(1)

V digitálním věku podporují informační a komunikační technologie (IKT) složité systémy používané pro každodenní činnosti. Udržují v chodu klíčová odvětví našich ekonomik, včetně finančního sektoru, a zlepšují fungování vnitřního trhu. Vyšší míra digitalizace a vzájemné propojenosti rovněž násobí riziko v oblasti IKT, kvůli němuž se celá společnost, a zejména finanční systém, stávají zranitelnějšími vůči kybernetickým hrozbám nebo narušením v oblasti IKT. I když všudypřítomné používání systémů IKT a vysoká míra digitalizace a propojení dnes tvoří základní charakteristiku činnosti finančních subjektů Unie, jejich digitální odolnost je nutné ještě lépe řešit a začlenit do jejich širších provozních rámců.

(2)

Používání IKT získalo v posledních desetiletích při poskytování finančních služeb klíčovou úlohu, a to do té míry, že dnes má zásadní význam při provádění obvyklých běžných funkcí všech finančních subjektů. Digitalizace se nyní týká například plateb, které se stále více přesouvají od hotovostních a papírových metod k používání digitálních řešení, a rovněž clearingu a vypořádání cenných papírů, elektronického a algoritmického obchodování, operací půjčování a financování, sdíleného financování, úvěrového hodnocení, správy pohledávek a činnosti provozních útvarů. Vzhledem k používání IKT se proměnilo rovněž pojišťovnictví, od vzniku zprostředkovatelů pojištění nabízejících své služby online s využitím technologií v pojišťovnictví až po digitální uzavírání pojištění. Finanční sektor nejenže se digitalizoval jako celek, ale v důsledku digitalizace se rovněž prohloubila jeho vzájemná propojení a závislosti a rovněž propojení a závislosti mezi ním a poskytovateli infrastruktury a služeb z řad třetích stran.

(3)

Evropská rada pro systémová rizika (ESRB) ve své zprávě z roku 2020 zabývající se systémovými kybernetickými riziky potvrdila, jak stávající vysoká míra vzájemného propojení finančních subjektů, finančních trhů a infrastruktur finančních trhů, a zejména vzájemná závislost jejich systémů IKT, by mohla potenciálně představovat systémovou zranitelnost, protože se kybernetické incidenty vzniklé v jednom místě mohou bez omezení geografickými hranicemi rychle rozšířit z kteréhokoliv z přibližně 22 000 finančních subjektů Unie na celý finanční systém. Závažná narušení IKT, k nimž dochází ve finančním sektoru, nedopadají pouze na izolované finanční subjekty. Rovněž usnadňují šíření lokalizovaných zranitelností napříč finančními přenosovými kanály a potenciálně vytvářejí negativní důsledky pro stabilitu finančního systému Unie, neboť vedou například k hromadným výběrům hotovosti a celkové ztrátě jistoty a důvěry na finančních trzích.

(4)

Riziko v oblasti IKT v poslední době přitahuje pozornost mezinárodních, unijních a vnitrostátních tvůrců politik, regulátorů a standardizačních orgánů, které se snaží o zlepšení digitální odolnosti, stanovení norem a koordinaci regulatorních a dohledových činností. Na mezinárodní úrovni se Basilejský výbor pro bankovní dohled, Výbor pro platební styk a tržní infrastrukturu, Rada pro finanční stabilitu, Institut pro finanční stabilitu a rovněž skupiny G7 a G20 zaměřují na to, aby příslušným orgánům a účastníkům trhu v různých jurisdikcích poskytly nástroje pro posílení odolnosti jejich finančních systémů. Tato práce je rovněž motivována potřebou řádně zohlednit riziko v oblasti IKT v kontextu vysoce propojeného globálního finančního systému a usilovat o větší konzistentnost příslušných osvědčených postupů.

(5)

Přes cílené politické a legislativní iniciativy na unijní i vnitrostátní úrovni představuje riziko v oblasti IKT problém pro provozní odolnost, výkonnost a stabilitu finančního systému Unie. Reformy, které následovaly po finanční krizi z roku 2008, primárně posílily finanční odolnost finančního sektoru Unie a zaměřovaly se na zajištění konkurenceschopnosti a stability Unie z hlediska ekonomiky, obezřetnosti a chování trhu. Přestože jsou bezpečnost IKT a digitální odolnost součástí operačního rizika, regulatorní agenda se jim po finanční krizi věnovala méně, přičemž byly rozvíjeny pouze v některých oblastech strategického a regulatorního rámce finančních služeb Unie nebo jen v několika málo členských státech.

(6)

Ve svém sdělení ze dne 8. března 2018 nazvaném „Akční plán pro finanční technologie: Za konkurenceschopnější a inovativnější evropský finanční sektor“ Komise zdůraznila, že je nanejvýš důležité zlepšit odolnost finančního sektoru Unie, mimo jiné z provozního hlediska, aby byla zajištěna jeho technologická bezpečnost a správné fungování, jeho rychlé zotavení z narušení a incidentů souvisejících s IKT a aby v konečném důsledku mohly být finanční služby efektivně a bezproblémově poskytovány v celé Unii, a to i v krizových situacích, a aby byla současně zachována důvěra spotřebitelů a trhu.

(7)

V dubnu 2019 Evropský orgán dohledu (Evropský orgán pro bankovnictví) (EBA) zřízený nařízením Evropského parlamentu a Rady (EU) č. 1093/2010 (4), Evropský orgán dohledu (Evropský orgán pro pojišťovnictví a zaměstnanecké penzijní pojištění) (EIOPA) zřízený nařízením Evropského parlamentu a Rady (EU) č. 1094/2010 (5) a Evropský orgán dohledu (Evropský orgán pro cenné papíry a trhy) (ESMA) zřízený nařízením Evropského parlamentu a Rady (EU) č. 1095/2010 (6) (společně označovány jako „evropské orgány dohledu“) společně vydaly technické doporučení, ve kterém vyzvaly k jednotnému přístupu k riziku v oblasti IKT ve finančním sektoru a doporučily odpovídajícím způsobem posílit digitální provozní odolnost odvětví finančních služeb prostřednictvím iniciativy Unie zaměřené na toto odvětví.

(8)

Finanční sektor Unie je upraven jednotným souborem pravidel a řídí jej Evropský systém dohledu nad finančním trhem. Nicméně ustanovení zabývající se digitální provozní odolností a bezpečností IKT nejsou dosud plně nebo konzistentně harmonizována, přestože je digitální provozní odolnost klíčová pro zajištění finanční stability a integrity trhu v digitálním věku a není o nic méně důležitá než například společné normy pro obezřetnost nebo chování na trhu. Proto je třeba vypracovat jednotný soubor pravidel a systém dohledu, aby byla rovněž zahrnuta digitální provozní odolnost, a to posílením mandátů příslušných orgánů s cílem umožnit jim vykonávat dohled nad řízením rizika v oblasti IKT ve finančním sektoru, aby byla chráněna integrita a efektivnost vnitřního trhu a bylo usnadněno jeho řádné fungování.

(9)

Legislativní nesrovnalosti a nevyrovnané vnitrostátní regulatorní nebo dohledové přístupy, pokud jde o riziko v oblasti IKT, jsou příčinou překážek fungování vnitřního trhu s finančními službami a brání bezproblémovému výkonu svobody usazování a poskytování služeb finančním subjektům s přeshraniční působností. Rovněž by mohlo docházet k narušení hospodářské soutěže mezi finančními subjekty stejného typu působícími v různých členských státech. Je tomu tak zejména v oblastech, kde byla harmonizace Unie velmi omezená, jako u testování digitální provozní odolnosti, nebo v oblastech, kde chybí, například při sledování rizika v oblasti IKT spojeného s třetími stranami. Rozdíly vyplývající z předpokládaného vývoje na vnitrostátní úrovni by mohly vytvářet další překážky fungování vnitřního trhu na úkor účastníků trhu a finanční stability.

(10)

V důsledku toho, že ustanovení týkající se rizika v oblasti IKT byla na unijní úrovni řešena pouze částečně, v současnosti existují mezery či přesahy ve významných oblastech, jako jsou hlášení incidentů souvisejících s IKT a testování digitální provozní odolnosti, a nesrovnalosti vyplývající z nových rozdílných vnitrostátních pravidel nebo nákladově neefektivního používání překrývajících se pravidel. Poškozuje to zejména intenzivního uživatele IKT, jakým je finanční sektor, protože technologická rizika neznají hranice a finanční sektor poskytuje své služby ve velké míře přeshraničně jak v rámci Unie, tak mimo ni. Jednotlivé finanční subjekty fungující na přeshraničním základě nebo vlastnící několik oprávnění (například jeden finanční subjekt může mít bankovní licenci a oprávnění pro investiční podnik a platební instituci, přičemž je mohly vydat různé příslušné orgány v jednom či několika členských státech) čelí provozním problémům při řešení rizika v oblasti IKT a zmírňování negativních dopadů incidentů souvisejících s IKT vlastními silami a jednotným nákladově efektivním způsobem.

(11)

Protože jednotný soubor pravidel není doprovázen uceleným rámcem pro riziko v oblasti IKT nebo operační riziko, je nutná harmonizace klíčových požadavků na provozní digitální odolnost pro všechny finanční subjekty. Rozvoj schopností v oblasti IKT a celková odolnost finančních subjektů založená na těchto klíčových požadavcích by pomohly zachovat stabilitu a integritu finančních trhů Unie a tím přispět k zajištění vysoké úrovně ochrany investorů a spotřebitelů v Unii. Jelikož cílem tohoto nařízení je přispět k bezproblémovému fungování vnitřního trhu, mělo by vycházet z ustanovení článku 114 Smlouvy o fungování Evropské unie (dále jen „Smlouva o fungování EU“), jak je vykládáno v souladu s konzistentní judikaturou Soudního dvora Evropské unie (dále jen „Soudní dvůr“).

(12)

Cílem tohoto nařízení je konsolidovat a aktualizovat požadavky na riziko v oblasti IKT jako součást požadavků na operační riziko, které byly až dosud řešeny v různých právních aktech Unie samostatně. Tyto akty se sice zabývají hlavními kategoriemi finančního rizika (například úvěrovým rizikem, tržním rizikem, úvěrovým rizikem protistrany a rizikem likvidity, rizikem chování trhu), ale v době svého přijetí komplexně nepostihly všechny složky provozní odolnosti. Pravidla týkající se operačního rizika, jsou-li dále rozpracována prostřednictvím těchto právních aktů Unie, často upřednostňují při řešení tohoto rizika tradiční kvantitativní přístup (konkrétně stanovení kapitálových požadavků na krytí rizika v oblasti IKT) namísto kvalitativních pravidel zaměřených na schopnosti ochrany, detekce, omezení šíření, obnovy a nápravy v souvislosti s incidenty souvisejícími s IKT nebo na schopnosti hlášení a digitálního testování. Tyto akty byly primárně určeny k pokrytí a aktualizaci základních pravidel obezřetnostního dohledu, integrity trhu nebo chování na něm. Vzhledem ke konsolidaci a aktualizaci různých pravidel týkajících se rizika v oblasti IKT by všechna ustanovení zabývající se digitálním rizikem ve finančním sektoru měla být poprvé a konzistentně shrnuta v jediném legislativním aktu. Toto nařízení tudíž zaplňuje mezery či napravuje nesrovnalosti v některých z těchto předchozích právních aktů, včetně v nich použité terminologie, a výslovně odkazuje na riziko v oblasti IKT prostřednictvím pravidel zaměřených na schopnosti řízení rizika v oblasti IKT, hlášení incidentů, testování provozní odolnosti a sledování rizika v oblasti IKT spojeného s třetími stranami. Tímto nařízením by se tudíž rovněž mělo zvýšit povědomí o riziku v oblasti IKT a mělo by se v něm uznat, že incidenty související s IKT a nedostatečná provozní odolnost mohou ohrozit finanční stabilitu finančních subjektů.

(13)

Finanční subjekty by měly při řešení rizika v oblasti IKT uplatňovat stejný přístup a stejná pravidla založená na zásadách s přihlédnutím ke své velikosti a celkovému rizikovému profilu a k povaze, rozsahu a složitosti svých služeb, činností a operací. Konzistentnost přispívá ke zvýšení důvěry ve finanční systém a zachování jeho stability, zejména v době velké závislosti na systémech, platformách a infrastrukturách IKT, které jsou spojeny se zvýšenými digitálními riziky. Dodržování základní kybernetické hygieny by rovněž mělo zabránit vysokým nákladům v ekonomice, protože minimalizuje dopad a náklady způsobené narušením v oblasti IKT.

(14)

Nařízení pomáhá snižovat složitost právních předpisů, posiluje konvergenci dohledu a zvyšuje právní jistotu, přičemž současně rovněž přispívá ke snížení nákladů na dodržování předpisů, zejména u finančních subjektů působících přeshraničně, a omezuje narušení hospodářské soutěže. Výběr nařízení pro vytvoření společného rámce digitální provozní odolnosti finančních subjektů je proto nejvhodnější způsob, jak zaručit homogenní a jednotné využívání všech složek řízení rizika v oblasti IKT ve finančním sektoru Unie.

(15)

Směrnice Evropského parlamentu a Rady (EU) 2016/1148 (7) byla prvním horizontálním rámcem pro kybernetickou bezpečnost přijatým na unijní úrovni, přičemž se vztahuje rovněž na tři druhy finančních subjektů, konkrétně na úvěrové instituce, obchodní systémy a ústřední protistrany. Protože však směrnice (EU) 2016/1148 stanovila na vnitrostátní úrovni mechanismus identifikace provozovatelů základních služeb, v praxi byly do oblasti její působnosti zahrnuty pouze některé úvěrové instituce, obchodní systémy a ústřední protistrany identifikované členskými státy, které tudíž musí splňovat požadavky na bezpečnost IKT a hlášení incidentů stanovené v uvedené směrnici. Směrnice Evropského parlamentu a Rady (EU) 2022/2555 (8) stanoví jednotné kritérium pro určení subjektů, které spadají do oblasti její působnosti (pravidlo velikosti), přičemž do její oblasti působnosti patří rovněž tři druhy finančních subjektů.

(16)

Protože však toto nařízení zvyšuje zavedením požadavků na řízení rizika v oblasti IKT a hlášení incidentů souvisejících s IKT, které jsou přísnější než požadavky stanovené v současném právu Unie v oblasti finančních služeb, úroveň harmonizace různých složek digitální odolnosti, tato vyšší úroveň představuje lepší harmonizaci i ve srovnání s požadavky uvedenými ve směrnici (EU) 2022/2555. Proto toto nařízení představuje lex specialis, pokud jde o směrnici (EU) 2022/2555. Současně je zásadní zachovat pevný vztah mezi finančním sektorem a horizontálním rámcem Unie pro kybernetickou bezpečnost, jak je v současnosti stanoven ve směrnici (EU) 2022/2555, aby byla zajištěna konzistentnost se strategiemi kybernetické bezpečnosti přijatými členskými státy a byla umožněna informovanost orgánů finančního dohledu o kybernetických incidentech dopadajících na jiná odvětví, na něž se uvedená směrnice vztahuje.

(17)

V souladu s čl. 4 odst. 2 Smlouvy o Evropské unii, a aniž je dotčen soudní přezkum Soudním dvorem, by tímto nařízením neměla být dotčena odpovědnost členských států ve vztahu k základním funkcím státu, které se týkají veřejné bezpečnosti, obrany a ochrany národní bezpečnosti, například pokud jde o poskytování informací, které by byly v rozporu s ochranou národní bezpečnosti.

(18)

S cílem umožnit meziodvětvové učení a účinně čerpat ze zkušeností jiných odvětví při řešení kybernetických hrozeb by finanční subjekty uvedené ve směrnici (EU) 2022/2555 měly zůstat součástí „ekosystému“ uvedené směrnice (například skupina pro spolupráci a týmy pro reakce na počítačové bezpečnostní incidenty (dále jen „týmy CSIRT“). Evropské orgány dohledu a vnitrostátní příslušné orgány by rovněž měly být schopny účastnit se politických diskusí o strategii a technických činností skupiny pro spolupráci v rámci uvedené směrnice a vyměňovat si informace a dále spolupracovat s jednotnými kontaktními místy určenými nebo zřízenými v souladu s uvedenou směrnicí. Příslušné orgány podle tohoto nařízení by měly rovněž konzultovat týmy CSIRT a spolupracovat s nimi. Příslušné orgány by rovněž měly mít možnost požádat o technické poradenství příslušné orgány určené nebo zřízené v souladu se směrnicí (EU) 2022/2555 a uzavírat ujednání o spolupráci, jejichž cílem je zabezpečit účinné a rychle reagující koordinační mechanismy.

(19)

Vzhledem k silným vzájemným vazbám mezi digitální odolností a fyzickou odolností finančních subjektů je v tomto nařízení a směrnici Evropského parlamentu a Rady (EU) 2022/2557 (9) nezbytný soudržný přístup, pokud jde o odolnost kritických subjektů. Vzhledem k tomu, že fyzická odolnost finančních subjektů je uceleným způsobem řešena v rámci povinností týkajících se řízení rizika v oblasti IKT a hlášení, na něž se vztahuje toto nařízení, neměly by se povinnosti stanovené v kapitolách III a IV směrnice (EU) 2022/2557 vztahovat na finanční subjekty spadající do oblasti působnosti uvedené směrnice.

(20)

Poskytovatelé cloudových služeb jsou jednou z kategorií digitálních infrastruktur upravených směrnicí (EU) 2022/2555. Unijní rámec dohledu vytvořený tímto nařízením (dále jen „rámec dohledu“) se vztahuje na všechny kritické poskytovatele služeb IKT z řad třetích stran, včetně poskytovatelů cloudových služeb, pokud poskytují služby IKT finančním subjektům, a měl by být považován za doplnění dohledu podle směrnice (EU) 2022/2555. Kromě toho by se měl rámec dohledu vytvořený tímto nařízením vztahovat i na poskytovatele cloudových služeb, neboť v Unii neexistuje horizontální rámec, kterým se zřizuje orgán pro digitální dohled.

(21)

Aby zůstala zajištěna úplná kontrola nad rizikem v oblasti IKT, musí mít finanční subjekty k dispozici komplexní schopnosti umožňující silné a účinné řízení rizika v oblasti IKT a specifické mechanismy a politiky pro zvládnutí všech incidentů souvisejících s IKT a pro hlášení závažných incidentů souvisejících s IKT. Podobně by finanční subjekty měly mít zavedeny politiky pro testování systémů, kontrol a procesů v oblasti IKT, jakož i pro řízení rizika v oblasti IKT spojeného s třetími stranami. Je třeba zvýšit základní úroveň digitální provozní odolnosti finančních subjektů a současně umožnit proporcionální uplatňování požadavků na určité finanční subjekty, zejména mikropodniky, jakož i finanční subjekty, na něž se vztahuje zjednodušený rámec pro řízení rizika v oblasti IKT. Aby se usnadnil účinný dohled nad institucemi zaměstnaneckého penzijního pojištění, který je přiměřený a řeší potřebu snížit administrativní zátěž příslušných orgánů, měly by příslušné vnitrostátní předpisy o dohledu nad těmito finančními subjekty zohledňovat jejich velikost a celkový rizikový profil, jakož i povahu, rozsah a složitost jejich služeb, činností a operací, a to i v případě překročení příslušných prahových hodnot stanovených v článku 5 směrnice Evropského parlamentu a Rady (EU) 2016/2341 (10). Činnosti v oblasti dohledu by se měly zaměřit především na potřebu řešit vážná rizika spojená s řízením rizika v oblasti IKT konkrétního subjektu.

Příslušné orgány by rovněž měly zachovávat obezřetný, ale přiměřený přístup, pokud jde o dohled nad institucemi zaměstnaneckého penzijního pojištění, které v souladu s článkem 31 směrnice (EU) 2016/2341 zadávají významnou část své hlavní činnosti, jako je správa aktiv, pojistně-matematické výpočty, účetnictví a správa údajů, poskytovatelům služeb.

(22)

Prahové hodnoty a taxonomie pro hlášení incidentů souvisejících s IKT se na vnitrostátní úrovni významně liší. Zatímco je možné společné pozice dosáhnout příslušnou prací Agentury Evropské unie pro kybernetickou bezpečnost (ENISA) zřízené nařízením Evropského parlamentu a Rady (EU) 2019/881 (11) a skupiny pro spolupráci podle směrnice (EU) 2022/2555, mohou u ostatních finančních subjektů stále existovat či vznikat různé přístupy ke stanovení prahových hodnot a použití taxonomií. Kvůli těmto rozdílům existuje množství požadavků, které musí finanční subjekty dodržovat, zejména při fungování v několika členských státech a v rámci finanční skupiny. Takové rozdíly mohou navíc omezovat vytváření dalších jednotných nebo centralizovaných unijních mechanismů urychlujících proces hlášení a podporujících rychlou a bezproblémovou výměnu informací mezi příslušnými orgány, která je zásadní pro řešení rizika v oblasti IKT v případě rozsáhlých útoků s potenciálně systémovými dopady.

(23)

Aby se snížila administrativní zátěž a potenciálně zdvojené povinnosti hlášení pro některé finanční subjekty, měly by se požadavky na hlášení incidentů podle směrnice Evropského parlamentu a Rady (EU) 2015/2366 (12) přestat vztahovat na poskytovatele platebních služeb, kteří spadají do oblasti působnosti tohoto nařízení. V důsledku toho by úvěrové instituce, instituce elektronických peněz, platební instituce a poskytovatelé služeb informování o účtu uvedení v čl. 33 odst. 1 uvedené směrnice měli ode dne použitelnosti tohoto nařízení hlásit podle tohoto nařízení všechny provozní nebo bezpečnostní incidenty související s platbami, které byly dříve oznamovány podle uvedené směrnice, bez ohledu na to, zda se tyto incidenty týkají IKT.

(24)

Aby mohly příslušné orgány plnit úkoly v oblasti dohledu požadováním úplného přehledu o povaze, četnosti, významu a dopadu incidentů souvisejících s IKT a aby se zlepšila výměna informací mezi relevantními veřejnými orgány, včetně donucovacích orgánů a orgánů příslušných k řešení krize, mělo by toto nařízení stanovit spolehlivý režim hlášení incidentů souvisejících s IKT, v jehož rámci by se relevantní požadavky zaměřily na stávající mezery v právu v oblasti finančních služeb, a odstranit stávající překrytí a zdvojení s cílem snížit náklady. Je nutné harmonizovat režim hlášení incidentů souvisejících s IKT tím, že všechny finanční subjekty budou muset podávat hlášení svým příslušným orgánům na základě jednotného zjednodušeného rámce stanoveného v tomto nařízení. Kromě toho by měly evropské orgány dohledu mít pravomoc dále upřesnit relevantní prvky rámce pro hlášení incidentů souvisejících s IKT, jako jsou taxonomie, časové rámce, soubory údajů, vzory a platné prahové hodnoty. Aby byl zajištěn plný soulad se směrnicí (EU) 2022/2555, mělo by být finančním subjektům umožněno dobrovolně oznamovat vážné kybernetické hrozby relevantnímu příslušnému orgánu, pokud se domnívají, že kybernetická hrozba je relevantní pro finanční systém, uživatele služeb nebo klienty.

(25)

Některá finanční pododvětví vypracovala požadavky na testování digitální provozní odolnosti, jež stanoví rámce, které nejsou vždy plně sladěny. To vede k potenciálnímu zdvojení nákladů pro finanční subjekty s přeshraniční působností a činí vzájemné uznávání výsledků testování digitální provozní odolnosti složitým, což následně může vést k fragmentaci vnitřního trhu.

(26)

Dále, nebude-li požadováno testování IKT, zůstanou nezjištěny zranitelnosti, jež povedou k vystavení finančního subjektu riziku v oblasti IKT, a v konečném důsledku vznikne vyšší riziko pro stabilitu a integritu finančního sektoru. Bez zásahu Unie by bylo testování digitální provozní odolnosti nadále nekonzistentní a neexistoval by systém vzájemného uznávání výsledků testování IKT v různých jurisdikcích. Protože je rovněž nepravděpodobné, že by další finanční pododvětví přijala schémata testování ve smysluplném rozsahu, promarnily by potenciální výhody rámce testování, pokud jde o odhalení zranitelností a rizik v oblasti IKT a schopnosti testování bezpečnosti a zachování provozu, které přispívají k rostoucí důvěře klientů, dodavatelů a obchodních partnerů. K odstranění uvedených přesahů, rozdílů a mezer je nutné stanovit pravidla pro režim koordinovaného testování, což usnadní vzájemné uznávání pokročilého testování u finančních subjektů splňujících kritéria stanovená tímto nařízením.

(27)

Závislost finančních subjektů na používání služeb IKT je zčásti vyvolána jejich potřebou přizpůsobit se rozvíjející se konkurenční digitální globální ekonomice, zvýšit efektivitu svých činností a uspokojit poptávku spotřebitelů. Povaha a rozsah této závislosti se v posledních letech nepřetržitě vyvíjí, přičemž se tím snižují náklady finančního zprostředkování, umožňuje rozšíření obchodní činnosti a škálovatelnost využívání finančních aktivit a současně se nabízí celá řada nástrojů IKT pro řízení složitých vnitřních procesů.

(28)

Toto rozsáhlé využívání služeb IKT dokládají složitá smluvní ujednání, přičemž se finanční subjekty často potýkají s potížemi při sjednávání smluvních podmínek přizpůsobených obezřetnostním normám nebo jiným regulatorním požadavkům, jež se na ně vztahují, nebo jinak při vymáhání konkrétních práv, jako jsou práva na přístup nebo práva týkající se auditů, a to i tehdy, když jsou tato práva začleněna do jejich smluvních ujednání. Kromě toho mnoho těchto smluvních ujednání neobsahuje dostatečné pojistky umožňující plnohodnotné sledování subdodavatelských procesů, což snižuje schopnost finančního subjektu posoudit související rizika. Dále protože poskytovatelé služeb IKT z řad třetích stran často nabízejí standardizované služby různým druhům klientů, nemusí taková smluvní ujednání vždy přiměřeně ošetřovat individuální nebo konkrétní požadavky aktérů finančního sektoru.

(29)

Přestože právo Unie v oblasti finančních služeb obsahují určitá obecná pravidla o externím zajištění služeb, není sledování smluvního rozměru v právu Unie plně zakotveno. Vzhledem k absenci jasných a přesných unijních norem vztahujících se na smluvní ujednání uzavřená s poskytovateli služeb IKT z řad třetích stran není externí zdroj rizika v oblasti IKT vyřešen komplexně. Je proto nezbytné stanovit určité klíčové zásady, jimiž se budou řídit finanční subjekty v případě řízení rizika v oblasti IKT spojeného s třetími stranami a které jsou obzvláště důležité, pokud finanční subjekty využívají poskytovatele služeb IKT z řad třetích stran na podporu svých zásadních nebo důležitých funkcí. Tyto zásady by měly být doplněny souborem základních smluvních práv ve vztahu k několika prvkům plnění a ukončení smluvních ujednání s cílem poskytnout určité minimální záruky na podporu schopnosti finančních subjektů účinně sledovat veškeré riziko v oblasti IKT vznikající na úrovni poskytovatelů služeb z řad třetích stran. Tyto zásady doplňují odvětvové právní předpisy použitelné na externí zajištění služeb.

(30)

V současné době je patrné, že pokud jde o sledování rizika v oblasti IKT spojeného s třetími stranami a závislosti na poskytovatelích služeb IKT z řad třetích stran, chybí určitá jednotnost a sbližování. Přes úsilí o vyřešení externího zajištění služeb, jako jsou pokyny EBA pro externí služby z roku 2019 a pokyny ESMA pro spolupráci s externími poskytovateli cloudových služeb, neřeší právo Unie dostatečně širší problém potírání systémového rizika, které může vzniknout při vystavení finančního sektoru omezenému počtu kritických poskytovatelů služeb IKT z řad třetích stran. Skutečnost, že chybí pravidla na úrovni Unie, ještě zhoršuje absence vnitrostátních pravidel týkajících se oprávnění a nástrojů, které umožňují orgánům finančního dohledu správně pochopit závislosti na třetích stranách v oblasti IKT a adekvátně sledovat rizika vyplývající z koncentrace závislostí na třetích stranách v oblasti IKT.

(31)

S přihlédnutím k potenciálnímu systémovému riziku souvisejícímu s rostoucí praxí externího poskytování služeb a koncentrací závislosti na třetích stranách v oblasti IKT a s ohledem na nedostatečné vnitrostátní mechanismy, pokud jde o poskytování přiměřených nástrojů orgánům finančního dohledu za účelem kvantifikace, kvalifikace a nápravy důsledků rizika v oblasti IKT, které se objevuje u kritických poskytovatelů služeb IKT z řad třetích stran, je nezbytné vytvořit vhodný rámec dohledu, který umožní nepřetržité sledování činností poskytovatelů služeb IKT z řad třetích stran, jež jsou pro finanční subjekty kritickými poskytovateli služeb IKT z řad třetích stran, a současně zabezpečí, že bude zachována důvěryhodnost a bezpečnost jiných zákazníků, než jsou finanční subjekty. Ačkoli poskytování služeb IKT v rámci skupiny s sebou nese specifická rizika a přínosy, nemělo by být automaticky považováno za méně rizikové než poskytování služeb IKT poskytovateli mimo finanční skupinu, a proto by mělo podléhat stejnému regulačnímu rámci. Pokud jsou však služby IKT poskytovány v rámci téže finanční skupiny, finanční subjekty by mohly mít vyšší úroveň kontroly nad poskytovateli v rámci skupiny, což by mělo být zohledněno v celkovém posouzení rizik.

(32)

Jak se rizika v oblasti IKT stávají stále složitějšími a sofistikovanějšími, závisí správná opatření pro detekci a prevenci rizika v oblasti IKT ve značné míře na pravidelném sdílení operativních informací o hrozbách a zranitelnosti mezi finančními subjekty. Sdílení informací přispívá k vytváření zvýšeného povědomí o kybernetických hrozbách. To zase zlepšuje kapacitu finančních subjektů zabránit tomu, aby se z hrozeb staly skutečné incidenty související s IKT, a umožňuje těmto subjektům účinněji omezit dopad incidentů souvisejících s IKT a rychleji se z nich zotavit. Vzhledem k absenci pokynů na úrovni Unie se zdá, že tomuto sdílení operativních informací brání několik faktorů, zejména nejistota ohledně jejich kompatibility s předpisy pro ochranu osobních údajů, antimonopolními předpisy a předpisy upravujícími odpovědnost.

(33)

Pochybnosti týkající se druhu informací, které je možné sdílet s ostatními účastníky trhu nebo jinými orgány nevykonávajícími dohled (například ENISA u analytických údajů nebo Europol pro účely vymáhání práva), navíc vedou k neposkytování užitečných informací. Rozsah a kvalita sdílení informací zůstávají tudíž v současné době omezené a roztříštěné a příslušné výměny informací probíhají většinou na místní úrovni (prostřednictvím vnitrostátních iniciativ) a bez konzistentních celounijních dohod o sdílení informací přizpůsobených požadavkům integrovaného finančního systému. Je proto důležité tyto komunikační kanály posílit.

(34)

Finanční subjekty by měly být vybízeny, aby si vzájemně vyměňovaly operativní informace o kybernetických hrozbách a kolektivně využívaly svých individuálních znalostí a praktických zkušeností na strategické, taktické a provozní úrovni, a zlepšily tak své schopnosti adekvátního posuzování a sledování kybernetických hrozeb, obrany před nimi a reakce na ně, a to zapojením do ujednání o sdílení informací. Je proto nezbytné umožnit, aby na úrovni Unie vznikly mechanismy ujednání o dobrovolném sdílení informací, které při zavedení v důvěryhodných prostředích pomohou komunitě finančního sektoru bránit se a společně reagovat na kybernetické hrozby rychlým omezením šíření rizika v oblasti IKT a zabráněním potenciálnímu šíření nákazy finančními kanály. Tyto mechanismy by měly být v souladu s platnými pravidly práva Unie v oblasti hospodářské soutěže, jak jsou vymezena ve sdělení Komise ze dne 14. ledna 2011 nazvaném „Pokyny k použitelnosti článku 101 Smlouvy o fungování Evropské unie na dohody o horizontální spolupráci“, jakož i s pravidly Unie pro ochranu údajů, zejména s nařízením Evropského parlamentu a Rady (EU) 2016/679 (13). Měly by fungovat na základě použití jednoho nebo více právních základů stanovených v článku 6 uvedeného nařízení, například v souvislosti se zpracováním osobních údajů, které je nezbytné pro účely oprávněného zájmu správce nebo třetí strany, jak je uvedeno v čl. 6 odst. 1 písm. f) uvedeného nařízení, jakož i v souvislosti se zpracováním osobních údajů nezbytných pro splnění právní povinnosti správce, které je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, jak je uvedeno v čl. 6 odst. 1 písm. c) a e) uvedeného nařízení.

(35)

Aby se zachovala vysoká úroveň digitální provozní odolnosti celého finančního sektoru a zároveň držel krok s technologickým vývojem, mělo by se toto nařízení zabývat rizikem vyplývajícím ze všech druhů služeb IKT. Za tímto účelem by definice služeb IKT v kontextu tohoto nařízení měla být chápána široce a měla by zahrnovat digitální a datové služby průběžně poskytované prostřednictvím systémů IKT jednomu nebo více interním nebo externím uživatelům. Tato definice by měla například zahrnovat tzv. služby „over the top“, které spadají do kategorie služeb elektronických komunikací. Měla by vyloučit pouze omezenou kategorii tradičních analogových telefonních služeb, které jsou kvalifikovány jako služby veřejné komutované telefonní sítě (PSTN), služby pevné sítě, služby tradičního analogového telefonního systému (POTS) nebo telefonní služby pevné linky.

(36)

Bez ohledu na širokou platnost uvedenou v tomto nařízení by mělo používání pravidel pro digitální provozní odolnost zohledňovat výrazné rozdíly ve velikosti a celkovém rizikovém profilu jednotlivých finančních subjektů. Obecným principem při rozdělování zdrojů a schopností na realizaci rámce pro řízení rizika v oblasti IKT by mělo být, že finanční subjekty správně vyváží své požadavky na IKT podle své velikosti a celkového rizikového profilu a povahy, rozsahu a složitosti svých služeb, činnosti a provozu, zatímco příslušné orgány budou nadále hodnotit a revidovat způsob tohoto rozdělení.

(37)

Poskytovatelé služeb informování o účtu uvedení v čl. 33 odst. 1 směrnice (EU) 2015/2366 jsou výslovně zahrnuti do oblasti působnosti tohoto nařízení s přihlédnutím ke zvláštní povaze jejich činností a rizikům, která z nich vyplývají. Kromě toho do oblasti působnosti tohoto nařízení spadají instituce elektronických peněz a platební instituce vyňaté podle čl. 9 odst. 1 směrnice Evropského parlamentu a Rady 2009/110/ES (14) a čl. 32 odst. 1 směrnice (EU) 2015/2366, i v případě, že jim nebylo v souladu se směrnicí 2009/110/ES uděleno povolení k vydávání elektronických peněz nebo pokud jim nebylo v souladu se směrnicí (EU) 2015/2366 uděleno povolení k poskytování a provádění platebních služeb. Z oblasti působnosti tohoto nařízení jsou však vyňaty poštovní žirové instituce uvedené v čl. 2 odst. 5 bodu 3 směrnice Evropského parlamentu a Rady 2013/36/EU (15). Příslušným orgánem v případě platebních institucí vyňatých podle směrnice (EU) 2015/2366, institucí elektronických peněz vyňatých podle směrnice 2009/110/ES a poskytovatelů služeb informování o účtu uvedených v čl. 33 odst. 1 směrnice (EU) 2015/2366 by měl být příslušný orgán určený v souladu s článkem 22 směrnice (EU) 2015/2366.

(38)

Protože větší finanční subjekty by mohly využívat více prostředků a mohou rychle přidělovat finance na rozvoj řídicích struktur a vytvářet různé podnikové strategie, měly by mít povinnost zřizovat komplexnější systémy správy a řízení pouze ty finanční subjekty, které nejsou ve smyslu tohoto nařízení považovány za mikropodniky. Tyto subjekty jsou lépe vybaveny pro vytváření specializovaných vedoucích funkcí pro dohled nad ujednáními s poskytovateli služeb IKT z řad třetích stran nebo pro zvládání krizového řízení, k organizaci svého řízení rizika souvisejícího s IKT podle tří linií modelu obrany nebo k zavedení modelu interního řízení rizika a kontroly a předložení svých rámců pro řízení rizika v oblasti IKT vnitřnímu auditu.

(39)

Některé finanční subjekty využívají výjimky nebo se na ně podle příslušných odvětvových právních předpisů Unie vztahuje velmi zjednodušený regulační rámec. Tyto finanční subjekty zahrnují správce alternativních investičních fondů uvedené v čl. 3 odst. 2 směrnice Evropského parlamentu a Rady 2011/61/EU (16), pojišťovny a zajišťovny uvedené v článku 4 směrnice Evropského parlamentu a Rady 2009/138/ES (17) a instituce zaměstnaneckého penzijního pojištění, které provozují penzijní plány, které dohromady nemají více než 15 účastníků. S ohledem na tyto výjimky by nebylo přiměřené zahrnout tyto finanční subjekty do oblasti působnosti tohoto nařízení. Kromě toho toto nařízení uznává specifika struktury trhu zprostředkování pojištění, v důsledku čehož by se toto nařízení nemělo vztahovat na zprostředkovatele pojištění, zprostředkovatele zajištění a zprostředkovatele doplňkového pojištění kvalifikované jako mikropodniky nebo malé nebo střední podniky.

(40)

Vzhledem k tomu, že subjekty uvedené v čl. 2 odst. 5 bodech 4 až 23 směrnice 2013/36/EU jsou vyňaty z oblasti působnosti uvedené směrnice, měly by mít členské státy možnost vyloučit z oblasti působnosti tohoto nařízení subjekty usazené na jejich území.

(41)

Obdobně v zájmu sladění tohoto nařízení s oblastí působnosti směrnice Evropského parlamentu a Rady 2014/65/EU (18) je rovněž vhodné vyloučit z oblasti působnosti tohoto nařízení fyzické a právnické osoby uvedené v článcích 2 a 3 uvedené směrnice, které mohou poskytovat investiční služby, aniž by musely získat povolení podle směrnice 2014/65/EU. Článek 2 směrnice 2014/65/EU však z oblasti působnosti uvedené směrnice rovněž vylučuje subjekty, které jsou pro účely tohoto nařízení považovány za finanční subjekty, jako jsou centrální depozitáře cenných papírů, subjekty kolektivního investování nebo pojišťovny a zajišťovny. Vyloučení osob a subjektů podle článků 2 a 3 uvedené směrnice z oblasti působnosti tohoto nařízení by nemělo tyto centrální depozitáře cenných papírů, subjekty kolektivního investování nebo pojišťovny a zajišťovny zahrnovat.

(42)

Některé finanční subjekty podléhají podle odvětvových právních předpisů Unie mírnějším požadavkům nebo výjimkám z důvodů spojených s jejich velikostí nebo službami, které poskytují. Tato kategorie finančních subjektů zahrnuje malé a nepropojené investiční podniky, malé instituce zaměstnaneckého penzijního pojištění, které mohou být dotčeným členským státem vyloučeny z oblasti působnosti směrnice (EU) 2016/2341 za podmínek stanovených v článku 5 uvedené směrnice a provozují penzijní plány, které dohromady nemají více než 100 účastníků, jakož i instituce vyňaté podle směrnice 2013/36/EU. Proto je v souladu se zásadou proporcionality a v zájmu zachování smyslu odvětvových právních předpisů Unie rovněž vhodné podrobit tyto finanční subjekty zjednodušenému rámci pro řízení rizika v oblasti IKT podle tohoto nařízení. Přiměřenost rámce pro řízení rizika v oblasti IKT, který se vztahuje na tyto finanční subjekty, by neměla být měněna regulačními technickými normami, které mají být vypracovány evropskými orgány dohledu. Kromě toho je v souladu se zásadou proporcionality vhodné, aby se na platební instituce uvedené v čl. 32 odst. 1 směrnice (EU) 2015/2366 a na instituce elektronických peněz uvedené v článku 9 směrnice 2009/110/ES vyňaté v souladu s vnitrostátním právem provádějícím tyto právní akty Unie vztahoval zjednodušený rámec pro řízení rizika v oblasti IKT podle tohoto nařízení, zatímco platební instituce a instituce elektronických peněz, které nebyly vyňaty v souladu s vnitrostátním právem provádějícím odvětvové právní předpisy Unie, by měly dodržovat obecný rámec stanovený tímto nařízením.

(43)

Obdobně by se po finančních subjektech, které jsou považovány za mikropodniky nebo se na ně vztahuje zjednodušený rámec pro řízení rizika v oblasti IKT podle tohoto nařízení, nemělo požadovat, aby vytvořily funkci sledování ujednání o využívání služeb IKT uzavřených s poskytovateli z řad třetích stran nebo pověřily jednoho vedoucího pracovníka jako osobu odpovědnou za dohled nad expozicí souvisejícím rizikům a příslušnou dokumentací; pověřily odpovědností za řízení a kontrolu rizika v oblasti IKT kontrolní funkci a zajistily odpovídající nezávislost této kontrolní funkce, aby nedocházelo ke střetům zájmů; zdokumentovaly a přezkoumaly rámec pro řízení rizika v oblasti IKT alespoň jednou ročně; pravidelně prováděly interní audit rámce pro řízení rizika v oblasti IKT; prováděly hloubková posouzení po velkých změnách svých infrastruktur sítí a informačních systémů a procesů, pravidelně analyzovaly rizika původních systémů IKT; prováděly nezávislý interní audit provádění plánů reakce a obnovy v oblasti IKT; zavedly funkci řízení krizí, rozšířily testování zachování provozu a plány reakce a obnovy tak, aby zahrnovaly i scénáře přepnutí mezi primární infrastrukturou IKT a redundantními zařízeními; na žádost oznamovaly příslušným orgánům odhad souhrnných ročních nákladů a ztrát způsobených závažnými incidenty souvisejícími s IKT, udržovaly rezervní kapacity IKT; informovaly příslušné vnitrostátní orgány o změnách v návaznosti na přezkumy realizované po incidentech souvisejících s IKT; nepřetržitě sledovaly relevantní technologický vývoj, zavedly ucelený program testování digitální provozní odolnosti jako nedílnou součást rámce pro řízení rizika v oblasti IKT stanoveného v tomto nařízení nebo přijaly a pravidelně revidovaly strategii týkající se rizika v oblasti IKT spojeného s třetími stranami. Kromě toho by se od mikropodniků mělo pouze vyžadovat, aby posoudily potřebu zachovat tyto nadbytečné kapacity IKT na základě svého rizikového profilu. Mikropodniky by měly mít prospěch z flexibilnějšího režimu, pokud jde o programy testování digitální provozní odolnosti. Při zvažování druhu a četnosti testů, které mají být prováděny, by měly náležitě vyvážit cíl zachování vysoké digitální provozní odolnosti, dostupné zdroje a svůj celkový rizikový profil. Mikropodniky a finanční subjekty, na něž se vztahuje zjednodušený rámec pro řízení rizika v oblasti IKT podle tohoto nařízení, by měly být osvobozeny od požadavku provádět pokročilé testování nástrojů, systémů a procesů IKT na základě penetračního testování na základě hrozeb, neboť by se mělo požadovat, aby takové testování prováděly pouze finanční subjekty splňující kritéria stanovená tímto nařízením. Vzhledem ke svým omezeným možnostem by měly mít mikropodniky možnost dohodnout se s poskytovatelem služeb IKT z řad třetích stran na přenesení práv finančního subjektu na přístup, kontrolu a audit na nezávislou třetí stranu, kterou určí poskytovatel služeb IKT z řad třetích stran, za předpokladu, že finanční subjekt může kdykoli požádat příslušnou nezávislou třetí stranu o veškeré relevantní informace a ujištění o výkonnosti poskytovatele služeb IKT z řad třetích stran.

(44)

Protože provádění penetračních testů na základě hrozeb bude požadováno pouze u finančních subjektů označených pro účely pokročilého testování digitální odolnosti, měly by se administrativní postupy a finanční náklady související s těmito testy týkat malého procenta finančních subjektů.

(45)

Aby byla zajištěna úplná harmonizace a celková konzistentnost obchodních strategií finančních subjektů na jedné straně a provádění řízení rizika v oblasti IKT na straně druhé, je třeba po vedoucích orgánech finančních subjektů požadovat, aby si zachovávaly klíčovou a aktivní úlohu při řízení a přizpůsobování rámce pro řízení rizika v oblasti IKT a celkové strategie digitální provozní odolnosti. Přístup vedoucích orgánů by se neměl zaměřovat pouze na prostředky k zajištění odolnosti systémů IKT, ale měl by prostřednictvím souboru politik zahrnovat rovněž osoby a procesy, které na každé úrovni podniku a pro všechny zaměstnance utvářejí silné povědomí o kybernetických rizicích a závazek k dodržování striktní kybernetické hygieny na všech úrovních. Nejvýznamnějším úkolem vedoucího orgánu při řízení rizika finančního subjektu v oblasti IKT by měl být zastřešující princip tohoto uceleného přístupu dále vyjádřeného prostřednictvím nepřetržitého angažování vedoucího orgánu při kontrole sledování řízení rizika v oblasti IKT.

(46)

Kromě toho zásada plné a konečné odpovědnosti vedoucího orgánu za řízení rizika finančního subjektu v oblasti IKT jde ruku v ruce s potřebou zabezpečit míru investic souvisejících s IKT a celkový rozpočet finančního subjektu, který by mu umožnil dosáhnout vysoké úrovně digitální provozní odolnosti.

(47)

Toto nařízení, které je inspirováno příslušnými mezinárodními, vnitrostátními a odvětvovými osvědčenými postupy, pokyny, doporučeními a přístupy k řízení kybernetického rizika, podporuje soubor zásad usnadňujících celkovou strukturalizaci řízení rizika v oblasti IKT. V důsledku toho, pokud existují hlavní schopnosti, které finanční subjekty zavedly s cílem řešit různé funkce řízení rizika v oblasti IKT (identifikace, ochrana a prevence, detekce, reakce a obnova, poučení a vývoj a komunikace), uvedené v tomto nařízení, měly by finanční subjekty nadále volně používat modely řízení rizika v oblasti IKT s různými rámci nebo kategoriemi.

(48)

Aby finanční subjekty udržely krok s vývojem v oblasti kybernetických hrozeb, měly by udržovat aktualizované systémy IKT, které budou spolehlivé a schopné zaručit nejen zpracování údajů požadovaných k realizaci jejich služeb, ale které budou mít rovněž dostatečnou technologickou odolnost umožňující finančním subjektům adekvátně se vypořádat s dalšími požadavky na zpracování, které se mohou objevit v důsledku napjatých podmínek na trhu nebo jiných nepříznivých situací.

(49)

Účinné plány zachování provozu a plány obnovy jsou nutné k tomu, aby mohly finanční subjekty neprodleně a rychle řešit incidenty související s IKT, zejména kybernetické útoky, prostřednictvím omezení škod a upřednostnění obnovy činností a opatření k obnově činností, a to v souladu se svými záložními postupy. Toto obnovení by však v žádném případě nemělo ohrozit integritu a bezpečnost sítí a informačních systémů ani dostupnost, hodnověrnost, integritu nebo důvěrnost údajů.

(50)

I když toto nařízení umožňuje, aby finanční subjekty flexibilně stanovily své cíle, pokud jde o dobu obnovy a bod dosažení obnovy, tedy aby stanovily tyto cíle s úplným zohledněním povahy a významu relevantních funkcí a všech konkrétních provozních potřeb, mělo by po nich nicméně vyžadovat, aby při stanovování těchto cílů provedly posouzení potenciálního celkového dopadu na tržní efektivitu.

(51)

Šiřitelé kybernetických útoků mají tendenci usilovat o finanční zisky přímo u zdroje, čímž vystavují finanční subjekty závažným důsledkům. Aby se předešlo ztrátě integrity systémů IKT či jejich nedostupnosti, a tudíž se zabránilo prolomení důvěrných údajů nebo poškození fyzické infrastruktury IKT, je třeba výrazně zlepšit a zjednodušit hlášení závažných incidentů souvisejících s IKT finančními subjekty. Hlášení incidentů souvisejících s IKT by mělo být pro všechny finanční subjekty harmonizováno prostřednictvím zavedení požadavku, aby podávaly hlášení přímo svým relevantním příslušným orgánům. Pokud finanční subjekt podléhá dohledu více než jednoho příslušného vnitrostátního orgánu, měly by členské státy určit jediný příslušný orgán, jemuž bude takové hlášení určeno. Úvěrové instituce klasifikované jako významné v souladu s čl. 6 odst. 4 nařízení Rady (EU) č. 1024/2013 (19) by měly tato hlášení předkládat vnitrostátním příslušným orgánům, které by měly zprávu následně předat Evropské centrální bance (ECB).

(52)

Přímé hlášení by mělo orgánům finančního dohledu umožnit získat okamžitý přístup k informacím o závažných incidentech souvisejících s IKT. Orgány finančního dohledu by však na oplátku měly podrobné informace o závažných incidentech souvisejících s IKT poskytnout veřejným nefinančním orgánům (jako jsou příslušné orgány a jednotná kontaktní místa podle směrnice (EU) 2022/2555, vnitrostátní úřady pro ochranu osobních údajů a v případě závažných incidentů souvisejících s IKT trestní povahy donucovací orgány), aby se posílilo povědomí těchto orgánů o takových incidentech a aby se v případě týmů CSIRT usnadnila rychlá pomoc, kterou je možné finančním subjektům případně poskytnout. Členské státy by navíc měly mít možnost stanovit, že finanční subjekty by měly tyto informace poskytovat veřejným orgánům mimo oblast finančních služeb samy. Tyto informační toky by měly finančním subjektům umožnit rychle využít veškerých relevantních technických vstupů, poradenství ohledně nápravy a následných opatření ze strany těchto orgánů. Informace o závažných incidentech souvisejících s IKT by měly být poskytovány vzájemně: orgány finančního dohledu by měly finančnímu subjektu poskytovat veškerou nezbytnou zpětnou vazbu nebo pokyny a evropské orgány dohledu by měly sdílet anonymizované údaje o kybernetických hrozbách a zranitelnostech týkající se daného incidentu, aby pomohly širší společné obraně.

(53)

Přestože by se hlášení incidentů mělo vyžadovat po všech finančních subjektech, neočekává se, že tento požadavek ovlivní všechny subjekty stejným způsobem. Příslušné prahové hodnoty významnosti, jakož i lhůty pro hlášení by měly být řádně upraveny v kontextu aktů v přenesené pravomoci založených na regulačních technických normách, které vypracují evropské orgány dohledu, a to tak, aby se vztahovaly pouze na závažné incidenty související s IKT. Při stanovování lhůt pro povinnost hlášení by navíc měla být zohledněna specifika finančních subjektů.

(54)

Toto nařízení by mělo vyžadovat, aby úvěrové instituce, platební instituce, poskytovatelé služeb informování o účtu a instituce elektronických peněz hlásili všechny provozní nebo bezpečnostní incidenty související s platbami – dříve hlášené podle směrnice (EU) 2015/2366 – bez ohledu na povahu incidentu z hlediska IKT.

(55)

Evropské orgány dohledu by měly být pověřeny posouzením proveditelnosti a podmínek možné centralizace hlášení incidentů souvisejících s IKT na úrovni Unie. Tato centralizace by mohla sestávat z jednotného centra EU pro hlášení závažných incidentů souvisejících s IKT, které bude buď přímo přijímat příslušná hlášení a automaticky informovat příslušné vnitrostátní orgány, nebo bude soustřeďovat příslušná hlášení zasílaná příslušnými vnitrostátními orgány, a plnit tak úlohu koordinátora. Evropské orgány dohledu by měly být pověřeny, aby společně s ECB a ENISA vypracovaly společnou zprávu zabývající se proveditelností vytvoření jednotného centra EU.

(56)

Aby finanční subjekty dosáhly vysoké úrovně digitální provozní odolnosti a fungovaly v souladu s příslušnými mezinárodními normami (například základními prvky skupiny G7 pro penetrační testování na základě hrozeb) i s rámci uplatňovanými v Unii, jako je například TIBER–EU, měly by pravidelně testovat své systémy IKT a personál zodpovědný za IKT na efektivitu jejich prostředků prevence, detekce, reakce a obnovy, aby byly zjištěny a odstraněny potenciální zranitelnosti IKT. Aby se zohlednily rozdíly vyskytující se napříč různými finančními pododvětvími a v jejich rámci, pokud jde o úroveň připravenosti finančních subjektů v oblasti kybernetické bezpečnosti, mělo by testování zahrnovat širokou škálu nástrojů a opatření od posouzení základních požadavků (například posouzení a zjišťování zranitelnosti, analýzy otevřených zdrojů, posouzení bezpečnosti sítí, analýzy nedostatků, přezkumy fyzické bezpečnosti, dotazníky a antivirová softwarová řešení, přezkumy zdrojových kódů, pokud jsou proveditelné, testy založené na scénářích, testování kompatibility, testování výkonu nebo testování mezi koncovými body) až po pokročilejší testování prostřednictvím penetračního testování na základě hrozeb. Taková pokročilá testování by měla být vyžadována pouze u finančních subjektů dostatečně vyspělých z hlediska IKT, aby je mohly přiměřeně provést. Testování digitální provozní odolnosti vyžadované tímto nařízením by tedy mělo být pro některé finanční subjekty splňující kritéria stanovená v tomto nařízení (například pro systémové a v oblasti IKT vyspělé úvěrové instituce, burzy, centrální depozitáře cenných papírů a ústřední protistrany) náročnější než pro jiné finanční subjekty. Současně by testování digitální provozní odolnosti prostřednictvím penetračního testování na základě hrozeb mělo být vhodnější pro finanční subjekty, které vykonávají činnost v pododvětvích hlavních finančních služeb a hrají systémovou roli (například platby, bankovnictví a clearing a vypořádání), a méně vhodné pro jiná pododvětví (například správci aktiv a ratingové agentury).

(57)

Finanční subjekty, které působí přeshraničně a vykonávají své právo usadit se nebo právo poskytovat služby v rámci Unie, by měly ve svém domovském členském státě splňovat jednotný soubor požadavků na pokročilé testování (například penetrační testování na základě hrozeb), které by mělo zahrnovat infrastruktury IKT ve všech jurisdikcích, kde přeshraniční finanční skupina v rámci Unie působí, což takovým přeshraničním finančním skupinám umožní mít náklady na testování související s IKT pouze v jedné jurisdikci.

(58)

S cílem využít odborných znalostí, které již některé příslušné orgány získaly, zejména pokud jde o provádění rámce TIBER–EU, by toto nařízení mělo členským státům umožnit, aby na vnitrostátní úrovni určily jediný veřejný orgán jako odpovědný za všechny záležitosti penetračního testování na základě hrozeb ve finančním sektoru nebo aby v případě, že k takovému určení nedojde, pověřily prováděním úkolů souvisejících s penetračním testováním na základě hrozeb jiný vnitrostátní příslušný finanční orgán.

(59)

Vzhledem k tomu, že toto nařízení nevyžaduje, aby finanční subjekty pokrývaly všechny zásadní nebo důležité funkce v rámci jediného penetračního testu na základě hrozeb, měly by mít finanční subjekty možnost určit, které zásadní nebo důležité funkce by do rozsahu tohoto testování měly být zahrnuty a kolik by jich mělo být.

(60)

Společné testování ve smyslu tohoto nařízení – zahrnující zapojení několika finančních subjektů do penetračního testování na základě hrozeb, kdy poskytovatel služeb IKT z řad třetích stran může přímo uzavřít smluvní ujednání s externím subjektem provádějícím testování – by se mělo umožnit pouze tehdy, pokud se odůvodněně předpokládá, že by to nemělo nepříznivý dopad na kvalitu nebo bezpečnost služeb IKT poskytovaných poskytovatelem z řad třetích stran zákazníkům, kteří nejsou subjekty spadajícími do oblasti působnosti tohoto nařízení, nebo na důvěrnost údajů souvisejících s těmito službami. Společné testování by mělo podléhat zárukám (řízení jedním určeným finančním subjektem, kalibrace zapojených finančních subjektů) s cílem zajistit důkladné testování zapojených finančních subjektů, které splňuje cíle penetračního testování na základě hrozeb podle tohoto nařízení.

(61)

Aby bylo možné využít interních zdrojů dostupných na úrovni podniku, mělo by toto nařízení pro účely provádění penetračního testování na základě hrozeb umožnit používání interních subjektů za předpokladu, že orgán dohledu souhlasí, že nedochází ke střetům zájmů a že se pravidelně mění používání interních a externích subjektů provádějících testování (jeden ze tří testů), a zároveň by se mělo vyžadovat, aby poskytovatel operativních informací o hrozbách byl v rámci penetračního testování vždy externí subjekt, který není součástí daného finančního subjektu. Odpovědnost za provádění penetračního testování na základě hrozeb by měl plně nést finanční subjekt. Osvědčení vydávaná orgány by měla být výhradně pro účely vzájemného uznávání a neměla by vylučovat jakákoli následná opatření potřebná k řešení rizika v oblasti IKT, jemuž je finanční subjekt vystaven, ani by neměla být chápána jako potvrzení ze strany orgánů dohledu o schopnostech finančního subjektu řídit a snižovat rizika v oblasti IKT.

(62)

Za účelem zajištění řádného sledování rizika v oblasti IKT spojeného s třetími stranami ve finančním sektoru je nutné stanovit soubor pravidel založených na zásadách jako vodítko pro finanční subjekty, pokud sledují riziko, které vzniká v souvislosti s funkcemi externě zajišťovanými poskytovateli služeb IKT z řad třetích stran, a to zejména v případě služeb IKT podporujících zásadní nebo důležité funkce, jakož i obecněji v kontextu závislostí na všech třetích stranách v oblasti IKT.

(63)

Aby bylo možné řešit složitost různých zdrojů rizika v oblasti IKT a zároveň zohlednit množství a rozmanitost poskytovatelů technologických řešení, která umožňují bezproblémové poskytování finančních služeb, mělo by se toto nařízení vztahovat na širokou škálu poskytovatelů služeb IKT z řad třetích stran, včetně poskytovatelů cloudových služeb, softwaru, služeb analýzy dat a poskytovatelů služeb datových center. Podobně vzhledem k tomu, že by finanční subjekty měly účinně a jednotně identifikovat a řídit všechny druhy rizika, a to i v souvislosti se službami IKT pořízenými v rámci finanční skupiny, mělo by být vyjasněno, že podniky, které jsou součástí finanční skupiny a poskytují služby IKT převážně svému mateřskému podniku nebo dceřiným podnikům či pobočkám svého mateřského podniku, jakož i finanční subjekty poskytující služby IKT jiným finančním subjektům, by měly být rovněž považovány za poskytovatele služeb IKT z řad třetích stran podle tohoto nařízení. A konečně s ohledem na vyvíjející se trh platebních služeb, který je stále závislejší na složitých technických řešeních, a s ohledem na nově se objevující druhy platebních služeb a řešení související s platbami by účastníci ekosystému platebních služeb, kteří poskytují činnosti zpracování plateb nebo provozují platební infrastruktury, měli být rovněž považováni za poskytovatele služeb IKT z řad třetích stran podle tohoto nařízení, s výjimkou centrálních bank při provozování platebních systémů nebo systémů vypořádání obchodů s cennými papíry a veřejných orgánů při poskytování služeb souvisejících s IKT v kontextu státní správy.

(64)

Za dodržování svých povinností podle tohoto nařízení by měl vždy zůstat plně odpovědný finanční subjekt. Finanční subjekty by měly uplatňovat proporcionální přístup ke sledování rizik vznikajících na úrovni poskytovatelů služeb IKT z řad třetích stran, a to řádným přihlédnutím k povaze, rozsahu, složitosti a významu své závislosti související s IKT, významu či důležitosti služeb, procesů nebo funkcí regulovaných smluvními ujednáními a nakonec na základě pečlivého posouzení všech potenciálních dopadů na kontinuitu a kvalitu finančních služeb na individuální úrovni a případně na úrovni skupiny.

(65)

Toto sledování by se mělo řídit strategickým přístupem k riziku v oblasti IKT spojeným s třetími stranami formalizovaným prostřednictvím specializované strategie pro riziko v oblasti IKT spojené s třetími stranami přijaté vedoucím orgánem finančního subjektu, která bude založena na nepřetržité kontrole všech takových závislostí na třetích stranách v oblasti IKT. V zájmu zvýšení povědomí orgánů dohledu o závislosti na třetích stranách v oblasti IKT a s cílem dále podpořit práci v souvislosti s rámcem dohledu zřízeným tímto nařízením by všechny finanční subjekty měly mít povinnost vést registr informací se všemi smluvními ujednáními o využívání služeb IKT poskytovaných poskytovateli služeb IKT z řad třetích stran. Orgány finančního dohledu by měly mít možnost požádat o registr v plném rozsahu nebo požádat o jeho konkrétní části, a získat tak nezbytné informace pro širší pochopení závislostí finančních subjektů na IKT.

(66)

Základem formálního uzavření smluvních ujednání by měla být důkladná analýza před uzavřením smlouvy, přičemž by se měla zaměřit zejména na prvky, jak jsou služby podporované zamýšlenou smlouvou o IKT zásadní nebo důležité, nezbytná schválení orgánů dohledu nebo jiné podmínky, možné riziko koncentrace, které s sebou nese, jakož i uplatňování náležité péče v procesu výběru a posuzování poskytovatelů služeb IKT z řad třetích stran a posuzování potenciálních střetů zájmů. U smluvních ujednání týkajících se zásadních nebo důležitých funkcí by finanční subjekty měly zvážit, zda poskytovatelé služeb IKT z řad třetích stran uplatňují aktuální a nejvyšší normy bezpečnosti informací. K ukončení smluvních ujednání by mohlo docházet na základě alespoň série okolností ukazujících na nedostatky vzniklé na úrovni poskytovatele služeb IKT z řad třetích stran, zejména na významné porušení právních předpisů nebo smluvních podmínek, okolnosti odhalující potenciální změnu v plnění funkcí poskytovaných na základě smluvních ujednání, důkazy o slabých stránkách poskytovatele služeb IKT z řad třetích stran v jeho celkovém řízení rizika v oblasti IKT nebo okolnosti naznačující, že relevantní příslušný orgán není schopen vykonávat účinný dohled nad finančním subjektem.

(67)

Za účelem řešení systémového dopadu rizika koncentrace třetích stran v oblasti IKT podporuje toto nařízení vyvážené řešení prostřednictvím flexibilního a postupného přístupu k tomuto riziku koncentrace, neboť stanovení jakýchkoli pevných mezních hodnot nebo přísných omezení by mohlo bránit podnikání a omezovat smluvní svobodu. Finanční subjekty by měly důkladně vyhodnocovat svá plánovaná smluvní ujednání, aby identifikovaly pravděpodobnost vzniku takového rizika, včetně využití hloubkových analýz subdodavatelských ujednání, zejména budou-li uzavírány s poskytovateli služeb IKT z řad třetích stran usazenými ve třetí zemi. V této fázi a s ohledem na dosažení spravedlivé rovnováhy mezi nutným zachováním smluvní svobody a nutným zajištěním finanční stability není považováno za vhodné stanovit pro expozici třetím stranám v oblasti IKT pravidla v podobě striktních mezních hodnot a omezení. V kontextu rámce dohledu by hlavní orgán dohledu jmenovaný podle tohoto nařízení měl s ohledem na kritické poskytovatele služeb IKT z řad třetích stran věnovat zvláštní pozornost úplnému pochopení rozsahu vzájemných závislostí, objevení konkrétních míst, kde je pravděpodobné, že vysoká koncentrace kritických poskytovatelů služeb IKT z řad třetích stran v Unii může ohrozit stabilitu a integritu jejího finančního systému, a udržovat dialog s kritickými poskytovateli služeb IKT z řad třetích stran, u nichž je toto konkrétní riziko identifikováno.

(68)

Za účelem pravidelného hodnocení a sledování schopnosti poskytovatele služeb IKT z řad třetích stran bezpečně poskytovat služby finančnímu subjektu bez nepříznivých dopadů na digitální provozní odolnost finančního subjektu by mělo být několik klíčových smluvních prvků s poskytovateli služeb IKT z řad třetích stran harmonizováno. Taková harmonizace by se měla týkat alespoň oblastí, které jsou klíčové pro to, aby finanční subjekt mohl plně sledovat rizika, která by mohl způsobit poskytovatel služeb IKT z řad třetích stran, a to z hlediska potřeby finančního subjektu zabezpečit svoji digitální odolnost, protože ta velmi závisí na stabilitě, funkčnosti, dostupnosti a bezpečnosti služeb IKT, které mu jsou poskytovány.

(69)

V rámci nového sjednávání smluvních ujednání s cílem dosáhnout souladu s požadavky tohoto nařízení by finanční subjekty a poskytovatelé služeb IKT z řad třetích stran měli zajistit pokrytí klíčových smluvních ustanovení, jak je stanoveno v tomto nařízení.

(70)

Definice „zásadní nebo důležitá funkce“ stanovená v tomto nařízení by měla zahrnovat „zásadní funkce“ uvedené v čl. 2 odst. 1 bodě 35 směrnice Evropského parlamentu a Rady 2014/59/EU (20). Obdobně jsou funkce považované za zásadní podle směrnice 2014/59/EU zahrnuty do definice zásadních funkcí ve smyslu tohoto nařízení.

(71)

Bez ohledu na to, jak jsou funkce podporované službami IKT zásadní nebo důležité, měla by smluvní ujednání zejména obsahovat specifikace úplných popisů funkcí a služeb, míst, kde jsou dotčené funkce poskytovány a kde budou zpracovávána data, a rovněž popisy úrovní služeb. Mezi další zásadní prvky umožňující finančnímu subjektu sledovat riziko v oblasti IKT spojené s třetími stranami patří: smluvní ustanovení, která upřesňují, jak poskytovatel služeb IKT z řad třetích stran zajišťuje přístupnost, dostupnost, integritu, bezpečnost a ochranu osobních údajů, ustanovení obsahující relevantní záruky umožňující přístup k údajům, obnovu a navrácení údajů v případě platební neschopnosti, řešení krize nebo ukončení obchodní činnosti poskytovatele služeb IKT z řad třetích stran, jakož i ustanovení požadující, aby poskytovatel služeb IKT z řad třetích stran poskytl pomoc v případě incidentů v oblasti IKT v souvislosti s poskytovanými službami, a to bez dodatečných nákladů nebo za cenu určenou následně; ustanovení o povinnosti poskytovatele služeb IKT z řad třetích stran plně spolupracovat s příslušnými orgány a orgány příslušnými k řešení krize finančního subjektu; a ustanovení o právech na ukončení smlouvy a související minimální výpovědní lhůtě pro ukončení smluvních ujednání v souladu s očekáváními příslušných orgánů a orgánů příslušných k řešení krize.

(72)

Kromě těchto smluvních ustanovení a s cílem zajistit, aby finanční subjekty měly i nadále plnou kontrolu nad veškerým vývojem na úrovni třetích stran, který by mohl ohrozit jejich bezpečnost IKT, by smlouvy o poskytování služeb IKT podporujících zásadní nebo důležité funkce měly rovněž obsahovat: upřesnění popisů úrovní úplné služby doplněné o přesné kvantitativní i kvalitativní výkonnostní cíle, aby bylo možné neprodleně přijmout vhodné kroky k nápravě, nejsou-li sjednané úrovně služeb splněny; příslušné lhůty pro oznámení a povinnosti hlášení poskytovatelů služeb IKT z řad třetích stran v případě vývoje s potenciálním vážným dopadem na schopnost poskytovatelů služeb IKT z řad třetích stran zajišťovat příslušné služby IKT; požadavek, aby poskytovatel služeb IKT z řad třetích stran zavedl a otestoval plány zachování provozu a měl bezpečnostní opatření, nástroje a politiky v oblasti IKT umožňující bezpečné poskytování služeb a aby se podílel na penetračním testu na základě hrozeb prováděném finančním subjektem a plně na něm spolupracoval.

(73)

Smlouvy o poskytování služeb IKT podporujících zásadní nebo důležité funkce by měly rovněž obsahovat ustanovení poskytující finančnímu subjektu nebo určené třetí straně práva na přístup, kontrolu a audit a právo pořizovat si kopie, což jsou společně s úplnou spoluprací poskytovatele služeb IKT z řad třetích stran klíčové nástroje průběžného sledování plnění těchto poskytovatelů služeb. Podobně by měl příslušný orgán finančního subjektu mít právo provést po předchozím oznámení kontrolu a audit poskytovatele služeb IKT z řad třetích stran, s výhradou ochrany důvěrných informací.

(74)

Taková smluvní ujednání by měla rovněž stanovit specializované strategie ukončení smluvního vztahu umožňující zejména povinná přechodná období, během nichž by měli poskytovatelé služeb IKT z řad třetích stran nadále poskytovat příslušné služby s cílem snížit riziko narušení na úrovni finančního subjektu nebo mu podle složitosti poskytované služby IKT umožnit začít účinně využívat jiného poskytovatele služeb IKT z řad třetích stran, případně změnit interní řešení. Finanční subjekty spadající do oblasti působnosti směrnice 2014/59/EU by navíc měly zajistit, aby příslušné smlouvy týkající se služeb IKT byly v případě řešení krize těchto finančních subjektů spolehlivé a plně vymahatelné. Tyto finanční subjekty by měly v souladu s předpoklady orgánů příslušných k řešení krize zajistit, aby byly příslušné smlouvy týkající se služeb IKT odolné vůči takovým krizím. Pokud tyto finanční subjekty nadále plní své platební povinnosti, měly by mimo jiné zajistit, aby příslušné smlouvy týkající se služeb IKT obsahovaly doložky o neukončení, nepozastavení a nezměněném stavu z důvodu restrukturalizace nebo řešení krize.

(75)

Kromě toho by dobrovolné použití standardních smluvních doložek vypracovaných veřejnými orgány nebo orgány Unie, zejména použití standardních smluvních doložek vypracovaných Komisí pro cloudové služby, mohlo dále zjednodušit situaci finančních subjektů a poskytovatelů služeb IKT z řad třetích stran, protože se zvýší jejich úroveň právní jistoty ohledně využívání cloudových služeb ve finančním sektoru v úplném souladu s požadavky a předpoklady stanovenými v právu Unie v oblasti finančních služeb. Vypracování standardních smluvních doložek vychází z opatření již předjímaných v akčním plánu pro finanční technologie z roku 2018, kde byl oznámen záměr Komise podporovat a usnadňovat vypracovávání standardních smluvních doložek pro používání externích cloudových služeb finančními subjekty, přičemž čerpá z práce meziodvětvových zúčastněných subjektů cloudových služeb, kterou Komise umožnila za přispění finančního sektoru.

(76)

S cílem podpořit konvergenci a účinnost v souvislosti s přístupy k dohledu při řešení rizika v oblasti IKT spojeného s třetími stranami ve finančním sektoru, jakož i posílit digitální provozní odolnost finančních subjektů, které se při poskytování služeb IKT podporujících poskytování finančních služeb spoléhají na kritické poskytovatele služeb IKT z řad třetích stran, a pomoci tak zachovat stabilitu finančního systému Unie a integritu vnitřního trhu s finančními službami, by měli kritičtí poskytovatelé služeb IKT z řad třetích stran podléhat unijnímu rámci dohledu. I když je zřízení rámce dohledu odůvodněno přidanou hodnotou přijetí opatření na úrovni Unie a inherentní úlohou a zvláštnostmi využívání služeb IKT při poskytování finančních služeb, mělo by být zároveň připomenuto, že toto řešení se jeví jako vhodné pouze v kontextu tohoto nařízení, které se konkrétně zabývá digitální provozní odolností ve finančním sektoru. Tento rámec dohledu by však neměl být považován za nový model dohledu Unie v oblasti finančních služeb a činností.

(77)

Rámec dohledu by se měl vztahovat pouze na kritické poskytovatele služeb IKT z řad třetích stran. Proto by měl existovat mechanismus určování, který by zohlednil rozměr a povahu závislosti finančního sektoru na těchto poskytovatelích služeb IKT z řad třetích stran. Tento mechanismus by měl zahrnovat soubor kvantitativních a kvalitativních kritérií pro stanovení parametrů kritičnosti jako základu pro začlenění do rámce dohledu. Aby byla zajištěna přesnost tohoto posouzení a bez ohledu na organizační strukturu poskytovatele služeb IKT z řad třetích stran, měla by tato kritéria v případě poskytovatele služeb IKT z řad třetích stran, který je součástí širší skupiny, zohlednit celou strukturu skupiny poskytovatele služeb IKT z řad třetích stran. Na jedné straně by kritičtí poskytovatelé služeb IKT z řad třetích stran, kteří nebudou automaticky určeni na základě použití výše uvedených kritérií, měli mít možnost zapojit se do rámce dohledu dobrovolně, na straně druhé by poskytovatelé služeb IKT z řad třetích stran, na něž se již vztahují rámce mechanismů dohledu podporující plnění úkolů na úrovni Evropského systému centrálních bank podle čl. 127 odst. 2 Smlouvy o fungování EU, by z něj měli být následně vyňati.

(78)

Podobně by finanční subjekty poskytující služby IKT jiným finančním subjektům, ačkoli patří do kategorie poskytovatelů služeb IKT z řad třetích stran podle tohoto nařízení, měly být rovněž vyňaty z rámce dohledu, neboť již podléhají mechanismům dohledu stanoveným příslušným právem Unie v oblasti finančních služeb. Příslušné orgány by případně měly v rámci svých dohledových činností zohlednit riziko v oblasti IKT, které pro finanční subjekty představují finanční subjekty poskytující služby IKT. Stejně tak by vzhledem ke stávajícím mechanismům sledování rizika na úrovni skupiny měla být stejná výjimka zavedena pro poskytovatele služeb IKT z řad třetích stran, kteří poskytují služby převážně subjektům své vlastní skupiny. Poskytovatelé služeb IKT z řad třetích stran, kteří poskytují služby IKT pouze v jednom členském státě finančním subjektům, které působí pouze v tomto členském státě, by měli být rovněž vyňati z mechanismu určování z toho důvodu, že jejich činnosti jsou omezené a mají nedostatečný přeshraniční dopad.

(79)

Digitální transformace v oblasti finančních služeb přinesla nebývalou míru využívání a spoléhání se na služby IKT. Jelikož se stalo nemyslitelným poskytovat finanční služby bez využití cloudových služeb, softwarových řešení a služeb souvisejících s daty, stal se finanční ekosystém Unie ze své podstaty závislým na některých službách IKT poskytovaných poskytovateli služeb IKT. Někteří z těchto poskytovatelů, inovátoři ve vývoji a používání technologií založených na IKT, hrají při poskytování finančních služeb významnou úlohu nebo jsou již do hodnotového řetězce finančních služeb začleněni. Získali tak zásadní postavení pro stabilitu a integritu finančního systému Unie. Tato rozšířená závislost na službách poskytovaných kritickými poskytovateli služeb IKT z řad třetích stran ve spojení se vzájemnou závislostí informačních systémů různých účastníků trhu vytváří přímé a potenciálně závažné riziko pro systém finančních služeb Unie a pro kontinuitu poskytování finančních služeb, pokud by byli kritičtí poskytovatelé služeb IKT z řad třetích stran ovlivněni provozními narušeními nebo závažnými kybernetickými incidenty. Kybernetické incidenty mají charakteristickou schopnost množit se a šířit se v celém finančním systému výrazně rychleji než jiné druhy rizika monitorované ve finančním sektoru a mohou se rozšířit napříč odvětvími i za zeměpisnými hranicemi. Mají potenciál stát se systémovou krizí, pokud došlo k narušení důvěry ve finanční systém v důsledku narušení funkcí podporujících reálnou ekonomiku nebo značných finančních ztrát, které dosáhly úrovně, kterou finanční systém není schopen zvládnout nebo která vyžaduje zavedení rozsáhlých opatření pro absorpci otřesů. Aby se zabránilo těmto scénářům, a tím i ohrožení finanční stability a integrity Unie, je nezbytné zajistit sbližování postupů dohledu týkajících se rizika v oblasti IKT spojeného s třetími stranami ve finančním sektoru, zejména prostřednictvím nových pravidel umožňujících dohled Unie nad kritickými poskytovateli služeb IKT z řad třetích stran.

(80)

Rámec dohledu do značné míry závisí na míře spolupráce mezi hlavním orgánem dohledu a kritickým poskytovatelem služeb IKT z řad třetích stran, který poskytuje finančním subjektům služby ovlivňující nabídku finančních služeb. Úspěšný dohled závisí mimo jiné na schopnosti hlavního orgánu dohledu účinně provádět úkoly v oblasti sledování a kontroly s cílem posoudit pravidla, kontroly a procesy používané kritickými poskytovateli služeb IKT z řad třetích stran a posoudit potenciální kumulativní dopad jejich činností na finanční stabilitu a integritu finančního systému. Zároveň je zásadní, aby se kritičtí poskytovatelé služeb IKT z řad třetích stran řídili doporučeními hlavního orgánu dohledu a zabývali se jeho obavami. Vzhledem k tomu, že nedostatečná spolupráce kritického poskytovatele služeb IKT z řad třetích stran poskytujícího služby, jež ovlivňují nabídku finančních služeb, jako je odmítnutí přístupu do jeho prostor nebo poskytnutí informací, by v konečném důsledku zbavila hlavní orgán dohledu jeho základních nástrojů pro posuzování rizika v oblasti IKT spojeného s třetími stranami a mohla by mít nepříznivý dopad na finanční stabilitu a integritu finančního systému, je rovněž nezbytné stanovit přiměřený sankční režim.

(81)

V této souvislosti by potřebu hlavního orgánu dohledu ukládat penále s cílem přimět kritické poskytovatele služeb IKT z řad třetích stran k dodržování povinností týkajících se transparentnosti a přístupu stanovených v tomto nařízení neměly ohrozit obtíže způsobené vymáháním těchto penále ve vztahu ke kritickým poskytovatelům služeb IKT z řad třetích stran usazeným ve třetích zemích. V zájmu zajištění vymahatelnosti těchto sankcí a umožnění rychlého zavedení postupů, které respektují práva kritických poskytovatelů služeb IKT z řad třetích stran na obhajobu v souvislosti s mechanismem určování a vydáváním doporučení, by tito kritičtí poskytovatelé služeb IKT z řad třetích stran, kteří poskytují finančním subjektům služby ovlivňující nabídku finančních služeb, měli být povinni udržovat přiměřenou obchodní přítomnost v Unii. Vzhledem k povaze dohledu a neexistenci srovnatelných ujednání v jiných jurisdikcích neexistují žádné vhodné alternativní mechanismy zajišťující tento cíl prostřednictvím účinné spolupráce s orgány dohledu ve finančním sektoru ve třetích zemích v souvislosti se sledováním dopadu digitálních provozních rizik představovaných systémovými poskytovateli služeb IKT z řad třetích stran, kteří jsou považováni za kritické poskytovatele služeb IKT z řad třetích stran usazené ve třetích zemích. S cílem nadále poskytovat svoje služby IKT finančním subjektům v Unii by poskytovatel služeb IKT z řad třetích stran usazený ve třetí zemi, který byl určen jako kritický podle tohoto nařízení, měl do 12 měsíců od takového určení přijmout veškerá nezbytná opatření k tomu, aby zabezpečil svoje začlenění v Unii, a to založením dceřiného podniku, jak je uvedeno v acquis Unie, konkrétně ve směrnici Evropského parlamentu a Rady 2013/34/EU (21).

(82)

Požadavek na založení dceřiného podniku v Unii by neměl kritickému poskytovateli služeb IKT z řad třetích stran bránit v poskytování služeb IKT a související technické podpory ze zařízení a infrastruktury nacházejících se mimo Unii. Toto nařízení neukládá povinnost lokalizace údajů, neboť nevyžaduje uchovávání nebo zpracování údajů v Unii.

(83)

Kritičtí poskytovatelé služeb IKT z řad třetích stran by měli mít možnost poskytovat služby IKT odkudkoli na světě, nikoli nezbytně nebo výhradně z prostor nacházejících se v Unii. Činnosti v oblasti dohledu by měly být nejprve prováděny v prostorách nacházejících se v Unii a prostřednictvím interakce se subjekty nacházejícími se v Unii, včetně dceřiných podniků založených kritickými poskytovateli služeb IKT z řad třetích stran podle tohoto nařízení. Tato opatření v rámci Unie by však mohla být nedostatečná k tomu, aby hlavnímu orgánu dohledu umožnila plně a účinně plnit jeho povinnosti podle tohoto nařízení. Hlavní orgán dohledu by proto měl mít rovněž možnost vykonávat své příslušné pravomoci dohledu ve třetích zemích. Výkon těchto pravomocí ve třetích zemích by měl hlavnímu orgánu dohledu umožnit přezkoumat zařízení, z nichž jsou služby IKT nebo služby technické podpory kritickým poskytovatelem služeb IKT z řad třetích stran skutečně poskytovány nebo spravovány, a měl by hlavnímu orgánu dohledu poskytnout komplexní a provozní pochopení řízení rizika v oblasti IKT kritického poskytovatele služeb IKT z řad třetích stran. Možnost, aby hlavní orgán dohledu jakožto agentura Unie vykonával pravomoci mimo území Unie, by měla být řádně vymezena odpovídajícími podmínkami, zejména souhlasem dotčeného kritického poskytovatele služeb IKT z řad třetích stran. Podobně by měly být o výkonu činností hlavního orgánu dohledu na území třetí země informovány relevantní orgány této země a neměly by proti němu mít námitky. K zajištění účinného provádění, a aniž jsou dotčeny příslušné pravomoci orgánů Unie a členských států, je však třeba tyto pravomoci rovněž plně zakotvit v ujednáních o správní spolupráci uzavíraných s relevantními orgány dotčené třetí země. Toto nařízení by proto mělo evropským orgánům dohledu umožnit uzavírat ujednání o správní spolupráci s relevantními orgány třetích zemí, které by jinak neměly vytvářet právní závazky vůči Unii a jejím členským státům.

(84)

Pro usnadnění komunikace s hlavním orgánem dohledu a zajištění odpovídajícího zastoupení by kritičtí poskytovatelé služeb IKT z řad třetích stran, kteří jsou součástí skupiny, měli určit jednu právnickou osobu jako své koordinační místo.

(85)

Rámec dohledu se netýká pravomoci členských států provádět vlastní úkoly v oblasti dohledu nebo sledování, pokud jde o poskytovatele služeb IKT z řad třetích stran, kteří nejsou podle tohoto nařízení určeni jako kritičtí, ovšem kteří jsou považováni za významné na vnitrostátní úrovni.

(86)

Aby se využilo vícevrstvé institucionální architektury v oblasti finančních služeb, měl by Společný výbor evropských orgánů dohledu nadále zajišťovat v souladu se svými úkoly v oblasti kybernetické bezpečnosti meziodvětvovou koordinaci ohledně všech záležitostí týkajících se rizika v oblasti IKT. Měl by mu pomáhat nový podvýbor (Fórum dohledu), který bude provádět přípravné práce jak pro individuální rozhodnutí určená kritickým poskytovatelům služeb IKT z řad třetích stran, tak pro vydávání kolektivních doporučení, zejména ohledně porovnávání testování programů dohledu nad kritickými poskytovateli služeb IKT z řad třetích stran, a současně bude identifikovat osvědčené postupy pro řešení otázek rizika koncentrace IKT.

(87)

Aby se zajistilo, že na úrovni Unie bude na kritické poskytovatele služeb IKT z řad třetích stran dohlíženo přiměřeně a účinně, toto nařízení stanoví, že jako hlavní orgán dohledu by mohl být určen kterýkoli ze tří evropských orgánů dohledu. Individuální přidělení kritického poskytovatele služeb IKT z řad třetích stran jednomu ze tří evropských orgánů dohledu by mělo být výsledkem posouzení převahy finančních subjektů působících ve finančních sektorech, za něž má tento evropský orgán dohledu odpovědnost. Tento přístup by měl vést k vyváženému rozdělení úkolů a povinností mezi tři evropské orgány dohledu v souvislosti s výkonem funkcí dohledu a měl by co nejlépe využívat lidské zdroje a technické odborné znalosti, které jsou k dispozici v každém ze tří evropských orgánů dohledu.

(88)

Hlavním orgánům dohledu by měly být uděleny nezbytné pravomoci k provádění šetření a kontrol v prostorách a na místech kritických poskytovatelů služeb IKT z řad třetích stran, aby získaly úplné a aktualizované informace. Tyto pravomoci by měly hlavnímu orgánu dohledu umožnit reálně pochopit druh, rozměr a dopad rizika v oblasti IKT spojeného s třetími stranami pro finanční subjekty a konečně i pro finanční systém Unie. Pověření evropských orgánů dohledu úlohou hlavního dohledu je nutným předpokladem k pochopení a řešení systémového rozměru rizika v oblasti IKT ve finančním sektoru. Vliv kritických poskytovatelů služeb IKT z řad třetích stran na finanční sektor Unie a potenciální problémy způsobené souvisejícím rizikem koncentrace IKT si žádají přijetí kolektivního přístupu na úrovni Unie. Souběžné provádění několika auditů a přístupových práv realizované ze strany početných příslušných orgánů samostatně, s nízkou či žádnou vzájemnou koordinací by orgánům dohledu ve finančním sektoru bránilo získat úplný a komplexní přehled o riziku v oblasti IKT spojeném s třetími stranami v Unii a současně by rovněž pro kritické poskytovatele služeb IKT z řad třetích stran vytvářelo nadbytečnost, zatížení a složitost, pokud by se na ně tyto četné požadavky sledování a kontroly vztahovaly.

(89)

Vzhledem k významnému dopadu určení za kritického poskytovatele by toto nařízení mělo zajistit, aby práva kritických poskytovatelů služeb IKT z řad třetích stran byla dodržována po celou dobu provádění rámce dohledu. Před tím, než budou tito poskytovatelé určeni jako kritičtí poskytovatelé, by měli mít například právo předložit hlavnímu orgánu dohledu odůvodněné prohlášení obsahující veškeré relevantní informace pro účely posouzení týkajícího se jejich určení. Vzhledem k tomu, že hlavnímu orgánu dohledu by měla být svěřena pravomoc předkládat doporučení ohledně rizika v oblasti IKT a vhodných nápravných prostředků, včetně práva nesouhlasit s některými smluvními ujednáními, která v konečném důsledku dopadají na stabilitu finančního subjektu či finančního systému, kritičtí poskytovatelé služeb IKT z řad třetích stran by rovněž měli mít možnost podat před dokončením těchto doporučení vysvětlení, pokud jde o očekávaný dopad řešení navrhovaných v doporučeních na zákazníky, kteří jsou subjekty, jež nespadají do oblasti působnosti tohoto nařízení, a navrhnout řešení s cílem zmírnit rizika. Kritičtí poskytovatelé služeb IKT z řad třetích stran, kteří s doporučeními nesouhlasí, by rovněž měli mít možnost předložit odůvodněné vysvětlení svého záměru doporučení neuznat. Není-li takové odůvodněné vysvětlení předloženo nebo je-li považováno za nedostatečné, měl by hlavní orgán dohledu vydat veřejné oznámení, v němž stručně popíše záležitost týkající se nesouladu.

(90)

Příslušné orgány by měly do svých funkcí, pokud jde o obezřetnostní dohled nad finančními subjekty, náležitě zahrnout úkol ověřování věcného dodržování doporučení vydaných hlavním orgánem dohledu. Příslušné orgány by měly mít možnost požadovat, aby finanční subjekty přijaly dodatečná opatření k řešení rizik identifikovaných v doporučeních hlavního orgánu dohledu, a měly by za tímto účelem včas vydávat oznámení. Pokud hlavní orgán dohledu vydá doporučení kritickým poskytovatelům služeb IKT z řad třetích stran, nad nimiž je vykonáván dohled podle směrnice (EU) 2022/2555, měly by mít příslušné orgány možnost dobrovolně a před přijetím dalších opatření konzultovat příslušné orgány podle uvedené směrnice s cílem podpořit koordinovaný přístup k jednání s dotčenými kritickými poskytovateli služeb IKT z řad třetích stran.

(91)

Výkon dohledu by se měl řídit třemi provozními zásadami, jejichž cílem je zajistit: a) úzkou koordinaci mezi evropskými orgány dohledu v jejich úlohách hlavního orgánu dohledu prostřednictvím společné sítě dohledu, b) soulad s rámcem stanoveným směrnicí (EU) 2022/2555 (prostřednictvím dobrovolné konzultace se subjekty na základě uvedené směrnice s cílem zabránit zdvojování opatření zaměřených na kritické poskytovatele služeb IKT z řad třetích stran a c) uplatňování náležité péče s cílem minimalizovat potenciální riziko narušení služeb poskytovaných kritickými poskytovateli služeb IKT z řad třetích stran zákazníkům, kteří jsou subjekty nespadajícími do oblasti působnosti tohoto nařízení.

(92)

Rámec dohledu by neměl nahrazovat ani žádným způsobem či podílem zastupovat povinnost finančních subjektů samostatně řídit rizika spojená s poskytovateli služeb IKT z řad třetích stran, včetně povinnosti průběžně sledovat smluvní ujednání uzavřená s kritickými poskytovateli služeb IKT z řad třetích stran. Obdobně by rámec dohledu neměl ovlivňovat úplnou odpovědnost finančních subjektů za dodržování a splnění všech právních povinností stanovených v tomto nařízení a v příslušném právu v oblasti finančních služeb.

(93)

Aby se předešlo zdvojením a přesahům, neměly by příslušné orgány samostatně přijímat žádná opatření zaměřená na sledování rizik kritických poskytovatelů služeb ICT z řad třetích stran a měly by v tomto ohledu spoléhat pouze na příslušné posouzení hlavním orgánem dohledu. Veškerá opatření by se v každém případě měla předem koordinovat a odsouhlasit s hlavním orgánem dohledu v kontextu provádění úkolů v rámci dohledu.

(94)

Aby se podpořilo sbližování na mezinárodní úrovni, pokud jde o využívání osvědčených postupů při přezkumu a sledování řízení digitálního rizika poskytovatelů služeb IKT z řad třetích stran, měly by být evropské orgány dohledu vybízeny k uzavírání dohod o spolupráci s relevantními orgány dohledu a regulačními orgány třetích zemí.

(95)

Aby se využilo zvláštních kompetencí, technických dovedností a odborných znalostí pracovníků specializujících se na operační riziko a riziko v oblasti IKT v rámci příslušných orgánů, tří evropských orgánů dohledu a na dobrovolném základě i příslušných orgánů podle směrnice (EU) 2022/2555, měl by hlavní orgán dohledu čerpat z vnitrostátních schopností a znalostí v oblasti dohledu a vytvořit specializované kontrolní týmy pro jednotlivé kritické poskytovatele služeb IKT z řad třetích stran, a to seskupením meziodvětvových týmů na podporu příprav i provádění dohledových činností, včetně všeobecných šetření a kontrol kritických poskytovatelů služeb IKT z řad třetích stran na místě, jakož i veškerých nezbytných následných opatření.

(96)

Zatímco náklady vyplývající z úkolů v oblasti dohledu by byly plně financovány z poplatků vybíraných od kritických poskytovatelů služeb IKT z řad třetích stran, je pravděpodobné, že evropským orgánům dohledu vzniknou před spuštěním rámce dohledu náklady na zavedení specializovaných systémů IKT podporujících budoucí dohled, neboť specializované systémy IKT by musely být vyvinuty a zavedeny předem. Toto nařízení proto stanoví model hybridního financování, v jehož rámci by byl rámec dohledu jako takový plně financován z poplatků, zatímco rozvoj systémů IKT evropských orgánů dohledu by byl financován z příspěvků Unie a příslušných vnitrostátních orgánů.

(97)

Příslušné orgány by měly mít všechny požadované kontrolní, vyšetřovací a sankční pravomoci, aby zajistily řádný výkon svých povinností podle tohoto nařízení. V zásadě by měly zveřejňovat oznámení o uložených správních sankcích. Finanční subjekty a poskytovatelé služeb IKT z řad třetích stran mohou být usazeni v různých členských státech a podléhat dohledu různých příslušných orgánů, a proto by uplatňování tohoto nařízení mělo být na jedné straně usnadněno úzkou spoluprací mezi relevantními příslušnými orgány, včetně ECB, pokud jde o zvláštní úkoly, které jí svěřuje nařízení (EU) č. 1024/2013, a na straně druhé konzultacemi s evropskými orgány dohledu prostřednictvím vzájemné výměny informací a poskytování pomoci v souvislosti s příslušnou činností dohledu.

(98)

Za účelem další kvantifikace a kvalifikace kritérií pro určení poskytovatelů služeb IKT z řad třetích stran za kritické poskytovatele a harmonizace poplatků souvisejících s dohledem by měla být na Komisi přenesena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování EU s cílem doplnit toto nařízení tím, že se dále upřesní systémový dopad, který by mělo selhání nebo výpadek provozu poskytovatele služeb IKT z řad třetích stran na finanční subjekty, kterým poskytuje služby IKT, počet globálních systémově významných institucí (G-SVI) nebo jiných systémově významných institucí (J-SVI), jež využívají daného poskytovatele služeb IKT z řad třetích stran, počet poskytovatelů služeb IKT z řad třetích stran působících na daném trhu, náklady na migraci dat a pracovních úkolů v oblasti IKT při přechodu k jinému poskytovateli služeb IKT z řad třetích stran, jakož i výše poplatků souvisejících s dohledem a způsob jejich platby. Je obzvláště důležité, aby Komise vedla v rámci přípravné činnosti odpovídající konzultace, a to i na odborné úrovni, a aby tyto konzultace probíhaly v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů (22). Pro zajištění rovné účasti na vypracovávání aktů v přenesené pravomoci by Evropský parlament a Rada měly obdržet veškeré dokumenty současně s odborníky z členských států a jejich odborníci by měli mít automaticky přístup na zasedání skupin odborníků Komise, jež se věnují přípravě aktů v přenesené pravomoci.

(99)

Konzistentní harmonizaci požadavků stanovených tímto nařízením by měly zajišťovat regulační technické normy. Evropské orgány dohledu by jako orgány disponující vysoce odbornými znalostmi měly vypracovat návrhy regulačních technických norem, které neobsahují politická rozhodnutí, a měly by je předložit Komisi. Regulační technické normy by měly být vypracovány v oblastech řízení rizika v oblasti IKT, hlášení závažných incidentů souvisejících s IKT, testování, jakož i ve vztahu ke klíčovým požadavkům na řádné sledování rizika v oblasti IKT spojeného s třetími stranami. Komise a evropské orgány dohledu by měly zajistit, aby tyto normy a požadavky mohly všechny finanční subjekty uplatňovat způsobem, který je přiměřený jejich velikosti a celkovému rizikovému profilu a povaze, rozsahu a složitosti jejich služeb, činností a operací. Komisi by měla být svěřena pravomoc přijímat tyto regulační technické normy prostřednictvím aktů v přenesené pravomoci podle článku 290 Smlouvy o fungování EU a v souladu s články 10 až 14 nařízení (EU) č. 1093/2010, (EU) č. 1094/2010 a (EU) č. 1095/2010.

(100)

Aby se usnadnila srovnatelnost hlášení o závažných incidentech souvisejících s IKT a závažných provozních nebo bezpečnostních incidentech spojených s platbami a rovněž zajistila transparentnost smluvních ujednání pro používání služeb IKT poskytovaných poskytovateli služeb IKT z řad třetích stran, měly by evropské orgány dohledu vypracovat návrhy prováděcích technických norem, jimiž se stanoví standardizované vzory, formuláře a postupy, které budou finanční subjekty používat pro hlášení závažných incidentů souvisejících s IKT a závažných provozních nebo bezpečnostních incidentů spojených s platbami, a rovněž standardizované vzory pro registr informací. Při vypracovávání těchto norem by evropské orgány dohledu měly zohlednit velikost a celkový rizikový profil finančního subjektu a povahu, rozsah a složitost jeho služeb, činností a operací. Komisi by měla být svěřena pravomoc přijímat tyto prováděcí technické normy podle článku 291 Smlouvy o fungování EU a v souladu s článkem 15 nařízení (EU) č. 1093/2010, (EU) č. 1094/2010 a (EU) č. 1095/2010.

(101)

Protože již byly další požadavky specifikovány akty v přenesené pravomoci a prováděcími akty vycházejícími z technických regulačních a prováděcích technických norem v nařízeních Evropského parlamentu a Rady (ES) č. 1060/2009 (23), (EU) č. 648/2012 (24), (EU) č. 600/2014 (25) a (EU) č. 909/2014 (26), je vhodné pověřit evropské orgány dohledu, buď samostatně, nebo společně prostřednictvím společného výboru, předložením regulačních a prováděcích technických norem Komisi za účelem přijetí aktů v přenesené pravomoci a prováděcích aktů, jež provádějí a aktualizují stávající pravidla pro řízení rizika v oblasti IKT.

(102)

Jelikož toto nařízení, společně se směrnicí Evropského parlamentu a Rady (EU) 2022/2556 (27), obsahuje konsolidaci ustanovení o řízení rizika v oblasti IKT z několika nařízení a směrnic unijního práva o finančních službách, včetně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014 a (EU) č. 909/2014 a nařízení Evropského parlamentu a Rady (EU) 2016/1011 (28), je třeba za účelem zajištění úplné konzistentnosti tato nařízení změnit tak, aby se vyjasnilo, že použitelná ustanovení o riziku v oblasti IKT jsou uvedena v tomto nařízení.

(103)

V důsledku toho je třeba upravit oblast působnosti příslušných článků o operačním riziku, na jejichž základě zmocnění uvedená v nařízeních (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014 (EU) č. 909/2014 a (EU) 2016/1011 umožnila přijetí aktů v přenesené pravomoci a prováděcích aktů, tak aby byla do tohoto nařízení převzata všechna ustanovení týkající se aspektů digitální provozní odolnosti, jež jsou nyní součástí uvedených nařízení.

(104)

Potenciální systémové kybernetické riziko spojené s využíváním infrastruktur IKT, které umožňují provoz platebních systémů a poskytování činností zpracování plateb, by mělo být na úrovni Unie řádně řešeno prostřednictvím harmonizovaných pravidel digitální odolnosti. Za tímto účelem by Komise měla urychleně posoudit potřebu přezkumu oblasti působnosti tohoto nařízení a zároveň uvést tento přezkum do souladu s výsledkem komplexního přezkumu plánovaného podle směrnice (EU) 2015/2366. Četné rozsáhlé útoky v posledním desetiletí ukazují, že jsou platební systémy vystavené kybernetickým hrozbám. Platební systémy a činnosti zpracování plateb získaly díky ústřednímu postavení v řetězci platebních služeb a prokázání silného propojení s celkovým finančním systémem zásadní význam pro fungování finančních trhů Unie. Kybernetické útoky na tyto systémy mohou způsobit závažná narušení provozu s přímým dopadem na klíčové ekonomické funkce jako usnadnění plateb a nepřímým dopadem na související ekonomické procesy. Dokud nebude na úrovni Unie zaveden harmonizovaný režim a dohled nad provozovateli platebních systémů a zpracovateli, mohou se členské státy za účelem uplatňování podobných tržních postupů inspirovat požadavky na digitální provozní odolnost stanovenými v tomto nařízení při uplatňování pravidel na provozovatele platebních systémů a zpracovatele, nad nimiž je vykonáván dohled v rámci jejich vlastní jurisdikce.

(105)

Jelikož cíle tohoto nařízení, totiž dosažení vysoké úrovně digitální provozní odolnosti u regulovaných finančních subjektů, nemůže být dosaženo uspokojivě členskými státy, jelikož je nutná harmonizace různých pravidel v unijním a vnitrostátním právu, ale spíše jej z důvodu rozsahu a účinků tohoto nařízení může být lépe dosaženo na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o Evropské unii. V souladu se zásadou proporcionality stanovenou v uvedeném článku nepřekračuje toto nařízení rámec toho, co je nezbytné pro dosažení tohoto cíle.

(106)

Evropský inspektor ochrany údajů byl konzultován v souladu s čl. 42 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2018/1725 (29) a dne 10. května 2021 vydal své stanovisko (30),

(1)

Cílem směrnice Evropského parlamentu a Rady (EU) 2016/1148 (4) bylo rozvíjet schopnosti v oblasti kybernetické bezpečnosti v Unii, zmírňovat hrozby pro sítě a informační systémy užívané k poskytování základních služeb v klíčových odvětvích a zajišťovat kontinuitu takových služeb v případě incidentů, a přispívat tak k bezpečnosti Unie a k účinnému fungování jejího hospodářství a společnosti.

(2)

Od vstupu směrnice (EU) 2016/1148 v platnost bylo ve zvyšování úrovně kybernetické odolnosti Unie dosaženo významného pokroku. Z přezkumu uvedené směrnice vyplynulo, že posloužila jako katalyzátor institucionálního a regulačního přístupu ke kybernetické bezpečnosti v Unii a současně připravila půdu pro významnou změnu v myšlení. Uvedená směrnice zajistila dokončení národních rámců pro bezpečnost sítí a informačních systémů stanovením národních strategií pro bezpečnost sítí a informačních systémů a stanovením vnitrostátních schopností a prováděním regulačních opatření pokrývajících základní infrastruktury a subjekty určené každým členským státem. Směrnice (EU) 2016/1148 rovněž přispěla ke spolupráci na úrovni Unie vytvořením skupiny pro spolupráci a sítě vnitrostátních bezpečnostních týmů typu CSIRT. I přes tyto úspěchy odhalil přezkum směrnice (EU) 2016/1148 přirozené nedostatky, které jí brání v účinném řešení současných a vznikajících výzev v oblasti kybernetické bezpečnosti.

(3)

S rychlou digitální transformací a vzájemnou propojeností společnosti, včetně přeshraniční výměny, se sítě a informační systémy staly ústředním prvkem každodenního života. Tento vývoj vedl k prudkému rozšíření prostředí kybernetických hrozeb a přináší nové výzvy, které vyžadují přizpůsobené, koordinované a inovativní reakce ve všech členských státech. Počet, rozsah, sofistikovanost, četnost výskytu a dopad incidentů narůstají a představují značnou hrozbu pro fungování sítí a informačních systémů. V důsledku toho mohou incidenty brzdit provádění hospodářských činností na vnitřním trhu, způsobovat finanční ztráty, narušovat důvěru uživatelů a způsobovat velké škody hospodářství a společnosti Unie. Připravenost a účinnost v oblasti kybernetické bezpečnosti jsou dnes proto pro řádné fungování vnitřního trhu důležitější než kdy předtím. Kybernetická bezpečnost je navíc klíčovým faktorem, který mnoha kritickým odvětvím umožňuje úspěšně podstoupit digitální transformaci a plně využívat hospodářských, sociálních a udržitelných přínosů digitalizace.

(4)

Právním základem směrnice (EU) 2016/1148 byl článek 114 Smlouvy o fungování Evropské unie (dále jen „Smlouva o fungování EU“), jehož cílem je vytvoření a fungování vnitřního trhu posílením opatření ke sbližování vnitrostátních předpisů. Požadavky kybernetické bezpečnosti kladené na subjekty poskytující služby nebo vykonávající hospodářsky významné činnosti se mezi členskými státy značně liší co do druhů požadavků, míry jejich podrobnosti a způsobu dohledu. Tyto rozdíly jsou spojeny s dalšími náklady a vytvářejí obtíže pro subjekty, které nabízejí přeshraničně zboží nebo služby. Požadavky, jež ukládá jeden členský stát a které se liší od požadavků, jež ukládá jiný členský stát, nebo jsou s nimi dokonce v rozporu, mohou tyto přeshraniční činnosti podstatně ovlivnit. Dále je pravděpodobné, že možná neadekvátní koncepce nebo provádění požadavků na kybernetickou bezpečnost v jednom členském státě může mít důsledky pro úroveň kybernetické bezpečnosti jiných členských států, zejména vzhledem k intenzitě přeshraniční výměny. Z přezkumu směrnice (EU) 2016/1148 vyplynuly velké rozdíly v jejím provádění členskými státy, a to i ve vztahu k její oblasti působnosti, jejíž vymezení bylo do značné míry ponecháno na uvážení členských států. Směrnice (EU) 2016/1148 rovněž dávala členským státům velmi široký prostor pro uvážení, pokud jde o provedení povinností v oblasti bezpečnosti a oznamování incidentů, které v ní byly stanoveny. Tyto povinnosti byly proto na úrovni členských států provedeny výrazně odlišnými způsoby. Podobné rozdíly existují v provádění ustanovení směrnice (EU) 2016/1148 týkající se dohledu a vymáhání.

(5)

Všechny tyto rozdíly vyvolávají roztříštěnost vnitřního trhu a mohou mít škodlivý účinek na jeho fungování s tím, že ovlivňují zejména přeshraniční poskytování služeb a úroveň kybernetické odolnosti v důsledku uplatňování odlišných opatření. Tyto rozdíly by v konečném důsledku mohly vést k větší zranitelnosti některých členských států vůči kybernetickým hrozbám, které se mohou rozšířit na celou Unii. Cílem této směrnice je takové značné rozdíly mezi členskými státy odstranit, zejména stanovením minimálních pravidel upravujících fungování koordinovaného regulačního rámce, stanovením mechanismů účinné spolupráce příslušných orgánů v každém členském státě, aktualizací seznamu odvětví a činností, na něž se vztahují povinnosti v oblasti kybernetické bezpečnosti, a zavedením účinných nápravných a donucovacích opatření, jež jsou pro účinné vymáhání těchto povinností klíčové. Směrnice (EU) 2016/1148 by proto měla být zrušena a nahrazena touto směrnicí.

(6)

Se zrušením směrnice (EU) 2016/1148 by měla být oblast působnosti podle odvětví rozšířena na větší část ekonomiky, aby bylo zajištěno komplexní pokrytí odvětví a služeb, které mají zásadní význam pro klíčové společenské a hospodářské činnosti v rámci vnitřního trhu. Cílem této směrnice je zejména odstranit nedostatky v souvislosti s rozlišováním mezi provozovateli základních služeb a poskytovateli digitálních služeb, které se ukázalo jako zastaralé, neboť nezohledňuje důležitost odvětví nebo služeb z hlediska společenských a hospodářských činností na vnitřním trhu.

(7)

Podle směrnice (EU) 2016/1148 byly členské státy odpovědné za určení subjektů, které splňují kritéria pro zařazení mezi provozovatele základních služeb. S cílem odstranit značné rozdíly mezi členskými státy v tomto ohledu a zajistit právní jistotu pro všechny příslušné subjekty, pokud jde o opatření k řízení kybernetických bezpečnostních rizik a oznamovací povinnosti, by mělo být stanoveno jednotné kritérium, které určí subjekty, jež do oblasti působnosti této směrnice spadají. Toto kritérium by mělo spočívat v uplatnění pravidla velikostního omezení, podle kterého by do oblasti působnosti této směrnice spadaly všechny subjekty, které lze považovat za střední podniky podle článku 2 přílohy doporučení Komise 2003/361/ES (5), nebo které překračují stropy, jež jsou pro střední podniky stanoveny v odstavci 1 uvedeného článku a které působí v odvětvích nebo poskytují druhy služeb nebo vykonávají činnosti, na něž se vztahuje tato směrnice. Členské státy by měly rovněž stanovit, že do oblasti působnosti této směrnice spadají některé malé podniky a mikropodniky ve smyslu čl. 2 odst. 2 a 3 uvedené přílohy, které splňují zvláštní kritéria poukazující na klíčovou úlohu pro společnost, ekonomiku, nebo pro konkrétní odvětví či druhy služeb.

(8)

Vynětí subjektů veřejné správy z oblasti působnosti této směrnice by se mělo týkat subjektů, jež vykonávají svou činnost převážně v oblasti národní bezpečnosti, veřejné bezpečnosti, obrany nebo vymáhání práva, včetně prevence, vyšetřování, odhalování a stíhání trestných činů. Z oblasti působnosti této směrnice by však neměly být vyňaty subjekty veřejné správy, jejichž činnost s těmito oblastmi souvisí pouze okrajově. Subjekty s regulační pravomocí se pro účely této směrnice za subjekty vykonávající činnost v oblasti vymáhání práva nepovažují, a tudíž z oblasti působnosti této směrnice z tohoto důvodu vyňaty nejsou. Subjekty veřejné správy, které jsou zřízeny společně se třetí zemí v souladu s mezinárodní dohodou, jsou z oblasti působnosti této směrnice vyňaty. Tato směrnice se nevztahuje na diplomatické a konzulární mise členských států ve třetích zemích ani na jejich sítě a informační systémy, pokud jsou tyto systémy umístěny v prostorách mise nebo jsou provozovány pro uživatele ve třetí zemi.

(9)

Členské státy by měly být schopny přijmout nezbytná opatření, aby zajistily ochranu základních zájmů národní bezpečnosti, ochranu veřejného pořádku a veřejné bezpečnosti a umožnily prevenci, vyšetřování, odhalování a stíhání trestných činů. Za tímto účelem by členské státy měly mít možnost vyjmout konkrétní subjekty, které vykonávají činnosti v oblasti národní bezpečnosti, veřejné bezpečnosti, obrany, nebo vymáhání práva, včetně prevence, vyšetřování, odhalování a stíháním trestných činů, v souvislosti s uvedenými činnostmi z určitých povinností stanovených v této směrnici. Pokud subjekt poskytuje služby výhradně subjektu veřejné správy, který je vyňat z oblasti působnosti této směrnice, měly by mít členské státy možnost vyjmout uvedený subjekt z určitých povinností stanovených v této směrnici, pokud jde o tyto služby. Žádný členský stát by navíc neměl být povinen poskytovat informace, jejichž zpřístupnění by bylo v rozporu se základními zájmy jeho národní bezpečnosti, veřejné bezpečnosti či obrany. V uvedených souvislostech by měly být zohledněny vnitrostátní a unijní pravidla o ochraně utajovaných informací, dohody o zachování důvěrnosti údajů, nebo neformální dohody o zachování důvěrnosti, jako je například tzv. „TLP protokol“ (Traffic Light Protocol). TLP protokol je třeba chápat jako prostředek poskytování informací o jakýchkoli omezeních, pokud jde o další šíření informací. Používá se téměř ve všech týmech pro reakce na počítačové bezpečnostní incidenty (dále jen „týmy CSIRT“) a některých střediscích pro sdílení a analýzu informací.

(10)

I když se tato směrnice vztahuje na subjekty vykonávající činnosti v oblasti výroby elektřiny v jaderných elektrárnách, některé z těchto činnosti mohou nicméně souviset s národní bezpečností. V takovém případě by měl být členský stát schopen vykonávat svou odpovědnost za ochranu národní bezpečnosti, pokud jde o tyto činnosti, včetně činností v rámci jaderného hodnotového řetězce, v souladu se Smlouvami.

(11)

Některé subjekty vykonávají činnost v oblastech národní bezpečnosti, veřejné bezpečnosti, obrany nebo vymáhání práva, včetně prevence, vyšetřování, odhalování a stíhání trestných činů, a zároveň poskytují služby vytvářející důvěru. Poskytovatelé služeb vytvářejících důvěru, kteří spadají do oblasti působnosti nařízení Evropského parlamentu a Rady (EU) č. 910/2014 (6), by měli spadat i do oblasti působnosti této směrnice, aby byla zajištěna stejná úroveň bezpečnostních požadavků a dohledu, jaká byla stanovena v uvedeném nařízení pro poskytovatele služeb vytvářejících důvěru. V souladu s tím, že některé konkrétní služby jsou vyňaty z působnosti nařízení (EU) č. 910/2014, by se tato směrnice neměla vztahovat na poskytování služeb vytvářejících důvěru, které jsou používány výhradně v rámci uzavřených systémů vyplývajících z vnitrostátního práva nebo z dohod mezi určeným okruhem účastníků.

(12)

Poskytovatelé poštovních služeb ve smyslu směrnice Evropského parlamentu a Rady 97/67/ES (7), včetně poskytovatelů kurýrních doručovacích služeb, by měli této směrnici podléhat, pokud poskytují alespoň jeden z kroků v poštovním řetězci, zejména výběr, třídění, přepravu nebo dodání poštovních zásilek, včetně služeb souvisejících s vyzvedáváním, a současně by měla být zohledněna míra jejich závislosti na sítích a informačních systémech. Přepravní služby, které nejsou poskytovány ve spojení s některým z těchto kroků, by měly být vyňaty z oblasti působnosti poštovních služeb.

(13)

Jelikož kybernetické hrozby jsou stále intenzivnější a důmyslnější, měly by se členské státy snažit zajistit, aby subjekty, které jsou vyňaty z oblasti působnosti této směrnice, dosáhly vysoké úrovně kybernetické bezpečnosti, a měly by podporovat provádění rovnocenných opatření k řízení kybernetických bezpečnostních rizik, která zohledňují citlivou povahu těchto subjektů.

(14)

Na zpracování osobních údajů podle této směrnice se uplatní právo Unie v oblasti ochrany údajů a právo Unie v oblasti ochrany soukromí. Touto směrnicí není zejména dotčeno nařízení Evropského parlamentu a Rady (EU) 2016/679/ES (8) a směrnice Evropského parlamentu a Rady 2002/58/ES (9). Touto směrnicí by proto neměly být mimo jiné dotčeny úkoly a pravomoci orgánů příslušných ke sledování souladu s platným právem Unie v oblasti ochrany údajů a právem Unie v oblasti ochrany soukromí.

(15)

Subjekty spadající do oblasti působnosti této směrnice pro účely dodržování opatření k řízení kybernetických bezpečnostních rizik a oznamovacích povinností by měly být zařazeny do dvou kategorií: základní subjekty a důležité subjekty, s přihlédnutím k míře kritické důležitosti, pokud jde o odvětví nebo druh služby, kterou poskytují, a také k jejich velikosti. V této souvislosti by se v případě potřeby měla náležitě zohlednit veškerá relevantní odvětvová posouzení rizik nebo pokyny příslušných orgánů. Dohledové a donucovací režimy pro tyto dvě kategorie subjektů by se měly odlišovat, aby byla zajištěna spravedlivá vyváženost mezi požadavky a povinnostmi založenými na riziku na jedné straně a správní zátěží vyplývající z dohledu nad dodržováním směrnice na druhé straně.

(16)

Má-li se zabránit tomu, aby subjekty, které mají partnerské podniky nebo které jsou přidruženými podniky, byly považovány za základní nebo důležité subjekty, kde by to bylo nepřiměřené, mohou členské státy při uplatňování čl. 6 odst. 2 přílohy doporučení 2003/361/ES zohlednit míru nezávislosti, v níž se subjekt ve vztahu ke svým partnerským nebo přidruženým podnikům nachází. Členské státy mohou zejména zohlednit skutečnost, že subjekt je na svém partnerovi nebo přidružených podnicích nezávislý z hlediska sítě a informačních systémů, které tento subjekt používá při poskytování svých služeb, a pokud jde o služby, které tento subjekt poskytuje. Členské státy pak mohou mít v příslušném případě za to, že takový subjekt nesplňuje kritéria pro střední podnik podle článku 2 přílohy doporučení 2003/361/ES nebo nepřekračuje stropy pro střední podniky stanovené v odstavci 1 uvedeného článku, jestliže by se po zohlednění stupně nezávislosti uvedeného subjektu tento subjekt nepovažoval za subjekt, který je středním podnikem nebo za subjekt, který tyto stropy překračuje, pokud by se zohlednily pouze jeho vlastní údaje. Povinnosti, které směrnice stanovuje partnerským a přidruženým podnikům, které do oblasti působnosti této směrnice spadají, zůstávají nedotčeny.

(17)

Členské státy by měly mít možnost rozhodnout, že subjekty určené před vstupem této směrnice v platnost jako provozovatelé základních služeb podle směrnice (EU) 2016/1148 mají být považovány za základní subjekty.

(18)

Má-li být zajištěn jasný přehled o subjektech spadajících do oblasti působnosti této směrnice, měly by členské státy vytvořit seznam základních a důležitých subjektů, jakož i subjektů poskytujících služby registrace jmen domén. Za tímto účelem by členské státy měly od subjektů vyžadovat, aby příslušným orgánům předkládaly alespoň následující informace: název, adresu a aktuální kontaktní údaje, a to i e-mailové adresy, rozsah IP adres a telefonní čísla, případně i s uvedením příslušného odvětví a pododvětví podle příloh, a v příslušných případech i seznam členských států, v nichž poskytují služby spadající do oblasti působnosti této směrnice. Komise by bez zbytečného odkladu měla za tímto účelem za pomoci Agentury Evropské unie pro kybernetickou bezpečnost (dále jen „ENISA“) poskytnout pokyny a šablony týkající se povinnosti předkládat informace. Pro snazší sestavování a aktualizaci seznamu základních a důležitých subjektů, jakož i subjektů poskytujících služby registrace jmen domén by měly mít členské státy možnost zavést vnitrostátní mechanismy pro registraci těchto subjektů. Existují-li registry na vnitrostátní úrovni, mohou členské státy rozhodnout o vhodných mechanismech k určení subjektů, které do oblasti působnosti této směrnice spadají.

(19)

Odpovědností členských států by mělo být předložit Komisi alespoň počet základních a důležitých subjektů pro každé odvětví a pododvětví uvedené v přílohách a také příslušné informace o počtu určených subjektů, o tom, na základě kterého z postupů stanovených v této směrnici byly určeny, a o typu služby, již poskytují. Členské státy se vyzývají k výměně informací s Komisí o základních a důležitých subjektech a v případě rozsáhlého incidentu v oblasti kybernetické bezpečnosti také k výměně příslušných informací, například názvu dotčeného subjektu.

(20)

Komise by měla ve spolupráci se skupinou pro spolupráci a po konzultaci s relevantními zúčastněnými stranami poskytnout pokyny ohledně plnění kritérií platných pro mikropodniky a malé podniky za účelem posouzení toho, zda spadají do působnosti této směrnice. Komise by rovněž měla zajistit, že budou mikropodnikům a malým podnikům spadajícím do oblasti působnosti této směrnice poskytovány vhodné pokyny. V této souvislosti by Komise s pomocí členských států měla mikropodnikům a malým podnikům poskytovat informace.

(21)

Komise může vydat pokyny s cílem pomoci členským státům provádět ustanovení této směrnice týkající se oblasti působnosti a vyhodnotit přiměřenost opatření, jež mají být podle této směrnice přijata, zejména pokud jde o subjekty s komplexními obchodními modely nebo podmínkami provozu, kdy určitý subjekt může současně splňovat kritéria stanovená pro základní i důležité subjekty nebo současně vykonávat činnosti, z nichž některé spadají do oblasti působnosti této směrnice, a některé jsou z ní vyňaty.

(22)

Tato směrnice stanoví základ pro opatření k řízení kybernetických bezpečnostních rizik a oznamovací povinnosti napříč odvětvími, jež spadají do oblasti její působnosti. Budou-li v zájmu zajištění vysoké úrovně kybernetické bezpečnosti v celé Unii považovány za nezbytné další odvětvové právní akty Unie týkající se opatření k řízení kybernetických bezpečnostních rizik a oznamovacích povinností, měla by Komise posoudit, zda by mohla být taková další ustanovení stanovena v prováděcím aktu podle této směrnici, aby se zabránilo roztříštěnosti ustanovení o kybernetické bezpečnosti v rámci právních aktů Unie. V případě, že by tento prováděcí akt nebyl pro uvedený účel vhodný, mohly by k zajištění vysoké úrovně kybernetické bezpečnosti v celé Unii přispět odvětvové právní akty Unie při plném zohlednění specifik a složitosti dotčených odvětví. Tato směrnice za tímto účelem nebrání přijetí dalších odvětvových právních aktů Unie týkajících se opatření k řízení kybernetických bezpečnostních rizik a oznamovacích povinností, které řádně zohlední potřebu komplexního a soudržného rámce pro kybernetickou bezpečnost. Touto směrnicí nejsou dotčeny stávající prováděcí pravomoci, jež byly Komisi svěřeny v řadě odvětví, včetně odvětví dopravy a energetiky.

(23)

Pokud odvětvový právní akt Unie obsahuje ustanovení, jež vyžadují, aby základní nebo důležité subjekty přijaly opatření k řízení kybernetických bezpečnostních rizik nebo aby oznamovaly významné incidenty, a pokud je účinek těchto opatření alespoň rovnocenný účinku povinností stanovených v této směrnici, měla by se tato ustanovení, včetně těch o dohledu a vymáhání, na uvedené subjekty vztahovat. Pokud se odvětvový právní akt Unie nevztahuje na všechny subjekty v konkrétním odvětví, jež náleží do oblasti působnosti této směrnice, měla by se na subjekty, na něž se uvedený akt nevztahuje, vztahovat i nadále příslušná ustanovení této směrnice.

(24)

Pokud ustanovení odvětvového právního aktu Unie vyžadují, aby základní nebo důležité subjekty dodržovaly oznamovací povinnosti, jejichž účinky jsou přinejmenším rovnocenné jako u povinností stanovených v této směrnici, měla by být při vyřizování oznámení o incidentech zajištěna soudržnost a účinnost. Za tímto účelem by ustanovení o oznamování incidentů odvětvového unijního právního aktu měla týmům CSIRT, příslušným orgánům nebo jednotným kontaktním místům pro kybernetickou bezpečnost (dále jen „jednotná kontaktní místa“) podle této směrnice poskytnout k oznámením o incidentech, jež byla učiněna v souladu s odvětvovým právním aktem Unie, okamžitý přístup. Tento okamžitý přístup lze zajistit zejména tak, že oznámení o incidentech budou týmu CSIRT, příslušnému orgánu nebo jednotnému kontaktnímu místu podle této směrnice předávána bez zbytečného odkladu. Členské státy by měly v příslušných případech zavést mechanismus automatického a přímého oznamování, který zajistí při vyřizování těchto oznámení o incidentech systematické a okamžité sdílení informací s týmy CSIRT, příslušnými orgány nebo jednotnými kontaktními místy. Pro zjednodušení oznamování a zavedení mechanismu automatického a přímého oznamování by členské státy mohly v souladu s odvětvovým právním aktem Unie využít jednotné kontaktní místo.

(25)

Odvětvové právní akty Unie, které stanovují opatření k řízení kybernetických bezpečnostních rizik nebo oznamovací povinnosti, jež mají přinejmenším rovnocenný účinek jako ty, které jsou stanoveny v této směrnici, by mohly stanovit, že příslušné orgány podle těchto aktů vykonávají své dohledové a vymáhací pravomoci ve vztahu k těmto opatřením nebo povinnostem za pomoci příslušných orgánů ve smyslu této směrnice. Dotčené příslušné orgány by za tímto účelem mohly uzavřít ujednání o spolupráci. Tato ujednání o spolupráci mohou mimo jiné stanovit postupy týkající se koordinace činností v oblasti dohledu, včetně postupů šetření a kontrol na místě v souladu s vnitrostátním právem a mechanismu pro výměnu příslušných informací o dohledu a vymáhání mezi příslušnými orgány, a to i pokud jde o přístup ke kybernetickým údajům, které si vyžádaly příslušné orgány ve smyslu této směrnice.

(26)

Pokud odvětvové právní akty Unie vyžadují nebo motivují subjekty k oznamování významných kybernetických hrozeb, měly by členské státy rovněž podporovat sdílení informací o významných kybernetických hrozbách s týmy CSIRT, příslušnými orgány nebo jednotnými kontaktními místy ve smyslu této směrnice, aby byly tyto orgány o bezpečnostních hrozbách na kybernetické scéně lépe informovány a mohly účinně a včas reagovat v případě, že se významné kybernetické hrozby naplní.

(27)

Budoucí odvětvové právní akty Unie by měly náležitě zohledňovat definice a rámec pro dohled a vymáhání stanovené v této směrnici.

(28)

Nařízení Evropského parlamentu a Rady (EU) 2022/2554 (10) by mělo být považováno za odvětvový právní akt Unie ve vztahu k této směrnici, pokud jde o finanční subjekty. Ustanovení nařízení (EU) 2022/2554, která se týkají řízení rizik v oblasti informačních a komunikačních technologií (dále jen „IKT“), řešení incidentů souvisejících s IKT, a zejména oznamování incidentů, jakož i ustanovení týkající se testování digitální provozní odolnosti, ujednání o sdílení informací a rizik v oblasti IKT spojených s třetími stranami by měla platit místo ustanovení stanovených v této směrnici. Členské státy by proto neměly uplatňovat ustanovení této směrnice o řízení kybernetických bezpečnostních rizik a o oznamovacích povinnostech, a o dohledu a vymáhání vůči finančním subjektům, na něž se vztahuje nařízení (EU) 2022/2554. Zároveň je důležité zachovat s finančním odvětvím silný vztah a výměnu informací podle této směrnice. Za tím účelem nařízení (EU) 2022/2554 umožňuje, aby se evropské orgány dohledu a příslušné orgány podle uvedeného nařízení účastnily činností skupiny pro spolupráci a aby si vyměňovaly informace a spolupracovaly s jednotnými kontaktními místy, jakož i s týmy CSIRT a příslušnými orgány podle této směrnice. Příslušné orgány podle nařízení (EU) 2022/2554 by měly předávat rovněž údaje o významných incidentech týkajících se IKT a o významných kybernetických hrozbách týmům CSIRT, příslušným orgánům nebo jednotným kontaktním místům podle této směrnice. Toho lze dosáhnout poskytnutím okamžitého přístupu k oznámením o incidentu a jejich postoupením buď přímo, nebo prostřednictvím jednotného kontaktního místa. Členské státy by kromě toho měly odvětví financí nadále zahrnovat do svých strategií kybernetické bezpečnosti a týmy CSIRT mohou zahrnout finanční odvětví do svých činností.

(29)

Má-li se zabránit rozdílům v povinnostech v oblasti kybernetické bezpečnosti uložených subjektům v odvětví letectví nebo jejich zdvojování, měly by vnitrostátní orgány podle nařízení Evropského parlamentu a Rady (ES) č. 300/2008 (11) a (EU) 2018/1139 (12) a příslušné orgány podle této směrnice spolupracovat při provádění opatření k řízení kybernetických bezpečnostních rizik a dohledu nad dodržováním těchto opatření na vnitrostátní úrovni. Soulad subjektu s bezpečnostními požadavky stanovenými v nařízeních (ES) č. 300/2008 a (EU) 2018/1139 a v příslušných aktech v přenesené pravomoci a prováděcích aktech přijatých podle uvedených nařízení by mohly příslušné orgány podle této směrnice považovat za soulad s odpovídajícími požadavky stanovenými v této směrnici.

(30)

Vzhledem ke vzájemným vazbám mezi kybernetickou bezpečností a fyzickou bezpečností subjektů by měl být zajištěn soudržný přístup ke směrnici Evropského parlamentu a Rady (EU) 2022/2557 (13) a k této směrnici. Za tímto účelem by subjekty, které jsou určeny jakožto kritické subjekty podle směrnice (EU) 2022/2557, měly být považovány za základní subjekty podle této směrnice. Mimoto by každý členský stát měl zajistit, aby jeho národní strategie kybernetické bezpečnosti stanovila rámec politik pro posílení koordinace uvnitř uvedeného členského státu mezi jeho příslušnými orgány podle této směrnice a podle směrnice (EU) 2022/2557 v souvislosti se sdílením informací o rizicích, kybernetických hrozbách a incidentech a o jiných než kybernetických rizicích, hrozbách a incidentech a při výkonu úkolů dohledu. Příslušné orgány podle této směrnice a orgány příslušné podle směrnice (EU) 2022/2557 by měly spolupracovat a vyměňovat si informace bez zbytečného odkladu, zejména ve vztahu k určení kritických subjektů, rizik, kybernetických hrozeb a incidentů, jakož i ohledně jiných než kybernetických rizik, hrozeb nebo incidentů dotýkajících se kritických subjektů, včetně opatření v oblasti kybernetické bezpečnosti a fyzických opatření přijatých kritickými subjekty a výsledků činností v oblasti dohledu prováděných s ohledem na tyto subjekty.

V zájmu zefektivnění činností v oblasti dohledu mezi příslušnými orgány podle této směrnice a podle směrnice (EU) 2022/2557 a v zájmu minimalizace administrativní zátěže pro dotčené subjekty by uvedené příslušné orgány dále měly usilovat o harmonizaci šablon pro oznamování incidentů a postupů v oblasti dohledu. Příslušné orgány podle směrnice (EU) 2022/2557 by případně měly mít možnost požádat příslušné orgány podle této směrnice, aby vykonávaly své dohledové a vymáhací pravomoci ve vztahu k subjektu, který je určen jakožto kritický subjekt podle směrnice (EU) 2022/2557. Příslušné orgány podle této směrnice a podle směrnice (EU) 2022/2022/2557 by za tímto účelem měly, pokud možno v reálném čase, spolupracovat a vyměňovat si informace.

(31)

Subjekty patřící do odvětví digitální infrastruktury jsou v zásadě založeny na sítích a informačních systémech, a proto by povinnosti uložené uvedeným subjektům touto směrnicí měly komplexně řešit fyzickou bezpečnost těchto systémů v rámci jejich opatření k řízení kybernetických bezpečnostních rizik a oznamovacích povinností. Jelikož se na tyto záležitosti vztahuje tato směrnice, povinnosti stanovené v kapitolách III, IV a VI směrnice (EU) 2022/2557 se na tyto subjekty nevztahují.

(32)

Podpora a ochrana spolehlivého, odolného a bezpečného systému jmen domén jsou klíčovými faktory pro zachování integrity internetu a jsou nezbytné pro jeho nepřetržitý a stabilní provoz, na kterém závisí digitální ekonomika a společnost. Tato směrnice by se proto měla vztahovat na registry domén nejvyšší úrovně a provozovatele systému překladu jmen domén (dále jen „provozovatel DNS“) považované za subjekty poskytující veřejně dostupné rekurzívní služby pro překlad jmen domén pro koncové uživatele internetu nebo autoritativní služby pro překlad jmen domén pro použití třetími stranami. Tato směrnice by se neměla vztahovat na kořenové jmenné servery.

(33)

Služby cloud computingu by měly zahrnovat digitální služby, které umožňují správu na vyžádání a široký dálkový přístup k rozšiřitelnému a přizpůsobitelnému úložišti distribuovaných výpočetních zdrojů, které je možno sdílet, včetně případů, kdy tyto zdroje mají několik různých umístění. Výpočetní zdroje zahrnují zdroje, jako jsou sítě, servery nebo jiná infrastruktura, operační systémy, software, úložiště, aplikace a služby. Modely služeb cloud computingu zahrnují mimo jiné infrastrukturu jako službu (IaaS), platformu jako službu (PaaS), software jako službu (SaaS) a síť jako službu (NaaA). Modely zavádění cloud computingu by měly zahrnovat soukromý, komunitní, veřejný a hybridní cloud. Služby a modely zavádění cloud computingu mají tentýž význam jako podmínky poskytování služeb a modely zavádění definované podle normy ISO/IEC 17788:2014. Schopnost uživatele cloud computingu jednostranně vlastními silami využívat výpočetní potenciál, jako je výpočetní čas serveru nebo ukládání na síti, bez jakékoli interakce poskytovatele služeb cloud computingu s člověkem, by bylo možné popsat jako správu na vyžádání.

Pojem „široký dálkový přístup“ se používá k popsání toho, že cloudová kapacita je poskytována po síti a přístup k ní se uskutečňuje prostřednictvím mechanismu podporujícího použití heterogenních platforem s tenkými nebo tlustými klienty, včetně mobilních telefonů, tabletů, laptopů a pracovních stanic. Pojem „rozšiřitelný“ poukazuje na skutečnost, že v zájmu pokrytí nerovnoměrné poptávky jsou výpočetní zdroje přidělovány poskytovatelem cloudových služeb flexibilně, bez ohledu na zeměpisnou polohu zdrojů. Pojem „přizpůsobitelné úložiště“ označuje skutečnost, že výpočetní zdroje jsou poskytovány a uvolňovány na základě poptávky, aby bylo možno urychleně zvyšovat i snižovat dostupné zdroje se zřetelem na zatížení. Pojmem „které je možno sdílet“ se rozumí, že tyto výpočetní zdroje jsou poskytovány vícero uživatelům, kteří k dané službě sdílejí společný přístup, avšak zpracování probíhá pro každého uživatele odděleně, byť je služba poskytována z téhož elektronického zařízení. Pojem „distribuovaný“ označuje ty výpočetní zdroje, které se nacházejí na různých sítově propojených počítačích nebo zařízeních a které mezi sebou komunikují a koordinují prostřednictvím předávání zpráv.

(34)

Vzhledem ke vzniku inovativních technologií a nových obchodních modelů se předpokládá, že v reakci na vyvíjející se potřeby zákazníků se na vnitřním trhu objeví nové služby cloud computingu a modely zavádění. V této souvislosti lze služby cloud computingu poskytovat ve vysoce distribuované podobě, ještě blíže k místu, kde jsou data generována nebo shromažďována, a přejít tak od tradičního modelu k vysoce distribuovanému modelu (tzv. „edge computing“).

(35)

Služby, jež nabízejí poskytovatelé služeb datových center, nemusí být vždy poskytovány ve formě služeb cloud computingu. Datová centra tedy ne vždy tvoří součást infrastruktury cloud computingu. Aby bylo možné řídit všechna rizika pro bezpečnost sítí a informačních systémů, měla by se tato směrnice vztahovat také na poskytovatele služeb datových center, které nejsou službami cloud computingu. Pro účely této směrnice by pojem „služba datových center“ měl zahrnovat poskytování služby, která zahrnuje struktury nebo skupiny struktur určené pro centralizované úpravy, vzájemné propojení a provozování informačních technologií a síťových zařízení poskytujících služby ukládání, zpracování a přenos dat spolu se všemi zařízeními a infrastrukturami pro rozvod energie a kontrolu životního prostředí. Pojem „služba datových center“ by se neměl vztahovat na interní, firemní datová centra vlastněná a provozovaná pro vlastní potřebu dotčeného subjektu.

(36)

Výzkumné činnosti hrají klíčovou úlohu při vývoji nových produktů a procesů. Mnohé z těchto činností provádějí subjekty, které výsledky svého výzkumu sdílejí, šíří nebo využívají pro komerční účely. Tyto subjekty proto mohou být důležitými hráči v hodnotových řetězcích, což činí bezpečnost jejich sítí a informačních systémů nedílnou součástí celkové kybernetické bezpečnosti vnitřního trhu. Výzkumné organizace by měly být chápány tak, že zahrnují subjekty, které se v podstatné části svých činností zaměřují na provádění aplikovaného výzkumu nebo experimentálního vývoje ve smyslu manuálu Frascati z roku 2015 vypracovaného Organizací pro hospodářskou spolupráci a rozvoj: pokyny pro shromažďování a vykazování údajů o výzkumu a experimentálním vývoji za účelem využití jejich výsledků pro komerční účely, jako jsou výroba nebo vývoj produktu nebo procesu, poskytování služby, nebo jejich uvádění na trh.

(37)

Rostoucí vzájemné závislosti jsou výsledkem stále více přeshraniční a vzájemně propojené sítě poskytování služeb pomocí klíčových infrastruktur v celé Unii v odvětvích, jako jsou energetika, doprava, digitální infrastruktura, pitná voda, odpadní voda, zdravotnictví, některých prvků veřejné správy a rovněž vesmíru, pokud jde o poskytování určitých služeb závisejících na pozemních infrastrukturách, které vlastní, řídí a provozují buď členské státy, nebo soukromé subjekty, a proto nezahrnují infrastruktury vlastněné, řízené a provozované Unií nebo jménem Unie v rámci jejího vesmírného programu. Tyto vzájemné závislosti znamenají, že jakékoli narušení, a dokonce i takové narušení, které je původně omezeno na jeden subjekt nebo jedno odvětví, může mít širší dominové účinky, jež mohou potenciálně mít dalekosáhlé negativní dopady na poskytování služeb na celém vnitřním trhu. Vystupňované kybernetické útoky během pandemie COVID-19 prokázaly zranitelnost stále více vzájemně závislých společností vůči rizikům s nízkou pravděpodobností.

(38)

Vzhledem k odlišnostem jednotlivých vnitrostátních správních struktur a s cílem podpořit již existující odvětvová opatření nebo kontrolní a regulační orgány Unie by členské státy měly mít možnost určit nebo zřídit jeden nebo více příslušných orgánů odpovědných za kybernetickou bezpečnost a úkoly dohledu podle této směrnice.

(39)

Pro usnadnění přeshraniční spolupráce a komunikace mezi orgány a za účelem účinného provedení této směrnice je nezbytné, aby každý členský stát určil jednotné kontaktní místo odpovědné za koordinaci záležitostí souvisejících s bezpečností sítí a informačních systémů a přeshraniční spoluprací na úrovni Unie.

(40)

Jednotná kontaktní místa by měla zajistit účinnou přeshraniční spolupráci s příslušnými orgány jiných členských států a případně s Komisí a agenturou ENISA. Jednotná kontaktní místa by proto měla být pověřena postoupením oznámení o významných incidentech s přeshraničním dopadem jednotným kontaktním místům jiných dotčených členských států na žádost týmu CSIRT nebo příslušného orgánu. Na vnitrostátní úrovni by jednotná kontaktní místa měla zajišťovat hladkou meziodvětvovou spolupráci s ostatními příslušnými orgány. Jednotným kontaktním místům by mohly být také zasílány příslušné informace o incidentech týkajících se finančních subjektů od příslušných orgánů podle nařízení (EU) 2022/2554, které by tato místa měla být schopna případně zasílat týmům CSIRT nebo příslušným orgánům podle této směrnice.

(41)

Členské státy by měly být náležitě vybaveny jak po technické, tak po organizační stránce, aby mohly incidentům a rizikům předcházet, odhalovat je, reagovat na ně, a zmírňovat jejich dopad. Členské státy by proto měly zřídit nebo určit jeden nebo více týmů CSIRT ve smyslu této směrnice a zajistit, aby měly odpovídající zdroje a technické kapacity. Týmy CSIRT by měly splňovat požadavky stanovené v této směrnici tak, aby zaručily efektivní a kompatibilní schopnosti řešit incidenty a rizika a zajistily účinnou spolupráci na úrovni Unie. Členské státy by měly mít možnost určit jako týmy CSIRT stávající týmy pro reakci na počítačové hrozby (dále jen „CERT“). V zájmu posílení důvěry mezi subjekty a týmy CSIRT v případech, kdy je tým CSIRT součástí příslušného orgánu, by členské státy měly mít možnost zvážit funkční oddělení operativních úkolů plněných týmy CSIRT, zejména v souvislosti se sdílením informací a podporou poskytovanou subjektům, od činností příslušných orgánů v oblasti dohledu.

(42)

Týmy CSIRT jsou pověřeny řešením incidentů. To zahrnuje zpracování velkého objemu údajů, které jsou někdy citlivé. Členské státy by měly zajistit, že týmy CSIRT budou mít infrastrukturu pro sdílení a zpracování informací, jakož i dobře vybavené pracovníky, což zajistí důvěrnost a důvěryhodnost jejich operací. Týmy CSIRT by v tomto ohledu rovněž mohly přijmout kodexy chování.

(43)

Pokud jde o osobní údaje, týmům CSIRT by mělo být umožněno, aby v souladu s nařízením (EU) 2016/679 na žádost základního nebo důležitého subjektu aktivně skenovaly sítě a informační systémy, které tento subjekt používá k poskytování svých služeb. Členské státy by se měly v příslušných případech zaměřit na to, aby všem odvětvovým týmům CSIRT zajistily stejné technické podmínky. Členské státy by měly mít možnost si při vytváření svých týmů CSIRT vyžádat pomoc agentury ENISA.

(44)

Týmy CSIRT by měly být na žádost základního nebo důležitého subjektu schopny sledovat veškerá jeho aktiva orientovaná na internet, a to jak na místě, tak mimo něj, aby určily, pochopily a řídily celková organizační rizika tohoto subjektu, pokud jde o nově zjištěné ohrožení dodavatelského řetězce nebo kritické zranitelnosti. Subjekt by měl být vyzván, aby tým CSIRT informoval o tom, zda provozuje rozhraní pro privilegovanou správu, neboť by to mohlo ovlivnit rychlost provádění zmírňujících opatření.

(45)

S ohledem na význam mezinárodní spolupráce na poli kybernetické bezpečnosti by týmy CSIRT měly mít možnost účastnit se kromě sítě CSIRT zřízené touto směrnicí také sítí pro mezinárodní spolupráci. Týmy CSIRT a příslušné orgány by proto pro účely plnění svých úkolů měly mít možnost vyměňovat si informace, včetně osobních údajů, s vnitrostátními týmy CSIRT nebo příslušnými orgány třetích zemí, pokud jsou splněny podmínky pro předávání osobních údajů do třetích zemí podle práva Unie v oblasti ochrany údajů, mimo jiné podmínky stanovené v článku 49 nařízení (EU) 2016/679.

(46)

Je zásadní, aby byly zajištěny odpovídající zdroje pro dosažení cílů této směrnice a k tomu, aby mohly příslušné orgány a týmy CSIRT plnit úkoly, jež jsou v ní stanoveny. Členské státy mohou na vnitrostátní úrovni zavést mechanismus financování k pokrytí nezbytných výdajů pro plnění úkolů veřejných subjektů odpovědných za kybernetickou bezpečnost v daném členském státě podle této směrnice. Tento mechanismus by měl být v souladu s právem Unie, měl by být přiměřený a nediskriminační a měl by zohledňovat různé přístupy k poskytování bezpečných služeb.

(47)

Síť CSIRT by měla i nadále přispívat k posilování důvěry a k podpoře rychlé a účinné operativní spolupráce mezi členskými státy. Za účelem posílení operativní spolupráce na úrovni Unie by síť CSIRT měla zvážit přizvání institucí a agentur Unie zapojených do politiky kybernetické bezpečnosti, jako je Europol, k účasti na své činnosti.

(48)

Za účelem dosažení a udržení vysoké úrovně kybernetické bezpečnosti by národní strategie kybernetické bezpečnosti požadované touto směrnicí měly sestávat ze soudržných rámců se strategickými cíli a prioritami v oblasti kybernetické bezpečnosti a správy za účelem jejich dosažení. Tyto strategie se mohou skládat z jednoho nebo více legislativních či nelegislativních nástrojů.

(49)

Politiky v oblasti kybernetické hygieny poskytují základy pro ochranu infrastruktury sítí a informačních systémů, hardwaru, softwaru a bezpečnosti aplikací on-line a údajů o podnicích nebo o koncových uživatelích, na něž se subjekty spoléhají. Politiky v oblasti kybernetické hygieny zahrnující společný základní soubor postupů, včetně aktualizace softwaru a hardwaru, změny hesel, řízení nových instalací, omezení přístupových účtů na úrovni administrátorů a zálohování údajů, zprostředkovávají proaktivní rámec připravenosti a celkové bezpečnosti a ochrany v případě incidentů nebo kybernetických hrozeb. Agentura ENISA by měla sledovat a analyzovat politiky členských států v oblasti kybernetické hygieny.

(50)

Povědomí o kybernetické bezpečnosti a kybernetická hygiena mají zásadní význam pro zvýšení úrovně kybernetické bezpečnosti v Unii, zejména s ohledem na rostoucí počet připojených zařízení, která jsou stále častěji při kybernetických útocích využívána. Je třeba vyvinout úsilí o zvýšení celkového povědomí o rizicích spojených s těmito zařízeními, zatímco posouzení provedená na úrovni Unie by navíc mohla pomoci zajistit společné chápání těchto rizik v rámci vnitřního trhu.

(51)

Členské státy by měly podporovat využívání jakékoli inovativní technologie, včetně umělé inteligence, jež by mohla zkvalitnit odhalování a prevenci kybernetických útoků a umožnit účinnější přesměrování zdrojů na řešení kybernetických útoků. Členské státy by proto měly ve svých národních strategiích kybernetické bezpečnosti podporovat činnosti v oblasti výzkumu a vývoje, jejímž cílem je usnadnit používání těchto technologií, zejména těch, které se týkají automatizovaných nebo poloautomatizovaných nástrojů v oblasti kybernetické bezpečnosti, a případně sdílení údajů potřebných pro zaškolení uživatelů těchto technologií a pro jejich zdokonalování. Používání jakékoli inovativní technologie, včetně umělé inteligence, by mělo být v souladu s právem Unie v oblasti ochrany údajů, včetně zásad ochrany údajů, minimalizace údajů, spravedlnosti a transparentnosti a bezpečnosti údajů, a to i pokud jde o nejmodernější metody šifrování. Požadavky na záměrnou a standardní ochranu údajů, jak jsou stanoveny v nařízení (EU) 2016/679, je třeba využít v plné míře.

(52)

Nástroje a aplikace kybernetické bezpečnosti s otevřeným zdrojovým kódem mohou přispívat k vyšší míře otevřenosti a mohou mít pozitivní dopad na účinnost průmyslové inovace. Otevřené normy usnadňují interoperabilitu mezi bezpečnostními nástroji a přispívají k bezpečnosti odvětvových zúčastněných stran. Nástroje a aplikace kybernetické bezpečnosti s otevřeným zdrojovým kódem mohou podpořit širší komunitu vývojářů, a umožnit tak diverzifikaci dodavatelů. Otevřený zdrojový kód může vést k větší transparentnosti při ověřování nástrojů souvisejících s kybernetickou bezpečností a k postupu odhalování zranitelností řízeném komunitou. Členské státy by proto měly mít možnost podporovat používání softwaru s otevřeným zdrojovým kódem a otevřených standardů tím, že budou provádět politiky spojené s využíváním otevřených dat a otevřených zdrojů v rámci koncepce „bezpečnost prostřednictvím transparentnosti“. Politiky, které podporují zavádění a udržitelné využívání nástrojů kybernetické bezpečnosti s otevřeným zdrojovým kódem, mají zvláštní význam pro malé a střední podniky, které se potýkají se značnými realizačními náklady, jež by bylo možné minimalizovat snížením potřeby specifických aplikací nebo nástrojů.

(53)

Veřejné služby jsou stále více propojeny s digitálními sítěmi ve městech kvůli zvyšování kvality městských dopravních sítí, modernizaci zásobování vodou a zařízení na likvidaci odpadu a zvyšování účinnosti osvětlení a vytápění budov. Tyto digitalizované veřejné služby mohou být snadným terčem kybernetických útoků a bude-li takový útok úspěšný, hrozí, že občané budou v důsledku propojenosti těchto služeb poškozeni ve velkém měřítku. Členské státy by měly v rámci své národní strategie kybernetické bezpečnosti vypracovat politiku, která se bude zabývat rozvojem těchto propojených nebo inteligentních měst a možnými dopady na společnost.

(54)

V posledních letech čelila Unie exponenciálnímu nárůstu ransomwarových útoků, při nichž malware zašifruje údaje a systémy a za odblokování požaduje platbu výkupného. Rostoucí četnost a závažnost ransomwarových útoků může být dána několika faktory, jako jsou například různé vzorce útoků, nezákonné obchodní modely založené na „ransomware jako službě“ a kryptoměnách, požadavky na výkupné či nárůst útoků v dodavatelském řetězci. Členské státy by měly v rámci svých národních strategií kybernetické bezpečnosti vypracovat politiku, která bude nárůst ransomwarových útoků řešit.

(55)

Partnerství veřejného a soukromého sektoru v oblasti kybernetické bezpečnosti mohou poskytnout vhodný rámec pro výměnu znalostí, sdílení osvědčených postupů a nastolení společné úrovně porozumění mezi zúčastněnými stranami. Členské státy by měly podporovat politiky na podporu vytváření partnerství veřejného a soukromého sektoru specificky zaměřených na kybernetickou bezpečnost. Tyto politiky by měly mimo jiné jasně specifikovat svou působnost a zúčastněné strany, model řízení, dostupné možnosti financování a interakci mezi zúčastněnými stranami ve vztahu k partnerství veřejného a soukromého sektoru. Partnerství veřejného a soukromého sektoru mohou využít odborné znalosti subjektů ze soukromého sektoru na pomoc příslušným orgánům při vývoji nejmodernějších služeb a procesů, včetně výměny informací, včasného varování, nácviků reakce při kybernetických hrozbách a incidentech, krizového řízení a plánování odolnosti.

(56)

Členské státy by se měly ve svých národních strategiích kybernetické bezpečnosti zabývat tím, jaké specifické potřeby mají v oblasti kybernetické bezpečnosti malé a střední podniky. Malé a střední podniky mají v celé Unii významný podíl na průmyslovém a obchodním trhu a často mají problém přizpůsobit se novým obchodním postupům v propojenějším světě a digitálnímu prostředí, kdy zaměstnanci pracují z domova a obchodní činnost stále častěji probíhá on-line. Některé malé a střední podniky čelí v oblasti kybernetické bezpečnosti specifickým výzvám, v souvislosti s nimiž by měly obdržet pokyny a pomoc: nemají například o kybernetické bezpečnosti dostatečné povědomí, jejich systémy IT nejsou dostatečně zabezpečeny pro vzdálený přístup, mají v souvislosti s kybernetickou bezpečností vysoké náklady a jsou ve větším ohrožení, například vůči ransomwarovému útoku. Malé a střední podniky se čím dál častěji stávají terčem útoků skrze dodavatelský řetězec, a to kvůli tomu, že jejich opatření k řízení kybernetických bezpečnostních rizik a zvládání útoků jsou méně důkladná a že na bezpečnostní záležitosti mají k dispozici méně zdrojů. Tyto útoky skrze dodavatelský řetězec mají dopad nejen na malé a střední podniky a jejich izolovanou činnost, ale mohou mít také kaskádový účinek v rámci rozsáhlejších útoků na subjekty, kterým poskytují své služby. Členské státy by měly prostřednictvím svých národních strategií kybernetické bezpečnosti pomoci malým a středním podnikům řešit výzvy, jimž ve svých dodavatelských řetězcích čelí. Členské státy by měly mít kontaktní místo pro malé a střední podniky na vnitrostátní nebo regionální úrovni, které bude poskytovat malým a středním podnikům pokyny a pomoc, nebo je za účelem poskytnutí pokynů a pomoci v otázkách kybernetické bezpečnosti nasměruje k patřičným subjektům. Členské státy se rovněž vybízí k tomu, aby mikropodnikům a malým podnikům, které nemají příslušné kapacity, poskytovaly služby, jako je konfigurace internetových stránek a vedení protokolů.

(57)

Členské státy by měly v rámci svých národních strategií pro kybernetickou bezpečnost přijmout politiky na podporu aktivní kybernetické ochrany, které budou součástí širší obranné strategie. Aktivní kybernetická ochrana nefunguje reaktivně, ale zajišťuje aktivní prevenci, odhalování, sledování, analýzu a zmírňování případů narušení bezpečnosti sítě v kombinaci s využitím funkcí v síti, která je předmětem útoku, i mimo ni. V rámci této ochrany by mohly členské státy nabízet určitým způsobilým subjektům bezplatné služby nebo nástroje, včetně samoobslužných kontrol, detekčních nástrojů a služeb chránících před zneužitím korporátních značek a identity (takedown service). Pro jednotný postup v úsilí o úspěšnou prevenci, odhalování, řešení a blokování útoků proti sítím a informačním systémům je zásadně důležitá možnost rychle a automaticky sdílet a chápat údaje a analýzy týkající se hrozeb, varování v souvislosti s kybernetickými aktivitami a opatření reakce. Aktivní kybernetická ochrana spočívá na obranné strategii, která vylučuje útočná opatření.

(58)

Využití zranitelností v sítích a informačních systémech může způsobit vážná narušení a škody, a rychlé určení a náprava těchto zranitelností je proto důležitým faktorem při snižování rizik. Subjekty, které sítě a informační systémy vyvíjejí nebo spravují, by proto měly stanovit vhodné postupy k řešení zranitelností, jakmile jsou zjištěny. Jelikož zranitelnosti jsou často zjištěny a odhaleny třetími stranami, výrobce nebo poskytovatel produktů IKT nebo služeb IKT by měl rovněž zavést nezbytné postupy pro získávání informací o zranitelnosti od třetích stran. Vodítko pro řešení zranitelnosti a zveřejňování zranitelností v této souvislosti poskytují mezinárodní normy ISO/IEC 30111 a ISO/IEC 29147. Pro účely usnadnění dobrovolného rámce pro zveřejňování informací o zranitelnostech je zvláště důležité posílení koordinace mezi fyzickými a právnickými osobami oznamujícími incidenty a výrobci nebo poskytovateli produktů IKT nebo služeb IKT. Koordinované zveřejňování zranitelností specifikuje strukturovaný proces, jehož prostřednictvím jsou zranitelnosti oznámeny výrobci nebo poskytovateli potenciálně zranitelných produktů IKT nebo služeb IKT takovým způsobem, který mu umožní diagnostikovat a odstranit zranitelnost dříve, než budou podrobné informace o ní sděleny třetím stranám nebo veřejnosti. Koordinované zveřejňování zranitelností by také mělo zahrnovat koordinaci mezi fyzickou a právnickou osobou oznamující incidenty a výrobcem nebo poskytovatelem potenciálně zranitelných produktů IKT nebo služeb IKT, pokud jde o načasování odstranění zranitelností a jejich zveřejnění.

(59)

Komise, agentura ENISA a členské státy by měly i nadále podporovat sbližování s mezinárodními normami a stávajícími odvětvovými osvědčenými postupy v oblasti řízení kybernetických bezpečnostních rizik, například v oblastech posuzování bezpečnosti dodavatelského řetězce, sdílení informací a zveřejňování zranitelností.

(60)

Členské státy by měly ve spolupráci s agenturou ENISA přijmout opatření k usnadnění koordinovaného zveřejňování zranitelností zavedením příslušné vnitrostátní politiky. V rámci své vnitrostátní politiky by členské státy měly usilovat o to, aby se v souladu s vnitrostátním právem v co největší míře zabývaly výzvami, jimž čelí objevovatelé zranitelností, kteří se touto problematikou zabývají, a to i pokud jde o jejich možné vystavení trestní odpovědnosti. Vzhledem k tomu, že fyzické a právnické osoby, které provádějí výzkum týkající se zranitelností, by v některých členských státech mohly být vystaveny trestní a občanskoprávní odpovědnosti, členské státy se vybízejí, aby přijaly pokyny týkající se nemožnosti stíhat osoby provádějících výzkum bezpečnosti informací a vyloučení vzniku občanskoprávní odpovědnosti v souvislosti s jejich činnostmi.

(61)

Členské státy by měly určit jeden ze svých týmů CSIRT jakožto koordinátora, který v případě potřeby převezme úlohu důvěryhodného zprostředkovatele mezi oznamujícími fyzickými či právnickými osobami a výrobci nebo poskytovateli produktů IKT či služeb IKT, u nichž je pravděpodobné, že budou zranitelností dotčeny. Mezi úkoly týmu CSIRT, který byl určen jakožto koordinátor, by měla patřit identifikace a kontaktování dotčených subjektů, pomoc fyzickým nebo právnickým osobám oznamujícím zranitelnost, jednání o lhůtách pro zveřejnění a řešení zranitelností, které mají dopad na více subjektů (vícestranné koordinované zveřejňování zranitelností). Pokud by oznámená zranitelnost mohla mít významný dopad na subjekty ve více než jednom členském státě, měly by týmy CSIRT určené jakožto koordinátoři v rámci sítě CSIRT případně spolupracovat.

(62)

Přístup ke správným a včasným informacím o zranitelnostech dotýkajících se produktů IKT a služeb IKT přispívá k zesílenému řízení kybernetických bezpečnostních rizik. Zdroje veřejně přístupných informací o zranitelnostech jsou důležitým nástrojem pro subjekty a uživatele jejich služeb, ale i pro příslušné orgány a týmy CSIRT. Z tohoto důvodu by agentura ENISA měla zavést Evropskou databázi zranitelností, kde subjekty bez ohledu na to, zda se na ně tato směrnice vztahuje, a jejich dodavatelé sítí a informačních systémů a příslušné orgány a týmy CSIRT mohou veřejně známé zranitelnosti na základě dobrovolnosti zveřejňovat a zaznamenávat, aby uživatelům umožnili přijímat vhodná opatření ke zmírnění dopadů. Smyslem této databáze je řešit výzvy spojené s riziky příznačnými pro unijní subjekty. Agentura ENISA by nadto měla zavést vhodný postup pro zveřejňování informací, který poskytne subjektům čas k přijetí opatření zmírňujících jejich zranitelnosti, a uplatňovat nejmodernější opatření k řízení kybernetických bezpečnostních rizik a strojově čitelné datové soubory a odpovídající rozhraní. V zájmu podpory kultury zveřejňování zranitelností by odhalení nemělo způsobovat oznamující fyzické nebo právnické osobě žádnou újmu.

(63)

Ačkoli podobné registry nebo databáze zranitelností existují, jsou hostovány a spravovány subjekty, které nejsou usazeny v Unii. Evropská databáze zranitelností spravovaná agenturou ENISA by poskytla lepší transparentnost procesu odhalování předtím, než je zranitelnost zveřejněna, a odolnost v případě narušení nebo přerušení poskytování podobných služeb. S cílem v co největší možné míře zabránit zdvojení úsilí a usilovat o komplementaritu by agentura ENISA měla zkoumat možnost uzavření strukturovaných dohod o spolupráci s podobnými registry nebo databázemi spadajícími do jurisdikce třetích zemí. Agentura ENISA by měla zejména prozkoumat možnost úzké spolupráce s provozovateli systému společných zranitelností a expozic (CVE).

(64)

Skupina pro spolupráci by měla podporovat a usnadňovat strategickou spolupráci a výměnu informací, jakož i posilovat důvěru mezi členskými státy. Skupina pro spolupráci by měla každé dva roky přijmout pracovní program. Pracovní program by měl zahrnovat opatření, která má skupina pro spolupráci podniknout ke splnění svých cílů a úkolů. Časový rámec pro přijetí prvního programu podle této směrnice by měl být sladěn s časovým rámcem posledního pracovního programu stanoveného na základě směrnice (EU) 2016/1148, aby se zabránilo možnému přerušení práce skupiny pro spolupráci.

(65)

Při vypracování pokynů by skupina pro spolupráci měla důsledně: mapovat vnitrostátní řešení a zkušenosti, posuzovat dopad výstupů skupiny pro spolupráci na přístupy členských států, diskutovat o problémech spojených s prováděním a formulovat konkrétní doporučení, zejména pokud jde o usnadnění sladění při provádění této směrnice mezi členskými státy, která je třeba zohlednit prostřednictvím lepšího provádění stávajících pravidel. V zájmu podpory slaďování řešení v oblasti kybernetické bezpečnosti uplatňovaných v jednotlivých odvětvích v celé Unii by skupina pro spolupráci mohla rovněž mapovat vnitrostátní řešení. To je obzvláště důležité pro odvětví, která jsou ze své povahy mezinárodní nebo přeshraniční.

(66)

Skupina pro spolupráci by i nadále měla být flexibilním fórem a měla by být schopna reagovat na měnící se a nové priority a výzvy politik a přitom brát v úvahu dostupnost zdrojů. Mohla by organizovat pravidelná společná setkání s relevantními soukromými zúčastněnými stranami z celé Unie za účelem projednání činností prováděných skupinou pro spolupráci a shromažďování údajů a vstupů týkajících se vznikajících politických výzev. Kromě toho by skupina pro spolupráci měla pravidelně provádět hodnocení aktuálního stavu kybernetických hrozeb nebo incidentů, například v souvislosti s ransomware. S cílem posílit spolupráci na úrovni Unie by skupina pro spolupráci měla zvážit, že k účasti na své činnosti přizve příslušné orgány, instituce a jiné subjekty Unie zapojené do politiky v oblasti kybernetické bezpečnosti, jako jsou Evropský parlament, Europol, Evropský sbor pro ochranu osobních údajů, Agentura Evropské unie pro bezpečnost letectví, zřízená nařízením (EU) 2018/1139, a Agentura Evropské unie pro Kosmický program, zřízená nařízením Evropského parlamentu a Rady (EU) 2021/696 (14).

(67)

Za účelem zlepšení spolupráce a posílení důvěry mezi členskými státy by měly příslušné orgány a týmy CSIRT mít možnost účastnit se výměnných programů pro úředníky z jiných členských států, a to ve zvláštním rámci a případně pod podmínkou požadavku bezpečnostní prověrky úředníků účastnících se těchto výměnných programů, s cílem zlepšit spolupráci a posílit důvěru mezi členskými státy. Příslušné orgány by měly přijmout nezbytná opatření, jež umožní úředníkům z jiných členských států účinně se zapojit do činností hostitelského příslušného orgánu nebo hostitelského týmu CSIRT.

(68)

Členské státy by měly přispět k vytvoření rámce EU pro reakci na kybernetické bezpečnostní krize uvedeného v doporučení Komise (EU) 2017/1584 (15) prostřednictvím stávajících sítí pro spolupráci, zejména Evropské sítě styčných organizací pro řešení kybernetických krizí (dále jen „síť EU-CyCLONe“), sítě CSIRT a skupiny pro spolupráci. Sítě EU-CyCLONe a CSIRT by měly spolupracovat na základě procesních opatření, jež vymezí podrobnosti této spolupráce, a zamezit zdvojování činnosti. Jednací řád sítě EU-CyCLONe by měl dále vymezit podmínky, za nichž by měla uvedená síť fungovat, včetně úloh této sítě, způsobů spolupráce, interakcí s jinými relevantními subjekty a šablon pro sdílení informací, jakož i způsobů komunikace. Pokud jde o krizové řízení na úrovni Unie, měly by příslušné strany vycházet z opatření pro integrovanou politickou reakci na krize podle prováděcího rozhodnutí Rady (EU) 2018/1993 (16) (opatření IPRK). Komise by za tímto účelem měla využít proces meziodvětvové koordinace na vysoké úrovni v krizových situacích ARGUS. Pokud má krize významný externí rozměr nebo se týká společné bezpečnostní a obranné politiky, měl by být aktivován mechanismus Evropské služby pro vnější činnost pro reakce na krize.

(69)

V souladu s přílohou doporučení (EU) 2017/1584 by rozsáhlý kybernetický bezpečnostní incident měl označovat incident, který způsobuje narušení přesahující schopnost členského státu na něj reagovat nebo incident, který má významný dopad na alespoň dva členské státy. V závislosti na jejich příčině a dopadu mohou rozsáhlé kybernetické bezpečnostní incidenty eskalovat a přejít ve skutečné krize, jež neumožní řádné fungování vnitřního trhu nebo budou představovat vážná rizika pro veřejnou bezpečnost a ochranu subjektů nebo občanů v několika členských státech nebo v Unii jako celku. Vzhledem k širokému dopadu a ve většině případů i přeshraniční povaze takových incidentů by členské státy a příslušné orgány, instituce a jiné subjekty Unie měly na technické, operativní a politické úrovni spolupracovat a odpovídajícím způsobem koordinovat reakci v celé Unii.

(70)

Rozsáhlé kybernetické bezpečnostní incidenty a krize na úrovni Unie vyžadují koordinovanou činnost k zajištění rychlé a účinné reakce z důvodu vysokého stupně vzájemné závislosti mezi jednotlivými odvětvími a členskými státy. Dostupnost sítí a informačních systémů odolných vůči kybernetickým útokům a dostupnost, důvěrnost a integrita dat mají zásadní význam pro bezpečnost Unie a pro ochranu jejích občanů, podniků a institucí před incidenty a kybernetickými hrozbami, jakož i pro posílení důvěry jednotlivců a organizací ve schopnost Unie prosazovat a chránit globální, otevřený, svobodný, stabilní a bezpečný kyberprostor založený na lidských právech, základních svobodách, demokracii a právním státu.

(71)

Síť EU-CyCLONe by měla působit jako prostředník mezi technickou a politickou úrovní při rozsáhlých kybernetických bezpečnostních incidentech a krizích a měla by posilovat spolupráci na operační úrovni a podporovat rozhodování na politické úrovni. Ve spolupráci s Komisí a s ohledem na pravomoc Komise v oblasti řešení krizí by měla síť EU-CyCLONe vycházet ze zjištění sítě CSIRT a využívat své vlastní schopnosti k vypracování analýzy dopadů rozsáhlých kybernetických bezpečnostních incidentů a krizí.

(72)

Kybernetické útoky jsou přeshraniční povahy a významný incident může narušit a poškodit kritickou informační infrastrukturu, na níž závisí hladké fungování vnitřního trhu. Doporučení (EU) 2017/1584 se zabývá úlohou všech příslušných aktérů. Kromě toho je Komise v rámci mechanismu civilní ochrany Unie zřízeného rozhodnutím Evropského parlamentu a Rady č. 1313/2013/EU (17) odpovědná za obecná opatření v oblasti připravenosti, včetně řízení Střediska pro koordinaci odezvy na mimořádné události a společného komunikačního a informačního systému pro mimořádné události, udržování a dalšího rozvoje situačního povědomí a schopnosti analýzy a vytvoření a řízení schopnosti mobilizovat a vyslat odborné týmy v případě žádosti členského státu nebo třetí země o pomoc. Komise je rovněž odpovědná za poskytování analytických zpráv pro opatření IPRK podle prováděcího rozhodnutí (EU) 2018/1993, a to i pokud jde o povědomí o situaci a připravenost v oblasti kybernetické bezpečnosti, jakož i za povědomí o situaci a reakci na krize v oblasti zemědělství, nepříznivých povětrnostních podmínek, mapování a prognóz konfliktů, systémů včasného varování v případě přírodních katastrof, mimořádných situací v oblasti zdraví, dozoru nad nakažlivými chorobami, zdraví rostlin, chemických incidentů, bezpečnosti potravin a krmiv, zdraví zvířat, migrace, cel, jaderných a radiologických mimořádných situací a v energetické oblasti.

(73)

Unie může ve vhodných případech v souladu s článkem 218 Smlouvy o fungování EU uzavírat mezinárodní dohody s třetími zeměmi nebo mezinárodními organizacemi, které umožní a upraví jejich účast na některých činnostech skupiny pro spolupráci a sítě CSIRT a sítě EU-CyCLONe. Takové dohody by měly zajistit zájmy Unie a odpovídající ochranu údajů. Tím by nemělo být dotčeno právo členských států spolupracovat s třetími zeměmi na řízení zranitelností a řízení kybernetických bezpečnostních rizik, což usnadňuje podávání zpráv a obecné sdílení informací v souladu s právem Unie.

(74)

V zájmu usnadnění účinného provádění této směrnice, s ohledem mimo jiné na řešení zranitelností, opatření k řízení kybernetických bezpečnostních rizik, oznamovací povinnosti a ujednání o sdílení informací o kybernetické bezpečnosti, mohou členské státy spolupracovat se třetími zeměmi a provádět činnosti, které jsou pro tento účel považovány za vhodné, včetně výměny informací o kybernetických hrozbách, incidentech, zranitelnostech, nástrojích a metodách, taktice, technikách a postupech, připravenosti a cvičeních pro řešení kybernetických bezpečnostních krizí, školení, budování důvěry a strukturovaných ujednáních o sdílení informací.

(75)

Měla by být zavedena vzájemná hodnocení, díky nimž by bylo možné poučit se ze sdílených zkušeností, posílit vzájemnou důvěru a dosáhnout vysoké společné úrovně kybernetické bezpečnosti. Vzájemná hodnocení mohou přinést cenné poznatky a doporučení, posílit celkové schopnosti v oblasti kybernetické bezpečnosti, vytvořit další funkční způsob, jak sdílet osvědčené postupy mezi členskými státy, a přispět ke zvýšení úrovně vyspělosti členských států v oblasti kybernetické bezpečnosti. Kromě toho by vzájemná hodnocení měla zohledňovat výsledky obdobných mechanismů, například systému vzájemného hodnocení sítě CSIRT, a měla by vytvářet přidanou hodnotu a zamezit zdvojování činností. Zavedením vzájemných hodnocení by nemělo být dotčeno unijní ani vnitrostátní právo o ochraně důvěrných nebo utajovaných informací.

(76)