CELEX:32025R0299: Regulamentul delegat (UE) 2025/299 al Comisiei din 31 octombrie 2024 de completare a Regulamentului (UE) 2023/1114 al Parlamentului European și al Consiliului privind piețele criptoactivelor în ceea ce privește standardele tehnice de reglementare referitoare la continuitatea și regularitatea executării serviciilor de criptoactive
|
Redacția Lex24 |
| Publicat in Repertoriu EUR-Lex, 06/03/2025 |
| |
Informatii
Data documentului: 31/10/2024; Data adoptăriiData intrării în vigoare: 05/03/2025; intrare în vigoare data publicării +20 a se vedea articolul 7
Data încetării: No end date
Emitent: Comisia Europeană, Direcția Generală Stabilitate Financiară, Servicii Financiare și Uniunea Piețelor de Capital
Formă: Repertoriu EUR-Lex
 |
Jurnalul Ofícial |
RO Seria L |
|
2025/299 |
13.2.2025 |
REGULAMENTUL DELEGAT (UE) 2025/299 AL COMISIEI
din 31 octombrie 2024
de completare a Regulamentului (UE) 2023/1114 al Parlamentului European și al Consiliului privind piețele criptoactivelor în ceea ce privește standardele tehnice de reglementare referitoare la continuitatea și regularitatea executării serviciilor de criptoactive
(Text cu relevanță pentru SEE)
COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcționarea Uniunii Europene,
având în vedere Regulamentul (UE) 2023/1114 al Parlamentului European și al Consiliului din 31 mai 2023 privind piețele criptoactivelor și de modificare a Regulamentelor (UE) nr. 1093/2010 și (UE) nr. 1095/2010 și a Directivelor 2013/36/UE și (UE) 2019/1937 (1), în special articolul 68 alineatul (10) al treilea paragraf,
întrucât:
|
(1) |
Articolele 11 și 12 din Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului (2) prevăd cerințe referitoare la răspuns și recuperare, politicile și procedurile privind copiile de rezervă, procedurile și metodele de restaurare și recuperare privind sistemele TIC ale entităților financiare, inclusiv ale furnizorilor de servicii de criptoactive. Regulamentul delegat (UE) 2024/1774 al Comisiei (3) precizează și componentele politicii de continuitate a activității TIC, testarea planurilor de continuitate a activității TIC și componentele planurilor de răspuns și de recuperare în domeniul TIC ale entităților financiare, inclusiv ale furnizorilor de servicii de criptoactive. Prezentul regulament completează dispozițiile Regulamentului (UE) 2022/2554 și ale Regulamentului delegat (UE) 2024/1774 în ceea ce privește continuitatea și regularitatea executării serviciilor de criptoactive. |
|
(2) |
Atunci când își furnizează serviciile, furnizorii de servicii de criptoactive pot utiliza un registru distribuit asupra căruia nu au deloc control, inclusiv un registru distribuit pentru care nu este necesară nicio permisiune. În acest caz, este posibil ca ele să nu fie în măsură să asigure regularitatea și continuitatea serviciilor lor atunci când perturbările sunt cauzate de probleme inerente funcționării unor registre distribuite de acest tip. Pentru a atenua volatilitatea pieței care poate avea un impact negativ asupra clienților afectați de astfel de perturbări, furnizorii de servicii de criptoactive ar trebui să includă în politica lor de continuitate a activității măsuri privind comunicarea în timp util cu clienții și cu alte părți interesate externe. Această comunicare ar trebui să includă informații esențiale furnizate în timp util clienților cu privire la aceste perturbări, inclusiv actualizările în curs ale stării, până la soluționarea perturbării și reluarea serviciilor. În cazul în care furnizorul de servicii de criptoactive nu are acces cu ușurință la informații privind statutul registrului distribuit pentru care nu este necesară nicio permisiune și care a cauzat o perturbare a serviciului, furnizorul de servicii de criptoactive respectiv ar trebui să comunice actualizări clienților și altor părți interesate, inclusiv autorităților competente, cât mai bine cu putință, asigurându-se că clienții și părțile interesate dispun de informații cât mai cuprinzătoare cu privire la aceste perturbări. |
|
(3) |
Pentru a evita impunerea unei sarcini administrative disproporționate întreprinderilor mici și mijlocii și start-upurilor, furnizorii de servicii de criptoactive ar trebui să ia în considerare, în politica lor de continuitate a activității, amploarea, natura și gama serviciilor pe care le furnizează. Aceasta înseamnă că furnizorii de servicii de criptoactive ar trebui să își stabilească propriile cerințe specifice de continuitate a activității pe baza unei autoevaluări solide, bazată la rândul său pe o întreagă serie de criterii care le-ar permite acestor furnizori să implementeze o politică de continuitate a activității proporțională cu impactul serviciilor lor asupra pieței. Pe lângă circumstanțele enumerate în anexă, autoevaluarea ar trebui să țină seama și de alte circumstanțe care pot avea impact asupra furnizorului de servicii de criptoactive. |
|
(4) |
Prezentul regulament se bazează pe proiectul de standarde tehnice de reglementare prezentat Comisiei de Autoritatea Europeană pentru Valori Mobiliare și Piețe. |
|
(5) |
Autoritatea Europeană pentru Valori Mobiliare și Piețe a efectuat consultări publice deschise cu privire la proiectul de standarde tehnice de reglementare pe care se bazează prezentul regulament, a analizat costurile și beneficiile potențiale aferente și a solicitat opinia Grupului părților interesate din domeniul valorilor mobiliare și piețelor, instituit în conformitate cu articolul 37 din Regulamentul (UE) nr. 1095/2010 al Parlamentului European și al Consiliului (4), |
ADOPTĂ PREZENTUL REGULAMENT:
Articolul 1
Definiții
În sensul prezentului regulament, se aplică următoarele definiții:
|
(a) |
„funcție critică sau importantă” înseamnă o funcție critică sau importantă astfel cum este definită la articolul 3 punctul 22 din Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului; |
|
(b) |
„registru distribuit pentru care nu este necesară nicio permisiune” înseamnă un tip specific de registru distribuit în care nicio entitate nu controlează registrul distribuit și în care nodurile rețelei DLT pot fi configurate de orice persoană care respectă cerințele tehnice și protocoalele registrului distribuit respectiv. |
Articolul 2
Măsuri organizatorice pentru continuitatea activității
(1) Politica de continuitate a activității menționată la articolul 68 alineatul (7) din Regulamentul (UE) 2023/1114 constă în planuri, proceduri și măsuri.
(2) Organul de conducere al furnizorilor de servicii de criptoactive, în cadrul exercitării funcțiilor sale menționate la articolul 68 alineatul (6) din Regulamentul (UE) 2023/1114, stabilește și aprobă planurile, procedurile și măsurile care cuprind politica de continuitate a activității. Organul de conducere al furnizorului de servicii de criptoactive este responsabil cu punerea în aplicare a politicii de continuitate a activității și cu revizuirea eficacității acesteia cel puțin o dată pe an.
(3) Furnizorii de servicii de criptoactive se asigură că orice modificare a politicii de continuitate a activității este transmisă întregului personal intern relevant prin canale de comunicare eficace.
Articolul 3
Politica de continuitate a activității
(1) Politica de continuitate a activității menționată la articolul 68 alineatul (7) din Regulamentul (UE) 2023/1114 asigură faptul că furnizorii de servicii de criptoactive soluționează în mod corespunzător incidentele perturbatoare sau problemele de performanță legate de sistemele critice pentru funcționarea funcțiilor lor de activitate și trebuie să fie stabilită pe un suport durabil.
(2) Furnizorii de servicii de criptoactive includ în politica de continuitate a activității toate elementele următoare:
|
(a) |
specificarea domeniului de aplicare al politicii de continuitate a activității, inclusiv a limitărilor și excluderilor prevăzute de aceasta, care trebuie să fie reglementat de planurile, procedurile și măsurile de continuitate a activității; |
|
(b) |
o descriere a criteriilor de activare a planurilor de continuitate a activității, inclusiv a procedurilor de escaladare până la nivelul organului de conducere; |
|
(c) |
dispoziții privind guvernanța și organizarea furnizorului de servicii de criptoactive, inclusiv rolurile și responsabilitățile personalului, care să asigure disponibilitatea unor resurse suficiente pentru punerea în aplicare efectivă a politicii; |
|
(d) |
dispoziții care asigură coerența între planurile de continuitate a activității, planurile de continuitate a activității TIC și planurile de răspuns și de recuperare în domeniul TIC menționate la articolele 24 și 26 din Regulamentul delegat (UE) 2024/1774. |
Articolul 4
Planuri de continuitate a activității
(1) Atunci când implementează politica de continuitate a activității menționată la articolul 68 alineatul (7) din Regulamentul (UE) 2023/1114, furnizorii de servicii de criptoactive stabilesc planuri de continuitate a activității. Planurile de continuitate a activității stabilesc procedurile necesare pentru a proteja și, dacă este necesar, pentru a restabili:
|
(a) |
confidențialitatea, integritatea și disponibilitatea datelor clienților; |
|
(b) |
disponibilitatea funcțiilor de activitate, a proceselor de sprijin și a activelor informaționale ale furnizorilor de servicii de criptoactive. |
(2) Planurile de continuitate a activității conțin elementele următoare:
|
(a) |
o serie de posibile scenarii negative legate de exploatarea funcțiilor critice sau importante, printre care indisponibilitatea funcțiilor de activitate, a personalului, a spațiului de lucru, a furnizorilor externi sau a centrelor de date sau pierderea ori modificarea unor date și documente critice; |
|
(b) |
procedurile și politicile care trebuie urmate în cazul unui incident perturbator, inclusiv:
|
|
(c) |
procedurile și politicile de relocare către un amplasament de rezervă a funcțiilor de activitate utilizate pentru furnizarea de servicii de criptoactive; |
|
(d) |
copii de rezervă ale datelor de activitate critice, inclusiv informații actualizate privind contactele necesare pentru a asigura comunicarea în cadrul furnizorului de servicii de criptoactive și între furnizorul de servicii de criptoactive și clienții săi; |
|
(e) |
proceduri pentru comunicarea în timp util cu clienții și cu alte părți interesate externe, inclusiv autoritățile competente. |
(3) În cazul unei perturbări care implică un registru distribuit pentru care nu este necesară nicio permisiune și care a fost utilizat de furnizorul de servicii de criptoactive pentru furnizarea serviciilor sale, comunicările menționate la alineatul (2) litera (e) cuprind următoarele informații:
|
(a) |
când se preconizează că va avea loc reluarea serviciilor; |
|
(b) |
cauzele și impactul incidentului perturbator; |
|
(c) |
orice riscuri la care sunt expuse fondurile clienților și criptoactivele deținute în numele acestora; |
|
(d) |
măsurile pe care serviciul de criptoactive intenționează să le ia ca răspuns la perturbarea unui registru distribuit pentru care nu este necesară nicio permisiune. |
În cazul în care furnizorul de servicii de criptoactive nu are acces cu ușurință la informațiile respective, furnizorul de servicii de criptoactive comunică clienților și părților interesate, inclusiv autorităților competente, actualizări cu privire la informațiile menționate la primul paragraf, cu maxima diligență posibilă.
(4) Planurile de continuitate a activității cuprind proceduri pentru remedierea oricăror disfuncționalități ale funcțiilor critice sau importante externalizate, inclusiv pentru situațiile în care respectivele funcții critice sau importante nu mai sunt disponibile.
Articolul 5
Testarea periodică a planurilor de continuitate a activității
(1) Furnizorii de servicii de criptoactive testează funcționarea planurilor de continuitate a activității menționate la articolul 4 pe baza unor scenarii realiste. Această testare examinează capacitatea furnizorului de servicii de criptoactive de a se redresa în urma incidentelor perturbatoare și de a relua serviciile în conformitate cu articolul 4 alineatul (2) litera (b).
(2) Furnizorii de servicii de criptoactive testează anual planurile de continuitate a activității ținând seama de:
|
(a) |
rezultatele testelor menționate la alineatul (1); |
|
(b) |
cele mai recente date operative privind amenințările; |
|
(c) |
învățămintele desprinse în urma evenimentelor anterioare; |
|
(d) |
după caz, orice modificări aduse obiectivelor de recuperare, inclusiv obiectivelor privind termenul de recuperare și obiectivelor referitoare la punctul de recuperare, astfel cum se menționează la articolul 4 alineatul (2) litera (b); |
|
(e) |
modificări ale funcțiilor de activitate. |
(3) Furnizorii de servicii de criptoactive documentează în scris rezultatele activității de testare și le transmit organului lor de conducere și unităților operaționale care participă la planurile de continuitate a activității.
(4) Furnizorii de servicii de criptoactive se asigură că testarea planurilor de continuitate a activității nu afectează desfășurarea normală a serviciilor lor.
Articolul 6
Considerații legate de complexitate și riscuri
(1) Atunci când stabilesc politica de continuitate a activității, inclusiv planurile, procedurile și măsurile de continuitate a activității, furnizorii de servicii de criptoactive iau în considerare elemente de complexitate sporită sau risc sporit, inclusiv:
|
(a) |
tipul și gama de servicii de criptoactive propuse; |
|
(b) |
măsura în care serviciile furnizorului de servicii de criptoactive se bazează pe un registru distribuit pentru care nu este necesară nicio permisiune; |
|
(c) |
impactul potențial al oricăror perturbări asupra continuității activităților furnizorului de servicii de criptoactive și asupra disponibilității serviciilor sale. |
(2) În sensul alineatului (1), furnizorii de servicii de criptoactive efectuează anual o autoevaluare a amplorii, naturii și gamei serviciilor lor. Furnizorii de servicii de criptoactive își bazează autoevaluarea pe criteriile prevăzute în anexă și pe orice alte criterii pe care furnizorul de servicii de criptoactive le consideră relevante.
Articolul 7
Intrarea în vigoare
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.
Adoptat la Bruxelles, 31 octombrie 2024.
Pentru Comisie
Președinta
Ursula VON DER LEYEN
(1)
JO L 150, 9.6.2023, p. 40, ELI: http://data.europa.eu/eli/reg/2023/1114/oj.
(2) Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1011 (JO L 333, 27.12.2022, p. 1), ELI: http://data.europa.eu/eli/reg/2022/2554/oj).
(3) Regulamentul delegat (UE) 2024/1774 al Comisiei din 13 martie 2024 de completare a Regulamentului (UE) 2022/2554 al Parlamentului European și al Consiliului în ceea ce privește standardele tehnice de reglementare care precizează instrumentele, metodele, procesele și politicile de gestionare a riscurilor TIC și cadrul simplificat de gestionare a riscurilor TIC (JO L, 2024/1774, 25.6.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1774/oj).
(4) Regulamentul (UE) nr. 1095/2010 al Parlamentului European și al Consiliului din 24 noiembrie 2010 de instituire a Autorității europene de supraveghere (Autoritatea europeană pentru valori mobiliare și piețe), de modificare a Deciziei nr. 716/2009/CE și de abrogare a Deciziei 2009/77/CE a Comisiei (JO L 331, 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
ANEXĂ
CRITERII DE AUTOEVALUARE A FURNIZORILOR DE SERVICII DE CRIPTOACTIVE
|
(a) |
Natura furnizorului de servicii de criptoactive, pe baza următoarelor elemente:
|
|
(b) |
Amploarea, evaluând impactul furnizorului de servicii de criptoactive asupra bunei funcționări a piețelor, pe baza următoarelor elemente, după caz:
|
|
(c) |
Complexitatea, evaluând următoarele elemente, dacă este cazul:
|
În sensul literei (b) punctele (iii)-(viii), furnizorul de servicii de criptoactive utilizează pentru autoevaluare media zilnică pe o perioadă de referință de un an.
ELI: http://data.europa.eu/eli/reg_del/2025/299/oj
ISSN 1977-0782 (electronic edition)
