ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) 2024/1502
z dnia 22 lutego 2024 r.
uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 przez określenie kryteriów wyznaczania zewnętrznych dostawców usług ICT jako mających kluczowe znaczenie dla podmiotów finansowych
(Tekst mający znaczenie dla EOG)
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (1), w szczególności jego art. 31 ust. 6,
a także mając na uwadze, co następuje:
(1) | Aby ocenić, czy zewnętrzny dostawca usług ICT ma kluczowe znaczenie dla podmiotów finansowych, oraz biorąc pod uwagę kryteria określone w art. 31 ust. 2 rozporządzenia (UE) 2022/2554, Europejskie Urzędy Nadzoru (EUN) powinny stosować podkryteria w ramach oceny opartej na podejściu dwuetapowym. Biorąc pod uwagę znaczną liczbę usług ICT oraz różnorodność i liczbę instytucji finansowych korzystających z tych usług, należy przyjąć takie podejście dwuetapowe w celu przefiltrowania populacji zewnętrznych dostawców usług ICT i zidentyfikowania najbardziej kluczowych zewnętrznych dostawców usług ICT. Podkryteria ilościowe, które należy uwzględnić jako część pierwszego etapu oceny, są niezbędne do przeprowadzenia pierwszego wyboru populacji zewnętrznych dostawców usług ICT, w przypadku których istotne jest przeprowadzenie dalszej dogłębnej analizy w świetle podkryteriów jakościowych, które należy uwzględnić jako część drugiego etapu oceny. |
(2) | Stopień, w jakim usługa ICT świadczona przez zewnętrznego dostawcę usług ICT wspiera krytyczne lub istotne funkcje podmiotu finansowego, uznaje się za jeden z zasadniczych elementów oceny krytyczności w ujęciu ogólnym. W związku z tym istotność wspieranych przez usługi ICT działań podmiotów finansowych należy uwzględnić we wszystkich podkryteriach rozpatrywanych w ramach pierwszego etapu. W rezultacie częścią pierwszego etapu oceny nie powinna być odrębna ocena ilościowa związana z krytycznością funkcji podmiotów finansowych. Zamiast tego EUN powinny rozważyć krytyczność i istotność funkcji podmiotów finansowych wspieranych przez usługi ICT w ramach drugiego, jakościowego etapu oceny. |
(3) | Ocenę należy przeprowadzić dla poszczególnych zewnętrznych dostawców usług ICT lub, w stosownych przypadkach, dla grupy zewnętrznych dostawców usług ICT, w przypadku gdy zewnętrzny dostawca usług ICT należy do grupy, zgodnie z art. 31 ust. 3 rozporządzenia (UE) 2022/2554. Aby umożliwić kompleksową ocenę potencjalnego systemowego wpływu na unijny sektor finansowy, podwykonawcy zewnętrznych dostawców usług ICT powinni również podlegać ocenie przeprowadzanej przez EUN, a w stosownych przypadkach powinni być wyznaczani jako kluczowi zewnętrzni dostawcy usług ICT. |
(4) | Aby określić systemowy wpływ zewnętrznego dostawcy usług ICT na stabilność, ciągłość lub jakość świadczenia usług finansowych, niezwykle ważne jest wypracowanie jasnego obrazu zakresu i charakteru systemowego wpływu, jaki awaria operacyjna na dużą skalę zewnętrznego dostawcy usług ICT miałaby na podmioty finansowe, które korzystają z usług świadczonych przez zewnętrznego dostawcę usług ICT, oraz na system finansowy. W związku z tym należy wziąć pod uwagę liczbę podmiotów finansowych należących do określonej kategorii podmiotów finansowych korzystających z tych samych usług ICT, a także wartość ich aktywów, aby ocenić, czy istotne jest uznanie zewnętrznego dostawcy usług ICT oferującego te usługi ICT za kluczowego dostawcę. Ponadto należy przeprowadzić ocenę jakościową systemowego znaczenia zewnętrznych dostawców usług ICT i wzajemnych powiązań między nimi, a także znaczenia usług świadczonych przez zewnętrznego dostawcę usług ICT dla świadczenia usług finansowych przez podmioty finansowe, uwzględniając stabilność i ciągłość usług, w celu określenia systemowego wpływu zewnętrznego dostawcy usług ICT na działania podmiotów finansowych. |
(5) | Aby stwierdzić systemowy charakter i systemowe znaczenie podmiotów finansowych korzystających z usług ICT, należy wziąć pod uwagę charakter tych podmiotów. W przypadku gdy podmioty finansowe sklasyfikowane jako globalne instytucje o znaczeniu systemowym lub inne instytucje o znaczeniu systemowym lub uznane za „systemowe” korzystają z tych samych usług ICT w celu wspierania swoich krytycznych lub istotnych funkcji, należy ocenić, czy zewnętrznego dostawcę usług ICT świadczącego te usługi należy uznać za kluczowego dla unijnego sektora finansowego. Należy również ocenić wzajemne powiązania między podmiotami finansowymi w unijnym sektorze finansowym, które korzystają z usług ICT świadczonych przez tego samego zewnętrznego dostawcę usług ICT, w celu ustalenia stopnia zależności podmiotów finansowych od tego zewnętrznego dostawcy usług ICT. |
(6) | Usługi ICT wspierające krytyczne lub istotne funkcje podmiotów finansowych należy oceniać pod kątem ich rodzaju i krytycznego charakteru, które są niezbędne, aby podmioty finansowe mogły prowadzić swoje działania bez żadnych zakłóceń. |
(7) | Aby określić stopień substytucyjności zewnętrznego dostawcy usług ICT, w ramach oceny przeprowadzanej przez EUN należy uwzględnić liczbę zewnętrznych dostawców usług ICT działających na danym rynku, istnienie rozwiązań alternatywnych dla tej samej usługi ICT, a także koszt migracji danych i nakładów pracy w zakresie ICT do innych zewnętrznych dostawców usług ICT. |
(8) | W celu zapewnienia prawidłowości procesu oceny ważne jest, aby przy ocenie, czy zewnętrzni dostawcy usług ICT powinni zostać wyznaczeni jako kluczowi, EUN opierały się na danych z rejestrów informacji, o których mowa w art. 28 ust. 3 rozporządzenia (UE) 2022/2554, oraz na wszelkich innych łatwo dostępnych informacjach, |
PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:
Artykuł 1
Podejście stosowane przy ocenie
1. Rozpatrując kryteria określone w art. 31 ust. 2 rozporządzenia (UE) 2022/2554 służące do wyznaczenia zewnętrznego dostawcy usług ICT, który ma kluczowe znaczenie dla podmiotów finansowych, EUN stosują następujące podejście:
a) | w ramach pierwszego etapu EUN oceniają, czy zewnętrzny dostawca usług ICT spełnia wszystkie podkryteria „etapu 1” określone w art. 2 ust. 1, art. 3 ust. 1 i art. 5 ust. 1; |
b) | w ramach drugiego etapu w odniesieniu do tych zewnętrznych dostawców usług ICT, którzy spełniają wszystkie podkryteria „etapu 1”, o których mowa w lit. a), EUN przeprowadzają ocenę w świetle podkryteriów „etapu 2”, o których mowa w art. 2 ust. 5, art. 3 ust. 4, art. 4 ust. 1 i art. 5 ust. 5. |
Na zasadzie odstępstwa od akapitu pierwszego, w przypadku oceny kryterium c) określonego w art. 31 ust. 2 rozporządzenia (UE) 2022/2554 pierwszy etap obejmuje ocenę, którą należy przeprowadzić w odniesieniu do kryteriów określonych w art. 31 ust. 2 lit. a), b) i d) rozporządzenia (UE) 2022/2554.
2. Po upływie terminu na przedłożenie uzasadnionego oświadczenia, o którym mowa w art. 31 ust. 5 akapit pierwszy rozporządzenia (UE) 2022/2554, EUN, za pośrednictwem Wspólnego Komitetu i na zalecenie forum nadzoru, wyznaczają zewnętrznego dostawcę usług ICT jako kluczowego dla podmiotów finansowych, jeżeli spełnia on wszystkie podkryteria „etapu 1”, o których mowa w ust. 1 lit. a), oraz po uzyskaniu pozytywnego wyniku oceny przeprowadzonej w odniesieniu do podkryteriów „etapu 2”, o których mowa w ust. 1 lit. b).
Artykuł 2
Systemowy wpływ zewnętrznych dostawców usług ICT na stabilność, ciągłość lub jakość świadczenia usług finansowych
1. Rozpatrując kryterium określone w art. 31 ust. 2 lit. a) rozporządzenia (UE) 2022/2554, EUN oceniają, czy zewnętrzny dostawca usług ICT spełnia następujące podkryteria „etapu 1”:
a) | podkryterium 1.1: odsetek podmiotów finansowych, w podziale na kategorie podmiotów finansowych wymienione w art. 2 ust. 1 rozporządzenia (UE) 2022/2554, na rzecz których usługi ICT świadczy ten sam zewnętrzny dostawca usług ICT, w przypadku gdy usługi ICT wspierają krytyczne lub istotne funkcje; |
b) | podkryterium 1.2: odsetek łącznej wartości aktywów podmiotów finansowych, w podziale na kategorie podmiotów finansowych wymienione w art. 2 ust. 1 rozporządzenia (UE) 2022/2554, na rzecz których usługi ICT świadczy ten sam zewnętrzny dostawca usług ICT, w przypadku gdy usługi ICT wspierają krytyczne lub istotne funkcje podmiotów finansowych. |
2. Podkryterium 1.1 określone w ust. 1 lit. a) oblicza się w następujący sposób:
liczba podmiotów finansowych z kategorii podmiotów finansowych wymienionej w art.2 ust.1 rozporządzenia (UE)2022/2554, na rzecz których usługi ICT świadczy ten sam zewnętrzny dostawca usług ICT, w przypadku gdy usługi ICT wspierają krytyczne lub istotne funkcje podmiotów finansowych |
łączna liczba podmiotów finansowych w tej kategorii podmiotów finansowych wymienionej w art.2 ust.1 rozporządzenia (UE) 2022/2554 |
3. Podkryterium 1.2 określone w ust. 1 lit. b) oblicza się w następujący sposób:
łączna wartość aktywów podmiotów finansowych z kategorii podmiotów finansowych wymienionej w art.2 ust.1 rozporządzenia (UE)2022/2554, na rzecz których usługi ICT świadczy ten sam zewnętrzny dostawca usług ICT, w przypadku gdy usługi ICT wspierają krytyczne lub istotne funkcje podmiotów finansowych |
łączna wartość aktywów wszystkich unijnych podmiotów finansowych w tej samej kategorii wymienionej w art.2 ust.1 rozporządzenia (UE) 2022/2554 |
4. Uznaje się, że zewnętrzny dostawca usług ICT spełnia podkryteria „etapu 1”, o których mowa w ust. 1, jeżeli oba udziały obliczone zgodnie z ust. 2 i 3 stanowią co najmniej 10 % łącznej wartości dla co najmniej jednej kategorii podmiotów finansowych określonej w art. 2 ust. 1 rozporządzenia (UE) 2022/2554.
5. Rozpatrując kryterium określone w art. 31 ust. 2 lit. a) rozporządzenia (UE) 2022/2554, i w przypadku gdy zewnętrzny dostawca usług ICT spełnia podkryteria „etapu 1”, o których mowa w ust. 1 niniejszego artykułu, EUN przeprowadzają ocenę w świetle następujących podkryteriów „etapu 2”:
a) | podkryterium 1.3: skala wpływu zaprzestania świadczenia usług ICT przez zewnętrznego dostawcę usług ICT na działania i operacje podmiotów finansowych wskazanych w zastosowaniu podkryteriów „etapu 1”, o których mowa w ust. 1 niniejszego artykułu, oraz liczba podmiotów finansowych, których to dotyczy; |
b) | podkryterium 1.4: zależność kluczowego zewnętrznego dostawcy usług ICT od tych samych podwykonawców świadczących usługi ICT wspierające krytyczne lub istotne funkcje podmiotów finansowych. |
Artykuł 3
Systemowy charakter i systemowe znaczenie usług ICT świadczonych na rzecz podmiotów finansowych
1. Rozpatrując kryterium określone w art. 31 ust. 2 lit. b) rozporządzenia (UE) 2022/2554, EUN oceniają, czy zewnętrzny dostawca usług ICT spełnia następujące podkryteria „etapu 1”:
a) | podkryterium 2.1: liczba globalnych instytucji o znaczeniu systemowym i innych instytucji o znaczeniu systemowym będących instytucjami kredytowymi, na rzecz których usługi ICT świadczy ten sam zewnętrzny dostawca usług ICT, w przypadku gdy usługi ICT wspierają krytyczne lub istotne funkcje; |
b) | podkryterium 2.2: liczba podmiotów finansowych, innych niż instytucje kredytowe oraz globalne instytucje o znaczeniu systemowym i inne instytucje o znaczeniu systemowym, o których mowa w lit. a) powyżej, uznanych za systemowe przez właściwe organy, o których mowa w art. 46 rozporządzenia (UE) 2022/2554, na rzecz których to podmiotów finansowych usługi ICT świadczy ten sam zewnętrzny dostawca usług ICT, w przypadku gdy takie usługi ICT wspierają krytyczne lub istotne funkcje. |
2. Uznaje się, że zewnętrzny dostawca usług ICT spełnia podkryterium określone w ust. 1 lit. a), jeżeli ze świadczonych przez niego usług ICT korzystają:
a) | co najmniej jedna globalna instytucja o znaczeniu systemowym; lub |
b) | co najmniej trzy inne instytucje o znaczeniu systemowym; lub |
c) | co najmniej jedna inna instytucja o znaczeniu systemowym, której wynik obliczony zgodnie z art. 131 ust. 3 dyrektywy Parlamentu Europejskiego i Rady 2013/36/UE (2) przekracza 3 000. |
3. Uznaje się, że zewnętrzny dostawca usług ICT spełnia podkryterium określone w ust. 1 lit. b), jeżeli ze świadczonych przez niego usług ICT korzystają:
a) | jeden podmiot finansowy będący podmiotem finansowym, o którym mowa w art. 2 ust. 1 lit. g), h), i) lub j) rozporządzenia (UE) 2022/2554 i który został określony przez właściwe organy jako „systemowy”; lub |
b) | co najmniej trzy podmioty finansowe, inne niż instytucje kredytowe i podmioty finansowe, o których mowa w art. 2 ust. 1 lit. g), h), i) lub j) rozporządzenia (UE) 2022/2554, i które zostały określone przez właściwe organy jako „systemowe”. |
4. Rozpatrując kryterium określone w art. 31 ust. 2 lit. b) rozporządzenia (UE) 2022/2554, i w przypadku gdy zewnętrzny dostawca usług ICT spełnia podkryteria „etapu 1”, o których mowa w ust. 1 niniejszego artykułu, EUN przeprowadzają ocenę w świetle następującego podkryterium „etapu 2”:
- | podkryterium 2.3: globalne instytucje o znaczeniu systemowym lub inne instytucje o znaczeniu systemowym i inne podmioty finansowe objęte oceną w ramach podkryteriów „etapu 1”, o których mowa w ust. 1 niniejszego artykułu, w tym w przypadku gdy te globalne instytucje o znaczeniu systemowym lub inne instytucje o znaczeniu systemowym świadczą usługi w zakresie infrastruktury finansowej na rzecz innych podmiotów finansowych i korzystają przy tym z usługi ICT świadczonej przez tego samego zewnętrznego dostawcę usług ICT, są współzależne. |
Artykuł 4
Krytyczność lub istotność funkcji
Rozpatrując kryterium określone w art. 31 ust. 2 lit. c) rozporządzenia (UE) 2022/2554, EUN przeprowadzają ocenę w świetle następującego podkryterium „etapu 2”:
- | podkryterium 3.1: usługa ICT świadczona ostatecznie przez tego samego zewnętrznego dostawcę usług ICT, wspierająca krytyczne lub istotne funkcje podmiotów finansowych, ma krytyczne znaczenie dla działań podmiotów finansowych. |
Artykuł 5
Stopień substytucyjności
1. Rozpatrując kryterium określone w art. 31 ust. 2 lit. d) rozporządzenia (UE) 2022/2554, EUN oceniają, czy zewnętrzny dostawca usług ICT spełnia następujące podkryteria „etapu 1”:
a) | podkryterium 4.1: odsetek łącznej liczby podmiotów finansowych, w podziale na kategorie podmiotów finansowych określone w art. 2 ust. 1 rozporządzenia (UE) 2022/2554, w przypadku których nie jest dostępny żaden alternatywny zewnętrzny dostawca usług ICT dysponujący wymaganą zdolnością do świadczenia tych samych usług ICT, które wspierają krytyczne lub istotne funkcje podmiotów finansowych, co usługi świadczone przez aktualnego zewnętrznego dostawcę usług ICT; |
b) | podkryterium 4.2: odsetek łącznej liczby podmiotów finansowych, w podziale na kategorie podmiotów finansowych określone w art. 2 ust. 1 rozporządzenia (UE) 2022/2554, w przypadku których bardzo trudno jest dokonać migracji usługi ICT świadczonej przez aktualnego zewnętrznego dostawcę usług ICT, która wspiera krytyczne lub istotne funkcje podmiotów finansowych, do innego zewnętrznego dostawcy usług ICT. |
2. Podkryterium 4.1 określone w ust. 1 lit. a) oblicza się w następujący sposób:
liczba podmiotów finansowych z kategorii podmiotów finansowych wymienionej w art.2 ust.1 rozporządzenia (UE)2022/2554, w przypadku których nie jest dostępny żaden alternatywny zewnętrzny dostawca usług ICT dysponujący wymaganą zdolnością do świadczenia tych samych usług ICT, które wspierają krytyczne lub istotne funkcje podmiotów finansowych, co usługi świadczone przez aktualnego zewnętrznego dostawcę usług ICT |
łączna liczba podmiotów finansowych w tej kategorii podmiotów finansowych wymienionej w art.2 ust.1 rozporządzenia (UE) 2022/2554 |
3. Podkryterium określone w ust. 1 lit. b) oblicza się w następujący sposób:
liczba podmiotów finansowych z kategorii podmiotów finansowych wymienionej w art.2 ust.1 rozporządzenia (UE)2022/2554, w przypadku których bardzo trudno jest dokonać migracji lub reintegracji usługi ICT świadczonej przez zewnętrznego dostawcę usług ICT,która wspiera krytyczne lub istotne funkcje,do innego zewnętrznego dostawcy usług ICT |
łączna liczba unijnych podmiotów finansowych w tej kategorii podmiotów finansowych wymienionej w art.2 ust.1 rozporządzenia (UE) 2022/2554 |
4. Uznaje się, że zewnętrzny dostawca usług ICT spełnia zarówno podkryterium 4.1, jak i podkryterium 4.2, jeżeli spełniony jest którykolwiek z poniższych warunków:
a) | odsetek łącznej liczby podmiotów finansowych, o których mowa w ust. 1 lit. a), wynosi co najmniej 10 % łącznej liczby podmiotów finansowych w jednej z kategorii podmiotów finansowych określonych w art. 2 ust. 1 rozporządzenia (UE) 2022/2554; |
b) | odsetek łącznej liczby podmiotów finansowych, o których mowa w ust. 1 lit. b), wynosi co najmniej 10 % łącznej liczby podmiotów finansowych w jednej z kategorii podmiotów finansowych określonych w art. 2 ust. 1 rozporządzenia (UE) 2022/2554. |
5. Rozpatrując kryterium określone w art. 31 ust. 2 lit. d) rozporządzenia (UE) 2022/2554, i w przypadku gdy zewnętrzny dostawca usług ICT spełnia podkryteria „etapu 1”, o których mowa w ust. 1 niniejszego artykułu, EUN przeprowadzają ocenę w świetle podkryterium etapu drugiego określonego w art. 31 ust. 2 lit. d) pkt (i) rozporządzenia (UE) 2022/2554.
Artykuł 6
Źródła informacji umożliwiające ocenę krytyczności
1. Do celów oceny podkryteriów wymienionych w art. 2-5 EUN wykorzystują dane pochodzące z rejestrów informacji, o których mowa w art. 28 ust. 3 rozporządzenia (UE) 2022/2554. W celu przeprowadzenia oceny krytyczności EUN mogą również wykorzystywać dodatkowe dostępne dane, którymi dysponują, pochodzące z wszelkich źródeł informacji.
2. EUN uwzględniają najnowsze dane, do których mają dostęp w roku oceny, lub - w stosownych przypadkach - dane, które zostały im udostępnione najpóźniej do dnia 31 grudnia roku poprzedzającego ocenę krytyczności.
Artykuł 7
Wejście w życie i rozpoczęcie stosowania
Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Wiodący organ nadzorczy stosuje jednak podkryterium 1.4, o którym mowa w art. 2 ust. 5 lit. b), od dnia 16 stycznia 2025 r.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
Sporządzono w Brukseli dnia 22 lutego 2024 r.
W imieniu Komisji
Przewodnicząca
Ursula VON DER LEYEN
(1) Dz.U. L 333 z 27.12.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.
(2) Dyrektywa Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. w sprawie warunków dopuszczenia instytucji kredytowych do działalności oraz nadzoru ostrożnościowego nad instytucjami kredytowymi, zmieniająca dyrektywę 2002/87/WE i uchylająca dyrektywy 2006/48/WE oraz 2006/49/WE (Dz.U. L 176 z 27.6.2013, s. 338, ELI: http://data.europa.eu/eli/dir/2013/36/oj).
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00