistukset, kyselyt, luotaukseen liittyvät ohjelmistoratkaisut, mahdollisuuksien mukaan lähdekooditarkistukset ja skenaarioihin perustuvat testit, vastaavuustestaus, suorituskykytestaus tai päästä päähän -testaus) kehittyneempään testaukseen uhkaperusteista tunkeutumistestausta käyttäen. Tällaista edistyneempää testausta olisi vaadittava vain sellaisten finanssiyhteisöjen osalta, jotka ovat TVT-näkökulmasta riittävän kypsiä, jotta ne voivat tehdä sen järkevästi. Tämän asetuksen edellyttämän digitaalisen häiriönsietokyvyn testauksen olisi näin ollen oltava vaativampaa tässä asetuksessa säädetyt vaatimukset täyttävien finanssiyhteisöjen (esimerkiksi suurten, systeemisten ja TVT-edistyneiden luottolaitosten, arvopaperipörssien, arvopaperikeskusten ja keskusvastapuolten) kuin muiden finanssiyhteisöjen osalta. Samalla digitaalisen häiriönsietokyvyn testauksen uhkaperusteisen tunkeutumistestauksen avulla olisi myös oltava olennaisempaa sellaisten finanssiyhteisöjen osalta, jotka toimivat ydinrahoituspalvelujen alasektoreilla ja jotka ovat systeemisesti tärkeitä (esimerkiksi maksut, pankkikysymykset sekä selvitykset ja toimitukset) ja vähemmän olennaista muilla alasektoreilla (esimerkiksi varainhoitajat ja luottoluokituslaitokset).

(57)

Rajat ylittävää toimintaa ja sijoittautumisvapautta tai palvelujen tarjoamisen vapautta unionissa harjoittavien finanssiyhteisöjen olisi noudatettava yhtenäisiä kehittyneeseen testaukseen (eli uhkaperusteinen tunkeutumistestaus) liittyviä vaatimuksia kotijäsenvaltiossaan, ja kyseiseen testiin olisi sisällytettävä TVT-infrastruktuurit kaikilla lainkäyttöalueilla, joilla rajatylittävä finanssikonserni toimii unionissa, mikä mahdollistaisi sen, että tällaisille rajatylittäville finanssikonserneille aiheutuisi asiaan liittyviä TVT-testauskustannuksia vain yhdellä lainkäyttöalueella.

(58)

Jotta voitaisiin hyödyntää asiantuntemusta, jota tietyt toimivaltaiset viranomaiset ovat jo hankkineet erityisesti TIBER–EU-kehyksen täytäntöönpanosta, tässä asetuksessa olisi annettava jäsenvaltioille mahdollisuus nimetä yksi viranomainen, joka kansallisella tasolla vastaa rahoitusalalla kaikista uhkaperusteiseen tunkeutumistestaukseen liittyvistä asioista, tai toimivaltaiset viranomaiset, jotka tällaisen nimeämisen puuttuessa delegoivat uhkaperusteiseen tunkeutumistestaukseen liittyvien tehtävien hoitamisen toiselle kansalliselle finanssialan toimivaltaiselle viranomaiselle.

(59)

Koska tässä asetuksessa ei edellytetä, että finanssiyhteisöjen olisi katettava kaikki kriittiset tai tärkeät toiminnot yhdessä ainoassa uhkaperusteisessa tunkeutumistestissä, finanssiyhteisöjen olisi voitava vapaasti määrittää, mitkä kriittiset tai tärkeät toiminnot ja kuinka monta kriittistä tai tärkeää toimintoa olisi sisällytettävä tällaisen testin soveltamisalaan.

(60)

Tässä asetuksessa tarkoitettu yhdistetty testaus, jossa useat finanssiyhteisöt osallistuvat uhkaperusteiseen tunkeutumistestaukseen ja jonka osalta TVT-palveluntarjoajana oleva kolmas osapuoli voi tehdä suoraan sopimusjärjestelyjä ulkopuolisen testaajan kanssa, olisi sallittava vain, jos TVT-palveluntarjoajana olevan kolmannen osapuolen asiakkaille, jotka ovat tämän asetuksen soveltamisalaan kuulumattomia yhteisöjä, tarjoamien palvelujen laatuun tai turvallisuuteen tai tällaisiin palveluihin liittyvän datan luottamuksellisuuteen voidaan kohtuudella odottaa kohdistuvan haitallisia vaikutuksia. Yhdistettyyn testaukseen olisi myös sovellettava suojatoimia (yksi nimetty finanssiyhteisö johtavassa roolissa, osallistuvien finanssiyhteisöjen lukumäärän kalibrointi) sen varmistamiseksi, että asianomaiset finanssiyhteisöt, jotka täyttävät tämän asetuksen mukaiset uhkaperusteisen tunkeutumistestauksen tavoitteet, testataan tarkasti.

(61)

Jotta voitaisiin hyödyntää yritystasolla käytettävissä olevia sisäisiä resursseja, tässä asetuksessa olisi sallittava sisäisten testaajien käyttö uhkaperusteisen tunkeutumistestauksen toteuttamiseen edellyttäen, että valvontaviranomaiselta on saatu hyväksyntä, että eturistiriitoja ei ole ja että sisäisiä testaajia ja ulkopuolisia testaajia käytetään vuorotellen määräajoin (joka kolmas testi), ja samalla olisi edellytettävä, että uhkaperusteisen tunkeutumistestauksen uhkatiedustelutietojen tarjoaja on aina ulkopuolinen finanssiyhteisöön nähden. Vastuun uhkaperusteisen tunkeutumistestauksen toteuttamisesta olisi säilyttävä täysimääräisesti finanssiyhteisöllä. Viranomaisten antamien todistusten olisi oltava yksinomaan vastavuoroista tunnustamista varten eivätkä ne saisi estää mahdollisia jatkotoimia, joita tarvitaan finanssiyhteisöön kohdistuvaan TVT-riskiin puuttumiseksi, eikä niitä saisi pitää valvontaviranomaisen hyväksyntänä finanssiyhteisön TVT-riskin hallinta- ja vähentämisvalmiuksista.

(62)

Kolmansiin osapuoliin liittyvän finanssialan TVT-riskin asianmukaisen seurannan varmistamiseksi on tarpeen vahvistaa periaatteisiin perustuvat säännöt ohjaamaan finanssiyhteisöjä sellaisten riskien seurannassa, joita aiheutuu TVT-palveluntarjoajana oleville kolmansille osapuolille ulkoistettujen toimintojen yhteydessä, etenkin kun on kyse kriittisiä tai tärkeitä toimintoja tukevista TVT-palveluista, ja yleisemmin, kun kyse on kaikesta TVT-palveluntarjoajana oleviin kolmansiin osapuoliin liittyvästä riippuvuudesta.

(63)

Jotta voidaan puuttua TVT-riskin eri lähteiden monitahoisuuteen ja samalla ottaa huomioon rahoituspalvelujen sujuvan tarjoamisen mahdollistavien teknisten ratkaisujen tarjoajien moninaisuus ja monimuotoisuus, tämän asetuksen olisi katettava laaja joukko TVT-palveluntarjoajana olevia kolmansia osapuolia, mukaan lukien pilvipalvelujen, ohjelmistojen, data-analytiikkapalvelujen ja datakeskuspalvelujen tarjoajat. Koska finanssiyhteisöjen olisi tosiasiallisesti ja johdonmukaisesti tunnistettava ja hallittava vastaavasti kaiken tyyppisiä riskejä, myös finanssikonsernin sisällä hankittujen TVT-palvelujen yhteydessä, olisi selvennettävä, että finanssikonserniin kuuluvia yrityksiä, jotka tarjoavat TVT-palveluja pääasiassa emoyritykselleen tai emoyrityksensä tytäryrityksille tai sivuliikkeille, sekä finanssiyhteisöjä, jotka tarjoavat TVT-palveluja muille finanssiyhteisöille, olisi myös pidettävä tässä asetuksessa tarkoitettuina TVT-palveluntarjoajina olevina kolmansina osapuolina. Koska kehittyvät maksupalvelumarkkinat ovat yhä riippuvaisempia monimutkaisista teknisistä ratkaisuista ja kun otetaan huomioon uudet maksupalvelutyypit ja maksuihin liittyvät ratkaisut, maksupalvelujen ekosysteemiin osallistujia, jotka tarjoavat maksukäsittelytoimintoja tai ylläpitävät maksuinfrastruktuureja, olisi myös pidettävä tämän asetuksen mukaisina TVT-palveluntarjoajana olevina kolmansina osapuolina, lukuun ottamatta keskuspankkeja näiden ylläpitäessä maksu- tai arvopapereiden selvitysjärjestelmiä sekä viranomaisia näiden tarjotessa TVT:hen liittyviä palveluja valtion tehtävien hoitamisen yhteydessä.

(64)

Finanssiyhteisön olisi kaikissa tilanteissa pysyttävä täysin vastuussa tässä asetuksessa säädettyjen velvoitteidensa noudattamisesta. Finanssiyhteisöjen olisi sovellettava oikeasuhteista lähestymistapaa TVT-palveluntarjoajana olevien kolmansien osapuolten tasolla esiintyvien riskien seurantaan ottamalla asianmukaisesti huomioon niiden TVT-riippuvuuksien luonne, laajuus, monitahoisuus ja merkitys sekä sopimusjärjestelyjen kohteena olevien palvelujen, prosessien tai toimintojen kriittisyys tai merkitys ja perustamalla ne huolelliseen arviointiin siitä, millaisia mahdollisia vaikutuksia niillä voi olla finanssipalvelujen jatkuvuuteen ja laatuun yksittäisellä ja tapauksen mukaan ryhmän tasolla.

(65)

Tällaisen seurannan toteuttamisessa olisi noudatettava strategista lähestymistapaa, jossa otetaan huomioon kolmansiin osapuoliin liittyvä TVT-riski Ja finanssiyhteisön ylimmän hallintoelimen olisi virallistettava lähestymistapa kohdennetulla kolmansiin osapuoliin liittyvää TVT-riskiä käsittelevällä strategialla, joka perustuu kaikkien TVT-palveluntarjoajana oleviin kolmansiin osapuoliin liittyvien riippuvuuksien jatkuvaan tarkasteluun. Jotta voidaan lisätä tietämystä TVT-palveluntarjoajana oleviin kolmansiin osapuoliin liittyvien riippuvuuksien valvonnasta ja tukea edelleen tällä asetuksella käyttöön otetun valvontakehyksen puitteissa tehtävää työtä, kaikilta finanssiyhteisöiltä olisi edellytettävä, että ne pitävät tietorekisteriä kaikista sopimusjärjestelyistä, jotka koskevat TVT-palveluntarjoajana olevien kolmansien osapuolten tarjoamien TVT-palvelujen käyttöä. Finanssivalvojien olisi voitava pyytää täydellistä rekisteriä tai sen tiettyjä osia ja siten saada olennaisia tietoja, joiden avulla voidaan luoda laajempi käsitys finanssiyhteisöjen TVT-riippuvuuksista.

(66)

Sopimusta edeltävän perusteellisen analyysin olisi oltava pohjana sopimusjärjestelyjen tekemiselle jo ennen niiden virallista tekemistä, erityisesti keskittymällä suunnitellun TVT-sopimuksen tukemien palvelujen kriittisyyteen tai merkitykseen, tarvittaviin valvontaviranomaisen hyväksyntöihin tai muihin ehtoihin, mahdolliseen keskittymäriskiin sekä siihen, että TVT-palveluntarjoajana olevien kolmansien osapuolten valinta- ja arviointiprosessissa ja mahdollisten eturistiriitojen arvioinnissa noudatetaan asianmukaista huolellisuutta. Kriittisiä tai tärkeitä toimintoja koskevien sopimusjärjestelyjen osalta finanssiyhteisöjen olisi otettava huomioon, miten TVT-palveluntarjoajana olevat kolmannet osapuolet käyttävät uusimpia ja korkeimpia tietoturvastandardeja. Sopimusjärjestelyjen irtisanominen voisi johtua ainakin useista olosuhteista, jotka osoittavat puutteita TVT-palveluntarjoajana olevan kolmannen osapuolen tasolla, erityisesti merkittävistä lakien tai sopimusehtojen rikkomisista, olosuhteista, jotka paljastavat mahdollisen muutoksen sopimusjärjestelyissä määrättyjen toimintojen suorittamisessa, näyttöä TVT-palveluntarjoajana olevan kolmannen osapuolen heikkouksista sen yleisessä TVT-riskinhallinnassa taikka olosuhteista, jotka osoittavat asianomaisen toimivaltaisen viranomaisen kyvyttömyyden valvoa tehokkaasti finanssiyhteisöä.

(67)

Jotta voidaan puuttua TVT-palveluntarjoajana oleviin kolmansiin osapuoliin liittyvän keskittymäriskin systeemiseen vaikutukseen, tässä asetuksessa edistetään tasapainoista ratkaisua tällaiseen keskittymäriskiin omaksumalla joustava ja vaiheittainen lähestymistapa, sillä joustamattomien ylärajojen tai tiukkojen rajoitusten asettaminen voi haitata liiketoiminnan harjoittamista ja rajoittaa sopimusvapautta. Finanssiyhteisöjen olisi arvioitava perusteellisesti suunniteltuja sopimusjärjestelyjään, jotta voitaisiin tunnistaa tällaisen riskin aiheutumisen todennäköisyys, muun muassa analysoimalla perusteellisesti alihankintajärjestelyjä etenkin silloin, kun järjestelyjä tehdään kolmanteen maahan sijoittautuneiden TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa. Tässä vaiheessa ja oikean tasapainon löytämiseksi sopimusvapauden säilyttämisen ja rahoitusvakauden takaamisen välillä ei pidetä tarkoituksenmukaisena asettaa tiukkoja ylärajoja koskevia sääntöjä ja rajoja TVT-palveluntarjoajana olevien kolmansien osapuolten käytölle. Valvontakehyksen yhteydessä tämän asetuksen mukaisesti nimetyn päävalvojan olisi kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolen osalta oltava erityisen tarkkaavainen voidakseen saada kattavan kuvan riippuvuussuhteiden laajuudesta, havaitakseen erityisiä tapauksia, joissa kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten keskittymä on suurta unionissa ja todennäköisesti asettaa paineita unionin finanssijärjestelmän vakaudelle ja eheydelle, ja ylläpitääkseen vuoropuhelua kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa, kun kyseinen erityinen riski havaitaan.

(68)

Jotta voidaan arvioida ja seurata säännöllisesti TVT-palveluntarjoajana olevan kolmannen osapuolen kykyä tarjota turvallisesti palveluja finanssiyhteisölle vaikuttamatta haitallisesti finanssiyhteisön digitaaliseen häiriönsietokykyyn, olisi yhdenmukaistettava useita keskeisiä sopimuselementtejä TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa. Tällaisen yhdenmukaistamisen olisi katettava vähintään alat, jotka ovat ratkaisevan tärkeitä, jotta finanssiyhteisö voi seurata täysimääräisesti TVT-palveluntarjoajana olevasta kolmannesta osapuolesta mahdollisesti aiheutuvia riskejä finanssiyhteisön digitaalisen häiriönsietokyvyn turvaamistarpeen näkökulmasta, koska häiriönsietokyky on erittäin riippuvainen vastaanotettujen TVT-palvelujen vakaudesta, toimivuudesta, saatavuudesta ja turvallisuudesta.

(69)

Neuvoteltaessa uudelleen sopimusjärjestelyistä, joilla pyritään yhdenmukaisuuteen tämän asetuksen vaatimusten kanssa, finanssiyhteisöjen ja TVT-palveluntarjoajana olevien kolmansien osapuolten olisi varmistettava, että tässä asetuksessa säädetyt keskeiset sopimusmääräykset tulevat käsitellyiksi.

(70)

Tässä asetuksessa säädetty ilmaisun ’kriittinen tai tärkeä toiminto’ määritelmä käsittää ’kriittiset toiminnot’ sellaisina kuin ne on määritelty Euroopan parlamentin ja neuvoston direktiivin 2014/59/EU (20) 2 artiklan 1 kohdan 35 alakohdassa. Näin ollen toiminnot, joita pidetään direktiivin 2014/59/EU mukaisesti kriittisinä, sisällytetään tässä asetuksessa tarkoitettuun kriittisten toimintojen määritelmään.

(71)

TVT-palvelujen tukeman toiminnon kriittisyydestä tai merkityksestä riippumatta sopimusjärjestelyissä olisi erityisesti eriteltävä toimintojen ja palvelujen kattavat kuvaukset, missä tällaisia toimintoja tarjotaan ja missä dataa käsitellään, sekä annettava palvelutason kuvaukset. Muita sopimusmääräyksiä, jotka ovat olennaisen tärkeitä, jotta finanssiyhteisö voi seurata kolmannen osapuolen TVT-riskiä, ovat: sopimusmääräykset, joissa täsmennetään, miten TVT-palveluntarjoajana oleva kolmas osapuoli varmistaa henkilötietojen saavutettavuuden, saatavuuden, eheyden, turvallisuuden ja suojan, määräykset, joissa määrätään asianmukaisista takeista, jotka mahdollistavat tietoihin pääsyn, niiden pelastamisen ja takaisin saamisen siinä tapauksessa, että TVT-palveluntarjoajana oleva kolmas osapuoli on maksukyvytön tai kriisinratkaisun kohteena tai lopettaa liiketoiminnan, sekä määräykset, joilla TVT-palveluntarjoajana olevaa kolmatta osapuolta vaaditaan antamaan apua tarjottuihin palveluihin liittyvissä TVT-poikkeamissa ilman lisäkustannuksia tai etukäteen määritetyin kustannuksin; määräykset, jotka koskevat TVT-palveluntarjoajana olevan kolmannen osapuolen velvollisuutta tehdä täysimääräistä yhteistyötä finanssiyhteisön toimivaltaisten viranomaisten ja kriisinratkaisuviranomaisten kanssa; sekä määräykset, jotka koskevat sopimusjärjestelyjen irtisanomisoikeuksia ja niihin liittyviä irtisanomisen vähimmäisaikoja toimivaltaisten viranomaisten ja kriisinratkaisuviranomaisten odotusten mukaisesti.

(72)

Tällaisten sopimusmääräysten lisäksi ja jotta voidaan varmistaa, että finanssiyhteisöt pystyvät edelleen täysimääräisesti hallitsemaan kaikkia kolmansien osapuolten tasolla syntyviä tilanteita, jotka saattavat heikentää niiden TVT-turvallisuutta, olisi kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen tarjoamista koskevissa sopimuksissa määrättävä myös seuraavista: palvelutason täyden kuvauksen määrittely, joka sisältää täsmälliset määrälliset ja laadulliset suoritustavoitteet, jotta asianmukaisia korjaavia toimenpiteitä voidaan toteuttaa ilman aiheetonta viivytystä, jos sovittuja palvelutasoja ei saavuteta; asiaankuuluvat TVT-palveluntarjoajana olevien kolmansien osapuolten ilmoitusajat ja raportointivelvoitteet siinä tapauksessa, että tilanne saattaa vaikuttaa olennaisesti TVT-palveluntarjoajana olevan kolmannen osapuolen kykyyn tarjota tehokkaasti asianomaisia TVT-palvelujaan; TVT-palveluntarjoajana olevaa kolmatta osapuolta koskeva vaatimus toteuttaa ja testata liiketoiminnan varautumissuunnitelmia ja käyttää TVT-turvatoimenpiteitä, -välineitä ja -periaatteita, jotka mahdollistavat palvelujen turvallisen tarjoamisen, sekä osallistua finanssiyhteisön suorittamaan uhkaperusteiseen tunkeutumistestaukseen ja tehdä sen yhteydessä täysimääräistä yhteistyötä.

(73)

Kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen tarjoamista koskevien sopimusten olisi myös sisällettävä määräyksiä, jotka antavat finanssiyhteisölle tai nimetylle kolmannelle osapuolelle pääsy-, tarkastus- ja auditointioikeudet sekä oikeuden ottaa jäljennöksiä, sillä nämä ovat ratkaisevan tärkeitä välineitä käynnissä olevassa seurannassa, jota finanssiyhteisöt kohdistavat TVT-palveluntarjoajana olevan kolmannen osapuolen toimintaan, samoin kuin viimeksi mainitun täysimääräinen yhteistyö tarkastusten aikana. Myös finanssiyhteisön toimivaltaisella viranomaisella olisi oltava oikeus tehdä TVT-palveluntarjoajana olevaan kolmanteen osapuoleen kohdistuvia tarkastuksia ja auditointeja, joista on ilmoitettu ennalta, edellyttäen, että luottamukselliset tiedot suojataan.

(74)

Tällaisissa sopimusjärjestelyissä olisi myös määrättävä erityisistä irtautumisstrategioista, jotka mahdollistavat erityisesti pakolliset siirtymäkaudet, joiden aikana TVT-palveluntarjoajana olevien kolmansien osapuolten olisi huolehdittava edelleen asiaankuuluvien palvelujen tarjoamisesta, jotta voidaan vähentää häiriöiden riskiä finanssiyhteisön tasolla tai antaa viimeksi mainituille mahdollisuus siirtyä tosiasiallisesti käyttämään toisten TVT-palveluntarjoajana olevien kolmansien osapuolten palveluja tai vaihtoehtoisesti vaihtaa sisäisiin ratkaisuihin, jotka vastaavat tarjotun TVT-palvelun monitahoisuutta. Lisäksi direktiivin 2014/59/EU soveltamisalaan kuuluvien finanssiyhteisöjen olisi varmistettava, että asiaankuuluvat TVT-palveluja koskevat sopimukset ovat vankkoja ja täysin täytäntöönpanokelpoisia kyseisten finanssiyhteisöjen kriisinratkaisun tapauksessa. Kriisinratkaisuviranomaisten odotusten mukaisesti kyseisten finanssiyhteisöjen olisi näin ollen varmistettava, että asiaankuuluvat TVT-palveluja koskevat sopimukset ovat kriisinratkaisun kannalta kestäviä. Niin kauan kuin kyseiset finanssiyhteisöt jatkavat maksuvelvoitteidensa täyttämistä, niiden olisi varmistettava muiden vaatimusten ohella, että asiaankuuluvat TVT-palveluja koskevat sopimukset sisältävät lausekkeita, jotka koskevat sopimuksen purkamatta, keskeyttämättä ja muuttamatta jättämistä uudelleenjärjestelyn tai kriisinratkaisun perusteella.

(75)

Lisäksi viranomaisten tai unionin toimielinten laatimien vakiosopimuslausekkeiden ja erityisesti komission pilvipalveluja varten laatimien sopimuslausekkeiden vapaaehtoinen käyttö voisi antaa lisävarmuutta finanssiyhteisöille ja TVT-palveluntarjoajana oleville kolmansille osapuolille lisäämällä niiden oikeusvarmuuden tasoa finanssialan käyttämien pilvipalvelujen osalta noudattaen kaikilta osin unionin rahoituspalvelua koskevan oikeuden vaatimuksia ja odotuksia. Vakiosopimuslausekkeiden laatiminen perustuu toimenpiteisiin, joita suunniteltiin jo vuoden 2018 FinTech-toimintasuunnitelmassa, jossa ilmoitettiin komission aikomuksesta edistää ja helpottaa sellaisten vakiosopimuslausekkeiden laatimista, joita finanssiyhteisöt voivat käyttää pilvipalveluja koskevissa ulkoistuksissa, hyödyntäen monialaisia pilvipalvelujen sidosryhmien toimia, joita komissio on helpottanut rahoitusalan avustuksella.

(76)

Jotta voidaan edistää niiden valvontaan liittyvien lähestymistapojen lähentymistä ja tehokkuutta, joita sovelletaan kolmansiin osapuoliin liittyvään TVT-riskiin finanssialalla, sekä vahvistaa niiden finanssiyhteisöjen digitaalista häiriönsietokykyä, jotka ovat finanssipalvelujen tarjoamista tukevien TVT-palvelujen osalta riippuvaisia kriittisistä TVT-palveluntarjoajana olevista kolmansista osapuolista, ja näin edistää unionin finanssijärjestelmän vakauden säilyttämistä ja finanssipalvelujen sisämarkkinoiden eheyttä, kriittisiin TVT-palveluntarjoajana oleviin kolmansiin osapuoliin olisi sovellettava unionin valvontakehystä. Vaikka valvontakehyksen perustaminen on perusteltua unionin tason toimista saatavan lisäarvon perusteella ja ottaen huomioon TVT-palvelujen käytön luontaisen roolin ja erityispiirteet finanssipalvelujen tarjoamisessa, olisi samalla muistettava, että tämä ratkaisu vaikuttaa sopivalta vain tämän asetuksen yhteydessä, jossa käsitellään erityisesti rahoitusalan digitaalista häiriönsietokykyä. Tällaista valvontakehystä ei kuitenkaan olisi pidettävä unionin valvonnan uutena mallina rahoituspalvelujen ja -toiminnan aloilla.

(77)

Valvontakehystä olisi sovellettava ainoastaan kriittisiin TVT-palveluntarjoajana oleviin kolmansiin osapuoliin. Sen vuoksi olisi otettava käyttöön nimeämismekanismi, jossa otetaan huomioon, missä määrin ja millä tavalla finanssiala on riippuvainen tällaisista TVT-palveluntarjoajana olevista kolmansista osapuolista. Kyseisessä mekanismissa olisi käytettävä joukkoa määrällisiä ja laadullisia kriteereitä, joiden pohjalta määritetään kriittisyysparametrit, jotka ovat perustana valvontakehykseen sisällyttämiselle. Kyseisen arvioinnin tarkkuuden varmistamiseksi ja TVT-palveluntarjoajana olevan kolmannen osapuolen organisaatiorakenteesta riippumatta tällaisissa kriteereissä olisi otettava huomioon TVT-palveluntarjoajana olevan kolmannen osapuolen koko konsernirakenne, jos kyseessä on laajempaan konserniin kuuluva TVT-palveluntarjoajana oleva kolmas osapuoli. Toisaalta kriittisillä TVT-palveluntarjoajana olevilla kolmansilla osapuolilla, joita ei ole automaattisesti nimetty kyseisten kriteerien perusteella, olisi oltava mahdollisuus osallistua vapaaehtoisesti valvontakehykseen, ja toisaalta ne TVT-palveluntarjoajana olevat kolmannet osapuolet, jotka ovat jo Euroopan keskuspankkijärjestelmän tehtävien suorittamista tukevien valvontamekanismien piirissä SEUT 127 artiklan 2 kohdan mukaisesti, olisi vapautettava tästä.

(78)

Vastaavasti finanssiyhteisöt, jotka tarjoavat TVT-palveluja muille finanssiyhteisöille mutta kuuluvat tämän asetuksen mukaiseen TVT-palveluntarjoajana olevien kolmansien osapuolten luokkaan, olisi myös jätettävä valvontakehyksen ulkopuolelle, koska niihin sovelletaan jo asiaankuuluvassa unionin rahoituspalvelua koskevassa oikeudessa vahvistettuja valvontamekanismeja. Toimivaltaisten viranomaisten olisi tarvittaessa otettava valvontatoimissaan huomioon TVT-palveluja tarjoavien finanssiyhteisöjen finanssiyhteisöille aiheuttama TVT-riski. Samoin konsernitasolla käytössä olevien riskinseurantamekanismien vuoksi sama vapautus olisi otettava käyttöön niiden TVT-palveluntarjoajana olevien kolmansien osapuolten osalta, jotka tarjoavat palveluja pääasiassa oman konserninsa yhteisöille. TVT-palveluntarjoajana olevat kolmannet osapuolet, jotka tarjoavat TVT-palveluja ainoastaan yhdessä jäsenvaltiossa finanssiyhteisöille, jotka toimivat ainoastaan kyseisessä jäsenvaltiossa, olisi myös vapautettava nimeämismekanismista, koska niiden toiminta on vähäistä eikä niillä ole rajat ylittäviä vaikutuksia.

(79)

Rahoituspalvelujen alalla tapahtunut digitalisaatio on johtanut ennennäkemättömään TVT-palvelujen käyttöön ja riippuvuuteen niistä. Koska on tullut mahdottomaksi tarjota rahoituspalveluja ilman pilvipalvelujen, ohjelmistoratkaisujen ja dataan liittyvien palvelujen käyttöä, unionin rahoitusalan ekosysteemi on tullut erottamattomasti riippuvaiseksi tietyistä TVT-palveluntarjoajien tarjoamista TVT-palveluista. Joillakin kyseisistä toimittajista, jotka ovat TVT-pohjaisia teknologioita kehittäviä ja soveltavia innovoijia, on merkittävä rooli rahoituspalvelujen tarjoamisessa tai ne ovat integroituneet rahoituspalvelujen arvoketjuun. Niistä on näin ollen tullut kriittisiä unionin rahoitusjärjestelmän vakauden ja eheyden kannalta. Tämä laaja riippuvuus kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten tarjoamista palveluista yhdistettynä eri markkinatoimijoiden tietojärjestelmien keskinäiseen riippuvuuteen aiheuttaa suoran ja mahdollisesti vakavan riskin unionin rahoituspalvelujärjestelmälle ja rahoituspalvelujen tarjonnan jatkuvuudelle, jos toiminnalliset häiriöt tai merkittävät kyberpoikkeamat pääsevät vaikuttamaan kriittisiin TVT-palveluntarjoajana oleviin kolmansiin osapuoliin. Kyberturvallisuuspoikkeamilla on erityinen kyky moninkertaistua ja levitä rahoitusjärjestelmässä huomattavasti nopeammin kuin muuntyyppisten riskien, joita rahoitusalalla seurataan, ja ne voivat ulottua eri aloille ja maantieteellisten rajojen ulkopuolelle. Ne saattavat kehittyä systeemiseksi kriisiksi, jossa luottamus rahoitusjärjestelmään on heikentynyt reaalitaloutta tukevien toimintojen häiriintymisen tai merkittävien taloudellisten tappioiden vuoksi, saavuttaen tason, jota rahoitusjärjestelmä ei kestä, tai joka edellyttää raskaiden häiriöiden vaimentamistoimenpiteiden käyttöönottoa. Jotta voidaan estää, että nämä skenaariot toteutuvat ja siten vaarantavat unionin rahoitusvakauden ja rahoitusjärjestelmän eheyden, on olennaisen tärkeää lähentää valvontakäytäntöjä, jotka liittyvät kolmansiin osapuoliin liittyvään TVT-riskiin rahoitusalalla, erityisesti uusilla säännöillä, jotka mahdollistavat kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten valvonnan unionissa.

(80)

Valvontakehys riippuu suurelta osin päävalvojan ja sen kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen välisestä yhteistyöstä, joka tarjoaa finanssiyhteisöille rahoituspalvelujen tarjontaan vaikuttavia palveluja. Menestyksekäs valvonta perustuu muun muassa päävalvojan kykyyn suorittaa tehokkaasti seurantakäyntejä ja -tarkastuksia, joilla arvioidaan kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten käyttämiä sääntöjä, valvontatoimia ja prosesseja sekä niiden toiminnan mahdollisia kerrannaisvaikutuksia rahoitusvakauteen ja rahoitusjärjestelmän eheyteen. Samalla on ratkaisevan tärkeää, että kriittiset TVT-palveluntarjoajana olevat kolmannet osapuolet noudattavat päävalvojan suosituksia ja huomioivat sen huolenaiheet. Koska rahoituspalvelujen tarjontaan vaikuttavia palveluja tarjoavan kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen yhteistyön puute, esimerkiksi kieltämällä pääsy tiloihinsa tai kieltäytymällä toimittamasta tietoja, viime kädessä riistäisi päävalvojalta tämän keskeiset välineet kolmansiin osapuoliin liittyvän TVT-riskin arvioimiseksi ja voisi vaikuttaa kielteisesti rahoitusvakauteen ja rahoitusjärjestelmän eheyteen, on myös tarpeen säätää oikeasuhteisesta seuraamusjärjestelmästä.

(81)

Tätä taustaa vasten päävalvojan tarve määrätä uhkasakkoja kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten pakottamiseksi noudattamaan tässä asetuksessa säädettyjä avoimuuteen ja pääsyoikeuksiin liittyviä velvoitteita ei saisi vaarantua siksi, että kyseisten uhkasakkojen täytäntöönpano suhteessa kolmansiin maihin sijoittautuneisiin kriittisiin TVT-palveluntarjoajana oleviin kolmansiin osapuoliin aiheuttaa hankaluuksia. Jotta voidaan varmistaa, että tällaiset seuraamukset on mahdollista panna täytäntöön, ja ottaa nopeasti käyttöön menettelyt, joilla turvataan kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten puolustautumisoikeudet nimeämismekanismin ja suositusten antamisen yhteydessä, kyseisiltä kriittisiltä TVT-palveluntarjoajana olevilta kolmansilta osapuolilta, jotka tarjoavat finanssiyhteisöille finanssipalvelujen tarjontaan vaikuttavia palveluja, olisi edellytettävä, että niillä on asianmukainen toimipaikka unionissa. Valvonnan luonteen vuoksi ja koska muilla lainkäyttöalueilla ei ole vastaavia järjestelyjä, ei ole olemassa soveltuvia vaihtoehtoisia mekanismeja, joilla tämä tavoite voitaisiin varmistaa tekemällä tehokasta yhteistyötä kolmansien maiden finanssivalvojien kanssa, jotta voitaisiin seurata sellaisten systeemisten TVT-palveluntarjoajana olevien kolmansien osapuolten aiheuttamien digitaaliseen häiriönsietokykyyn liittyvien riskien vaikutuksia, jotka katsotaan kolmansiin maihin sijoittautuneiksi kriittisiksi TVT-palveluntarjoajana oleviksi kolmansiksi osapuoliksi. Näin ollen, jotta kolmanteen maahan sijoittautunut TVT-palveluntarjoajana oleva kolmas osapuoli, joka on nimetty kriittiseksi tämän asetuksen mukaisesti, voisi jatkaa TVT-palvelujen tarjoamista finanssiyhteisöille unionissa, sen olisi 12 kuukauden kuluessa nimeämisestä toteutettava kaikki tarvittavat järjestelyt, joilla varmistetaan sen sijoittautuminen unioniin perustamalla tytäryhtiö, sellaisena kuin tytäryhtiö on määritelty unionin säännöstössä ja erityisesti Euroopan parlamentin ja neuvoston direktiivissä 2013/34/EU (21).

(82)

Vaatimus tytäryhtiön perustamisesta unioniin ei saisi estää kriittistä TVT-palveluntarjoajana olevaa kolmatta osapuolta tarjoamasta TVT-palveluja ja niihin liittyvää teknistä tukea unionin ulkopuolella sijaitsevista laitoksista ja infrastruktuurista käsin. Tämä asetus ei aseta datan säilytyspaikkaa koskevaa velvoitetta, koska siinä ei edellytetä tietojen säilyttämistä tai käsittelyä unionissa.

(83)

Kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten olisi voitava tarjota TVT-palveluja mistä tahansa maailmassa, eikä välttämättä tai pelkästään unionissa sijaitsevista toimitiloista. Valvontatoimet olisi toteutettava ensin unionissa sijaitsevissa tiloissa ja vuorovaikutuksessa unionissa sijaitsevien toimijoiden kanssa, mukaan lukien kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten tämän asetuksen mukaisesti perustamat tytäryhtiöt. Tällaiset unionissa toteutetut toimet saattavat kuitenkin olla riittämättömiä, jotta päävalvoja voisi hoitaa täysimääräisesti ja tehokkaasti tämän asetuksen mukaiset tehtävänsä. Päävalvojan olisi sen vuoksi voitava käyttää asiaankuuluvia valvontavaltuuksiaan myös kolmansissa maissa. Käyttämällä kyseisiä valtuuksia kolmansissa maissa päävalvojan olisi voitava tutkia laitokset, joista käsin kriittinen TVT-palveluntarjoajana oleva kolmas osapuoli tosiasiallisesti tarjoaa TVT-palvelut tai tekniset tukipalvelut tai joissa niitä hallinnoidaan, ja saada kattava käsitys siitä, miten kriittinen TVT-palveluntarjoajana oleva kolmas osapuoli hallinnoi TVT-riskiä, ja tähän liittyvistä toiminnallisista näkökohdista. Päävalvojan mahdollisuudelle käyttää unionin viraston ominaisuudessa toimivaltaa unionin alueen ulkopuolella olisi asetettava asianmukaiset ehdot, erityisesti asianomaisen kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen suostumus. Vastaavasti kolmannen maan asiaankuuluville viranomaisille olisi ilmoitettava asiasta, eikä niiden pitäisi vastustaa päävalvojan toiminnan harjoittamista niiden omalla alueellaan. Tehokkaan täytäntöönpanon varmistamiseksi, ja rajoittamatta unionin toimielinten ja jäsenvaltioiden toimivaltaa, tällaisten valtuuksien on kuitenkin myös oltava kaikilta osin kytköksissä hallinnollisten yhteistyöjärjestelyjen tekemiseen asianomaisen kolmannen maan asiaankuuluvien viranomaisten kanssa. Tämän asetuksen olisi sen vuoksi mahdollistettava se, että Euroopan valvontaviranomaiset voivat tehdä kolmansien maiden asiaankuuluvien viranomaisten kanssa hallinnollisia yhteistyöjärjestelyjä, jotka eivät muutoin saisi luoda oikeudellisia velvoitteita unionia ja sen jäsenvaltioita kohtaan.

(84)

Viestinnän helpottamiseksi päävalvojan kanssa ja riittävän edustuksen varmistamiseksi konserniin kuuluvien kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten olisi nimettävä yksi oikeushenkilö koordinointipisteekseen.

(85)

Valvontakehys ei saisi rajoittaa jäsenvaltioiden toimivaltaa toteuttaa omia valvonta- tai seurantaoperaatioita sellaisten TVT-palveluntarjoajana olevien kolmansien osapuolten osalta, joita ei ole nimetty kriittisiksi tämän asetuksen nojalla mutta jotka katsotaan tärkeiksi kansallisella tasolla.

(86)

Jotta finanssipalvelualan monitasoista rakennetta voitaisiin parantaa, Euroopan valvontaviranomaisten yhteiskomitean olisi edelleen varmistettava yleinen monialainen koordinointi kaikissa TVT-riskiin liittyvissä asioissa kyberturvallisuuteen liittyvien tehtäviensä mukaisesti. Sen tukena olisi käytettävä uutta alakomiteaa, jäljempänä ’valvontafoorumi’, jonka tehtävänä on valmistella sekä yksittäisiä päätöksiä, jotka koskevat kriittisiä TVT-palveluntarjoajana olevia kolmansia osapuolia, että sellaisten yhteisten suositusten antamista, jotka liittyvät erityisesti kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten valvontaohjelmien vertailuun, ja määrittää TVT-keskittymäriskiin liittyvien ongelmien ratkaisemiseen käytettyjä parhaita käytäntöjä.

(87)

Jotta voidaan varmistaa, että kriittisiä TVT-palveluntarjoajana olevia kolmansia osapuolia valvotaan asianmukaisesti ja tehokkaasti unionin tasolla, tässä asetuksessa säädetään, että mikä tahansa kolmesta Euroopan valvontaviranomaisesta voitaisiin nimetä päävalvojaksi. Kriittisen TVT-palveluntarjoajana olevan kolmannen osapuolen yksittäisen osoittamisen jollekin kolmesta Euroopan valvontaviranomaisesta olisi perustuttava arvioon sellaisten finanssiyhteisöjen enemmistöstä, jotka toimivat niillä rahoitusaloilla, joista kyseinen Euroopan valvontaviranomainen on vastuussa. Tämän lähestymistavan olisi johdettava tehtävien ja vastuiden tasapainoiseen jakamiseen kolmen Euroopan valvontaviranomaisen välillä valvontatehtäviä hoidettaessa, ja siinä olisi hyödynnettävä parhaalla mahdollisella tavalla kunkin kolmen Euroopan valvontaviranomaisen käytettävissä olevia henkilöresursseja ja teknistä asiantuntemusta.

(88)

Päävalvojille olisi myönnettävä tarvittavat valtuudet tehdä tutkimuksia, suorittaa tarkastuksia kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten toimitiloissa, liiketiloissa ja paikoissa ja niiden ulkopuolella ja saada kattavat ja ajantasaiset tiedot. Kyseisten valtuuksien avulla päävalvojan olisi voitava saada todellinen käsitys finanssiyhteisöihin ja viime kädessä unionin rahoitusjärjestelmään kohdistuvan kolmansiin osapuoliin liittyvän TVT-riskin tyypistä, ulottuvuudesta ja vaikutuksista. Päävalvontatehtävän antaminen Euroopan valvontaviranomaisille on ennakkoedellytys sille, että finanssialaan kohdistuvan TVT-riskin systeemisestä ulottuvuudesta voidaan saada kokonaisvaltainen käsitys ja puuttua siihen. Kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten vaikutus unionin finanssisektoriin ja siihen liittyvästä TVT-keskittymäriskistä mahdollisesti aiheutuvat ongelmat edellyttävät unionin tasolla sovellettavaa yhteistä lähestymistapaa. Useiden toimivaltaisten viranomaisten erikseen suorittamien useiden tarkastusten ja käyttöoikeuksien samanaikainen suorittaminen siten, että niiden välinen koordinointi on vähäistä tai olematonta, estäisi finanssivalvojia saamasta täydellistä ja kattavaa yleiskuvaa kolmansiin osapuoliin liittyvästä TVT-riskistä unionissa, lisäksi se samalla aiheuttaisi päällekkäisyyksiä, rasitetta ja monimutkaisuutta kriittisille TVT-palveluntarjoajana oleville kolmansille osapuolille, jos niihin kohdistuisi lukuisia seuranta- ja tarkastuspyyntöjä.

(89)

Kriittiseksi nimeämisen merkittävän vaikutuksen vuoksi tällä asetuksella olisi varmistettava, että kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten oikeuksia kunnioitetaan valvontakehyksen täytäntöönpanossa kauttaaltaan. Ennen kuin tällaiset palveluntarjoajat nimetään kriittisiksi, niillä olisi esimerkiksi oltava oikeus toimittaa päävalvojalle perusteltu lausunto, joka sisältää kaikki merkitykselliset tiedot niiden nimeämiseen liittyvän arvioinnin kannalta. Koska päävalvojalle olisi annettava valtuudet antaa suosituksia TVT-riskiin liittyvistä kysymyksistä ja niihin sopivista korjaustoimenpiteistä, mukaan lukien valtuudet vastustaa tiettyjä sopimusjärjestelyjä, jotka viime kädessä vaikuttavat finanssiyhteisön tai rahoitusjärjestelmän vakauteen, kriittisille TVT-palveluntarjoajana oleville kolmansille osapuolille olisi myös annettava mahdollisuus antaa ennen kyseisten suositusten viimeistelyä selvityksiä suosituksissa esitettyjen ratkaisujen odotetusta vaikutuksesta asiakkaisiin, jotka ovat tämän asetuksen soveltamisalan ulkopuolisia yhteisöjä, sekä muotoilla ratkaisuja riskien lieventämiseksi. Kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten, jotka ovat eri mieltä suosituksista, olisi esitettävä perusteltu selvitys aikomuksestaan olla hyväksymättä suositusta. Jos tällaista perusteltua selvitystä ei esitetä tai sitä ei pidetä riittävänä, päävalvojan olisi annettava julkinen ilmoitus, jossa kuvataan lyhyesti noudattamatta jättämistä.

(90)

Toimivaltaisten viranomaisten olisi asianmukaisesti sisällytettävä finanssiyhteisöjen vakavaraisuusvalvontaan liittyviin tehtäviinsä sen todentaminen, että päävalvojan antamia suosituksia noudatetaan olennaisilta osin. Toimivaltaisten viranomaisten olisi voitava vaatia finanssiyhteisöjä toteuttamaan lisätoimenpiteitä päävalvojan suosituksissa yksilöityjen riskien torjumiseksi, ja niiden olisi hyvissä ajoin annettava asiaa koskevia ilmoituksia. Jos päävalvoja antaa suosituksia kriittisille TVT-palveluntarjoajana oleville kolmansille osapuolille, joita valvotaan direktiivin (EU) 2022/2555 mukaisesti, toimivaltaisten viranomaisten olisi voitava kuulla vapaaehtoisuuden pohjalta ja ennen lisätoimenpiteiden hyväksymistä kyseisen direktiivin mukaisia toimivaltaisia viranomaisia edistääkseen koordinoitua lähestymistapaa kyseisten kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten suhteen.

(91)

Valvonnan toteuttamisessa olisi noudatettava kolmea toimintaperiaatetta, joilla pyritään varmistamaan a) tiivis koordinointi Euroopan valvontaviranomaisten välillä niiden suorittaessa päävalvojan tehtäviä yhteisen valvontaverkoston kautta, b) johdonmukaisuus direktiivillä (EU) 2022/2555 perustetun kehyksen kanssa (kyseisen direktiivin mukaisten elinten vapaaehtoisella kuulemisella, jotta vältetään kriittisiin TVT-palveluntarjoajana oleviin kolmansiin osapuoliin kohdistettujen toimenpiteiden päällekkäisyys), ja c) huolellisuuden noudattaminen, jotta minimoidaan mahdollinen häiriöriski palveluille, joita kriittiset TVT-palveluntarjoajana olevat kolmannet osapuolet tarjoavat asiakkaille, jotka eivät kuulu tämän asetuksen soveltamisalaan.

(92)

Valvontakehys ei saisi millään tavoin tai miltään osin korvata finanssiyhteisöjen velvoitetta itse hallita riskejä, jotka liittyvät TVT-palveluntarjoajana oleviin kolmansien osapuolten käyttöön, mukaan lukien niiden velvoite ylläpitää jatkuvasti kriittisten TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa tehtyjen sopimusjärjestelyjen seurantaa. Valvontakehys ei myöskään saisi vaikuttaa siihen, että finanssiyhteisöillä on täysi vastuu noudattaa kaikkia tässä asetuksessa ja asiaankuuluvassa finanssipalvelua koskevassa oikeudessa säädettyjä oikeudellisia velvoitteita.

(93)

Päällekkäisyyksien välttämiseksi toimivaltaisten viranomaisten olisi pidättäydyttävä toteuttamasta erikseen toimenpiteitä, joiden tavoitteena on kriittisiin TVT-palveluntarjoajana oleviin kolmansiin osapuoliin liittyvien riskien seuranta, ja niiden olisi tältä osin tukeuduttava asianomaisen päävalvojan arvioon. Kaikki toimenpiteet olisi joka tapauksessa koordinoitava ja niistä olisi sovittava etukäteen päävalvojan kanssa suoritettaessa valvontakehyksen mukaisia tehtäviä.

(94)

Jotta voidaan edistää TVT-palveluntarjoajana olevien kolmansien osapuolten digitaalisen riskinhallinnan uudelleentarkastelussa ja seurannassa käytettävien parhaiden käytäntöjen lähentymistä kansainvälisellä tasolla, Euroopan valvontaviranomaisia olisi kannustettava tekemään yhteistyöjärjestelyjä asiaankuuluvien kolmansien maiden valvonta- ja sääntelyviranomaisten kanssa.

(95)

Toimivaltaisten viranomaisten, kolmen Euroopan valvontaviranomaisen ja vapaaehtoiselta pohjalta direktiivin (EU) 2022/2555 mukaisten toimivaltaisten viranomaisten puitteissa työskentelevän operatiivisen riskin ja TVT-riskin hallintaan erikoistuneen henkilöstön erityisten toimivaltuuksien, teknisten taitojen ja asiantuntemuksen hyödyntämiseksi mahdollisimman tehokkaasti, päävalvojan olisi hyödynnettävä kansallisia valvontavalmiuksia ja -osaamista ja perustettava erikoistuneita tutkintaryhmiä kutakin kriittistä TVT-palveluntarjoajana olevaa kolmatta osapuolta varten sekä yhdistettävä monialaisia ryhmiä, jotka tukevat valvontatoimien valmistelua ja toteuttamista, mukaan lukien kriittisiin TVT-palveluntarjoajana oleviin kolmansiin osapuoliin kohdistuvat yleiset tutkimukset ja tarkastukset, ja huolehtivat mahdollisesti tarvittavista niihin liittyvistä jatkotoimista.

(96)

Vaikka valvontatehtävistä aiheutuvat kustannukset rahoitettaisiin kokonaisuudessaan kriittisiltä TVT-palveluntarjoajana olevilta kolmansilta osapuolilta perittävillä maksuilla, Euroopan valvontaviranomaisille aiheutuu kuitenkin todennäköisesti ennen valvontakehyksen toiminnan käynnistämistä kustannuksia, jotka johtuvat tulevaa valvontaa tukevien erityisten TVT-järjestelmien täytäntöönpanosta, koska erityisiä TVT-järjestelmiä olisi kehitettävä ja otettava käyttöön etukäteen. Sen vuoksi tässä asetuksessa säädetään hybridirahoitusmallista, jossa valvontakehys rahoitettaisiin kokonaisuudessaan maksuilla ja Euroopan valvontaviranomaisten TVT-järjestelmien kehittäminen rahoitettaisiin unionin ja kansallisten toimivaltaisten viranomaisten rahoitusosuuksilla.

(97)

Toimivaltaisilla viranomaisilla olisi oltava kaikki tarvittavat valvonta-, tutkinta- ja seuraamusvaltuudet tämän asetuksen mukaisten tehtäviensä asianmukaisen hoitamisen varmistamiseksi. Niiden olisi lähtökohtaisesti julkaistava ilmoitukset määräämistään hallinnollisista seuraamuksista. Koska finanssiyhteisöt ja TVT-palveluntarjoajana olevat kolmannet osapuolet voivat olla sijoittautuneet eri jäsenvaltioihin ja niitä valvovat eri toimivaltaiset viranomaiset, tämän asetuksen soveltamista olisi helpotettava toisaalta tiiviillä yhteistyöllä asianomaisten toimivaltaisten viranomaisten välillä, EKP mukaan lukien neuvoston asetuksessa (EU) N:o 1024/2013 annettujen erityistehtävien osalta, ja toisaalta Euroopan valvontaviranomaisia kuullen, keskinäisen tietojenvaihdon avulla sekä antamalla apua asiaankuuluvien valvontatehtävien yhteydessä.

(98)

Jotta voitaisiin edelleen tarkentaa niiden kriteerien määrää ja laatua, joita käytetään TVT-palveluntarjoajana olevien kolmansien osapuolten kriittiseksi nimeämistä varten, ja yhdenmukaistaa valvontamaksuja, komissiolle olisi tämän asetuksen täydentämiseksi siirrettävä valta hyväksyä SEUT 290 artiklan mukaisesti säädösvallan siirron nojalla annettavia delegoituja säädöksiä, joilla täsmennetään edelleen järjestelmävaikutuksia, joita voisi aiheutua TVT-palveluntarjoajana olevan kolmannen osapuolen epäonnistuessa palvelujensa tarjoamisessa tai kärsiessä toimintakatkoksesta niille finanssiyhteisöille, joille se tarjoaa TVT-palveluja, niiden maailmanlaajuisten järjestelmän kannalta merkittävien laitosten (G-SII) tai muiden järjestelmän kannalta merkittävien laitosten (O-SII) lukumäärää, jotka ovat riippuvaisia kyseisestä TVT-palveluntarjoajana olevasta kolmannesta osapuolesta, tietyillä markkinoilla toimivien TVT-palveluntarjoajana olevien kolmansien osapuolten lukumäärää, datan ja TVT-työn siirtämisestä muille TVT-palveluntarjoajana oleville kolmansille osapuolille aiheutuvia kustannuksia, sekä valvontamaksujen määrää ja sitä, missä muodossa ne on maksettava. On erityisen tärkeää, että komissio asiaa valmistellessaan toteuttaa asianmukaiset kuulemiset, myös asiantuntijatasolla, ja että nämä kuulemiset toteutetaan paremmasta lainsäädännöstä 13 päivänä huhtikuuta 2016 tehdyssä toimielinten välisessä sopimuksessa (22) vahvistettujen periaatteiden mukaisesti. Jotta voitaisiin erityisesti varmistaa tasavertainen osallistuminen delegoitujen säädösten valmisteluun, Euroopan parlamentille ja neuvostolle toimitetaan kaikki asiakirjat samaan aikaan kuin jäsenvaltioiden asiantuntijoille, ja Euroopan parlamentin ja neuvoston asiantuntijoilla on järjestelmällisesti oikeus osallistua komission asiantuntijaryhmien kokouksiin, joissa valmistellaan delegoituja säädöksiä.

(99)

Teknisillä sääntelystandardeilla olisi varmistettava tässä asetuksessa säädettyjen vaatimusten johdonmukainen yhdenmukaistaminen. Koska Euroopan valvontaviranomaiset ovat elimiä, joilla on pitkälle menevää erityisasiantuntemusta, niiden olisi laadittava ja toimitettava komissiolle luonnoksia teknisiksi sääntelystandardeiksi, joihin ei liity toimintapoliittisia valintoja. Teknisiä sääntelystandardeja olisi laadittava TVT-riskinhallinnan, laajavaikutteisten TVT:hen liittyvien poikkeamien raportoinnin, testauksen sekä keskeisten vaatimusten osa-alueilla kolmansiin osapuoliin liittyvän TVT-riskin asianmukaista seurantaa varten. Komission ja Euroopan valvontaviranomaisten olisi varmistettava, että kaikki finanssiyhteisöt voivat soveltaa kyseisiä standardeja ja vaatimuksia oikeassa suhteessa niiden kokoon ja yleiseen riskiprofiiliin sekä niiden palvelujen, toimintojen ja toiminnan luonteeseen, laajuuteen ja monitahoisuuteen nähden. Komissiolle olisi siirrettävä valta hyväksyä nämä tekniset sääntelystandardit SEUT 290 artiklan mukaisilla delegoiduilla säädöksillä ja asetusten (EU) N:o 1093/2010, (EU) N:o 1094/2010 ja (EU) N:o 1095/2010 10–14 artiklan mukaisesti.

(100)

Jotta voidaan helpottaa TVT:hen liittyvien laajavaikutteisten poikkeamien ja toiminnan harjoittamiseen tai turvallisuuteen vaikuttavien maksuihin liittyvien laajavaikutteisten poikkeamien raportoinnin vertailtavuutta sekä varmistaa TVT-palveluntarjoajana olevien kolmansien osapuolten tarjoamien TVT-palvelujen käyttöä koskevien sopimusjärjestelyjen avoimuus, Euroopan valvontaviranomaisten olisi laadittava luonnoksia teknisiksi täytäntöönpanostandardeiksi, joissa vahvistetaan finanssiyhteisöjä varten vakiomuotoiset mallit, lomakkeet ja menettelyt, joilla ne voivat ilmoittaa laajavaikutteisesta TVT:hen liittyvästä poikkeamasta ja toiminnan harjoittamiseen tai turvallisuuteen vaikuttavasta maksuihin liittyvästä laajavaikutteisesta poikkeamasta, sekä vakiomuotoisia malleja tietorekisteriä varten. Kyseisiä standardeja laatiessaan Euroopan valvontaviranomaisten olisi otettava huomioon finanssiyhteisön koko ja yleinen riskiprofiili sekä sen palvelujen, toiminnan ja toimintojen luonne, laajuus ja monitahoisuus. Komissiolle olisi siirrettävä valta hyväksyä nämä tekniset täytäntöönpanostandardit SEUT 291 artiklan mukaisilla täytäntöönpanosäädöksillä ja asetusten (EU) N:o 1093/2010, (EU) N:o 1094/2010 ja (EU) N:o 1095/2010 15 artiklan mukaisesti.

(101)

Koska lisävaatimuksia on jo täsmennetty Euroopan parlamentin ja neuvoston asetuksiin (EY) N:o 1060/2009 (23), (EU) N:o 648/2012 (24), (EU) N:o 600/2014 (25) ja (EU) N:o 909/2014 (26) sisältyviin teknisiin sääntely- ja täytäntöönpanostandardeihin perustuvilla delegoiduilla säädöksillä ja täytäntöönpanosäädöksillä, on asianmukaista antaa Euroopan valvontaviranomaisten tehtäväksi, joko yksittäin tai yhteiskomitean välityksellä, toimittaa komissiolle teknisiä sääntely- ja täytäntöönpanostandardeja sellaisten delegoitujen ja täytäntöönpanosäädösten hyväksymiseksi, joilla siirretään voimassa olevia TVT-riskinhallintasääntöjä ja päivitetään niitä.

(102)

Koska tässä asetuksessa sekä Euroopan parlamentin ja neuvoston direktiivissä (EU) 2022/2556 (27) edellytetään TVT-riskinhallintaa koskevien säännösten konsolidointia lukuisissa finanssipalveluja koskevan unionin säännöstön asetuksissa ja direktiiveissä, muun muassa asetuksissa (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014 ja (EU) N:o 909/2014 sekä Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/1011 (28), olisi täysimääräisen johdonmukaisuuden varmistamiseksi muutettava kyseisiä asetuksia sen selventämiseksi, että sovellettavista TVT-riskiin liittyvistä säännöksistä on säädetty tässä asetuksessa.

(103)

Näin ollen niiden operatiiviseen riskiin liittyvien asiaankuuluvien artiklojen soveltamisalaa, joiden nojalla asetuksissa (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014, (EU) N:o 909/2014 ja (EU) 2016/1011 on annettu valtuudet hyväksyä delegoituja säädöksiä ja täytäntöönpanosäädöksiä, olisi kavennettava, jotta tähän asetukseen voidaan siirtää kaikki säännökset, jotka kattavat kyseisiin asetuksiin tällä hetkellä kuuluvat digitaalista häiriönsietokykyä koskevat näkökohdat.

(104)

Maksujärjestelmien toiminnan ja maksujen käsittelytoimien tarjoamisen mahdollistavien TVT-infrastruktuurien käyttöön liittyvää mahdollista systeemistä kyberriskiä olisi käsiteltävä asianmukaisesti unionin tasolla digitaalista häiriönsietokykyä koskevien yhdenmukaistettujen sääntöjen avulla. Tätä varten komission olisi pikaisesti arvioitava, onko tämän asetuksen soveltamisalaa tarpeen tarkistaa, ja samalla yhdenmukaistettava tällainen uudelleentarkastelu direktiivissä (EU) 2015/2366 tarkoitetun kattavan uudelleentarkastelun tulosten kanssa. Lukuisat laajamittaiset hyökkäykset viime vuosikymmenen aikana osoittavat, kuinka maksujärjestelmät ovat tulleet alttiiksi kyberuhkille. Koska ne ovat maksupalveluketjun ytimessä ja niillä on vahvat yhteydet koko rahoitusjärjestelmään, maksujärjestelmistä ja maksujen käsittelytoimista on tullut ratkaisevan tärkeitä unionin rahoitusmarkkinoiden toiminnan kannalta. Tällaisiin järjestelmiin kohdistuvat kyberhyökkäykset voivat aiheuttaa vakavia toiminnallisia häiriöitä, joilla on suoria vaikutuksia keskeisiin taloudellisiin toimintoihin, kuten maksujen helpottamiseen, ja välillisiä vaikutuksia niihin liittyviin taloudellisiin prosesseihin. Siihen saakka, kunnes unionin tasolla otetaan käyttöön yhdenmukaistettu järjestelmä ja maksujärjestelmien ylläpitäjien ja käsittely-yksiköiden valvonta, jäsenvaltiot voivat samankaltaisten markkinakäytäntöjen soveltamiseksi hyödyntää tässä asetuksessa säädettyjä digitaalista häiriönsietokykyä koskevia vaatimuksia soveltaessaan sääntöjä omalla lainkäyttöalueellaan valvottuihin maksujärjestelmien ylläpitäjiin ja käsittely-yksiköihin.

(105)

Jäsenvaltiot eivät voi riittävällä tavalla saavuttaa tämän asetuksen tavoitetta eli saavuttaa säänneltyjen finanssiyhteisöiden digitaalisen häiriönsietokyvyn korkeaa tasoa, koska se edellyttää lukuisten erilaisten sääntöjen yhdenmukaistamista unionin oikeudessa ja kansallisessa lainsäädännössä, vaan se voidaan toiminnan laajuuden ja vaikutusten vuoksi saavuttaa paremmin unionin tasolla. Sen vuoksi unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Mainitussa artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä asetuksessa ei ylitetä sitä, mikä on tarpeen kyseisen tavoitteen saavuttamiseksi.

(106)

Euroopan tietosuojavaltuutettua on kuultu Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (29) 42 artiklan 1 kohdan mukaisesti, ja hän on antanut lausunnon 10 päivänä toukokuuta 2021 (30),

(1)

Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/1148 (4) tavoitteena oli kehittää kyberturvallisuusvalmiuksia kaikkialla unionissa, lieventää keskeisten palvelujen tarjoamiseen keskeisillä aloilla käytettäviin verkko- ja tietojärjestelmiin kohdistuvia uhkia ja varmistaa tällaisten palvelujen jatkuvuus poikkeamatilanteissa sekä tukea näin unionin turvallisuutta ja sen talouden ja yhteiskunnan tehokasta toimintaa.

(2)

Direktiivin (EU) 2016/1148 voimaantulon jälkeen unionin kyberresilienssin parantamisessa on edistytty merkittävästi. Mainitun direktiivin uudelleentarkastelu on osoittanut, että se on vauhdittanut institutionaalista ja sääntelyyn perustuvaa lähestymistapaa kyberturvallisuuteen unionissa ja tasoittanut tietä merkittävälle ajattelutavan muutokselle. Direktiivillä on varmistettu verkko- ja tietojärjestelmien turvallisuutta koskevien kansallisten kehysten täydentäminen määrittämällä kansalliset verkko- ja tietojärjestelmien turvallisuutta koskevat strategiat, luomalla kansallisia valmiuksia ja toteuttamalla sääntelytoimenpiteitä, jotka kattavat kunkin jäsenvaltion määrittämät keskeiset infrastruktuurit ja toimijat. Direktiivillä (EU) 2016/1148 on myös edistetty yhteistyötä unionin tasolla perustamalla erityinen yhteistyöryhmä ja tietoturvaloukkauksiin reagoivien ja niitä tutkivien kansallisten yksiköiden verkosto. Näistä saavutuksista huolimatta direktiivin (EU) 2016/1148 uudelleentarkastelussa on tullut esiin sisälähtöisiä puutteita, joiden vuoksi sillä ei kyetä tuloksekkaasti puuttumaan nykyisiin ja esiin nouseviin kyberturvallisuushaasteisiin.

(3)

Verkko- ja tietojärjestelmät ovat kehittyneet arjen keskeiseksi osaksi yhteiskuntien digitalisaation ja verkottumisen edetessä nopeasti, myös rajatylittävässä yhteydenpidossa. Tämä kehitys on laajentanut kyberuhkaympäristöä ja tuonut mukanaan uusia haasteita, jotka edellyttävät mukautettuja, koordinoituja ja innovatiivisia hallintatoimia kaikissa jäsenvaltioissa. Poikkeamien määrä, laajuus, kehittyneisyys, esiintymistiheys ja vaikutukset lisääntyvät, ja ne muodostavat merkittävän uhkan verkko- ja tietojärjestelmien toiminnalle. Tämän seurauksena poikkeamat voivat haitata taloudellisen toiminnan harjoittamista sisämarkkinoilla, aiheuttaa taloudellisia tappioita, heikentää käyttäjien luottamusta ja aiheuttaa huomattavaa vahinkoa unionin taloudelle ja yhteiskunnalle. Kyberturvallisuusvalmius ja tehokas kyberturvallisuus ovat siksi nyt tärkeämpiä kuin koskaan sisämarkkinoiden moitteettoman toiminnan kannalta. Lisäksi kyberturvallisuus on monilla kriittisillä toimialoilla keskeinen tekijä, jotta digitaalinen siirtymä voidaan toteuttaa onnistuneesti ja digitalisaation taloudelliset, sosiaaliset ja kestävyysedut voidaan hyödyntää täysimääräisesti.

(4)

Direktiivin (EU) 2016/1148 oikeusperustana oli Euroopan unionin toiminnasta tehdyn sopimuksen 114 artikla, jonka tavoitteena on sisämarkkinoiden toteuttaminen ja toiminta tehostamalla toimenpiteitä kansallisten sääntöjen lähentämiseksi. Taloudellisesti merkittäviä palveluja tarjoaville tai taloudellisesti merkittävää toimintaa harjoittaville toimijoille asetetut kyberturvallisuusvaatimukset vaihtelevat huomattavasti jäsenvaltiosta toiseen vaatimusten tyypin, yksityiskohtaisuuden ja valvontamenetelmän osalta. Nämä erot aiheuttavat lisäkustannuksia ja vaikeuksia toimijoille, jotka tarjoavat tavaroita tai palveluja yli valtioiden rajojen. Tällaiseen rajatylittävään toimintaan voi merkittävästi vaikuttaa se, jos yhden jäsenvaltion asettamat vaatimukset eroavat toisen jäsenvaltion asettamista vaatimuksista tai ovat jopa ristiriidassa niiden kanssa. Jos kyberturvallisuusvaatimusten suunnittelu tai täytäntöönpano sattuu lisäksi olemaan jossain jäsenvaltiossa puutteellista, tämä todennäköisesti vaikuttaa kyberturvallisuuden tasoon muissa jäsenvaltioissa, erityisesti kun otetaan huomioon rajatylittävien yhteyksien määrä. Direktiivin (EU) 2016/1148 uudelleentarkastelu on osoittanut, että jäsenvaltiot ovat panneet sen täytäntöön hyvin eri tavoin, myös sen soveltamisalan osalta, jonka rajaaminen jätettiin suurelta osin jäsenvaltioiden harkintaan. Direktiivin (EU) 2016/1148 mukaan jäsenvaltioilla oli myös hyvin laaja harkintavalta päättää, miten ne panevat täytäntöön siinä säädetyt turvallisuutta ja poikkeamista raportointia koskevat velvoitteet. Niinpä näiden velvoitteiden täytäntöönpanossa kansallisella tasolla on merkittäviä eroja. Valvontaa ja täytäntöönpanoa koskevien direktiivin (EU) 2016/1148 säännösten täytäntöönpanossa on samankaltaisia eroja.

(5)

Kaikki nämä erot aiheuttavat sisämarkkinoiden pirstoutumista ja voivat haitata niiden toimintaa, mikä vaikuttaa erityisesti rajatylittävään palveluntarjontaan ja kyberresilienssin tasoon, kun käytössä on monenlaisia toimenpiteitä. Nämä erot saattavat viime kädessä lisätä joidenkin jäsenvaltioiden haavoittuvuutta kyberuhkille, millä voi olla heijastusvaikutuksia kaikkialla unionissa. Tällä direktiivillä pyritään poistamaan näitä jäsenvaltioiden välisiä suuria eroja erityisesti vahvistamalla vähimmäissäännöt koordinoidun sääntelykehyksen toiminnalle, vahvistamalla järjestelyt kunkin jäsenvaltion vastuuviranomaisten toimivaa yhteistyötä varten, ajantasaistamalla luettelo aloista ja toiminnoista, joihin sovelletaan kyberturvallisuusvelvoitteita, ja säätämällä tehokkaista oikeussuojakeinoista ja täytäntöönpanotoimenpiteistä, jotka ovat olennaisen tärkeitä velvoitteiden tehokkaan täytäntöönpanon kannalta. Sen vuoksi direktiivi (EU) 2016/1148 olisi kumottava ja korvattava tällä direktiivillä.

(6)

Kun direktiivi (EU) 2016/1148 kumotaan, toimialoittainen soveltamisala olisi laajennettava koskemaan suurempaa osaa taloudesta, jotta sen piiriin saadaan kaikki toimialat ja palvelut, jotka ovat elintärkeitä sisämarkkinoiden yhteiskunnallisten ja taloudellisten avaintoimintojen kannalta. Tällä direktiivillä pyritään erityisesti korjaamaan puutteet, jotka liittyvät keskeisten palvelujen tarjoajien ja digitaalisten palvelujen tarjoajien väliseen erotteluun, joka on osoittautunut vanhanaikaiseksi, koska se ei kuvasta toimialojen tai palvelujen merkitystä yhteiskunnalliselle ja taloudelliselle toiminnalle sisämarkkinoilla.

(7)

Direktiivin (EU) 2016/1148 mukaan oli jäsenvaltioiden tehtävä määrittää toimijat, jotka täyttävät kriteerit, joiden perusteella niitä voidaan pitää keskeisten palvelujen tarjoajina. Jotta voidaan poistaa asiaan liittyvät jäsenvaltioiden väliset suuret erot ja varmistaa oikeusvarmuus kaikkien asianomaisten toimijoiden kyberturvallisuusriskien hallintatoimenpiteiden ja raportointivelvoitteiden osalta, olisi vahvistettava yhdenmukainen kriteeri, jolla määritetään tämän direktiivin soveltamisalaan kuuluvat toimijat. Kriteerinä olisi sovellettava enimmäiskokoa koskevaa sääntöä, jonka mukaan direktiivin soveltamisalaan kuuluvat kaikki toimijat, jotka täyttävät komission suosituksen 2003/361/EY (5) liitteessä olevan 2 artiklan mukaiset keskisuuria yrityksiä koskevat edellytykset tai jotka ylittävät kyseisen artiklan 1 kohdassa säädetyt keskisuurten yritysten määrittelyssä käytettävät kynnysarvot ja jotka toimivat sellaisilla toimialoilla ja tarjoavat sellaisia palvelutyyppejä tai harjoittavat sellaista toimintaa, jotka kuuluvat tämän direktiivin soveltamisalaan. Jäsenvaltioiden olisi myös säädettävä, että tämän direktiivin soveltamisalaan kuuluvat sellaiset kyseisessä liitteessä olevan 2 artiklan 2 ja 3 kohdassa määritellyt pienet yritykset ja mikroyritykset, jotka täyttävät erityiset kriteerit, jotka osoittavat niiden olevan avainasemassa yhteiskunnassa, taloudessa tai tietyillä toimialoilla tai tietyissä palvelutyypeissä.

(8)

Julkishallinnon toimijoista olisi jätettävä tämän direktiivin soveltamisalan ulkopuolelle ne, jotka harjoittavat toimintaa pääasiassa kansallisen turvallisuuden, yleisen turvallisuuden, puolustuksen tai lainvalvonnan alalla, mukaan lukien rikosten ennalta estäminen, tutkiminen, paljastaminen ja rikoksiin liittyvät syytetoimet. Niitä julkishallinnon toimijoita, joiden toiminta liittyy vain marginaalisesti mainittuihin aloihin, ei kuitenkaan olisi jätettävä tämän direktiivin soveltamisalan ulkopuolelle. Tätä direktiiviä sovellettaessa sääntelyvaltaa käyttävien toimijoiden ei katsota harjoittavan toimintaa lainvalvonnan alalla, joten niitä ei kyseisellä perusteella jätetä tämän direktiivin soveltamisalan ulkopuolelle. Julkishallinnon toimijat, jotka on perustettu yhdessä kolmannen maan kanssa kansainvälisen sopimuksen mukaisesti, eivät kuulu tämän direktiivin soveltamisalaan. Tätä direktiiviä ei sovelleta jäsenvaltioiden kolmansissa maissa sijaitseviin diplomaattisiin edustustoihin ja konsuliedustustoihin tai näiden verkko- ja tietojärjestelmiin, siltä osin kuin tällaiset järjestelmät sijaitsevat edustuston tiloissa tai niitä ylläpidetään kolmannessa maassa olevia käyttäjiä varten.

(9)

Jäsenvaltioiden olisi voitava toteuttaa tarvittavat toimenpiteet keskeisten kansalliseen turvallisuuteen liittyvien etujen suojaamiseksi, yleisen järjestyksen ja turvallisuuden takaamiseksi sekä rikosten ennalta estämisen, tutkimisen, paljastamisen ja rikoksiin liittyvien syytetoimien mahdollistamiseksi. Tätä varten jäsenvaltioiden olisi voitava vapauttaa erityiset toimijat, jotka harjoittavat toimintaa kansallisen turvallisuuden, yleisen turvallisuuden, puolustuksen tai lainvalvonnan alalla, mukaan lukien rikosten ennalta estäminen, tutkiminen, paljastaminen ja rikoksiin liittyvät syytetoimet, tietyistä tässä direktiivissä säädetyistä velvoitteista mainituissa toiminnoissa. Jos toimija tarjoaa palveluja yksinomaan tämän direktiivin soveltamisalan kuulumattomalle julkishallinnon toimijalle, jäsenvaltioiden olisi voitava vapauttaa kyseinen toimija tässä direktiivissä säädetyistä velvoitteista mainituissa palveluissa. Mitään jäsenvaltiota ei myöskään pitäisi vaatia antamaan tietoja, joiden luovuttaminen olisi vastoin sen keskeisiä kansalliseen turvallisuuteen, yleiseen turvallisuuteen tai puolustukseen liittyviä etuja. Tässä yhteydessä olisi otettava huomioon turvallisuusluokiteltujen tietojen suojaamista koskevat unionin tai kansalliset säännöt, salassapitosopimukset ja epäviralliset salassapitosopimukset, kuten Traffic Light Protocol -käsittelyluokitus. Traffic Light Protocol -käsittelyluokitus on keino tiedottaa mahdollisista tietojen levittämiseen liittyvistä rajoituksista. Sitä käytetään lähes kaikissa tietoturvaloukkauksiin reagoivissa ja niitä tutkivissa yksiköissä (CSIRT) ja joissakin tietojen jakamisen ja analysoinnin keskuksissa.

(10)

Vaikka tätä direktiiviä sovelletaan toimijoihin, jotka toteuttavat ydinvoimaloiden sähköntuotantoon liittyviä toimintoja, jotkin kyseisistä toiminnoista voivat liittyä kansalliseen turvallisuuteen. Jos näin on, jäsenvaltion olisi voitava perussopimusten mukaisesti kantaa vastuunsa kansallisen turvallisuuden takaamisesta näiden toimintojen osalta, mukaan lukien ydinenergia-alan arvoketjuun kuuluvat toiminnot.

(11)

Jotkut toimijat toimivat kansallisen turvallisuuden, yleisen turvallisuuden, puolustuksen tai lainvalvonnan alalla, mukaan lukien rikosten ennalta estäminen, tutkiminen, paljastaminen ja rikoksiin liittyvät syytetoimet, ja tarjoavat lisäksi luottamuspalveluja. Luottamuspalvelun tarjoajien, jotka kuuluvat Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 (6) soveltamisalaan, olisi kuuluttava tämän direktiivin soveltamisalaan, jotta voidaan varmistaa sama tietoturvavaatimusten ja valvonnan taso, josta on säädetty aiemmin kyseisessä asetuksessa luottamuspalvelun tarjoajien osalta. Samoin kuin tietyt erityispalvelut eivät kuulu asetuksen (EU) N:o 910/2014 soveltamisalaan, tätä direktiiviä ei pitäisi soveltaa sellaisten luottamuspalvelujen tarjoamiseen, joita käytetään yksinomaan kansallisesta oikeudesta tai määrätyn osallistujajoukon välisistä sopimuksista johtuvissa suljetuissa järjestelmissä.

(12)

Euroopan parlamentin ja neuvoston direktiivissä 97/67/EY (7) määriteltyjen postipalvelujen tarjoajien, myös kuriiripalvelujen tarjoajien, olisi kuuluttava tämän direktiivin soveltamisalaan, jos ne tarjoavat vähintään yhden postiketjun vaiheista, erityisesti postilähetysten keräilyn, lajittelun, kuljetuksen tai jakelun, mukaan lukien noutopalvelut, ja ottaen huomioon, missä määrin ne ovat riippuvaisia verkko- ja tietojärjestelmistä. Kuljetuspalvelut, jotka eivät koske jotain mainituista vaiheista, olisi jätettävä postipalvelujen määritelmän ulkopuolelle.

(13)

Koska kyberuhkat ovat yhä runsaslukuisempia ja kehittyneempiä, jäsenvaltioiden olisi pyrittävä varmistamaan, että tämän direktiivin soveltamisalaan kuulumattomat toimijat saavuttavat korkean tason kyberturvallisuudessa, ja tukemaan vastaavien kyberturvallisuusriskien hallintatoimenpiteiden täytäntöönpanoa, joissa otetaan huomioon kyseisten toimijoiden toiminnan arkaluonteisuus.

(14)

Kaikkeen tämän direktiivin mukaiseen henkilötietojen käsittelyyn sovelletaan unionin tietosuojalainsäädäntöä ja yksityisyyden suojaa koskevaa unionin lainsäädäntöä. Tällä direktiivillä ei etenkään rajoiteta Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (8) ja Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (9) soveltamista. Tämä direktiivi ei sen vuoksi saisi vaikuttaa muun muassa niiden viranomaisten tehtäviin ja valtuuksiin, jotka ovat toimivaltaisia valvomaan sovellettavan unionin tietosuojalainsäädännön ja yksityisyyden suojaa koskevan unionin lainsäädännön noudattamista.

(15)

Kyberturvallisuusriskien hallintatoimenpiteiden ja raportointivelvoitteiden noudattamista varten tämän direktiivin soveltamisalaan kuuluvat toimijat olisi luokiteltava kahteen luokkaan, keskeisiin toimijoihin ja tärkeisiin toimijoihin, sen mukaan, kuinka kriittisiä ne ovat alallaan tai tarjoamansa palvelutyypin tarjoajina sekä kokonsa mukaan. Tältä osin olisi tapauksen mukaan otettava asianmukaisesti huomioon mahdolliset merkitykselliset alakohtaiset riskinarvioinnit tai toimivaltaisten viranomaisten antama ohjeistus. Näiden kahden toimijaluokan valvonta- ja täytäntöönpanojärjestelmät olisi eriytettävä, jotta varmistetaan oikeudenmukainen tasapaino yhtäältä riskiperusteisten vaatimusten ja velvoitteiden ja toisaalta sääntöjen noudattamisen valvonnasta aiheutuvan hallinnollisen rasitteen välillä.

(16)

Jottei toimijoita, joilla on omistusyhteysyrityksiä tai jotka ovat sidosyrityksiä, pidettäisi keskeisinä tai tärkeinä toimijoina tapauksissa, joissa se olisi suhteetonta, jäsenvaltiot voivat ottaa huomioon sen, kuinka riippumaton toimija on omistusyhteysyrityksistään tai sidosyrityksistään, sovellettaessa suosituksen 2003/361/EY liitteessä olevan 6 artiklan 2 kohtaa. Jäsenvaltiot voivat erityisesti ottaa huomioon sen seikan, että toimija ei ole riippuvainen omistusyhteys- tai sidosyrityksistään palvelujensa tarjoamiseen käyttämiensä verkko- ja tietojärjestelmien osalta ja tarjoamiensa palvelujen osalta. Tämän perusteella jäsenvaltiot voivat tarvittaessa katsoa, että tällainen toimija ei täytä suosituksen 2003/361/EY liitteessä olevan 2 artiklan mukaisia keskisuuria yrityksiä koskevia edellytyksiä tai että se ei ylitä kyseisen artiklan 1 kohdassa säädettyjä keskisuurten yritysten määrittelyssä käytettäviä kynnysarvoja, jos kyseisen toimijan ei olisi sen jälkeen, kun on otettu huomioon sen riippumattomuuden aste, katsottu täyttävän keskisuuria yrityksiä koskevia edellytyksiä tai ylittävän näitä kynnysarvoja, jos ainoastaan sen omat tiedot olisi otettu huomioon. Tämä ei vaikuta tämän direktiivin soveltamisalaan kuuluvien omistusyhteys- ja sidosyritysten tässä direktiivissä säädettyihin velvoitteisiin.

(17)

Jäsenvaltioiden olisi voitava päättää, että ne toimijat, jotka on ennen tämän direktiivin voimaantuloa määritetty keskeisten palvelujen tarjoajiksi direktiivin (EU) 2016/1148 mukaisesti, on katsottava keskeisiksi toimijoiksi.

(18)

Jotta voidaan saada selkeä yleiskuva tämän direktiivin soveltamisalaan kuuluvista toimijoista, jäsenvaltioiden olisi laadittava luettelo keskeisistä ja tärkeistä toimijoista sekä verkkotunnusten rekisteröintipalveluja tarjoavista toimijoista. Tätä varten jäsenvaltioiden olisi vaadittava toimijoita toimittamaan toimivaltaisille viranomaisille ainakin seuraavat tiedot: toimijan nimi, osoite ja ajantasaiset yhteystiedot, mukaan lukien toimijan sähköpostiosoitteet, IP-osoitealueet ja puhelinnumerot ja tapauksen mukaan asiaankuuluva toimiala ja toimialan osa liitteiden mukaisesti sekä tapauksen mukaan luettelo jäsenvaltioista, joissa ne tarjoavat tämän direktiivin soveltamisalaan kuuluvia palveluja. Tätä varten komission olisi Euroopan unionin kyberturvallisuusviraston (ENISA) avustuksella ilman aiheetonta viivytystä annettava ohjeita ja malleja tietojen toimittamisvelvoitteen täyttämiseksi. Keskeisten ja tärkeiden toimijoiden sekä verkkotunnusten rekisteröintipalveluja tarjoavien toimijoiden luettelon laatimisen ja ajantasaistamisen helpottamiseksi jäsenvaltioiden olisi voitava perustaa kansallisia järjestelyjä, joiden ansiosta toimijat voivat itse kirjautua luetteloon. Jos kansallisella tasolla on olemassa rekistereitä, jäsenvaltiot voivat päättää asianmukaisista järjestelyistä, joiden avulla voidaan tunnistaa tämän direktiivin soveltamisalaan kuuluvat toimijat.

(19)

Jäsenvaltioiden olisi vastattava siitä, että komissiolle toimitetaan vähintään kunkin liitteissä mainitun toimialan ja toimialan osan keskeisten ja tärkeiden toimijoiden lukumäärä sekä asiaankuuluvat tiedot määritettyjen toimijoiden lukumäärästä ja siitä, mihin tämän direktiivin säännökseen kunkin toimijan määrittäminen perustuu, sekä niiden tarjoaman palvelun tyyppi. Jäsenvaltioita kannustetaan vaihtamaan komission kanssa tietoja keskeisistä ja tärkeistä toimijoista sekä laajamittaisen kyberturvallisuuspoikkeaman tapauksessa asiaankuuluvia tietoja, kuten asianomaisen toimijan nimi.

(20)

Komission olisi yhteistyössä yhteistyöryhmän kanssa ja asianomaisia sidosryhmiä kuultuaan annettava ohjeita mikroyrityksiin ja pieniin yrityksiin sovellettavien kriteerien käytöstä sen arvioimisessa, kuuluvatko ne tämän direktiivin soveltamisalaan. Komission olisi myös varmistettava, että tämän direktiivin soveltamisalaan kuuluville mikroyrityksille ja pienille yrityksille annetaan asianmukaista ohjeistusta. Komission olisi jäsenvaltioiden avustuksella asetettava asiaa koskevia tietoja mikroyritysten ja pienten yritysten saataville.

(21)

Komissio voisi antaa ohjeistusta avustaakseen jäsenvaltioita soveltamisalaa koskevien tämän direktiivin säännösten täytäntöönpanossa ja tämän direktiivin nojalla toteutettavien toimenpiteiden oikeasuhteisuuden arvioimisessa, erityisesti kun on kyse toimijoista, jotka kompleksisen liiketoimintamallinsa tai toimintaympäristönsä vuoksi voivat samanaikaisesti täyttää sekä keskeisille että tärkeille toimijoille asetetut kriteerit tai voivat samanaikaisesti harjoittaa toimintaa, josta osa kuuluu ja osa ei kuulu tämän direktiivin soveltamisalaan.

(22)

Tässä direktiivissä vahvistetaan kyberturvallisuusriskien hallintatoimenpiteiden ja raportointivelvoitteiden perustaso kaikilla direktiivin soveltamisalaan kuuluvilla toimialoilla. Jos pidetään tarpeellisena antaa täydentäviä kyberturvallisuusriskien hallintatoimenpiteisiin ja raportointivelvoitteisiin liittyviä alakohtaisia unionin säädöksiä kyberturvallisuuden korkean tason varmistamiseksi kaikkialla unionissa, komission olisi arvioitava, voitaisiinko tällaisia täydentäviä säännöksiä antaa täytäntöönpanosäädöksessä tämän direktiivin nojalla, jotta vältetään unionin säädösten kyberturvallisuussäännösten hajanaisuus. Jos tällainen täytäntöönpanosäädös ei sovi tähän tarkoitukseen, alakohtaisilla unionin säädöksillä voitaisiin edistää kyberturvallisuuden korkean tason varmistamista kaikkialla unionissa, samalla kun otetaan kaikilta osin huomioon asianomaisten toimialojen erityispiirteet ja kompleksisuus. Siksi tämä direktiivi ei estä hyväksymästä täydentäviä alakohtaisia unionin säädöksiä, jotka koskevat kyberturvallisuusriskien hallintatoimenpiteitä ja raportointivelvoitteita ja joissa otetaan asianmukaisesti huomioon kattavan ja johdonmukaisen kyberturvallisuuskehyksen tarve. Tämä direktiivi ei vaikuta nykyiseen täytäntöönpanovaltaan, joka on siirretty komissiolle useilla aloilla, mukaan lukien liikenne ja energia.

(23)

Jos alakohtaisessa unionin säädöksessä on säännöksiä, joissa keskeisiä tai tärkeitä toimijoita vaaditaan ottamaan käyttöön kyberturvallisuusriskien hallintatoimenpiteitä tai ilmoittamaan merkittävistä poikkeamista, ja jos kyseiset vaatimukset ovat vaikutukseltaan vähintään tässä direktiivissä säädettyjä velvoitteita vastaavia, tällaisiin toimijoihin olisi sovellettava kyseisiä säännöksiä, mukaan lukien valvontaa ja täytäntöönpanoa koskevat säännökset. Jos alakohtainen unionin säädös ei kata tämän direktiivin soveltamisalaan kuuluvan tietyn toimialan kaikkia toimijoita, tämän direktiivin asiaankuuluvia säännöksiä olisi edelleen sovellettava niihin toimijoihin, joita mainittu säädös ei kata.

(24)

Jos alakohtaisen unionin säädöksen säännöksissä vaaditaan keskeisiä tai tärkeitä toimijoita noudattamaan raportointivelvoitteita, jotka ovat vaikutukseltaan vähintään tässä direktiivissä säädettyjä raportointivelvoitteita vastaavia, olisi varmistettava poikkeamailmoitusten käsittelyn johdonmukaisuus ja tehokkuus. Tätä varten poikkeamista ilmoittamiseen liittyvissä alakohtaisen unionin säädöksen säännöksissä olisi annettava tämän direktiivin mukaisille CSIRT-yksiköille, toimivaltaisille viranomaisille tai kyberturvallisuusalan keskitetyille yhteyspisteille, jäljempänä ’keskitetty yhteyspiste’, välitön pääsy alakohtaisen unionin säädöksen mukaisesti tehtyihin poikkeamailmoituksiin. Tällainen välitön pääsy voidaan varmistaa erityisesti, jos poikkeamailmoitukset toimitetaan ilman aiheetonta viivytystä eteenpäin tämän direktiivin mukaiselle CSIRT-yksikölle, toimivaltaiselle viranomaiselle tai keskitetylle yhteyspisteelle. Jäsenvaltioiden olisi tarvittaessa otettava käyttöön automaattinen ja suora raportointimekanismi, jolla varmistetaan tällaisten poikkeamailmoitusten käsittelyä koskevien tietojen järjestelmällinen ja välitön jakaminen CSIRT-yksiköiden, toimivaltaisten viranomaisten tai keskitettyjen yhteyspisteiden kanssa. Ilmoittamisen yksinkertaistamiseksi ja automaattisen ja suoran raportointimekanismin toteuttamiseksi jäsenvaltiot voisivat alakohtaisen unionin säädöksen mukaisesti käyttää keskitettyä asiointipistettä.

(25)

Alakohtaisissa unionin säädöksissä, joissa säädetään kyberturvallisuusriskien hallintatoimenpiteistä tai raportointivelvoitteista, jotka ovat vaikutukseltaan vähintään tässä direktiivissä säädettyjä toimenpiteitä ja velvoitteita vastaavia, voitaisiin säätää, että tällaisten säädösten mukaiset toimivaltaiset viranomaiset käyttävät näiden toimenpiteiden tai velvoitteiden valvonta- ja täytäntöönpanovaltuuksiaan tämän direktiivin mukaisten toimivaltaisten viranomaisten avustuksella. Kyseiset toimivaltaiset viranomaiset voisivat perustaa yhteistyöjärjestelyjä tätä tarkoitusta varten. Tällaisissa yhteistyöjärjestelyissä voitaisiin täsmentää muun muassa valvontatoimien koordinointia koskevat menettelyt, mukaan lukien kansallisen lainsäädännön mukaiset tutkintamenettelyt ja paikalla tehtävät tarkastukset sekä järjestely valvontaa ja täytäntöönpanoa koskevien asiaankuuluvien tietojen vaihtamiseksi toimivaltaisten viranomaisten välillä, myös pääsy tämän direktiivin mukaisten toimivaltaisten viranomaisten pyytämiin kyberturvallisuustietoihin.

(26)

Jos alakohtaisissa unionin säädöksissä vaaditaan toimijoita ilmoittamaan tai tarjotaan toimijoille kannustimia ilmoittaa merkittävistä kyberuhkista, jäsenvaltioiden olisi myös kannustettava merkittäviä kyberuhkia koskevien tietojen jakamiseen tämän direktiivin mukaisten CSIRT-yksiköiden, toimivaltaisten viranomaisten tai keskitettyjen yhteyspisteiden kanssa, jotta voidaan varmistaa kyseisten elinten parempi tietoisuus kyberuhkaympäristöstä ja antaa niille mahdollisuus reagoida tehokkaasti ja oikea-aikaisesti, jos merkittävät kyberuhkat toteutuvat.

(27)

Tulevissa alakohtaisissa unionin säädöksissä olisi otettava asianmukaisesti huomioon tässä direktiivissä säädetyt määritelmät ja valvonta- ja täytäntöönpanokehys.

(28)

Euroopan parlamentin ja neuvoston asetusta (EU) 2022/2554 (10) olisi pidettävä tähän direktiiviin liittyvänä alakohtaisena unionin säädöksenä finanssialan toimijoiden osalta. Asetuksen (EU) 2022/2554 säännöksiä, jotka koskevat tieto- ja viestintätekniikan (TVT) riskinhallintaa, TVT:hen liittyvien poikkeamien hallintaa ja erityisesti laajavaikutteisista TVT:hen liittyvistä poikkeamista raportointia, sekä sen säännöksiä digitaalisen häiriönsietokyvyn testauksesta, tiedonjakojärjestelyistä ja TVT-palveluntarjoajana oleviin kolmansiin osapuoliin liittyvistä riskeistä olisi sovellettava tämän direktiivin säännösten asemesta. Sen vuoksi jäsenvaltioiden ei pitäisi soveltaa tämän direktiivin säännöksiä, jotka koskevat kyberturvallisuusriskien hallintaa ja raportointivelvoitteita sekä valvontaa ja täytäntöönpanoa, asetuksen (EU) 2022/2554 soveltamisalaan kuuluviin finanssialan toimijoihin. Samalla tässä direktiivissä on tärkeää säilyttää vahva yhteys finanssialaan ja tietojenvaihto finanssialan kanssa. Tätä varten asetuksessa (EU) 2022/2554 annetaan Euroopan valvontaviranomaisille ja kyseisen asetuksen mukaisille toimivaltaisille viranomaisille mahdollisuus osallistua yhteistyöryhmän toimintaan sekä vaihtaa tietoja ja tehdä yhteistyötä keskitettyjen yhteyspisteiden sekä tämän direktiivin mukaisten CSIRT-yksiköiden ja toimivaltaisten viranomaisten kanssa. Asetuksen (EU) 2022/2554 mukaisten toimivaltaisten viranomaisten olisi myös toimitettava tiedot laajavaikutteisista TVT:hen liittyvistä poikkeamista ja tapauksen mukaan merkittävistä kyberuhkista tämän direktiivin mukaisille CSIRT-yksiköille, toimivaltaisille viranomaisille tai keskitetyille yhteyspisteille. Tämä voidaan toteuttaa tarjoamalla välitön pääsy poikkeamailmoituksiin ja toimittamalla ne eteenpäin joko suoraan tai poikkeamailmoituksia käsittelevän keskitetyn asiointipisteen kautta. Lisäksi jäsenvaltioiden olisi edelleen sisällytettävä finanssiala kyberturvallisuusstrategioihinsa, ja CSIRT-yksiköt voivat kattaa finanssialan toiminnassaan.

(29)

Jotta vältetään ilmailualan toimijoille asetettujen kyberturvallisuusvelvoitteiden väliset puutteet ja päällekkäisyydet, Euroopan parlamentin ja neuvoston asetusten (EY) N:o 300/2008 (11) ja (EU) 2018/1139 (12) mukaisten kansallisten viranomaisten ja tämän direktiivin mukaisten toimivaltaisten viranomaisten olisi tehtävä yhteistyötä kyberturvallisuusriskien hallintatoimenpiteiden täytäntöönpanon ja näiden toimenpiteiden noudattamisen kansallisen tason valvonnan osalta. Jos toimija täyttää asetuksissa (EY) N:o 300/2008 ja (EU) 2018/1139 sekä niiden nojalla hyväksytyissä asiaankuuluvissa delegoiduissa säädöksissä ja täytäntöönpanosäädöksissä säädetyt turvallisuusvaatimukset, tämän direktiivin mukaiset toimivaltaiset viranomaiset voivat katsoa sen täyttävän tässä direktiivissä säädetyt vastaavat vaatimukset.

(30)

Kyberturvallisuuden ja toimijoiden fyysisen turvallisuuden välisten yhteyksien vuoksi olisi varmistettava johdonmukainen lähestymistapa Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2557 (13) ja tämän direktiivin välillä. Tämän saavuttamiseksi direktiivin (EU) 2022/2557 nojalla kriittisiksi toimijoiksi määritettyjä toimijoita olisi pidettävä tämän direktiivin mukaisina keskeisinä toimijoina. Kunkin jäsenvaltion olisi myös varmistettava, että sen kansallinen kyberturvallisuusstrategia sisältää toimintakehyksen koordinoinnin tehostamiselle kyseisessä jäsenvaltioissa sen tämän direktiivin mukaisten toimivaltaisten viranomaisten ja direktiivin (EU) 2022/2557 mukaisten toimivaltaisten viranomaisten välillä, kun vaihdetaan tietoja riskeistä, kyberuhkista ja poikkeamista ja muista kuin kyberturvallisuuteen liittyvistä riskeistä, uhkista ja poikkeamista sekä hoidetaan valvontatehtäviä. Tämän direktiivin ja direktiivin (EU) 2022/2557 mukaisten toimivaltaisten viranomaisten olisi tehtävä yhteistyötä ja vaihdettava tietoja ilman aiheetonta viivytystä erityisesti kriittisten toimijoiden, riskien, kyberuhkien ja poikkeamien tunnistamisesta sekä kriittisiin toimijoihin vaikuttavista muista kuin kyberturvallisuuteen liittyvistä riskeistä, uhkista ja poikkeamista, mukaan lukien kriittisten toimijoiden toteuttamat kyberturvallisuustoimenpiteet ja fyysiset toimenpiteet sekä näitä toimijoita koskevien valvontatoimien tulokset.

Lisäksi jotta valvontatoimia voitaisiin virtaviivaistaa tämän direktiivin ja direktiivin (EU) 2022/2557 mukaisten toimivaltaisten viranomaisten kesken ja jotta asianomaisille toimijoille aiheutuva hallinnollinen rasite voitaisiin minimoida, kyseisten toimivaltaisten viranomaisten olisi pyrittävä yhdenmukaistamaan poikkeamailmoitusmallit ja valvontamenettelyt. Direktiivin (EU) 2022/2557 mukaisten toimivaltaisten viranomaisten olisi voitava tarvittaessa pyytää tämän direktiivin mukaisia toimivaltaisia viranomaisia käyttämään valvonta- ja täytäntöönpanovaltuuksiaan suhteessa toimijaan, joka on määritetty kriittiseksi toimijaksi direktiivin (EU) 2022/2557 nojalla. Tämän direktiivin ja direktiivin (EU) 2022/2557 mukaisten toimivaltaisten viranomaisten olisi tehtävä yhteistyötä ja vaihdettava tietoja, mahdollisuuksien mukaan reaaliaikaisesti, tätä tarkoitusta varten.

(31)

Digitaalisen infrastruktuurin toimialan toimijoiden toiminta perustuu olennaisesti verkko- ja tietojärjestelmiin, joten kyseisille toimijoille tämän direktiivin nojalla asetetuilla velvoitteilla olisi varmistettava kattavasti kyseisten järjestelmien fyysinen turvallisuus osana toimijoiden kyberturvallisuusriskien hallintatoimenpiteitä ja raportointivelvoitteita. Koska näistä seikoista säädetään tässä direktiivissä, direktiivin (EU) 2022/2557 III, IV ja VI luvussa säädettyjä velvoitteita ei sovelleta näihin toimijoihin.

(32)

Luotettavan, häiriönsietokykyisen ja turvallisen verkkotunnusjärjestelmän (DNS) ylläpitäminen ja säilyttäminen ovat keskeisiä tekijöitä internetin eheyden säilymisen kannalta ja olennaisen tärkeitä internetin jatkuvalle ja vakaalle toiminnalle, mistä koko digitaalitalous ja -yhteiskunta ovat riippuvaisia. Sen vuoksi tätä direktiiviä olisi sovellettava aluetunnusrekistereihin ja DNS-palveluntarjoajiin, jotka on ymmärrettävä toimijoiksi, jotka tarjoavat yleisesti saatavilla olevia rekursiivisia verkkotunnusten selvityspalveluja internetin loppukäyttäjille tai auktoritatiivisia verkkotunnusten selvityspalveluja kolmansille osapuolille. Tätä direktiiviä ei pitäisi soveltaa juurinimipalvelimiin.

(33)

Pilvipalveluihin olisi luettava digitaaliset palvelut, jotka tarjoavat laajaan etäkäyttöön skaalattavan ja joustavan joukon jaettavissa olevia ja tarveperusteisesti ohjattavia tietoteknisiä resursseja, myös sijainniltaan hajautettuja resursseja. Tietoteknisiin resursseihin kuuluu esimerkiksi verkkoja, palvelimia ja muuta infrastruktuuria, käyttöjärjestelmiä, ohjelmistoja, tallennustilaa, sovelluksia ja palveluja. Pilvipalvelujen palvelumalleihin kuuluvat muun muassa infrastruktuuripalvelu (IaaS), alustapalvelu (PaaS), sovelluspalvelu (SaaS) ja tietoverkkopalvelu (NaaS). Pilvipalvelujen toimintamalleina olisi otettava huomioon yksityiset, yhteisövetoiset, julkiset ja hybridipilvipalvelut. Pilvipalvelujen palvelu- ja toimintamalleilla tarkoitetaan samaa kuin standardissa ISO/IEC 17788:2014 määritellyillä palvelu- ja toimintamalleilla. Pilvipalvelun käyttäjän kykyä käyttää yksipuolisesti ja oma-aloitteisesti tietojenkäsittelyvalmiuksia, kuten palvelinaikaa tai verkkotallennustilaa, ilman pilvipalveluntarjoajan inhimillistä panosta voitaisiin kuvata tarveperusteiseksi ohjaukseksi. Ilmaisua ’laaja etäkäyttö’ käytetään kuvaamaan sitä, että pilvipalveluresursseja tarjotaan verkossa ja niitä pääsee käyttämään erilaisten prosessointivalmiuksiltaan kevyiden tai raskaiden päätelaitteiden, kuten älypuhelinten, tablettitietokoneiden, kannettavien tietokoneiden ja työasemien, käytön mahdollistavien järjestelyjen ansiosta.

Ilmaisu ’skaalautuva’ viittaa tietoteknisiin resursseihin, joita pilvipalvelujen tarjoaja jakaa joustavasti resurssien maantieteellisestä sijainnista riippumatta kysynnän vaihtelun mukaan. Ilmaisua ’joustava joukko’ käytetään kuvaamaan tietoteknisiä resursseja, joita tarjotaan ja vapautetaan käyttöön kysynnän mukaan niin, että resursseja voidaan nopeasti lisätä ja vähentää kuormituksen perusteella. Ilmaisua ’jaettavissa oleva’ käytetään kuvaamaan tietoteknisiä resursseja, joita tarjotaan useille käyttäjille, joilla on yhteinen pääsy palveluun, jossa prosessointi on kuitenkin käyttäjäkohtaista, vaikka palvelu tarjotaan saman sähköisen laitteiston kautta. Ilmaisua ’hajautettu’ käytetään kuvaamaan tietoteknisiä resursseja, jotka sijaitsevat erillisissä verkotetuissa tietokoneissa tai laitteissa ja jotka viestivät ja koordinoivat toimintaansa keskenään rakenteisella viestinvaihdolla.

(34)

Innovatiivisten teknologioiden ja uusien liiketoimintamallien myötä sisämarkkinoille odotetaan tulevan uusia pilvipalvelujen palvelu- ja toimintamalleja, joilla vastataan asiakkaiden muuttuviin tarpeisiin. Pilvipalveluja voidaan tarjota pitkälle hajautetussa muodossa ja entistä lähempänä paikkaa, jossa dataa tuotetaan tai kerätään, jolloin siirrytään perinteisestä mallista pitkälle hajautettuun malliin (reunalaskentamalli).

(35)

Datakeskuspalvelujen tarjoajat eivät välttämättä aina tarjoa palvelujaan pilvipalveluna. Näin ollen datakeskukset eivät välttämättä aina ole osa pilvipalveluinfrastruktuuria. Kaikkien verkko- ja tietojärjestelmien turvallisuuteen kohdistuvien riskien hallitsemiseksi tämän direktiivin olisi siksi katettava sellaisten datakeskuspalvelujen tarjoajat, jotka eivät ole pilvipalveluja. Tässä direktiivissä ’datakeskuspalvelulla’ olisi tarkoitettava sellaisen palvelun tarjoamista, joka käsittää rakenteita tai rakenteiden ryhmiä, jotka on tarkoitettu datan tallennus-, käsittely- ja siirtopalveluja tarjoavien tietoteknisten ja verkkolaitteiden keskitettyyn ylläpitoon, yhteenliittämiseen ja ohjaukseen yhdessä kaikkien tarvittavien sähkönjakeluun ja toimintaolosuhteiden säätelyyn tarkoitettujen laitteiden ja infrastruktuurien kanssa. Ilmaisua ’datakeskuspalvelu’ ei pitäisi käyttää toimijan omistamista ja omiin sisäisiin käyttötarkoituksiinsa operoimista datakeskuksista.

(36)

Tutkimustoiminnalla on keskeinen rooli uusien tuotteiden ja prosessien kehittämisessä. Monia näistä toiminnoista suorittavat toimijat, jotka jakavat, levittävät tai hyödyntävät tutkimustuloksiaan kaupallisiin tarkoituksiin. Nämä toimijat voivat näin ollen olla tärkeitä lenkkejä arvoketjuissa, minkä johdosta niiden verkko- ja tietojärjestelmien turvallisuus on erottamaton osa sisämarkkinoiden yleistä kyberturvallisuutta. Tutkimusorganisaatioihin olisi luettava toimijat, joiden toiminnasta olennainen osa on Taloudellisen yhteistyön ja kehityksen järjestön vuonna 2015 laaditussa, tutkimus- ja kehittämistoiminnan tietojen keräämis- ja raportointiohjeita koskevassa Frascati-käsikirjassa tarkoitettua soveltavaa tutkimusta tai kokeellista kehitystyötä, joiden tuloksia ne hyödyntävät kaupallisiin tarkoituksiin, kuten tuotteen valmistamiseen tai kehittämiseen tai prosessiin, palvelun tarjoamiseen tai sen markkinointiin.

(37)

Kasvavat keskinäiset riippuvuussuhteet ovat tulosta yhä useammin rajatylittävästä ja keskinäisriippuvaisesta verkostosta, jossa käytetään eri puolilla unionia sijaitsevia keskeisiä infrastruktuureja palveluntarjontaan energian, liikenteen, digitaalisen infrastruktuurin, juoma- ja jäteveden, terveyden ja julkishallinnon tiettyjen näkökohtien kaltaisilla aloilla sekä avaruustoiminnassa siinä määrin kuin on kyse sellaisten palvelujen tarjoamisesta, jotka ovat riippuvaisia joko jäsenvaltioiden tai yksityisten osapuolten omistamasta, hallinnoimasta ja operoimasta maassa sijaitsevasta infrastruktuurista, mihin ei näin ollen lueta infrastruktuuria, jonka unioni omistaa tai jota se hallinnoi tai operoi tai jota hallinnoidaan tai operoidaan sen puolesta osana sen avaruusohjelmaa. Näiden keskinäisriippuvuuksien vuoksi kaikilla häiriöillä, vaikka ne alun perin rajoittuisivatkin yhteen toimijaan tai yhteen toimialaan, voi olla laajempi, ketjureaktiona etenevä vaikutus, joka saattaa johtaa kauaskantoisiin ja pitkäkestoisiin kielteisiin vaikutuksiin palvelujen tarjontaan sisämarkkinoilla. Covid-19-pandemian aikana lisääntyneet kyberhyökkäykset ovat osoittaneet yhä voimakkaammin keskinäisriippuvaisten yhteiskuntiemme haavoittuvuuden kohdatessamme alhaisen todennäköisyyden riskejä.

(38)

Jotta voidaan ottaa huomioon kansallisten hallintorakenteiden erot ja säilyttää olemassa olevat alakohtaiset järjestelyt tai unionin valvonta- ja sääntelyelimet, jäsenvaltioiden olisi voitava nimetä tai perustaa yksi tai useampi toimivaltainen viranomainen, joka vastaa kyberturvallisuudesta ja tämän direktiivin mukaisista valvontatehtävistä.

(39)

Viranomaisten välisen rajatylittävän yhteistyön ja viestinnän helpottamiseksi ja tämän direktiivin tehokkaan täytäntöönpanon mahdollistamiseksi kunkin jäsenvaltion olisi nimettävä keskitetty yhteyspiste, joka vastaa verkko- ja tietojärjestelmien turvallisuuteen ja rajatylittävään yhteistyöhön liittyvien kysymysten koordinoinnista unionin tasolla.

(40)

Keskitettyjen yhteyspisteiden olisi varmistettava tehokas rajatylittävä yhteistyö muiden jäsenvaltioiden asiaankuuluvien viranomaisten ja tarvittaessa komission ja ENISAn kanssa. Keskitetyille yhteyspisteille olisi sen vuoksi annettava tehtäväksi toimittaa ilmoitukset merkittävistä poikkeamista, joilla on rajatylittäviä vaikutuksia, eteenpäin niiden muiden jäsenvaltioiden keskitetyille yhteyspisteille, joihin poikkeama vaikuttaa, CSIRT-yksikön tai toimivaltaisen viranomaisen pyynnöstä. Kansallisella tasolla keskitettyjen yhteyspisteiden olisi mahdollistettava sujuva toimialarajat ylittävä yhteistyö muiden toimivaltaisten viranomaisten kanssa. Keskitetyt yhteyspisteet voisivat myös olla asetuksen (EU) 2022/2554 mukaisten toimivaltaisten viranomaisten toimittamien, finanssialan yhteisöjä koskevia poikkeamia koskevien asiaankuuluvien tietojen vastaanottajia, ja niiden olisi voitava tarvittaessa toimittaa nämä tiedot eteenpäin tämän direktiivin mukaisille CSIRT-yksiköille tai toimivaltaisille viranomaisille.

(41)

Jäsenvaltioilla olisi oltava käytössään riittävät sekä tekniset että organisatoriset valmiudet, jotta voidaan ehkäistä, havaita ja hallita poikkeamia ja riskejä sekä lieventää niiden vaikutuksia. Jäsenvaltioiden olisi sen vuoksi perustettava tai nimettävä yksi tai useampi tämän direktiivin mukainen CSIRT-yksikkö ja varmistettava, että niillä on riittävät resurssit ja tarvittavat tekniset valmiudet. CSIRT-yksiköiden olisi täytettävä tässä direktiivissä säädetyt vaatimukset, jotta voidaan taata tehokkaat ja yhteensopivat valmiudet käsitellä poikkeamia ja riskejä ja varmistaa tehokas yhteistyö unionin tasolla. Jäsenvaltioiden olisi voitavat nimetä CSIRT-yksiköiksi olemassa olevia tietotekniikan kriisiryhmiä (CERT). Toimijoiden ja CSIRT-yksiköiden välisen luottamuksen lujittamiseksi tapauksissa, joissa CSIRT on osa toimivaltaista viranomaista, jäsenvaltioiden olisi voitava harkita CSIRT-yksiköiden operatiivisten tehtävien, erityisesti tietojen jakamisen ja toimijoille annettavan tuen, erottamista toiminnallisesti toimivaltaisten viranomaisten valvontatoimista.

(42)

CSIRT-yksiköille annetaan tehtäväksi poikkeamien käsittely. Tämä edellyttää suurten tietomäärien käsittelyä, ja nämä tiedot ovat toisinaan arkaluonteisia. Jäsenvaltioiden olisi varmistettava, että CSIRT-yksiköillä on infrastruktuuri tietojen jakamiseen ja käsittelyyn sekä hyvin varustettu henkilöstö, jotta voidaan varmistaa näiden yksiköiden toimintojen luottamuksellisuus ja luotettavuus. CSIRT-yksiköt voivat myös hyväksyä asiaa koskevia käytännesääntöjä.

(43)

Henkilötietojen osalta CSIRT-yksiköiden olisi voitava tarjota asetuksen (EU) 2016/679 mukaisesti keskeisen tai tärkeän toimijan pyynnöstä niiden verkko- ja tietojärjestelmien ennakoiva skannaus, joita kyseinen toimija käyttää palvelujensa tarjoamiseen. Jäsenvaltioiden olisi tapauksen mukaan pyrittävä varmistamaan, että kaikilla toimialakohtaisilla CSIRT-yksiköillä on yhtäläiset tekniset valmiudet. Jäsenvaltioiden olisi voitava pyytää ENISAa avustamaan CSIRT-yksiköidensä kehittämisessä.

(44)

CSIRT-yksiköiden olisi voitava keskeisen tai tärkeän toimijan pyynnöstä seurata toimijan internetiin yhteydessä olevia resursseja sekä tämän toimitiloissa että niiden ulkopuolella, jotta voidaan tunnistaa, ymmärtää ja hallita toimijan yleisiä organisaatioriskejä, jotka liittyvät äskettäin havaittuihin toimitusketjun vaarantumisiin tai kriittisiin haavoittuvuuksiin. Toimijaa olisi kannustettava ilmoittamaan CSIRT-yksikölle, onko sillä käytössä etuoikeutettu hallintarajapinta, koska tämä voi vaikuttaa siihen, miten nopeasti lieventäviä toimia voidaan toteuttaa.

(45)

Kun otetaan huomioon kyberturvallisuutta koskevan kansainvälisen yhteistyön tärkeys, CSIRT-yksiköiden olisi voitava osallistua kansainvälisiin yhteistyöverkostoihin tällä direktiivillä perustettavan CSIRT-verkoston lisäksi. Sen vuoksi CSIRT-yksiköiden ja toimivaltaisten viranomaisten olisi voitava tehtäviensä suorittamiseksi vaihtaa tietoja, myös henkilötietoja, kolmansien maiden tietoturvaloukkauksiin reagoivien ja niitä tutkivien kansallisten yksiköiden tai toimivaltaisten viranomaisten kanssa edellyttäen, että unionin tietosuojalainsäädännön mukaiset edellytykset henkilötietojen siirrolle kolmansiin maihin, muun muassa asetuksen (EU) 2016/679 49 artiklassa säädetyt edellytykset, täyttyvät.

(46)

On olennaisen tärkeää varmistaa riittävät resurssit tämän direktiivin tavoitteiden saavuttamiseksi ja sen mahdollistamiseksi, että toimivaltaiset viranomaiset ja CSIRT-yksiköt voivat suorittaa tässä säädetyt tehtävänsä. Jäsenvaltiot voivat ottaa kansallisella tasolla käyttöön rahoitusmekanismin, jolla katetaan tarpeelliset menot, jotka liittyvät kyberturvallisuudesta jäsenvaltiossa tämän direktiivin nojalla vastaavien julkisten toimijoiden tehtävien hoitamiseen. Tällaisen mekanismin olisi oltava unionin oikeuden mukainen, sen olisi oltava oikeasuhteinen ja syrjimätön, ja siinä olisi otettava huomioon erilaiset lähestymistavat turvallisten palvelujen tarjoamiseen.

(47)

CSIRT-verkoston olisi jatkossakin edistettävä luottamuksen vahvistumista sekä ripeää ja toimivaa operatiivista yhteistyötä jäsenvaltioiden välillä. Unionin tason operatiivisen yhteistyön parantamiseksi CSIRT-verkoston olisi harkittava kyberturvallisuuspolitiikkaan osallistuvien unionin elinten ja virastojen, kuten Europolin, kutsumista osallistumaan sen työhön.

(48)

Kyberturvallisuuden korkean tason saavuttamiseksi ja ylläpitämiseksi tässä direktiivissä edellytettävien kansallisten kyberturvallisuusstrategioiden olisi sisällettävä yhtenäinen kehys, jossa määritetään kyberturvallisuutta koskevat strategiset tavoitteet ja painopisteet ja hallintokehys niiden saavuttamiseksi. Nämä strategiat voivat koostua yhdestä tai useammasta lainsäädännöllisestä tai muusta välineestä.

(49)

Kyberhygieniaperiaatteet laskevat perustan toimille, joilla suojataan verkko- ja tietojärjestelmien infrastruktuuri, laitteistojen, ohjelmistojen ja verkkosovellusten turvallisuus sekä yritys- tai loppukäyttäjätiedot, joita toimijat hyödyntävät. Kyberhygieniaperiaatteet, joihin kuuluvat yhteiset perustason käytännöt, kuten ohjelmisto- ja laitteistopäivitykset, salasanojen vaihtaminen, uusien asennusten hallinta, ylläpitäjän käyttöoikeuksia edellyttävien tilien rajoittaminen ja tietojen varmuuskopiointi, tarjoavat ennakoivan kehyksen, jossa varautua poikkeamiin ja kyberuhkiin ja varmistaa yleinen turvallisuus niiden toteutuessa. ENISAn olisi seurattava ja analysoitava jäsenvaltioiden kyberhygieniaperiaatteita.

(50)

Kyberturvallisuustietoisuus ja kyberhygienia ovat olennaisen tärkeitä kyberturvallisuuden tason nostamiseksi unionissa, etenkin kun verkkoon liitettyjä laitteita on yhä enemmän ja niitä käytetään yhä useammin kyberhyökkäyksissä. Yleistä tietoisuutta tällaisiin laitteisiin liittyvistä riskeistä olisi pyrittävä lisäämään, ja unionin tason arvioinnit voisivat auttaa varmistamaan, että nämä riskit tiedostetaan yleisesti sisämarkkinoilla.

(51)

Jäsenvaltioiden olisi kannustettava käyttämään mitä tahansa innovatiivista teknologiaa, myös tekoälyä, jonka käyttö voisi parantaa kyberhyökkäysten havaitsemista ja ehkäisemistä ja mahdollistaa resurssien tehokkaamman kohdentamisen kyberhyökkäyksiin. Jäsenvaltioiden olisi sen vuoksi edistettävä kansallisissa kyberturvallisuusstrategioissaan tutkimus- ja kehitystoimia, joilla helpotetaan tällaisten teknologioiden, erityisesti automatisoituihin tai puoliautomaattisiin kyberturvallisuustyökaluihin liittyvien teknologioiden, käyttöä sekä tarvittaessa tällaisen teknologian käyttäjien kouluttamiseen ja sen parantamiseen tarvittavien tietojen jakamista. Käytettäessä mitä tahansa innovatiivista teknologiaa, myös tekoälyä, olisi noudatettava unionin tietosuojalainsäädäntöä ja tietosuojaperiaatteita, joita ovat tietojen täsmällisyys, tietojen minimointi, asianmukaisuus ja läpinäkyvyys, ja varmistettava tietoturva, esimerkiksi viimeisintä kehitystä edustavan salaustekniikan käyttäminen. Asetuksessa (EU) 2016/679 vahvistettuja sisäänrakennetun ja oletusarvoisen tietosuojan vaatimuksia olisi hyödynnettävä täysimääräisesti.

(52)

Avoimen lähdekoodin kyberturvallisuustyökalut ja -sovellukset voivat osaltaan lisätä avoimuutta, ja niillä voi olla myönteinen vaikutus teollisen innovoinnin tehokkuuteen. Avoimet standardit helpottavat turvallisuustyökalujen yhteentoimivuutta, mikä edistää teollisuuden sidosryhmien turvallisuutta. Avoimen lähdekoodin kyberturvallisuustyökaluissa ja -sovelluksissa voidaan hyödyntää laajempaa kehittäjäyhteisöä, minkä ansiosta toimijat voivat monipuolistaa toimittajapohjaansa. Avoimen lähdekoodin käyttö voi tehdä kyberturvallisuustyökalujen varmennusprosessista läpinäkyvämmän ja haavoittuvuuksien havaitsemisesta yhteisövetoista. Jäsenvaltioiden olisi siksi voitava edistää avoimen lähdekoodin ohjelmistojen ja avointen standardien käyttöä toimintaperiaatteilla, jotka liittyvät avoimen datan ja avoimen lähdekoodin käyttöön osana avoimuuteen perustuvaa turvallisuutta. Toimintaperiaatteet, joilla edistetään avoimen lähdekoodin kyberturvallisuustyökalujen käyttöönottoa ja kestävää käyttöä, ovat erityisen tärkeitä pienille ja keskisuurille yrityksille, joille täytäntöönpanosta aiheutuu huomattavia kustannuksia, jotka voitaisiin minimoida vähentämällä erityisten sovellusten tai työkalujen tarvetta.

(53)

Julkiset laitokset liitetään kaupungeissa yhä useammin digitaalisiin verkkoihin, jotta voidaan parantaa kaupunkiliikenneverkkoja, vesihuoltoa ja jätehuoltoa sekä tehostaa valaistusta ja rakennusten lämmitystä. Nämä digitalisoidut laitokset ovat alttiita kyberhyökkäyksille ja saattavat kyberhyökkäyksen onnistuessa aiheuttaa kansalaisille suuren mittakaavan haittaa keskinäisten yhteyksiensä vuoksi. Jäsenvaltioiden olisi kehitettävä kansallisessa kyberturvallisuusstrategiassaan toimintaperiaatteita, joilla käsitellään tällaisten verkkoon liitettyjen eli älykkäiden kaupunkien kehittymistä ja niiden mahdollisia vaikutuksia yhteiskuntaan.

(54)

Kiristyshaittaohjelmahyökkäykset, joissa haittaohjelma salaa tietoja ja järjestelmiä ja vaatii lunnaita salauksen purkamisesta, ovat viime vuosina lisääntyneet unionissa räjähdysmäisesti. Kiristyshaittaohjelmahyökkäysten esiintymistiheyttä ja vakavuutta voivat lisätä useat tekijät, kuten erilaiset hyökkäyskuviot, ”kiristyshaittaohjelmapalveluun” ja kryptovaluuttoihin liittyvät rikolliset liiketoimintamallit, lunnasvaatimukset ja toimitusketjuun kohdistuvien hyökkäysten yleistyminen. Jäsenvaltioiden olisi kehitettävä kansallisissa kyberturvallisuusstrategioissaan toimintaperiaatteet, joilla puututaan kiristyshaittaohjelmahyökkäysten lisääntymiseen.

(55)

Julkisen ja yksityisen sektorin kyberturvallisuusalan kumppanuudet voivat tarjota tarkoituksenmukaiset puitteet osaamisen vaihdolle, parhaiden käytäntöjen jakamiselle ja yleisen tietoisuuden lisäämiselle sidosryhmien keskuudessa. Jäsenvaltioiden olisi edistettävä toimintaperiaatteita, joilla tuetaan julkisen ja yksityisen sektorin kyberturvallisuuskumppanuuksien perustamista. Näissä toimintaperiaatteissa olisi selvennettävä muun muassa soveltamisala, mukana olevat sidosryhmät, hallintomalli, käytettävissä olevat rahoitusvaihtoehdot ja osallistuvien sidosryhmien vuorovaikutus julkisen ja yksityisen sektorin kumppanuuksien kanssa. Julkisen ja yksityisen sektorin kumppanuudet voivat hyödyntää yksityisen sektorin toimijoiden asiantuntemusta auttaakseen toimivaltaisia viranomaisia kehittämään viimeisintä kehitystä edustavia palveluja ja prosesseja, muun muassa tietojenvaihdon, ennakkovaroitusten, kyberuhka- ja poikkeamaharjoitusten, kriisinhallinnan ja resilienssisuunnittelun aloilla.

(56)

Jäsenvaltioiden olisi käsiteltävä kansallisissa kyberturvallisuusstrategioissaan pienten ja keskisuurten yritysten erityisiä kyberturvallisuustarpeita. Pienten ja keskisuurten yritysten prosenttiosuus teollisen ja liiketoiminnan markkinoilla on suuri eri puolilla unionia, ja niillä on usein vaikeuksia mukautua uusiin liiketoimintakäytäntöihin yhä tiiviimpien yhteyksien maailmassa ja digitaaliseen toimintaympäristöön, jossa työntekijät työskentelevät kotoa käsin ja liiketoimintaa harjoitetaan yhä enemmän verkossa. Joillakin pienillä ja keskisuurilla yrityksillä on erityisiä kyberturvallisuushaasteita, kuten vähäinen kybertietoisuus, etätietoturvan puuttuminen, kyberturvallisuusratkaisujen korkeat kustannukset ja esimerkiksi kiristyshaittaohjelmista johtuva kohonnut uhkataso, minkä takia niiden olisi saatava ohjausta ja tukea. Pienet ja keskisuuret yritykset joutuvat yhä useammin toimitusketjuun kohdistuvien hyökkäysten kohteeksi, koska niiden kyberturvallisuusriskien hallintatoimenpiteet ja kyberhyökkäysten hallinta eivät ole yhtä kehittyneitä ja koska niillä on rajalliset turvallisuusresurssit. Tällaiset toimitusketjuun kohdistuvat hyökkäykset vaikuttavat yksittäisiin pieniin ja keskisuuriin yrityksiin ja niiden toimintoihin, mutta ne voivat myös laajentua ketjureaktiona sellaisiin toimijoihin kohdistuviksi hyökkäyksiksi, joiden toimittajia yritykset ovat. Jäsenvaltioiden olisi kansallisten kyberturvallisuusstrategioidensa välityksellä autettava pieniä ja keskisuuria yrityksiä vastaamaan toimitusketjujensa haasteisiin. Jäsenvaltioilla olisi oltava pieniä ja keskisuuria yrityksiä kansallisella tai alueellisella tasolla palveleva yhteyspiste, joka joko antaa ohjausta ja tukea pienille ja keskisuurille yrityksille tai ohjaa ne ottamaan yhteyttä asianmukaisiin elimiin, jotka antavat ohjausta ja tukea kyberturvallisuuteen liittyvissä kysymyksissä. Jäsenvaltioita kannustetaan myös tarjoamaan sellaisia palveluja kuin verkkosivuston konfigurointi ja lokikirjanpidon aktivointi mikroyrityksille ja pienille yrityksille, joilta puuttuvat tällaiset valmiudet.

(57)

Jäsenvaltioiden olisi otettava kansallisissa kyberturvallisuusstrategioissaan käyttöön toimintaperiaatteita, jotka koskevat aktiivisen kybersuojauksen edistämistä osana laajempaa puolustusstrategiaa. Reaktiivisen reagoinnin vastakohtana aktiivisella kybersuojauksella tarkoitetaan verkon tietoturvaloukkausten aktiivista ehkäisemistä, havaitsemista, seurantaa, analysointia ja lieventämistä, joihin yhdistyy valmiuksien käyttö hyökkäyksen uhriksi joutuneessa verkossa ja sen ulkopuolella. Tähän voisivat kuulua jäsenvaltioiden tietyille toimijoille maksutta tarjoamat palvelut tai työkalut, mukaan lukien itsepalveluna tehtävät tarkastukset, havaitsemisvälineet ja poistopalvelut. Kyky jakaa ja ymmärtää nopeasti ja automaattisesti uhkatietoja ja -analyyseja, kyberaktiivisuushälytyksiä ja hallintatoimia on ratkaisevan tärkeä, jotta mahdollistetaan toimien yhtenäisyys verkko- ja tietojärjestelmiin kohdistuvien hyökkäysten onnistunutta ehkäisemistä, havaitsemista, käsittelyä ja estämistä varten. Aktiivinen kybersuojaus perustuu puolustusstrategiaan, johon ei sisälly hyökkääviä toimenpiteitä.

(58)

Koska verkko- ja tietojärjestelmien haavoittuvuuksien hyödyntäminen voi aiheuttaa merkittäviä häiriöitä ja haittoja, tällaisten haavoittuvuuksien nopea tunnistaminen ja korjaaminen on tärkeä tekijä riskin vähentämisessä. Verkko- ja tietojärjestelmiä kehittävien tai hallinnoivien toimijoiden olisi sen vuoksi otettava käyttöön asianmukaiset menettelyt haavoittuvuuksien käsittelemiseksi, kun niitä havaitaan. Koska haavoittuvuuksia havaitsevat ja julkistavat usein kolmannet osapuolet, TVT-tuotteiden valmistajan tai TVT-palvelujen tarjoajan olisi myös otettava käyttöön tarvittavat menettelyt haavoittuvuustietojen saamiseksi kolmansilta osapuolilta. Tältä osin kansainvälisissä standardeissa ISO/IEC 30111 ja ISO/IEC 29147 annetaan ohjeita haavoittuvuuksien käsittelystä ja haavoittuvuuksien julkistamisesta. On erityisen tärkeää lujittaa toimien koordinointia raportoivien luonnollisten henkilöiden ja oikeushenkilöiden ja TVT-tuotteiden tai TVT-palvelujen valmistajien tai tarjoajien välillä, jotta voidaan edistää haavoittuvuuksien julkistamisen vapaaehtoista kehystä. Koordinoitu haavoittuvuuksien julkistaminen on jäsennelty prosessi, jossa haavoittuvuuksista ilmoitetaan mahdollisesti haavoittuvien TVT-tuotteiden tai TVT-palvelujen valmistajalle tai tarjoajalle, jotta se voi diagnosoida haavoittuvuuden ja korjata sen ennen kuin yksityiskohtaiset haavoittuvuustiedot julkistetaan kolmansille osapuolille tai yleisölle. Koordinoituun haavoittuvuuksien julkistamiseen olisi kuuluttava myös haavoittuvuuksien korjaamisen ja julkistamisen aikataulua koskeva raportoivan luonnollisen henkilön tai oikeushenkilön ja mahdollisesti haavoittuvien TVT-tuotteiden tai TVT-palvelujen valmistajan tai tarjoajan välinen yhteensovittaminen.

(59)

Komission, ENISAn ja jäsenvaltioiden olisi edelleen edistettävä mukautumista kansainvälisiin standardeihin ja toimialan nykyisiin parhaisiin käytäntöihin kyberturvallisuusriskien hallinnan alalla, esimerkiksi toimitusketjujen turvallisuusarvioinneissa, tietojenvaihdossa ja haavoittuvuuksien julkistamisessa.

(60)

Jäsenvaltioiden olisi yhteistyössä ENISAn kanssa toteutettava toimenpiteitä koordinoidun haavoittuvuuksien julkistamisen helpottamiseksi laatimalla asiaa koskevat kansalliset toimintaperiaatteet. Jäsenvaltioiden olisi kansallisissa toimintaperiaatteissaan pyrittävä mahdollisuuksien mukaan ratkaisemaan haavoittuvuuksia tutkivien kohtaamat haasteet, myös rikosoikeudelliseen vastuuseen joutumisen mahdollisuus, kansallisen lainsäädäntönsä mukaisesti. Koska haavoittuvuuksia tutkivat luonnolliset henkilöt ja oikeushenkilöt voisivat joissakin jäsenvaltioissa joutua rikosoikeudelliseen ja siviilioikeudelliseen vastuuseen, jäsenvaltioita kannustetaan antamaan ohjeita tietoturvaa tutkivien syyttämättä jättämisestä ja vapauttamisesta siviilioikeudellisesta vastuusta niiden toiminnan osalta.

(61)

Jäsenvaltioiden olisi nimettävä yksi CSIRT-yksiköistään koordinaattoriksi, joka toimii tarvittaessa luotettuna välittäjänä raportoivien luonnollisten henkilöiden tai oikeushenkilöiden ja sellaisten TVT-tuotteiden tai TVT-palvelujen valmistajien tai tarjoajien, joihin haavoittuvuus todennäköisesti vaikuttaa, välillä. Koordinaattoriksi nimetyn CSIRT-yksikön tehtäviin olisi kuuluttava asianomaisten toimijoiden tunnistaminen ja yhteyden ottaminen niihin, haavoittuvuudesta ilmoittavien luonnollisten henkilöiden tai oikeushenkilöiden avustaminen, julkistamisen aikataulusta neuvotteleminen ja useisiin toimijoihin vaikuttavien haavoittuvuuksien hallinta (monenvälinen koordinoitu haavoittuvuuden julkistaminen). Jos ilmoitetulla haavoittuvuudella voi olla merkittävä vaikutus useamman kuin yhden jäsenvaltion toimijoihin, koordinaattoriksi nimettyjen CSIRT-yksiköiden olisi tarvittaessa tehtävä yhteistyötä CSIRT-verkostossa.

(62)

Nopea paikkansapitävien tietojen saanti TVT-tuotteisiin ja TVT-palveluihin vaikuttavista haavoittuvuuksista parantaa kyberturvallisuusriskien hallintaa. Julkisesti saatavilla olevat haavoittuvuuksia koskevat tietolähteet ovat tärkeä apuväline toimijoille ja niiden palvelujen käyttäjille mutta myös toimivaltaisille viranomaisille ja CSIRT-yksiköille. Tästä syystä ENISAn olisi perustettava Euroopan haavoittuvuustietokanta, johon toimijat riippumatta siitä, kuuluvatko ne tämän direktiivin soveltamisalaan, ja niiden verkko- ja tietojärjestelmien toimittajat sekä toimivaltaiset viranomaiset ja CSIRT-yksiköt voivat vapaaehtoisesti ilmoittaa ja kirjata julkisesti tiedossa olevia haavoittuvuuksia, jotta käyttäjät voivat toteuttaa asianmukaisia lieventäviä toimenpiteitä. Tietokannan tarkoituksena on ratkoa riskien unionin toimijoille aiheuttamia ainutlaatuisia haasteita. ENISAn olisi lisäksi otettava käyttöön julkistamisprosessia koskeva asianmukainen menettely, jotta toimijoilla on aikaa toteuttaa haavoittuvuuksiaan lieventäviä toimenpiteitä, ja sovellettava viimeisintä kehitystä edustavia kyberturvallisuusriskien hallintatoimenpiteitä sekä käytettävä koneluettavia tietoaineistoja ja vastaavia rajapintoja. Jotta voidaan edistää toimintakulttuuria, jossa haavoittuvuudet julkistetaan, julkistamisesta ei saisi aiheutua haittaa raportoivalle luonnolliselle henkilölle tai oikeushenkilölle.

(63)

Vaikka vastaavia haavoittuvuusrekistereitä tai -tietokantoja on olemassa, niitä hallinnoivat ja ylläpitävät tahot, jotka eivät ole sijoittautuneet unioniin. ENISAn ylläpitämä Euroopan haavoittuvuustietokanta lisäisi julkistamisprosessin läpinäkyvyyttä ennen haavoittuvuuden julkistamista yleisölle ja häiriönsietokykyä tilanteissa, joissa samankaltaisten palvelujen tarjonta häiriintyy tai keskeytyy. Jotta voidaan mahdollisimman pitkälle välttää toimien päällekkäisyyttä ja lisätä täydentävyyttä, ENISAn olisi tutkittava mahdollisuutta tehdä sopimuksia jäsennellystä yhteistyöstä kolmannen maan lainkäyttövaltaan kuuluvien vastaavien rekisterien tai tietokantojen kanssa. ENISAn olisi erityisesti tutkittava mahdollisuutta tehdä tiivistä yhteistyötä CVE-järjestelmän (Common Vulnerabilities and Exposures, tunnetut haavoittuvuudet ja tietoturvapuutteet) ylläpitäjien kanssa.

(64)

Yhteistyöryhmän olisi tuettava ja helpotettava strategista yhteistyötä ja tietojenvaihtoa sekä vahvistettava jäsenvaltioiden keskinäistä luottamusta. Yhteistyöryhmän olisi laadittava joka toinen vuosi työohjelma. Työohjelman olisi sisällettävä toimet, jotka yhteistyöryhmän on määrä toteuttaa tavoitteidensa saavuttamiseksi ja tehtäviensä hoitamiseksi. Tämän direktiivin mukaisen ensimmäisen työohjelman aikataulu olisi sovitettava direktiivin (EU) 2016/1148 mukaisesti laaditun viimeisen työohjelman aikatauluun, jotta vältetään mahdolliset häiriöt yhteistyöryhmän työssä.

(65)

Laatiessaan ohjeasiakirjoja yhteistyöryhmän olisi säännönmukaisesti kartoitettava kansallisia ratkaisuja ja kokemuksia, arvioitava yhteistyöryhmän tulosten vaikutusta kansallisiin lähestymistapoihin, keskusteltava täytäntöönpanon haasteista ja laadittava erityisiä suosituksia etenkin siitä, miten voidaan helpottaa tämän direktiivin yhdenmukaista saattamista osaksi kansallista lainsäädäntöä jäsenvaltioissa, olemassa olevien sääntöjen täytäntöönpanon parantamiseksi. Yhteistyöryhmä voisi myös kartoittaa kansalliset ratkaisut edistääkseen kullakin toimialalla eri puolilla unionia sovellettavien kyberturvallisuusratkaisujen yhteensopivuutta. Tämä koskee varsinkin toimialoja, joilla toiminta on kansainvälistä tai rajatylittävää.

(66)

Yhteistyöryhmän olisi pysyttävä joustavana foorumina, ja sen olisi voitava reagoida muuttuviin ja uusiin poliittisiin painopisteisiin ja haasteisiin ottaen samalla huomioon käytettävissä olevat resurssit. Se voisi järjestää eri puolilta unionia tulevien asiaankuuluvien yksityisten sidosryhmien kanssa säännöllisiä yhteisiä kokouksia, joissa keskusteltaisiin yhteistyöryhmän toteuttamista toimista ja kerättäisiin tietoja ja näkemyksiä uusista toimintapoliittisista haasteista. Lisäksi yhteistyöryhmän olisi esitettävä säännöllisesti tilannearvio kyberuhkista tai poikkeamista, kuten kiristyshaittaohjelmista. Unionin tason yhteistyön tehostamiseksi yhteistyöryhmän olisi harkittava kyberturvallisuuspolitiikkaan osallistuvien asiaankuuluvien unionin toimielinten, elinten, laitosten ja virastojen, kuten Euroopan parlamentin, Europolin, Euroopan tietosuojaneuvoston, asetuksella (EU) 2018/1139 perustetun Euroopan unionin lentoturvallisuusviraston ja Euroopan parlamentin ja neuvoston asetuksella (EU) 2021/696 (14) perustetun Euroopan unionin avaruusohjelmaviraston, kutsumista osallistumaan sen työhön.

(67)

Jäsenvaltioiden keskinäisen yhteistyön parantamiseksi ja luottamuksen lujittamiseksi toimivaltaisten viranomaisten ja CSIRT-yksiköiden olisi voitava osallistua muiden jäsenvaltioiden virkamiesvaihtojärjestelmiin erityisjärjestelyjen mukaisesti ja kun tällaisiin vaihtojärjestelmiin osallistuville virkamiehille on tarpeen mukaan tehty vaadittava turvallisuusselvitys. Toimivaltaisten viranomaisten olisi toteutettava tarvittavat toimenpiteet, jotta muiden jäsenvaltioiden virkamiehet voivat tuloksekkaasti osallistua vastaanottavan toimivaltaisen viranomaisen tai vastaanottavan CSIRT-yksikön toimintaan.

(68)

Jäsenvaltioiden olisi osallistuttava komission suosituksessa (EU) 2017/1584 (15) esitetyn EU:n kyberturvallisuuden kriisinhallintakehyksen perustamiseen olemassa olevien yhteistyöverkostojen, erityisesti EU-CyCLONen, CSIRT-verkoston ja yhteistyöryhmän, välityksellä. Euroopan kyberkriisien yhteysorganisaatioiden verkoston (EU-CyCLONe) ja CSIRT-verkoston olisi tehtävä yhteistyötä sellaisten menettelytapajärjestelyjen pohjalta, joissa täsmennetään kyseisen yhteistyön yksityiskohdat, ja vältettävä tehtävien päällekkäisyyttä. EU-CyCLONen työjärjestyksessä olisi täsmennettävä tarkemmin verkoston toimintatavat, mukaan lukien verkoston roolit, yhteistyökeinot, vuorovaikutus muiden asiaankuuluvien toimijoiden kanssa ja tietojenvaihdon mallit sekä viestintäkeinot. Unionin tason kriisinhallinnassa asianomaisten osapuolten olisi hyödynnettävä EU:n poliittisen kriisitoiminnan integroituja järjestelyjä, joista säädetään neuvoston täytäntöönpanopäätöksessä (EU) 2018/1993 (16), jäljempänä ’IPCR-järjestelyt’. Komission olisi käytettävä tähän tarkoitukseen ARGUS-järjestelmän korkean tason monialaista kriisinkoordinointiprosessia. Jos kriisiin liittyy merkittävä ulkoinen tai yhteisen turvallisuus- ja puolustuspolitiikan ulottuvuus, olisi aktivoitava Euroopan ulkosuhdehallinnon kriisinhallintamekanismi.

(69)

Suosituksen (EU) 2017/1584 liitteen mukaisesti laajamittaisella kyberturvallisuuspoikkeamalla olisi tarkoitettava poikkeamaa, joka aiheuttaa niin laajan häiriön, ettei yksittäisellä jäsenvaltiolla ole valmiuksia hallita sitä, tai jolla on merkittävä vaikutus vähintään kahteen jäsenvaltioon. Laajamittaiset kyberturvallisuuspoikkeamat voivat aiheuttajasta ja vaikutuksista riippuen kärjistyä ja kehittyä todellisiksi kriiseiksi, jotka estävät sisämarkkinoiden moitteettoman toiminnan tai aiheuttavat vakavia yleiseen turvallisuuteen kohdistuvia riskejä toimijoille tai kansalaisille useissa jäsenvaltioissa tai koko unionissa. Kun otetaan huomioon tällaisten poikkeamien laaja vaikuttavuus ja useimmissa tapauksissa rajatylittävä luonne, jäsenvaltioiden ja asiaankuuluvien unionin toimielinten, elinten, laitosten ja virastojen olisi tehtävä yhteistyötä teknisellä, operatiivisella ja poliittisella tasolla, jotta eri puolilla unionia toteutettavia hallintatoimia voidaan koordinoida asianmukaisesti.

(70)

Toimialojen ja jäsenvaltioiden suuren keskinäisriippuvuuden vuoksi unionin tason laajamittaiset kyberturvallisuuspoikkeamat ja kriisit edellyttävät koordinoituja toimia nopeiden ja vaikuttavien hallintatoimien varmistamiseksi. Kyberresilienttien verkko- ja tietojärjestelmien saatavuus sekä datan saatavuus, luottamuksellisuus ja eheys ovat elintärkeitä unionin turvallisuuden kannalta ja sen kansalaisten, yritysten ja instituutioiden suojelemiseksi poikkeamilta ja kyberuhkilta ja jotta voidaan lujittaa yksilöiden ja organisaatioiden luottamusta unionin kykyyn edistää ja suojella maailmanlaajuista, avointa, vapaata, vakaata ja turvallista kybertoimintaympäristöä, joka perustuu ihmisoikeuksiin, perusvapauksiin, demokratiaan ja oikeusvaltioon.

(71)

EU-CyCLONen olisi toimittava teknisen ja poliittisen tason välisenä yhdyssiteenä laajamittaisten kyberturvallisuuspoikkeamien ja kriisien aikana, ja sen olisi tehostettava operatiivisen tason yhteistyötä ja tuettava poliittisen tason päätöksentekoa. EU-CyCLONen olisi hyödynnettävä CSIRT-verkoston havaintoja ja omia valmiuksiaan, kun se analysoi laajamittaisten kyberturvallisuuspoikkeamien ja kriisien vaikutuksia yhteistyössä komission kanssa ottaen huomioon komission kompetenssin kriisinhallinnan alalla.

(72)

Kyberhyökkäykset ovat luonteeltaan rajatylittäviä, ja merkittävä poikkeama voi häiritä ja vahingoittaa kriittisiä tietoinfrastruktuureja, joista sisämarkkinoiden moitteeton toiminta on riippuvainen. Suosituksessa (EU) 2017/1584 käsitellään kaikkien asianomaisten toimijoiden roolia. Komissio vastaa Euroopan parlamentin ja neuvoston päätöksellä N:o 1313/2013/EU (17) perustetun unionin pelastuspalvelumekanismin puitteissa yleisistä valmiustoimista, joihin kuuluvat hätäavun koordinointikeskuksen ja yhteisen hätäviestintä- ja tietojärjestelmän hallinnointi, tilannetietoisuus- ja -analyysivalmiuden ylläpito ja edelleen kehittäminen sekä valmiuksien luominen ja ylläpito niin, että voidaan koota ja lähettää paikan päälle asiantuntijaryhmiä, jos jäsenvaltio tai kolmas maa esittää avunpyynnön. Komissio vastaa lisäksi analyysiraporttien laatimisesta täytäntöönpanopäätöksen (EU) 2018/1993 mukaisia IPCR-järjestelyjä varten, mukaan lukien kyberturvallisuustilannekuva ja -valmiudet, sekä tilannekuvasta ja kriisitoiminnasta maatalouden, vaikeiden sääolojen, konfliktien kartoituksen ja ennustamisen, luonnonkatastrofeja koskevien ennakkovaroitusjärjestelmien, terveysuhkien, tartuntatautien seurannan, kasvien terveyden, kemiallisten vaaratilanteiden, elintarvikkeiden ja rehujen turvallisuuden, eläinten terveyden, muuttoliikkeen, tullin, ydinvoima- ja säteilyhätätilanteiden ja energian aloilla.

(73)

Unioni voi tarvittaessa tehdä Euroopan unionin toiminnasta tehdyn sopimuksen 218 artiklan mukaisesti kolmansien maiden tai kansainvälisten järjestöjen kanssa kansainvälisiä sopimuksia, joilla mahdollistetaan ja järjestetään niiden osallistuminen tiettyihin yhteistyöryhmän, CSIRT-verkoston EU-CyCLONen toimintoihin. Tällaisilla sopimuksilla olisi varmistettava unionin edut ja riittävä tietosuoja. Tämä ei vaikuta jäsenvaltioiden oikeuteen tehdä kolmansien maiden kanssa yhteistyötä haavoittuvuuksien hallinnassa ja kyberturvallisuusriskien hallinnassa, jotta voidaan helpottaa raportointia ja yleistä tietojenvaihtoa unionin oikeuden mukaisesti.

(74)

Jotta voidaan helpottaa tässä direktiivissä säädettyjen, muun muassa haavoittuvuuksien hallintaa, kyberturvallisuusriskien hallintatoimenpiteitä, raportointivelvoitteita ja kyberturvallisuustietojen jakamisjärjestelyjä koskevien säännösten tehokasta täytäntöönpanoa, jäsenvaltiot voivat tehdä yhteistyötä kolmansien maiden kanssa ja toteuttaa tätä varten tarkoituksenmukaisina pitämiään toimia, jollaisia ovat esimerkiksi tietojen vaihto kyberuhkista, poikkeamista, haavoittuvuuksista, työkaluista ja menetelmistä, taktiikasta, tekniikoista ja menettelyistä, kyberturvallisuuskriisien hallintaan valmistautuminen ja kriisinhallintaharjoitukset, koulutus, luottamuksen lujittamistoimet ja jäsennellyt tiedonjakojärjestelyt.

(75)

Olisi otettava käyttöön vertaisarviointeja, jotta voidaan oppia yhteisistä kokemuksista, lujittaa keskinäistä luottamusta ja saavuttaa kyberturvallisuuden yhteinen korkea taso. Vertaisarvioinnit voivat tuottaa tulokseksi arvokkaita näkemyksiä ja suosituksia, joilla lujitetaan yleisiä kyberturvallisuusvalmiuksia, luodaan uusi toimintamalli parhaiden käytäntöjen jakamiselle jäsenvaltioiden kesken ja edistetään jäsenvaltioiden kyberturvallisuuden kehitystasoa. Vertaisarvioinneissa olisi myös otettava huomioon tulokset, joita on saatu vastaavista mekanismeista, kuten CSIRT-verkoston vertaisarviointijärjestelmästä, ja niissä olisi tuotettava lisäarvoa ja vältettävä päällekkäisyydet. Vertaisarviointien toteuttaminen ei saisi rajoittaa luottamuksellisten tai turvallisuusluokiteltujen tietojen suojaa koskevan unionin oikeuden tai kansallisen lainsäädännön soveltamista.

(76)

Yhteistyöryhmän olisi vahvistettava jäsenvaltioille itsearviointimenetelmät, joiden on tarkoitus kattaa sellaisia tekijöitä kuin kyberturvallisuusriskien hallintatoimenpiteiden ja raportointivelvoitteiden täytäntöönpanoaste, toimivaltaisten viranomaisten valmiuksien taso ja tuloksekkuus tehtäviensä hoidossa, CSIRT-yksiköiden operatiiviset valmiudet, keskinäisen avunannon toteutusaste, kyberturvallisuustietojen jakamisjärjestelyjen täytäntöönpanoaste taikka rajatylittävät tai useaa toimialaa koskevat erityiskysymykset. Jäsenvaltioita olisi kannustettava tekemään säännöllisesti itsearviointeja sekä esittelemään niiden tulokset ja keskustelemaan näistä yhteistyöryhmässä.