(Kommissionens delegerede forordning (EU) 2025/299 af 31. oktober 2024 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) 2023/1114 om markeder for kryptoaktiver for så vidt angår reguleringsmæssige tekniske standarder om kontinuitet og regelmæssighed i leveringen af kryptoaktivtjenester)
I denne forordning forstås ved:
a)
»kritisk eller vigtig funktion«: en kritisk eller vigtig funktion som defineret i artikel 3, nr. 22), i forordning (EU) 2022/2554
b)
»distributed ledger uden tilladelse«: en særlig type distributed ledger, som ikke kontrolleres af nogen enhed, og hvori enhver, der opfylder de tekniske betingelser og protokollerne for den pågældende distributed ledger, kan oprette DLT-netknudepunkter.
1. Forretningskontinuitetspolitikken som omhandlet i artikel 68, stk. 7, i forordning (EU) 2023/1114 skal omfatte planer, procedurer og foranstaltninger.
2. Ledelsesorganet hos udbydere af kryptoaktivtjenester skal under udøvelsen af sine funktioner som omhandlet i artikel 68, stk. 6, i forordning (EU) 2023/1114 udarbejde og godkende de planer, procedurer og foranstaltninger, som forretningskontinuitetspolitikken omfatter. Ledelsesorganet hos den pågældende udbyder af kryptoaktivtjenester er ansvarligt for gennemførelsen af forretningskontinuitetspolitikken og for at evaluere effektiviteten af den mindst en gang om året.
3. Udbydere af kryptoaktivtjenester skal sikre, at alle relevante interne medarbejdere ad effektive kommunikationskanaler informeres om enhver ændring af forretningskontinuitetspolitikken.
1. Forretningskontinuitetspolitikken som omhandlet i artikel 68, stk. 7, i forordning (EU) 2023/1114 skal sikre, at udbydere af kryptoaktivtjenester på passende vis håndterer hændelser og problemer, der indvirker forstyrrende på driften eller effektiviteten af systemer, der er af kritisk betydning for deres forretningsfunktioner, og skal være lagret på et varigt medium.
2. Udbydere af kryptoaktivtjenester skal inkludere følgende i deres forretningskontinuitetspolitik:
a)
nærmere angivelse af anvendelsesområdet for forretningskontinuitetspolitikken, som skal være dækket af forretningskontinuitetsplanerne, -procedurerne og -foranstaltningerne, herunder begrænsninger og undtagelser
b)
en beskrivelse af kriterierne for aktivering af forretningskontinuitetsplanerne, herunder eskaleringsprocedurer op til ledelsesorganniveau
c)
regler vedrørende kryptoaktivtjenesteudbyderens ledelsesordninger og organisation, herunder personalets roller og ansvarsområder, som sikrer, at der er tilstrækkelige ressourcer til rådighed til en effektiv gennemførelse af politikken
d)
regler, der sikrer overensstemmelse mellem forretningskontinuitetsplanerne og planerne for IKT-driftsstabilitet, samt IKT-indsats- og genopretningsplaner som omhandlet i artikel 24 og 26 i delegeret forordning (EU) 2024/1774.
1. Udbydere af kryptoaktivtjenester skal i forbindelse med gennemførelsen af forretningskontinuitetspolitikken som omhandlet i artikel 68, stk. 7, i forordning (EU) 2023/1114 udarbejde forretningskontinuitetsplaner. Forretningskontinuitetsplanerne skal beskrive de procedurer, der er nødvendige for at beskytte og om nødvendigt genoprette:
a)
fortroligheden, integriteten og tilgængeligheden af kundedata
b)
tilgængeligheden af kryptoaktivtjenesteudbydernes forretningsfunktioner, støtteprocesser og informationsaktiver.
2. Forretningskontinuitetsplanerne skal omfatte følgende:
a)
en række tænkelige negative scenarier for driften af kritiske eller vigtige funktioner, herunder manglende tilgængelighed af forretningsfunktioner, personale, lokaler, eksterne leverandører eller datacentre eller tab eller ændring af kritiske data og dokumenter
b)
procedurer og politikker, der skal følges i tilfælde af en forstyrrende hændelse, herunder: i) de foranstaltninger, der er nødvendige for at genoprette kritiske eller vigtige funktioner ii) frister for, hvornår de pågældende kritiske eller vigtige funktioner skal være genoprettet iii) mål for genopretningspunkter iv) den maksimale frist for genoptagelse af tjenesterne
c)
procedurer og politikker for flytning af de forretningsfunktioner, der bruges til at levere kryptoaktivtjenester, til et backup-anlæg
d)
backup af kritiske forretningsdata, herunder opdaterede oplysninger om de fornødne kontakter, der skal sikre kommunikationen internt hos udbyderen af kryptoaktivtjenester og mellem udbyderen af kryptoaktivtjenester og dennes kunder
e)
procedurer for rettidig kommunikation med kunder og andre eksterne interessenter, herunder kompetente myndigheder.
3. I tilfælde af en forstyrrelse, der involverer en distributed ledger uden tilladelse, som udbyderen af kryptoaktivtjenester gør brug af i forbindelse med leveringen af sine tjenester, skal den i stk. 2, litra e), omhandlede kommunikation omfatte følgende oplysninger:
a)
forventet tidspunkt for genoptagelse af tjenesterne
b)
årsagerne til og virkningen af den forstyrrende hændelse
c)
eventuelle risici i tilknytning til kunders midler og kryptoaktiver, der opbevares på deres vegne
d)
de foranstaltninger, udbyderen af kryptoaktivtjenester agter at træffe som reaktion på afbrydelse af en distributed ledger uden tilladelse.
Hvis disse oplysninger ikke er umiddelbart tilgængelige for udbyderen af kryptoaktivtjenester, skal denne efter bedste evne holde kunder og interessenter, herunder kompetente myndigheder, opdateret om de i første afsnit omhandlede oplysninger.
4. Driftsstabilitetsplanerne skal omfatte procedurer for håndtering af forstyrrelser af outsourcede kritiske eller vigtige funktioner, herunder situationer, hvor disse kritiske eller vigtige funktioner bliver utilgængelige.
1. Udbydere af kryptoaktivtjenester skal på grundlag af realistiske scenarier afprøve, hvordan de i artikel 4 omhandlede forretningskontinuitetsplaner fungerer. Sådanne afprøvninger skal teste kryptoaktivtjenesteudbyderens evne til at genoprette situationen efter forstyrrende hændelser og genoptage tjenesterne, jf. artikel 4, stk. 2, litra b).
2. Udbydere af kryptoaktivtjenester skal afprøve deres forretningskontinuitetsplaner hvert år under hensyntagen til:
a)
resultaterne af de i punkt 1 omhandlede afprøvninger
b)
de seneste trusselsefterretninger
c)
erfaringer fra tidligere hændelser
d)
eventuelle ændringer i genopretningsmålene, herunder mål for genopretningstid og genopretningspunkter, jf. artikel 4, stk. 2, litra b)
e)
ændringer i forretningsfunktioner.
3. Udbydere af kryptoaktivtjenester skal dokumentere resultaterne af afprøvningerne skriftligt og forelægge dem for deres ledelsesorgan og de operationelle enheder, der er involveret i forretningskontinuitetsplanerne.
4. Udbydere af kryptoaktivtjenester skal sikre, at afprøvning af forretningskontinuitetsplanerne ikke griber forstyrrende ind i den almindelige drift af deres tjenester.
1. Udbydere af kryptoaktivtjenester skal ved fastlæggelsen af deres forretningskontinuitetspolitik, herunder de relevante planer, procedurer og foranstaltninger, tage hensyn til elementer, der indebærer øget kompleksitet eller risiko, bl.a.:
a)
typen og udvalget af de udbudte kryptoaktivtjenester
b)
i hvilket omfang kryptoaktivtjenesteudbyderens tjenester er afhængige af distributed ledgers uden tilladelse
c)
eventuelle forstyrrelsers potentielle indvirkning på kontinuiteten i kryptoaktivtjenesteudbyderens aktiviteter og tilgængeligheden af dens tjenester.
2. For så vidt angår stk. 1 skal udbydere af kryptoaktivtjenester hvert år foretage en selvevaluering af omfanget, arten og udvalget af deres tjenester. Udbydere af kryptoaktivtjenester skal basere deres selvevaluering på kriterierne i bilaget og andre kriterier, som udbyderen af kryptoaktivtjenester anser for relevante.
Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.
Udfærdiget i Bruxelles, den 31. oktober 2024.
EUT L 150 af 9.6.2023, s. 40, ELI: data.europa.eu/eli/reg/2023/1114/oj.
Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og om ændring af forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 (EUT L 333 af 27.12.2022, s. 1, ELI: data.europa.eu/eli/reg/2022/2554/oj).
Kommissionens delegerede forordning (EU) 2024/1774 af 13. marts 2024 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 for så vidt angår reguleringsmæssige tekniske standarder, der præciserer IKT-risikostyringsværktøjer, -metoder, -processer og -politikker og den forenklede ramme for IKT-risikostyring (EUT L, 2024/1774, 25.6.2024, ELI: http://data.euro...).
Europa-Parlamentets og Rådets forordning (EU) nr. 1095/2010 af 24. november 2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Værdipapir- og Markedstilsynsmyndighed), om ændring af afgørelse nr. 716/2009/EF og om ophævelse af Kommissionens afgørelse 2009/77/EF (EUT L 331 af 15.12.2010, s. 84, ELI: data.europa.eu/eli/reg/2010/1095/oj).
a)
Kryptoaktivtjenesteudbyderens art — baseret på følgende elementer: i) den relevante kategori, jf. bilag IV til forordning (EU) 2023/1114 ii) gennemsnitlige likviditetsniveauer, eller markedsdybde, for kryptoaktiver, der er til rådighed for handel på en handelsplatform for kryptoaktiver, hvis det er relevant iii) kryptoaktivtjenesteudbyderens rolle i det finansielle system, herunder hvorvidt udbyderen af kryptoaktivtjenester driver en handelsplatform for kryptoaktiver, og hvorvidt kryptoaktiver, der handles på dens platform, også handles på andre handelsplatforme for kryptoaktiver.
b)
Omfanget, på grundlag af en vurdering af kryptoaktivtjenesteudbyderens betydning for markedernes velordnede funktion, baseret på følgende elementer, alt efter hvad der er relevant: i) hvorvidt udbyderen af kryptoaktivtjenester kan betragtes som signifikant, jf. artikel 85 i forordning (EU) 2023/1114 ii) antal lande, hvor udbyderen af kryptoaktivtjenester udøver forretningsaktiviteter iii) antal kunder iv) antal aktive brugere v) værdien af de kryptoaktiver, der opbevares i depot vi) volumen af transaktioner på en handelsplatform for kryptoaktiver vii) antal overførsler af kryptoaktiver, der foretages på kunders vegne viii) antal ordrer, der udføres på kunders vegne.
c)
Kompleksiteten, baseret på en vurdering af følgende elementer, alt efter hvad der er relevant: i) kryptoaktivtjenesteudbyderens struktur med hensyn til ejerskab og ledelsesordninger samt dens organisatoriske, operationelle, tekniske, fysiske og geografiske tilstedeværelse ii) omfanget af kryptoaktivtjenesteudbyderens outsourcing, og navnlig hvorvidt en eller flere kritiske eller vigtige operationelle funktioner er outsourcet iii) antal og type distributed ledgers, som der gøres brug af i forbindelse med leveringen af tjenester iv) antal DLT-netværksknudepunkter, som udbyderen af kryptoaktivtjenester driver på en eller flere distributed ledgers v) antal og type intelligente kontrakter, som implementeres og vedligeholdes af udbyderen af kryptoaktivtjenester vi) hvorledes kundernes private krypteringsnøgler eller andre midler til at få adgang til kryptoaktiver er sikret under opbevaringen vii) anvendelse af software- og hardware-baserede hostede tegnebøger (wallets) eller tegnebøger, der sikrer krypteringsnøgler ved hjælp af flere forskellige forvaltere.
For så vidt angår litra b), nr. iii)-viii), skal udbyderen af kryptoaktivtjenester i forbindelse med selvevalueringen basere sig på det daglige gennemsnit over en referenceperiode på et år.
ELI: http://data.europa.eu/eli/reg\_del/2025/299/oj
ISSN 1977-0634 (electronic edition)
